 |
FOTOS/KRT DIRECT |
Vivimos y sentimos diariamente las amenazas de un mundo conectado: virus,
spam, spyware, ataques por denegación de servicio, etc. Y también
muchos de los que vivimos estas amenazas hemos escuchado el término
firewall.
En palabras simples, un firewall es un dispositivo que ofrece un nivel de protección
a las redes, instalado generalmente en el “borde” o “perímetro”;
es decir, entre la conexión a internet y la red interna de una oficina.
Pero este dispositivo, que ha sido tradicionalmente conocido como una barrera
de protección contra hackers y otros tipos de amenazas, no es la panacea
de seguridad.
Los firewalls sí proveen un nivel de seguridad, pero desafortunadamente
la complejidad de las amenazas actuales deja a estos equipos, software o hardware,
limitados en prevenir o bloquear dichos ataques.
Cuando un paquete de datos viaja por internet, lleva encabezados o headers
indicando de dónde salió y hacia dónde va. Además,
entre otra información, también se indica si el paquete va a
hacer una petición a un servidor o es un correo electrónico.
Es decir, los llamados puertos, que van en este encabezado, refieren a qué servicio
o aplicación se está realizando una petición.
Los firewalls permiten el filtrado o bloqueo de los paquetes que viajan por
una red, basados particularmente sobre estos puertos.
Un ejemplo simple y conciso de una regla o política de un firewall sería: “para
todos aquellos paquetes que vienen de internet y van hacia mi red interna,
bloquea todos los puertos, excepto el 25 (que es de correo entrante)”.
Esta regla permitiría la entrada de correo a un servidor que está protegido
por un firewall.
Otras regla podría decir: “para todos aquellos paquetes que salen
de mi red a internet, deja pasar todos los puertos”. Estos permitirían
que los usuarios internos puedan realizar cualquier tipo de actividad en internet:
navegar, enviar correos, etc.
¿Pero, qué sucede con el tráfico que sí pasa hacia
mi red? Imaginemos que protegemos un servidor de web: “bloquear todo
el tráfico
que viene de internet y va hacia mi servidor de web, y deja solo pasar el puerto
80 (que es de web)”.
Como se puede ver del ejemplo, el tráfico que va hacia el servidor de
web, sí pasa y debe pasar para que el servidor pueda mostrar sus páginas
al mundo.
Pero aquí viene el gran dilema: ¿y si el servidor de web no tiene
la última actualización del sistema operativo? ¿Y qué pasa
si el servidor no tiene instalado un antivirus? ¿Qué pasa si
se acaba de descubrir una vulnerabilidad del sistema operativo, de cualquier
sabor que este sea? Y si usted es lo suficientemente serio, no va a instalar
la última actualización en un servidor que está en producción.
El punto aquí es que el firewall bloquea o filtra puertos, basados en
el encabezado, dejando pasar aquellos que son necesarios por la naturaleza
del servicio que ofrece el servidor que se protege.
Pero, dejar pasar tráfico hacia un puerto también significa,
en muchos casos, dejar pasar un ataque. Resulta que los ataques ahora vienen
en la porción de datos (payload) del paquete y en el encabezado. Y resulta
también que el firewall no es capaz de analizar la porción de
datos.
Entonces, hoy día, como una práctica común de la industria,
han comenzado a aparecer equipos con capacidades de analizar los paquetes en
su porción de los datos.
Ejemplo de ellos son los sistema de detección y prevención de
intrusos (IDS/IPS, por sus siglas en inglés). Estos dispositivos tienen
bases de datos de vulnerabilidades actualizables, que permiten comparar los
datos que entran o salen de una red, contra esa base de datos y descartar o
bloquear aquellos que son reconocidos como un ataque.
También, usted verá en el mercado equipos con capacidades
de antivirus integrados. Estos equipos, permiten “limpiar” el
tráfico antes de que entre a su red. ¿Por qué dejar
que la infección entre a mi red? Estos appliances son instalados en
el perímetro.
Entonces, la próxima vez que le toque evaluar dispositivos de seguridad,
piense en mecanismos de seguridad con capacidades superiores a un firewall,
como un IDP/IPS o un firewall con antivirus integrado. |
