¿Qué es una puerta de enlace de aislamiento de seguridad?
Una puerta de enlace de seguridad es una integración orgánica de varias tecnologías. Tiene funciones de protección importantes y únicas, que van desde el filtrado a nivel de protocolo hasta el filtrado a nivel de aplicación muy complejo. Hay tres tipos principales de firewalls: puertas de enlace de circuitos de filtrado de paquetes y puertas de enlace de aplicaciones.
Nota: Sólo uno de los tres tipos es un filtro, los demás son puertas de enlace. Estos tres mecanismos se utilizan a menudo en combinación. Un filtro es un mecanismo de mapeo que distingue los paquetes legítimos de los paquetes falsificados. Cada método tiene sus propias capacidades y limitaciones y debe evaluarse cuidadosamente en función de las necesidades de seguridad.
1. Filtro de paquetes
El filtrado de paquetes es la forma más básica de mapeo de seguridad. El software de enrutamiento puede establecer permisos según la dirección de origen, la dirección de destino o el número de puerto de un paquete. El filtrado de números de puertos conocidos puede bloquear o permitir protocolos de Internet como FTP y rlogin. Los filtros pueden operar con datos entrantes y/o salientes. La implementación del filtrado en la capa de red significa que el enrutador puede proporcionar capacidades de mapeo seguras para todas las aplicaciones. Como parte residente del enrutador (en un sentido lógico), este filtrado se puede utilizar libremente en cualquier red enrutable, pero no debe malinterpretarse como un filtro único para todos. El filtrado de paquetes tiene muchas debilidades, pero es mejor que nada.
El filtrado de paquetes es difícil de realizar bien, especialmente cuando los requisitos de seguridad no están bien definidos y detallados. Este filtro también se rompe fácilmente. El filtrado de paquetes compara cada paquete y toma una decisión de pasa/falla basándose en una comparación entre la información del encabezado del paquete y la lista de acceso del enrutador. Esta tecnología tiene muchas debilidades potenciales. Primero, depende directamente del administrador del enrutador para compilar el conjunto de permisos correctamente. En este caso, los errores ortográficos pueden ser fatales y crear agujeros en la línea de defensa que pueden romperse sin ninguna habilidad especial. Incluso si un administrador diseña los permisos con precisión, la lógica debe ser perfecta. Aunque diseñar una ruta parece sencillo, desarrollar y mantener una lista larga y compleja de permisos también puede resultar muy engorroso. Los cambios diarios deben entenderse y evaluarse con respecto a los conjuntos de permisos del firewall. Si los servidores recién agregados no están protegidos explícitamente, pueden convertirse en un punto de ruptura.
Con el tiempo, las búsquedas de acceso pueden ralentizar la velocidad de reenvío de su enrutador. Cada vez que un enrutador recibe un paquete, debe determinar la dirección del siguiente salto que el paquete debe pasar para llegar a su destino, lo que inevitablemente va acompañado de otra tarea que consume CPU: verificar la lista de acceso para determinar si tiene permiso para llegar al destino. . Cuanto más larga sea la lista de acceso, más tardará este proceso.
El segundo defecto del filtrado de paquetes es que considera válida la información del encabezado y no puede verificar el origen del paquete. Una persona con conocimientos de redes puede alterar fácilmente la información del encabezado. Esta manipulación a menudo se denomina "suplantación de identidad".
Las debilidades del filtrado de paquetes lo hacen insuficiente para proteger los recursos de su red. Es mejor utilizarlo junto con otros mecanismos de filtrado más complejos que solo.
2. Link Gateway
Las puertas de enlace a nivel de enlace son ideales para proteger solicitudes de entornos de red privados y seguros. Esta puerta de enlace intercepta solicitudes TCP e incluso algunas solicitudes UDP y luego obtiene la información solicitada en nombre de la fuente de datos. Un servidor proxy recibe una solicitud de información en la World Wide Web y la cumple en nombre de la fuente de datos. En efecto, esta puerta de enlace actúa como una línea que conecta el origen y el destino, pero evita el riesgo de que el origen pase por áreas de red no seguras.
3. Puerta de enlace de aplicaciones
La puerta de enlace de aplicaciones es el opuesto más extremo del filtrado de paquetes. El filtrado de paquetes logra una protección universal para todos los datos que pasan a través del equipo de filtrado de paquetes de la capa de red. La puerta de enlace de aplicaciones coloca un software de aplicación altamente especializado en cada host que necesita protección, evitando trampas de filtrado de paquetes y logrando la firmeza de cada host.
