Introducción al uso del FIREWALL
En este apartado veremos una breve introducción al uso del Firewall sobre los tipos, funcionamientos y clase de los mismos.
Table of Contents
Toggle¿Qué es un Firewall?
Los firewalls son un sistema de seguridad cuyo propósito es filtrar paquetes y el tráfico de red utilizando distintos criterios como las direcciones IP de origen y destino, tipos de puertos y servicios, protocolos específicos, etc.. Por lo tanto, suelen analizar el tráfico hasta la capa 4 del modelo OSI (Transporte).
Existen Firewalls que son implementados en Hardware con la función de analizar el tráfico entrante y saliente entre los distintos segmentos de red. Cabe mencionar que también existen algunos basados en forma virtual con la misma función.
La siguiente imagen representa el frente de un Firewall Juniper:
Los Firewalls implementados en Software, son instalados en cada dispositivo para filtrar el tráfico que entra y sale del mismo.
La siguiente imagen muestra un ejemplo de “Windows Defender” el Firewall de Windows:
Tipos de Firewalls
Podemos dividir al uso del Firewall de la siguiente manera:
Escritorio: Estos firewalls son aquellos que se encuentran del lado del cliente. Es decir, dentro de un dispositivo como una PC. Ejemplo de estos podemos mencionar a Windows Defender (en Windows) e iptables (en Linux).
Red: La función de los mismos es la de conectar distintos dispositivos asociados a una o más redes de un establecimiento. Por ejemplo, el firewall de seguridad de Cloudflare, los UTM, aquellos con Hardware de empresas como Cisco u otras, etc.
NGFW: Este tipo (New Gneration Firewall) cuentan con los mismas características que los demás, pero con mucha más potencia y seguridad. Es decir, dentro de los mismos podemos encontrar sistemas IDS/IPS, Honeypots, Centralizador de logs, Conocimiento y control de las aplicaciones, entre otros..
Firewall de Escritorio
Habiendo visto la introducción anterior, ahora estaremos detallando las funciones básicas por las que se compone el uso del firewall de escritorio.
Políticas por defecto
Estos sistemas de seguridad se basan en dos principales políticas con respecto a la entrada y salida de información. Por ejemplo:
Aceptanción: Se aceptan por defecto todas las solicitudes entrantes, denegando solo aquellas que se especifiquen.
Deneganción: Se deniegan por defecto todas las solicitudes entrantes, aceptando solo aquellas que especifiquemos.
Se aconseja definir siempre las políticas de “Denegación por defecto” para saber cuáles son los paquetes permitidos por nosotros que entran. Ejemplo de esto podemos verlo en la siguiente imagen:
Como se muestra, se deniegan todas las conexiones entrantes por defecto, excepto aquellas provinientes de los puertos 21(ftp), 22(ssh), 80(http), y 443(https). Esto se hace a través de iptables, la cual se utiliza como herramienta para el firewall en sistemas Linux. Por lo tanto, en base a las reglas establecidas, el sistema analizará (de arriba hacia abajo) si existe alguna concordancia con alguna de ellas. En el caso de ser así, se dejará de analizar el paquete y se toma la acción que indica la regla, de lo contrario, se descarta el tráfico entrante.
Servicio de Directorios
El servicio de directorios es un sistema que nos permite estructurar distintos permisos y aplicaciones de seguridad basadas en tres grupos:
Usuarios.
Equipos.
Grupos de seguridad.
Cada uno se configura de manera personal dentro del dominio al que pertenezcan. Generalmente, dentro de sistemas Linux el servicio de directorios es OpenLDAP. En el caso de Windows, tenemos a Active Directory (AD).
Una particularidad que tiene el firewall de Windows, es que aparte de tener políticas de entrada y salida, cuenta con tres perfiles (Dominio, público y privado). El público y privado se configurarán de acuerdo a la “confianza” que se tenga a la red. Y dentro del dominio, lo configuramos de acuerdo a AD.
Firewall de red UTM
A continuación daremos una introducción de las partes fundamentales con respecto al uso de un firewall de red UTM. En la imagen, se especifica un ejemplo del mismo de la marca Sophos.
Además de filtrar el tráfico entrante/saliente y los paquetes de una red, tabién existen firewalls que poseen funciones adicionales, interactuando así, en las diferentes capas superiores del modelo OSI. Los firewall UTM (Unified Threat Management), o de gestión de amenazas unificadas, corresponde a los tipos de firewall de red con varias funcionalidades. Entre ellas podemos destacar:
Inspección de Protocolos
La inspección de protocolos le permite al Firewall identificar un protocolo asociado a una conexión específica. Por lo tanto, podemos realizar un filtro en base a los eventos de distintos protocolos. Por ejemplo:
Filtrar motores específicos para los protocolos más usados (HTTP, SMTP, POP3, FTP, etc..).
