Los productos de firewalls distribuidos ofrecen, en general, herramientas firewall tanto para un enfoque central como para un enfoque distribuido basado en redes de oficinas; estos últimos conocidos como SOHO (small office/home office). Adicionalmente proveen su propia herramienta de administración para efectuar la configuración y monitoreo de los firewalls instalados.
Sonicwall PRO-VX Y XPRS2 con Global Management System 2.0
SonicWall es conocido en el mercado de firewalls SOHO por ofrecer productos fáciles de usar y de importantes carácterísticas [Fratto]. Junto con SonicWall Global Management System (GMS) 2.0, SonicWall se convierte en una plataforma sólida para administrar un gran número de firewalls. Presenta algunas características favorables como una fuerte administración centralizada, registro centralizado y características de seguridad de valor agregado. GMS tiene algunas características de administración interesantes que no poseen otros productos. Se dispone de múltiples vistas que le permiten al administrador organizar la forma de presentar los firewalls que son administrados de formas diferentes (por tipo de firewall, por asociación de grupos, etc).
La administración en capas de GMS es más detallada que en otros productos. Se puede determinar la opción de configuración, para cada administrador, en tres niveles: “sin acceso”, “acceso de lectura” y “acceso de lectura/escritura”. También se puede definir a qué grupos o firewalls puede tener acceso un administrador. De esta forma, la interfaz presentada a cada administrador contendrá sólo las opciones a las cuales tiene acceso.
También soporta funciones tales como la creación y administración de VPNs y firewalls de inspección basada en estados.
La creación de políticas se realiza de forma normal: se define las redes origen y destino y se asignan los servicios y el momento del día/semana y la regla es establecida.
A diferencia de la administración de firewall simples donde los cambios se efectúan inmediatamente, todas las tareas de configuración, incluyendo cambios de políticas, se efectúan mediante un mecanismo de scheduling. Este scheduler solo se puede configurar para un solo período de tiempo para la ejecución de todas las tareas, aunque las tareas que requieren ejecución inmediata pueden ser iniciadas manualmente. Estas tareas se mantienen en una lista de programación de tareas hasta que son ejecutadas con éxito. Al finalizar cada tarea, se muestra un estado que indica cuales fueron los cambios o actividades realizadas y qué administrador realizó el cambio.
La creación de VPNs es simple. Simplemente se deben seleccionar los grupos o hosts que pertenecerán a la red virtual, luego configurarla seleccionando algún esquema de claves secretas compartidas.
| Firewall Central | Pro-VX |
| Firewall SOHO | XPRS2 |
| Estación de Administración | SonicWall Global Management System |
| Seguridad Administracion-Firewall | No posee, el GMS debe residir en la red privada |
Cuando se instala GMS, éste debe residir en la red privada protegida por SonicWall
Pro-VX. Todo el tráfico de administración pasa a través del Pro-VX a los firewalls remotos usando las claves secretas compartidas de 1, pero no utiliza claves secretas precompartidas para el proceso de instalación, sino que deben configurarse los túneles manualmente. El tráfico de administración que pasa entre GMS y el lado privado de Pro-VX no está protegido, lo que no es bueno.
Lucent Technologies VPN Firewall Brick y Lucent Security Management Server
La oferta del LSMS y Brick 80 y 201 provee un amplio rango de características apropiadas para la red de un proveedor de servicios [Fratto]. LSMS tiene características avanzadas tales como administración en capas, herramientas de monitoreo de estado y registro de sucesos detallado, recuperación de hardware simple, y la habilidad de hacer cambios a las políticas de los firewalls en un sitio central
Como en otros productos, cuando los firewalls son instalados en el sistema de administración sone situan en grupos lógicos. En LSMS, cada cliente configurado tiene su propio conjunto único de firewalls Brick, políticas, usuarios y administradores. Cualquier cambio hecho a un cliente se mantiene aislado de los otros. El control de acceso para administración tiene definido tres categorías amplias:
- dispositivos,
- políticas y VPNs
- usuarios y grupos de usuarios
Los posibles permisos para cada grupo son: 'ver', 'completo' o 'ninguno'. Es posible configurarlos en cualquier permutación excepto los tres en 'ninguno'. El LSMS soporta administración dividida. Es posible crear administradores asignados a de un conjunto específico firewalls clientes.
