Descripción del cortafuegos de NETinVM
La propia estructura de NETinVM se centra alrededor de su cortafuegos, formado por los siguientes elementos:
- La red perimétrica o DMZ.
- Los nodos bastión alojados en la red perimétrica. Por defecto se usan el servidor Web y el servidor FTP, pero es posible usar igualmente las máquinas intc, intd, inte e intf.
- El encaminador y filtro de paquetes, fw.
Esta estructura es habitual en la bibliografía y se suele recomendar para la mayor parte de usos, ya que permite tanto ofrecer servicios como utilizarlos de forma razonablemente segura.
Ofreciendo servicios
A la hora de ofrecer servicios, los puntos más débiles siempre son los nodos bastión que ofrecen los servicios. Efectivamente, para ofrecer el servicio deben ser accesibles directamente desde Internet y, por tanto, se convierten en el principal vector de entrada. Por este motivo, estos nodos se fortifican lo máximo posible (de ahí el nombre de nodos bastión), tal y como se ha visto en la lección 3.2.
Con esta estructura de subred filtrada, la principal fortaleza es que en caso de que se vea comprometido un nodo bastión, la red interna todavía está protegida por el encaminador fw, que limita el acceso desde los nodos bastión a la red interna. Esta barrera extra de seguridad permite reaccionar antes de que los nodos internos sean atacados.
Además, el propio encaminador supone una primera barrera de protección para los nodos bastión, ya que, mediante el filtrado de paquetes, puede restringir el acceso exclusivamente a los puertos estrictamente necesarios.
Finalmente, usar una subred filtrada permite separar los servicios en diferentes nodos bastión, en función del tipo de servicio, su riesgo y/o la sensibilidad de la información.
Utilizando servicios
Esta estructura también protege a los clientes que necesitan utilizar servicios externos. El encaminador evita el acceso directo desde Internet a la red corporativa y puede restringir el tráfico entrante al tráfico de respuesta al generado por los clientes.
De cara a la utilización de servicios externos, esta estructura permite el acceso controlado a los servicios externos, tanto mediante el acceso filtrado a través del encaminador, como a través de proxies alojados en la subred filtrada.
El filtrado de paquetes permite restringir el acceso directo desde la red interna hacia Internet a aquellos clientes y a aquellos servicios que establezca la política de seguridad corporativa. Además, en caso de servicios que deban ser accedidos a través de un proxy, el filtrado permite restringir el acceso de los clientes al proxy (en la red perimétrica) y del proxy a los servidores reales.
Otras consideraciones
Con respecto a la estructura habitual, NETinVM une en una única máquina (fw) los encaminadores interno y externo. Esto supone un cierto aumento del riesgo con respecto a utilizar dos máquinas diferentes, pero teniendo en cuenta que los encaminadores no necesitan ofrecer servicios y que suelen tener implementaciones especialmente robustas de los protocolos de red, supone un compromiso razonable entre seguridad, complejidad y recursos a utilizar (cada máquina virtual extra cuenta).
Por supuesto, es posible realizar otras variaciones, como utilizar más de una subred filtrada o segmentar la red corporativa, pero ello complicaría el trabajo con NETinVM.
Francisco Javier Cervigon Ruckauer
No hay comentarios:
Publicar un comentario