Implementación de firewall para nuevos tipos de ataques
¿Es el firewall una defensa eficaz contra amenazas? Experto en seguridad de red Anand Sastry ofrece escenarios de firewall para mejorar la seguridad.
Tradicionalmente, cada implementación en la empresa tiene un firewall como la primera línea de defensa, protegiendo los activos contra las amenazas comunes del Internet.
En la mayoría de los escenarios de implementación de firewall, este actúa como un portero, limitando el acceso únicamente a los servicios de Internet que la empresa considere necesarios. En un nivel básico, el acceso es controlado por reglas, que enumeran el activo, y por el servicio tiene permitido el acceso desde una ubicación específica. Estas reglas se determinan en base a la función del activo.
Por lo general, las empresas han seguido un diseño de arquitectura separada con los servidores de acceso Internet separados de los activos corporativos de la empresa en un particular segmento de red aislado. Este segmento se conoce tradicionalmente como una "zona desmilitarizada" (DMZ). El aislamiento se consigue dedicando un interfaz de red del firewall para estos servidores.
El acceso directo a activos externos no alojados en la DMZ no está permitido. Estos activos incluyen típicamente estaciones de trabajo de la empresa, componentes críticos del servidor, tales como controladores de dominio, servidores de correo electrónico y aplicaciones empresariales. Los activos alojados en el segmento DMZ normalmente incluyen aplicaciones con acceso a Internet, tales como interfaces de web, servidores y relés de correo electrónico, y servicios públicos de alojamiento de archivos, entre otros. El acceso entre los activos en la zona desmilitarizada y los segmentos corporativos está estrictamente controlado.
Compare esta arquitectura a la del entorno alojado de una empresa y se dará cuenta de muchas similitudes en el enfoque del control de acceso. Un ejemplo de un entorno alojado podría ser con la plataforma de comercio electrónico una empresa alojada por un tercero. Tales despliegues suelen tener un segmento de DMZ donde se alojan los servidores de web en una arquitectura de tres niveles que incluye servidores de web, de aplicaciones y de bases de datos.
Para entornos de alto tráfico, un equilibrador de carga maneja todas las conexiones hand-offs desde la interfaz de Internet del firewall, dirigiendo el tráfico al servidor de web con la menor carga. Los servidores de aplicaciones y bases de datos están alojados en segmentos separados con reglas de acceso que restringen el acceso entre los niveles de web, de aplicaciones y de bases de datos.
En ambos entornos, el firewall actúa como mecanismo de defensa primario, controlando qué activos son accesibles, a la vez que proporciona protección rudimentaria contra ataques en la capa de red. El firewall en esta forma tradicional no es suficiente para ofrecer protección contra algunos de los tipos más poderosos de amenazas de seguridad, que normalmente conllevan debilidades dentro de las aplicaciones (capa 7) en lugar de debilidades en el ámbito de la red (capa 3) que los firewalls tradicionales están diseñados para proteger.
Para hacer frente a estas amenazas, los productos tradicionales de firewall en empresas e instalaciones alojadas han sido ampliados con productos que apuntan específicamente a los ataques de aplicaciones y amenazas de malware.
A continuación, vamos a explorar algunos tipos contemporáneos de escenarios de implementación de firewalls que han sido diseñados para frustrar malware emergentes y ataques a las aplicaciones.
Firewalls para la vigilancia del tráfico saliente
En entornos corporativos, sin embargo, donde los firewalls están diseñados para controlar acceso entrante y saliente de los entornos, el acceso web saliente es permitido tradicionalmente sin oposición. Esto expone a la corporación al malware, a través de amenazas provenientes del cliente y dirigidas al navegador de un usuario. Para contrarrestar esta amenaza, los productos de firewalls más tradicionales han sido ampliados con funciones de gestión de acceso a Internet (en línea o basados en proxy) que controlan específicamente el acceso saliente.
Esto es porque, aunque el firewall puede controlar a qué usuarios permitir acceso dentro de una corporación, no son suficientes para controlar el contenido al que se accede. Puesto que los ataques provenientes del cliente son una gran amenaza en las empresas, tal protección actualizada es crucial.
Inspección del contenido de la capa de aplicación
Los proveedores tradicionales de firewall están ofreciendo herramientas que ofrecen inspección del contenido de la capa de aplicación combinado con antivirus: capacidades de detección de malware que coexisten con un firewall tradicional, todo en el mismo chasis. Estos dispositivos, además de supervisar el tráfico buscando contenido malicioso, también bloquean el acceso a los sitios que alojan contenido cuestionable.
Por supuesto, estos productos no deberían considerarse como un sustituto de los mecanismos tradicionales de protección basados en host, como los antivirus, el anti spam o cualquier otra solución de seguridad para dispositivos de destino.
Firewalls para aplicaciones web
En el entorno de host en concreto, el monitoreo de Capa-7 podría tomar la forma de un firewall para aplicaciones de web, que se centran específicamente en los ataques de nivel de aplicación dirigidos a servicios web y aplicaciones.
Además de protegerse contra los ataques de web tradicionales, como cross-site scripting e inyección SQL, estos dispositivos tienen la capacidad de comprender el comportamiento tradicional de los clientes (es decir, los usuarios que interactúan con el sitio), y puede rastrear y prevenir el comportamiento que se desvía de la norma. Los firewalls para aplicaciones web están disponibles como módulos acoplables a los chasis de firewall tradicionales para compensar cualquier déficit de rendimiento de monitoreo de tráfico añadido a la Capa-7.
Esto no quiere decir que un firewall para aplicaciones web pueda reemplazar el firewall tradicional en un entorno hospedado; la segmentación tradicional de los diferentes niveles sigue siendo crucial.
Implementaciones de firewalls virtuales
Este enfoque se puede extender también a plataformas virtuales hospedadas. Sin entrar en detalles (este tema merece un artículo para él solo), la segregación de plataformas virtuales requiere que la separación de los firewalls sea implementada en el hipervisor, controlando así el acceso a diferentes instancias virtuales en la misma plataforma física.
Esta implementación de seguridad de VM a VM puede ser aumentada aún más con una combinación de firewalls para aplicaciones web y tradicionales. En las implementaciones de este tipo, el firewall tradicional todavía tiene un papel que jugar, aunque a un nivel más amplio, aplicando la separación/protección entre granjas de servidores virtuales. La protección de Capa-7 puede ser implementada en los segmentos que sean considerados sensibles o críticos para el negocio.
En conclusión, dado el panorama de las amenazas, el diseño de un host seguro o de un entorno corporativo debería incluir la ampliación de la defensa específica de la red de los firewalls tradicionales con una combinación de protección basada en red y en el host que se centre en la capa de aplicación: El tener sólo un dispositivo de capa 3 hace que la protección de partes críticas de la red ya no sea suficiente.
Sobre el autor:
Anand Sastry es un arquitecto de seguridad sénior de Savvis Inc. Antes de unirse a Savvis, trabajó para clientes en varias industrias (grandes y medianas empresas de los sectores financiero y sanitario, comercios minoristas y medios de comunicación) como miembro del equipo de servicios de seguridad de una consultoría Big 4. Tiene experiencia en pruebas de penetración de aplicaciones y red, diseño de arquitectura de seguridad, seguridad inalámbrica, respuesta a incidentes e ingeniería de seguridad. Actualmente está involucrado con firewalls de aplicaciones de web y de red, sistemas de detección de intrusos en la red, análisis de malware y sistemas de negación de distribución de servicios. https://twitter.com/cptkaos.