Las organizaciones han abierto el ambiente de sus redes para ofrecer sus servicios a otras compañías y a los usuarios interesados, lo que implica un riesgo de seguridad ya que también se encuentra abierta a ataques destinados al uso no permitido de ciertos recursos privados de la red de la organización, inclusive con un perímetro de seguridad.
Los firewalls tradicionales introducen limitaciones de desempeño en la capacidad de tráfico de paquetes en una red, además de no proveer protección contra ataques provenientes de la red privada o que hayan podido pasar la protección perimetral.
Existen ciertos aspectos de las redes actuales que dejan de lado a los firewalls convencionales como una opción de seguridad:
- Debido al incremento de la velocidad de las líneas y los protocolos que requieren más capacidad de cómputo que el firewall puede soportar, las redes tienden a convertirse en puntos de congestión;
- Existen protocolos que son difíciles de procesar por el firewall, ya que no dispone de cierto conocimiento que sí está disponible en los sistemas finales de una red;
- No todos los hosts internos son confiables;
- Varias formas de túneles, conexiones inalámbricas, y métodos de acceso telefónicos permiten establecer puntos de acceso no autorizados a la red que traspasen los mecanismos de seguridad provistos por un firewall tradicional (backdoors);
- Las grandes redes tienden a tener un gran número de puntos de entrada. Muchos sitios emplean firewalls internos para proveer alguna forma de sectorización. Esto hace la administración particularmente difícil, desde un punto de vista práctico con respecto a la consistencia de la política, pues no existe un mecanismo de administración global y unificado;
- La encriptación punto a punto puede ser una amenaza para un firewall convencional ya que evita que éste pueda inspeccionar el paquete para realizar tareas de filtrado;
- Existe una necesidad incremental de un control de acceso más especializado y detallado que los firewall estándares no pueden realizar sin incrementar en gran medida los requerimientos de complejidad y procesamiento, causando una degradación del desempeño de las comunicaciones de la red.
La falta de funciones tales como control de acceso y prevención de intrusos en muchos de los sistemas operativos utilizados en una red (tales como Windows NT o Windows 2000), dejan vulnerables los servidores y dispositivos críticos a una amplia diversidad de herramientas de ataque de fácil acceso por cualquier usuario situado en una red pública.
Ante estas dificultades es necesario un mecanismo de seguridad que permita proteger a estos sistemas sin afectar el desempeño total de la red, considerando la variedad de dispositivos que pueden encontrarse en una red y la topología de la misma.
La introducción de los firewalls distribuidos ofrece un conjunto de herramientas que permiten desplegar una configuración de seguridad flexible, transparente, efectiva y robusta para proteger todos los dispositivos de una red, tanto a servidores críticos como usuarios remotos, de cualquier ataque, externo o interno, de forma que no afecte el desempeño de la red. Además, este enfoque se destaca por ofrecer una protección basada en múltiples capas, un mecanismo de administración integrado y un desempeño escalable.
¿Que es un firewall distribuido?
Los firewalls distribuidos son aplicaciones de software de seguridad situadas en los sistemas finales críticos de una red que se desean proteger contra posibles ataques, es general, sus servidores y las computadoras de los usuarios.
La principal diferencia con el enfoque tradicional es el sitio de la red donde se efectúa la aplicación de los mecanismos de seguridad. En un firewall de perímetro estos mecanismos están situados en los puntos de acceso a la red, mientras que en un firewall distribuido, se aplican principalmente en cada sistema final que compone la red (si se desea protegerlo). Funcionan en modo kernel, en el sistema operativo de cada host.
Las principales características de esta arquitectura son :
- Las tareas de administración y monitoreo son realizadas de forma central e integrada, haciéndola más práctica y optimizando recursos;
- La aplicación de los mecanismos de seguridad se sitúa en los sistemas finales de la red.
