This post is also available in: Português English Español
Firewall es uno de los activos de una arquitectura de seguridad, estratégicamente ubicada entre dos o más redes, para ofrecer la regulación y control del tráfico. Aunque esta definición es simplista, garantiza la base de entendimiento necesario para entenderlo dentro de la perspectiva de una topología de red.
Las topologías de firewall no son más que representaciones físicas y lógicas del posicionamiento de los activos computacionales, y dentro del propósito de este artículo, traemos las principales aplicaciones de firewalls corporativos.
Es importante resaltar que el alcance de este artículo se limita al elemento de seguridad firewall. Para definir una topología o una arquitectura de seguridad en profundidad, considere otros elementos fundamentales como IDS/IPS, proxies, etc.
Topología bastion host
La opción más común de uso para firewalls, especialmente en pequeños entornos, se denomina bastión host. A través de esta topología, el firewall se coloca en el medio, entre el Internet y el segmento de red interno.
A pesar de ser extremadamente simple, es posible ver que para el tráfico entrar o salir de la red protegida, es obligatorio pasar por el firewall. Esta topología ofrece nada más que una capa de seguridad real, por lo que es necesario evaluar con atención los escenarios donde se recomienda el uso de esta topología.
Una vez que el firewall se ha comprometido, no hay ningún impedimento del atacante para acceder a la red protegida. Independientemente de las cantidades de capas lógicas presentes en el firewall, si se compromete, la red local puede ser potencialmente atacada.
Por lo tanto, tenga en mente utilizar esta arquitectura para pequeñas necesidades de acceso a Internet, donde no hay servidores internos que sean accedidos públicamente por Internet, o que ofrezcan algún tipo de servicio interno valioso para la empresa, como base de datos, archivos y otros.
Topología de subred con clasificación o screened subnet
Una topología muy común de firewall que preserva la flexibilidad y al mismo tiempo niveles de seguridad adecuados para buena parte de los ambientes se denomina screened subnet o subred con clasificación. A través de esta topología, las empresas pueden ofrecer servicios a Internet sin comprometer sus redes protegidas.
La base para el funcionamiento de una subnet con clasificación es que el firewall posee al menos tres interfaces de comunicación, para que se pueda aislar el internet, las redes protegidas, y por último, crear un local denominado de zona desmilitarizada, o DMZ.
Los servicios de red públicos, como servidores web, servidores de correo electrónico y otros, están estratégicamente ubicados en la DMZ. Si un atacante compromete el acceso de alguno de estos servidores, aun así, no tendrá acceso directo a las redes protegidas, ya que el firewall está interpuesto en esta arquitectura.
En los casos en que existan múltiples redes protegidas que deben ser directamente interconectadas por el firewall, se puede trabajar con VLANs asociadas a un número menor de interfaces físicas. Desde el punto de vista de seguridad no hay ningún impacto, sin embargo, es importante validar si habrá suficiente throughput para satisfacer a las demandas de tráfico.
Topología multi-homed o dual firewall
De forma complementaria a la topología de subred con clasificación, las arquitecturas multi-homed están compuestas por diversas conexiones que permiten segmentar varias redes. Además, en muchos casos estas arquitecturas trabajan con dos equipos distintos, incrementando aún más la seguridad del ambiente, ya que el compromiso de uno de ellos no significa el acceso a las redes protegidas.
La cantidad de conexiones físicas (puertos o interfaces) y lógicas a través de VLANs ofrecidas por esta topología permite definir, de manera muy segregada, cómo crear la política de seguridad adecuada para proteger equipos, servidores y otros activos importantes de una organización.
Es importante destacar que la topología final de la arquitectura de seguridad puede (y debe) mezclar los conceptos abordados, permitiendo crear un verdadero blindaje para su infraestructura. La defensa en profundidad, especialmente cuando se aplica en dispositivos aislados, ofrece niveles interesantes de resiliencia en un ambiente frente a un ataque.
No hay una topología que pueda considerarse mejor, el entendimiento está en lo que es mejor para la realidad de protección de su empresa. Las arquitecturas más complejas exigen un mayor costo total de propiedad (TCO), tanto para la adquisición de tecnologías/productos como mano de obra especializada para la continuidad del ambiente.
¿Qué te parece? ¿Ya puede identificar cuál es la arquitectura o topología utilizada en su empresa? Incremente este artículo con comentarios sobre este tema.
This post is also available in: Português English Español