Un ejemplo de puerta de enlace de aplicaciones es un escáner de virus, que se ha convertido en uno de los productos básicos en la informática de escritorio. Llama a la memoria al inicio y permanece en segundo plano, monitoreando constantemente los archivos en busca de infecciones por virus conocidos e incluso cambios en los archivos del sistema. Los escáneres de virus están diseñados para proteger a los usuarios del daño potencial de los virus antes de que ocurran daños.
Este nivel de protección no se puede lograr en la capa de red.
Necesita examinar el contenido de cada paquete, verificar su origen, determinar su ruta de red correcta y determinar si su contenido es significativo o engañoso. Este proceso puede crear una sobrecarga insoportable y afectar seriamente el rendimiento de la red.
4. Puerta de enlace de filtrado combinado
Una puerta de enlace que utiliza un esquema de filtrado combinado proporciona un control de acceso bastante sólido a través de filtros redundantes y superpuestos, que pueden incluir mecanismos de filtrado a nivel de grupo, enlace y aplicación. . La implementación más común de este tipo de puerta de enlace de seguridad es proteger los puntos de acceso en el borde de un segmento de red privada como un centinela, a menudo llamado puerta de enlace de borde o firewall. Esta importante responsabilidad a menudo requiere múltiples tecnologías de filtrado para proporcionar una defensa adecuada. El siguiente diagrama muestra una puerta de enlace de seguridad que consta de dos componentes: un enrutador y un procesador. Juntos proporcionan protección a nivel de protocolo, enlace y aplicación.
A diferencia de otros tipos de puertas de enlace, esta puerta de enlace dedicada debe proporcionar capacidades de conversión. Como puertas de enlace en el borde de la red, su trabajo es controlar el flujo de datos entrantes y salientes. Obviamente, tanto las redes internas como las externas conectadas a esta puerta de enlace utilizan el protocolo IP y no es necesario realizar una conversión de protocolo. El filtrado es lo más importante.
La razón por la que redes externas no autorizadas no pueden acceder a la red interna es obvia. Las razones para controlar el acceso saliente son menos obvias. En algunos casos es necesario filtrar los datos enviados externamente. Por ejemplo, los servicios de valor agregado basados en la navegación de los usuarios pueden generar una gran cantidad de tráfico WAN. Si no se controlan, pueden afectar fácilmente la capacidad de la red para transportar otras aplicaciones. Por lo tanto, este tipo de datos debe protegerse en su totalidad. en parte.
IP es el protocolo principal de la red y un protocolo abierto diseñado para lograr la comunicación entre segmentos de la red. Ésta es a la vez su principal fortaleza y su mayor debilidad. Proporcionar interconexión entre dos redes IP esencialmente crea una gran red IP, y la tarea de proteger el borde de la red (el firewall) es distinguir los datos legítimos de los fraudulentos.
5. Consideraciones de implementación
Implementar un gateway de seguridad no es una tarea fácil y su éxito depende de la definición de requisitos, un diseño cuidadoso y una implementación perfecta. La primera tarea es establecer reglas integrales y definir compensaciones aceptables basadas en una comprensión profunda de la seguridad y los gastos generales. Estas normas establecen la política de seguridad.
Las políticas de seguridad pueden ser relajadas, estrictas o algo intermedio. En un extremo, la promesa básica de una política de seguridad es permitir el paso de todos los datos, con pocas excepciones, fácilmente manejables y con esas excepciones agregadas explícitamente al sistema de seguridad. Esta estrategia es fácil de implementar y no requiere previsión para garantizar una protección mínima incluso para los jugadores aficionados. El otro extremo es extremadamente estricto. Esta estrategia requiere que se indique claramente que todos los datos que se transferirán están permitidos, lo que requiere un diseño cuidadoso y deliberado. Su costo de mantenimiento es alto, pero tiene un valor intangible para la seguridad de la red. Desde una perspectiva de política de seguridad, ésta es la única solución aceptable. Hay muchas soluciones entre estos dos extremos que compensan la facilidad de implementación, el costo de uso y el mantenimiento. La compensación correcta requiere una evaluación cuidadosa de los riesgos y costos.