¿Qué es un cortafuegos?
El concepto de firewall
Por supuesto, dado que planeamos comprenderlo de lo más superficial a lo más profundo, primero debemos echar un vistazo al concepto de firewall. Firewall es el nombre de un componente de un automóvil. En los automóviles, se utiliza un cortafuegos para separar a los pasajeros del motor, de modo que si el motor del automóvil se incendia, el cortafuegos no sólo puede proteger la seguridad de los pasajeros, sino también permitir que el conductor continúe controlando el motor. En terminología informática, por supuesto, este no es el significado. Podemos entender por analogía que en la red, el llamado "firewall" se refiere a un método para separar la red interna de la red de acceso público (como Internet). En realidad, es una técnica de aislamiento. Un firewall es un estándar de control de acceso implementado cuando se comunica entre dos redes. Permite que las personas y los datos con los que usted "está de acuerdo" ingresen a su red, mientras mantiene a las personas y los datos con los que "no está de acuerdo" fuera de la red en la mayor medida posible. de acceder a su red. En otras palabras, sin pasar por el firewall, las personas dentro de la empresa no pueden acceder a Internet y las personas en Internet no pueden comunicarse con las personas dentro de la empresa.
Función del firewall
1. El firewall es una barrera para la seguridad de la red:
Un firewall (como punto de bloqueo, punto de control) puede mejorar enormemente una situación interna. seguridad de la red y reducir el riesgo filtrando servicios inseguros. Dado que sólo los protocolos de aplicación cuidadosamente seleccionados pueden atravesar el firewall, el entorno de red se vuelve más seguro. Por ejemplo, el firewall puede prohibir que protocolos inseguros conocidos, como NFS, entren y salgan de la red protegida, de modo que los atacantes externos no puedan utilizar estos protocolos vulnerables para atacar la red interna. Los firewalls también protegen la red de ataques basados en rutas, como ataques de enrutamiento de origen en opciones de IP y rutas de redireccionamiento en redirecciones ICMP. El firewall debería poder rechazar todos los tipos de paquetes de ataque anteriores y notificar al administrador del firewall.
2. Los firewalls pueden fortalecer las políticas de seguridad de la red:
A través de la configuración de soluciones de seguridad centradas en firewalls, todo el software de seguridad (como contraseñas, cifrado, autenticación de identidad, auditoría, etc.) ) Configurado en el firewall. La gestión de seguridad centralizada a través de firewalls es más económica que distribuir los problemas de seguridad de la red entre hosts individuales. Por ejemplo, durante el acceso a la red, el sistema de contraseña de un solo uso y otros sistemas de autenticación de identidad no necesitan estar dispersos en varios hosts, sino concentrados en el firewall.
3. Monitorear y auditar el acceso y el acceso a la red:
Si todo el acceso pasa a través del firewall, entonces el firewall puede registrar estos accesos y realizar registros, y también puede proporcionar estadísticas sobre uso de la red. Cuando ocurren acciones sospechosas, el firewall puede emitir alarmas apropiadas y proporcionar información detallada sobre si la red está siendo monitoreada y atacada. Además, también es muy importante recopilar el uso y mal uso de una red. La primera razón es saber si el firewall puede resistir la detección y los ataques de atacantes, y si los controles del firewall son adecuados. Las estadísticas de uso de la red también son muy importantes para el análisis de la demanda de la red y el análisis de amenazas.
4. Evite la fuga de información interna:
Al utilizar firewalls para dividir la red interna, se pueden aislar segmentos clave de la red interna, limitando así las redes locales clave o sensibles. El impacto de los problemas de seguridad en la red global. Además, la privacidad es un tema de gran preocupación en las redes internas. Los detalles discretos en una red interna pueden contener pistas sobre la seguridad y despertar el interés de atacantes externos, e incluso exponer ciertas vulnerabilidades de seguridad de la red interna. El uso de un firewall puede ocultar servicios que revelan detalles internos como Finger y DNS. Finger muestra los nombres registrados, los nombres reales, la hora del último inicio de sesión y el tipo de shell de todos los usuarios del host. Sin embargo, los atacantes pueden aprender muy fácilmente la información mostrada por Finger. Un atacante puede saber con qué frecuencia se utiliza un sistema, si los usuarios de este sistema están conectados a Internet, si este sistema llama la atención cuando es atacado, etc. Los firewalls también pueden bloquear la información DNS sobre la red interna para que el mundo exterior no conozca el nombre de dominio y la dirección IP de un host.