Filtrar comandos no permitidos, por ejemplo, que hagan referencia a un servidor de archivos FTP, entre otros..
Análisis Antimalware
Se le agrega al Firewall la capacidad de detección de archivos maliciosos. Es decir, se realizarán filtros para escanear archivos descargados a través de un navegador web, correco electrónico, medios FTP, etc..
Análisis Antispam
Si el Firewall utilizado es UTM, puede analizar los correos a través de un motor antispam. Este filtro se utiliza para bloquear el correo no deseado en base a algunos criterios. Por ejemplo, la dirección IP de origen y destino, el remitente, y el contenido del correo.
Detección de Intrusos (IDS)
Esto es una capacidad avanzada sobre el análisis de red que permite identificar los intrusos que atentan contra la misma. Por lo tanto:
Permite detectar ataques a nivel de red, como escaneos de puertos, envío de exploits, detectar una determinada cantidad de peticiones en cierto periodo de tiempo, entre otros..
Puedes ser configurados para alertar sobre ciertos ataques, identificándolos como IDS. Como también, pueden bloquear el tráfico malicioso identificando cierto contenido o dirección IP vía el sistema de protección de intrusos (IPS).
Filtro de Navegación Web
El sistema UTM también nos permite filtrar en base a la URL, Categorización y contenido web. Por ejemplo:
Realizar filtros de URL en base a listas blancas o negras.
Aplicar filtros en base a la categoría, por ejemplo portales de noticias o contenido para adultos.
Filtrar en base al contenido, por ejemplo videos.
Establecer VPN
Podemos configurar el Firewall para establecer conexiones seguras contra otros dispositivos a través de las Redes Privadas Virtuales. Casos como estos suelen darse hoy en día con el trabajo remoto en algunos sectores, para conectar oficinas y sucursales, realizar comunicaciones con empresas asociadas, o también, para el estudio y práctica de ciertas plataformas como Tryhackme o Hackthbox, ya que nos permiten realizar CTF´s “atacando” otras máquinas.
Web Application Firewall (WAF)
Otras de las funcionalidades que tienen los Firewall UTM es que nos permiten realizar detecciones avanzadas de amenazas web, es decir:
A través de un motor diseñado específicamente para el análisis de tráfico HTPP, nos permite detectar ciertos tipos de ataques comunes hoy en día. Por ejemplo: Inyecciones SQL, Cross Site Scripting (XSS), Ataques XXE, entre otros.
Posee la capacidad de bloquear ataques antes de llegar al servidor web. Por lo tanto, el rendimiento y velocidad del mismo juega un papel muy importante en el Firewall.
Ubicación del Firewall
Una de las cosas más importantes que debemos tener en cuenta al momento de instalar un Firewall, o diseñar una red, es la ubicación de cada uno de los componentes del mismo. Ya que solo pueden filtrar el tráfico que pasa a través de ellos. Entonces, como vimos en la introducción al networking, el diseño y estructura es fundamental para el uso del Firewall.
También, debemos tener en cuenta que hacer pasar todo el tráfico de la red por un Firewall puede traer consecuencias negativas si no tomamos los recaudos necesarios como por ejemplo: Embotellamientos, Bajo rendimiento, Problemas de conexión, etc.Por lo tanto, debemos estar al tanto con respecto a las necesidades básicas que se requieren, el tipo de lugar donde queramos instalarlo y el fabricante de dicho hardware. Veamos esto a continuación:
Necesidades Básicas
Existen diversas necesidades a considerar con respecto al modelo y tamaño de los firewalls. Por ejemplo:
Datacenters: En estos lugares debemos contar con una gran cantidad de tráfico de red e interfaces de red física. Estos suelen ser, por lo general, a través de conectores de cables de fibra óptica.
Oficinas de trabajo: La cantidad de tráfico de red en estos lugares no suele ser muy alta. Sin embargo necesitamos muy buena capacidad en ciertas herramientas como WAF y el filtrado de URL, categorización y contenidos.
Departamentos o sucursales: El tráfico de red aquí es bajo, de igual modo, necesitamos las conexiones necesarias para interconectar con otras oficinas o establecimientos de trabajo. Por ejemplo, a través de VPN.
Con respecto a los tipos de Firewall, dentro del mercado podemos encontrar diferentes marcas muy famosas como Sophos, Cisco, Fortinet, Juniper, entre otros.. Muchos de ellos cuentan con Firewalls para Datacenters con una gran cantidad de interfaces de red, con la capacidad de conectarles módulos de expanción para agregar más interconexiones, o mejorar la performance.