Brick es uno de los firewalls mas simples de instalar. Como en todos, es necesario preconfigurar la red IP e instalar una política inicial, una vez creado el firewall en LSMS. Luego se crea un disco de arranque para instalar el firewall Brick en el host correspondiente. El disco de arranque instala el software y los archivos de configuración necesarios. Una vez que el firewall Brick inicia, trata de conectarse con el LSMS y descarga cualquier política nueva existente.
La administración de políticas de seguridad de Brick es algo diferente a la forma tradicional de una única política por firewall. En su lugar Brick usa zonas, que contienen reglas de VPN y de firewall. Las zonas son luego aplicadas a las interfaces. Pueden aplicarse múltiples zonas a una única interfaz. Por esto, el seguimiento de una auditoria de las tareas de configuración de un administrador es complicado.
| Firewall Central | VPN Firewall Brick 201 |
| Firewall SOHO | VPN Firewall Brick 20 |
| Estación de Administración | Lucent Security Management Server |
| Seguridad Administracion-Firewall | Conexiones encriptadas basadas en parte en SSL y certificados X.509 usando un canal de administración encriptado con 3DES y autenticado con SHA-1 |
Novel Networks Contivity 600 y Optivity NCS
La línea de productos de Contivity de Nortel es más usada para VPNs pero también tienen un firewall de filtrado de paquetes basado en estados como también soporte para el modulo de aplicación de FireWall-1 de Check Point [Fratto]. La estación de administración del Optivity NCS tiene funciones de administración adecuadas. Desafortunadamente, Contivity no ofrece las características adicionales de seguridad de SonicWall, tales como filtrado de URL y contenido, o la facilidad de instalación del Brick de Lucent.
El NCS se sitúa detrás del Contivity que encripta todo el tráfico de administración a otros firewalls Contivity, pero el tráfico entre el NCS y Contivity pasa sin protección. Para lograr esto, se debe situar el NCS fuera de la VPN e instalar un cliente VPN en la máquina host.
La instalación de un nuevo dispositivo en Optivity es simple. Para cada Optivity se necesitan dos direcciones IP en la misma subred. Una es la dirección del dispositivo, mientras la otra es usada exclusivamente para administración. Una vez que se han conectado los firewall con el NCS (a la dirección IP de administración) se importan los firewalls Contivity en Optivity NCS. Este proceso obtiene todos los datos de configuración. Cualquier cambio de configuración es exportado al firewall Contivity de forma inmediata o de forma programada.
La solución de Nortel no ofrece una consola de estado en línea. Solo se dispone de páginas de chequeo que se adquieren de a una a la vez. La administración dividida es similar a la de WatchGuard, en el cual el control de acceso es situado en el servidor de administración y no en los dispositivos.
| Firewall Central | Contivity 2600 |
| Firewall SOHO | Contivity 600 |
| Estación de Administración | Optivity Network Configuration System |
| Seguridad Administracion-Firewall | No soportado. El cliente y servidor deben residir dentro del firewall |
Watchguard Technologies Firebox 1000/2500 y Watchguard NOC Security Software
WatchGuard fue uno de los primeros en administración de firewalls [Fratto]. Su Servicio de Administración de Seguridad (MSS) está basado en un enfoque distribuido, los firewalls tienen importantes características y están basados en unidades proxy. Dispone de una posición de seguridad mas controlable gracias al soporte de bloqueo de contenido, URL y archivos adjuntos de e-mail. De todas formas la estación de administración de MSS tiene algunas características que contribuyen a la carga del sistema. Además no se dispone de administración en capas. Cada administrador mantiene la base de datos local de configuración. MSS tiene una característica de reporte robusta, y los cambios de políticas requieren que el administrador ingrese texto aparentemente para documentar lo cambios.
El proceso de agregación de firewalls a la red es un proceso de múltiples pasos no muy diferente a los usados en SonicWall y Nortel. A través del uso de plantillas de políticas se ingresa la información de direccionamiento. Una vez configurado, el Firebox está listo para ser instalado.
Los objetos del firewall deben agregarse dos veces en MSS, una vez para administrar y configurar el firewall y la segunda para configurar las funciones de la VPN, lo que implica un doble riesgo de error. Además, todos los cambios a Firebox requieren que se reinicie el sistema, lo que implica una interrupción para el usuario.