Además de la función de seguridad, el firewall también admite VPN (red privada virtual), un sistema de tecnología de red empresarial interna con características de servicio de Internet.
Clasificación de los firewalls
Según la arquitectura de la red, existen varios tipos de firewalls:
1. Generalmente, el juicio de aprobación o falla se realiza en función de la dirección de origen y la dirección de destino, la aplicación o protocolo y el puerto de cada paquete IP. Un enrutador es un firewall "tradicional" a nivel de red. La mayoría de los enrutadores pueden verificar esta información para decidir si reenviar el paquete recibido, pero no pueden determinar de dónde proviene un paquete IP ni hacia dónde se dirige.
Los firewalls avanzados a nivel de red pueden determinar esto. Pueden proporcionar información interna para describir el estado de la conexión pasada y el contenido de algunos flujos de datos, y comparar la información determinada con la tabla de reglas. Se definen varias reglas para indicar si se aprueba o deniega el paso de un paquete. Los cortafuegos de filtrado de paquetes examinan cada regla hasta que se determina que la información del paquete coincide con una regla. Si no se cumple ninguna regla, el firewall utilizará la regla predeterminada. En circunstancias normales, la regla predeterminada requiere que el firewall descarte el paquete. En segundo lugar, al definir el número de puerto en función de los paquetes TCP o UDP, el firewall puede determinar si permite el establecimiento de conexiones específicas, como conexiones Telnet y FTP.
Las siguientes son las reglas de control de acceso de un determinado firewall a nivel de red:
(1) Permitir que la red 210.34.0.0 use FTP (puerto 21) para acceder al host 192.168.1.1
(2) Permitir a los usuarios con dirección IP 210.34.0.207 Telnet (puerto 23) al host 192.168.1.2
(3) Permitir correo electrónico (puerto 25); desde cualquier dirección para ingresar al host 192.168.1.5;
(4) Permitir el paso de cualquier dato WWW (puerto 80)
(5) No se permite la entrada de otros paquetes de datos; .
Los firewalls a nivel de red son simples, rápidos, de bajo costo y transparentes para los usuarios, pero su protección para la red es muy limitada porque solo verifican direcciones y puertos y no tienen capacidad de entender información de niveles superiores. Capas de protocolo en la red. Es difícil configurar filtros de paquetes con precisión y carece de autorización a nivel de usuario; las condiciones para el filtrado de paquetes se encuentran en el encabezado del paquete de datos. Debido a la inseguridad de IPV4, es probable que sea falsificado o robado; una tecnología de seguridad basada en la capa de red y no puede detectar ataques a través de protocolos de nivel superior.
ipchains en Linux es este tipo de software.
2. Puerta de enlace a nivel de aplicación
La puerta de enlace a nivel de aplicación es lo que a menudo llamamos un "servidor proxy". Puede verificar paquetes de datos entrantes y salientes y copiar y transmitir datos. la puerta de enlace para evitar el acceso no autorizado. Los servidores y clientes establecen contacto directo con hosts que no son de confianza. La puerta de enlace a nivel de aplicación puede comprender los protocolos en la capa de aplicación, realizar un control de acceso más complejo y realizar registros y auditorías detalladas. Sin embargo, cada protocolo requiere el software proxy correspondiente, lo que requiere una gran carga de trabajo y no es tan eficiente como un firewall a nivel de red.
Los firewalls a nivel de aplicación de uso común ya tienen servidores proxy correspondientes, como: HTTP, NNTP, FTP, Telnet, rlogin, X-windows, etc. Sin embargo, para las aplicaciones recientemente desarrolladas, no existe un proxy correspondiente. todavía, pasarán por firewalls a nivel de red y servicios de proxy generales.
Las puertas de enlace a nivel de aplicación tienen un mejor control de acceso y actualmente son la tecnología de firewall más segura. Sin embargo, la implementación es difícil y algunas puertas de enlace a nivel de aplicación carecen de "transparencia". En el uso real, cuando los usuarios acceden a Internet a través de un firewall en una red confiable, a menudo encuentran que hay un retraso y deben iniciar sesión varias veces para acceder a Internet o Intranet.