Administración central
Un firewall distribuido provee herramientas para desplegar tecnología de firewall sobre los dispositivos de la red. Estas herramientas permiten a los administradores de red establecer políticas y monitorear aspectos de seguridad en toda la red, ya sea en sistemas de usuario o en servidores, e inclusive en equipos remotos. De esta forma, es posible que la política de seguridad sea definida de forma central y distribuida a ciertos hosts de la red (en principio, a aquellos que se desea proteger).
Esta característica ofrece gran control y
eficiencia, decrementando el costo de mantenimiento de administrar las
instalaciones de seguridad completas; maximizando además los recursos de
seguridad permitiendo que las políticas sean configuradas, desplegadas y
actualizadas centralmente desde una única estación de
trabajo. .
Los firewalls personales proveen una buena protección para equipos individuales ya que son simples de implementar, pero en una red corporativa no son eficientes porque carecen de un control central. La política de seguridad de una organización define reglas específicas para los protocolos y puertos permitidos con un alto detalle, de forma uniforme y coordinada, que solo puede ser implementada por un firewall distribuido.
La transparencia de un firewall distribuido mejora la función de administración central. Las políticas son enviadas y embebidas remotamente en los sistemas finales, sin la necesidad de interfaces visibles al usuario; esto mantiene protegido al firewall de malas configuraciones por parte de un usuario no autorizado. De esta forma, solo el personal entrenado para las tareas de administración de seguridad es capaz de trabajar con reportes de actividad y alertas por actividad sospechosa.
Aplicación de políticas de seguridad situada en los sistemas finales
Los usuarios remotos de una red, que no se encuentran conectados directamente, pueden ser utilizados como punto de entrada por intrusos, inclusive si se utilizan líneas protegidas, tales como redes privadas virtuales, para establecer la conexión ya que es posible que eviten ser detectados por firewalls perimetrales.
Un firewall distribuido sitúa los aspectos de seguridad en cada maquina individual y se mantiene en ellos sin importar donde sean instalados. De esta forma, protegen a cada sistema individual en la misma forma que un firewall de perímetro protege a la red completa. Cada sistema final es capaz de efectuar el control de acceso del trafico de paquetes que reciba basado en las reglas derivadas de la política de seguridad definida. Las políticas pueden ser aplicadas de forma independiente o a nivel de grupos, aunque siempre son administradas de forma centralizada.
A diferencia de los firewalls de perímetro, que deben tomar un enfoque más general para poder proteger a todos los servidores de la red, los firewalls distribuidos pueden ser configurados para optimizar la seguridad de cada servidor y sistema final individual y de las aplicaciones que soportan ofreciendo un control de acceso especializado, lo que permite crear políticas de seguridad detalladas. Éstas pueden ser configuradas y distribuidas a través de la red a los dispositivos de la red como a aquellos conectados de forma remota a través de interfaces con Internet (cable modem o DSL). Estas actividades son realizadas de forma transparente de modo que el usuario no debe preocuparse por la aplicación de las políticas o el funcionamiento del firewall. De esta forma solo se permite el tráfico esencial en la maquina que protegen, prohibiendo otro tipo de tráfico que pondría en riesgo la integridad de los recursos del sistema.
Los firewalls distribuidos, también llamados agentes de firewall, están basados en la misma tecnología que los firewalls personales pero están enfocados al mercado empresarial ya que permiten integrar una solución distribuida. Las soluciones de firewalls distribuidos permiten proteger empleados remotos y redes de comunicación. También son usados para proteger PCs personales de los usuarios de la red. En principio, son como firewalls personales excepto que ofrecen varias ventajas importantes: administración central, registro, y en algunos casos, granularidad de control de acceso. Estas características son necesarias para implementar políticas de seguridad en redes de grandes empresas de forma uniforme e integrada.
Los firewalls distribuidos son apropiados para todos los sistemas de la red interna y pueden ser aplicados en varios aspectos como ser:
- Fortalecer los servidores de infraestructura e información contra ataques de red;
- Ocultar la información departamental y servidores de aplicación del acceso no deseado;
- Fortalecer sistemas finales críticos.
Pueden proveer ya sea una capa adicional de defensa para servidores localizados detrás de un firewall de perímetro o proteger los servidores directamente expuestos a Internet.