El administrador de VPN de WatchGuard es uno de los más simples. La creación de una VPN se logra arrastrando algunos objetos (dispositivos y grupos de dispositivos), y finalmente el Administrador Global de Políticas envía los cambios de configuración a los firewalls.
| Firewall Central | Firebox 2500 |
| Firewall SOHO | Firebox 1000 |
| Estación de Administración | Managed Security Services |
| Seguridad Administracion-Firewall | 3DES |
FireWall-1 de CheckPoint Software Technologies
Permite definir una política de seguridad única y global, que proteja a todos los recursos de red [FireWall-1]. Posee una arquitectura de tres capas, utiliza tecnología de Inspección basada en Estados1 (stateful inspection) y funciona sobre la Plataforma Abierta de Securidad2 (OPSEC). Ofrece soluciones altamente escalables, capaces de integrar y administrar de forma central todos los aspectos de la seguridad de una red.
La arquitectura escalable y modular permite definir e implementar una única política de seguridad administrada centralmente, que luego es instalada en múltiples puntos de aplicación a lo largo de la red.
FireWall-1 está compuesto, básicamente, de una interfaz gráfica de usuario, un servidor de administración y “un” Modulo Firewall.
La administración de la política de seguridad se realiza a través de una arquitectura cliente/servidor que ofrece alto desempeño, escalabilidad y control centralizado. Los componentes pueden ser instalados en la misma máquina o en una configuración cliente/servidor sobre un amplio rango de plataformas.
En esta configuración, el administrador de seguridad configura y monitorea la actividad de varios sitios desde una única máquina. La política es definida en la interfaz gráfica de usuario cliente en términos de objetos de red (hosts, redes, gateways, etc) y reglas de seguridad, ésta incluye además un Visor de Registros y un Visor del Estado del Sistema; las políticas se mantienen en el Servidor de Administración en una base de datos que incluye, además, las definiciones de los objetos de red, definiciones de usuarios, archivos de registros para cualquier numero de puntos de aplicación.
La política es instalada por el servidor de administración en los módulos firewall instalados en los gateways y otros puntos de acceso que protegen a una red. Las conexiones entre el cliente, servidor y puntos de aplicación son seguras, permitiendo una administración remota.
Éstos módulos están compuestos por un modulo de inspección que examina todos los paquetes bloqueando todas las comunicaciones no deseadas a menos que conformen con la política de seguridad de la empresa. El modulo de inspección utiliza tecnología de inspección basada en estados, que asegura un alto nivel de seguridad, para implementar la política de seguridad, registrar eventos y comunicarse con el modulo de administración. También están compuestos por Servidores de Seguridad, que implementan funciones de Seguridad de Contenido y Autenticación de Usuarios, y dispone de una característica de Sincronización para ofrecer una alta disponibilidad.
FireWall-1 examina los datos de todas las capas de comunicación y analiza información de estado de comunicaciones previas. Entiende las estructuras internas de la familia de protocolos IP y de las aplicaciones de corren sobre él, y extrae datos del contenido de aplicación de los paquetes y lo almacena para proveer datos de contexto. El modulo de inspección almacena y actualiza información de estado y contexto en tablas dinámicas de conexión.
Si bien, la instalación de FireWall-1 es distribuida, la aplicación de las políticas de seguridad está completamente integrada. Cualquier numero de módulos firewall puede ser configurado, monitoreado y controlado desde una única estación, pero solo hay una política global definida y actualizada desde una interfaz de administración centralizada.
La seguridad de contenido está disponible para servicios de http, FTP y SMTP. Los servidores de seguridad proveen autenticación para usuarios FTP, HTTP, TELNET y RLOGIN.
1. La Tecnología de Inspección basada en Estados, inventada y patentada por Check Point, es el estándar de facto en tecnología de seguridad de red. Provee inspección de tráfico exacta y altamente eficiente con conocimiento completo de las capas de aplicación para obtener un alto nivel de seguridad. Permite lograr alto desempeño, escalabilidad, y la habilidad de soportar aplicaciones nuevas y personalizadas mas rápidamente que con otras arquitecturas anteriores.
2. OPSEC integra todos los aspectos de seguridad de red en un único ambiente extensible. Provee configuración y administración central para FireWall-1, integrando además aplicaciones de seguridad de terceros