Tiene las mismas características que los firewalls de filtrado de paquetes, es decir, solo se basan en una lógica específica para determinar si permiten el paso de los paquetes de datos. Una vez que se cumplen las condiciones, los sistemas informáticos dentro y fuera del firewall establecen contacto directo y el externo. La red del firewall puede comprender directamente la estructura interna de la red y el estado operativo aumentan en gran medida la posibilidad de ataques de acceso ilegal.
SQUID es ese tipo de software.
3. Puerta de enlace a nivel de circuito
La puerta de enlace a nivel de circuito se utiliza para monitorear la información del protocolo de enlace TCP entre un cliente o servidor confiable y un host que no es confiable para determinar si la sesión es legal. Las puertas de enlace a nivel de circuito filtran paquetes de datos en la capa de sesión en el modelo OSI, que es dos capas más altas que los firewalls de filtrado de paquetes.
De hecho, la puerta de enlace a nivel de circuito no existe como un producto independiente, sino que se combina con otras puertas de enlace a nivel de aplicación. Además, la puerta de enlace a nivel de circuito también proporciona una función de seguridad importante: el servidor proxy (ProxyServer). El servidor proxy es un firewall que ejecuta un proceso llamado "transferencia de direcciones" para asignar todas las direcciones IP internas de su empresa a un ". Dirección IP "segura", esta dirección la utilizan los firewalls. Sin embargo, también existen algunos inconvenientes como puerta de enlace a nivel de circuito. Debido a que la puerta de enlace funciona en la capa de sesión, no puede inspeccionar paquetes de datos a nivel de aplicación. Desempeña un cierto papel como servicio proxy, monitorea la información del protocolo de enlace cuando dos hosts establecen una conexión y determina si la solicitud de sesión es legal. Una vez que la conexión de la sesión es válida, la puerta de enlace solo copia y pasa datos. Representa varias sesiones de alto nivel en la capa IP, tiene la capacidad de ocultar información de la red interna y es muy transparente. Sin embargo, dado que no analiza más a fondo el contenido específico transmitido una vez establecida la sesión, la seguridad es baja.
Socks pertenece a este tipo de firewall.
4. Firewall de inspección de reglas
Este firewall combina las características de un firewall de filtrado de paquetes, una puerta de enlace a nivel de circuito y una puerta de enlace a nivel de aplicación. Al igual que el firewall de filtrado de paquetes, el firewall de inspección de reglas puede filtrar paquetes de datos entrantes y salientes a través de direcciones IP y números de puerto en la capa de red OSI. También actúa como una puerta de enlace a nivel de circuito y puede verificar si los marcadores SYN y ACK y los números de secuencia están ordenados lógicamente. Por supuesto, al igual que una puerta de enlace a nivel de aplicación, puede verificar el contenido de los paquetes de datos en la capa de aplicación OSI para ver si el contenido cumple con las reglas de seguridad de la red de la empresa.
Aunque el firewall de inspección de reglas integra las características de los tres primeros, se diferencia de una puerta de enlace a nivel de aplicación en que no rompe el modelo cliente/servidor para analizar datos de la capa de aplicación. El cliente establece una conexión directa con el host que no es de confianza. Los cortafuegos de verificación de reglas no dependen de agentes relacionados con la capa de aplicación, sino que se basan en ciertos algoritmos para identificar los datos entrantes y salientes de la capa de aplicación. Estos algoritmos comparan los paquetes de datos entrantes y salientes a través de patrones de paquetes de datos legítimos conocidos, de modo que, en teoría, se utilizan. Se puede comparar con la capa de aplicación. Los servidores proxy son más efectivos para filtrar paquetes. Registrará y mantendrá dinámicamente el estado del protocolo de cada conexión, y analizará y detectará cada capa de comunicación en la capa de red para decidir si le permitirá pasar a través del firewall. Por lo tanto, tiene alta eficiencia y seguridad, puede admitir una variedad de protocolos y aplicaciones de red y puede ampliarse fácilmente para admitir diversos servicios no estándar.