Diversos tipos de negocios sobre Internet que necesitan una solución de seguridad ponen énfasis en el alto desempeño de sus redes de información. La mayoría de estas organizaciones dispone de una gran diversidad de dispositivos conectados a sus redes; la necesidad de ofrecer una protección para redes heterogéneas influye en la topología de seguridad así como los objetivos de cada negocio y condiciones de trabajo.
Como ya se comentó, un firewall tradicional causa una degradación en el desempeño si se excede su capacidad de procesamiento de paquetes por segundo, esto va en contra de los objetivos de todo negocio que dependa de su interacción con sus usuarios y otras compañías a través de Internet.
La arquitectura de firewalls distribuidos provee un alto grado de flexibilidad para estos ambientes de negocios sobre Internet ya que no dependen de un único punto de acceso y funcionan en modo kernel, como una extensión del S.O. de cada sistema final, realizando las funciones normales de un firewall de perímetro sin degradar el servicio de la red a sus clientes. Esta flexibilidad es muy útil en servidores ASP donde es necesario cubrir las diversas necesidades de los diferentes clientes.
El principal beneficio de utilizar un firewall distribuido es el mantenimiento del desempeño de las comunicaciones y, el hecho de que pueden ser desplegados en servidores de misión critica para suplementar a un firewall de perímetro, aportando una solución de seguridad de múltiples niveles o capas de defensa, sin un único punto de falla.
Todos los sistemas operativos son igualmente vulnerables a ataques ya que no están diseñados especialmente para ofrecer tal protección. Los aspectos de seguridad de estos S.O.s son de bajo nivel, basados en filtros estáticos asignados a puertos TCP y UDP, como también a IP. Los firewalls distribuidos protegen a los sistemas contra estas vulnerabilidades actuando como una extensión del sistema operativo.
Existen varias posibles configuraciones para una solución de seguridad utilizando firewalls distribuidos para poder ajustarse a las necesidades de una organización o empresa. Por ejemplo, pueden ser usados para proteger servidores bastiones conectados fuera de un firewall de perímetro, pueden ser instalados en todos los servidores de la red o solo en los más críticos, detrás de un firewall de perímetro; también pueden ser desplegados sin firewall de perímetro en ambientes donde el desempeño es clave. A continuación se presentan algunas posibles configuraciones.
Proteger la red de perímetro
Para proteger la red interna y proveer un alto desempeño al usuario final de la Web, las organizaciones a veces despliegan sus servidores Web como hosts bastiones. Estos están desprotegidos, enfrentando la Web, y son particularmente vulnerables a ataques. (ver Figura 29)
Los firewalls distribuidos pueden ser desplegados, junto con un firewall tradicional, en la red de perímetro (zona desmilitarizada) para proteger de forma individual a los hosts bastiones conectados a la misma, basando esta protección en sus funciones específicas (SQL, HPPT, FTP, Exchange, etc). Esta configuración permite aislar los servidores públicos de la red interna para asegurar su integridad así como protegerlos de posibles ataques provenientes de la red externa.
Aunque la red interna esta protegida por el firewall de perímetro, los hosts del sitio conectados a la zona desmilitarizada están expuestos a ataques. Los firewalls distribuidos proveen una forma directa de asegurar los servidores desplegados como hosts bastiones. Esto también provee una red interna más segura ofreciendo una configuración de firewall de múltiples capas..
Figura 29: Los servidores conectados a la red de perímetro pueden ser protegidos con firewalls distribuidos
En esta configuración la política de seguridad está optimizada para la aplicación especifica de cada servidor; la seguridad es escalable a medida que se agregan recursos a la red de perímetro; ya que la carga de procesamiento de seguridad está distribuida, el desempeño no se ve afectado con el crecimiento de la red, además es simple de instalar y configurar.
Proteger una red de servidores (Server Farm)
En ambientes de redes de servidores, los firewalls distribuidos pueden ser desplegados como primer medida de seguridad protegiendo individualmente a cada servidor sin el uso de un firewall de perímetro, las políticas de seguridad pueden ser personalizadas de forma particular para cada servidor o cliente para acomodar los requerimientos únicos de cada proveedor de servicios o ser compartidas entre diferentes clientes (ver Figura 30). De esta forma, Los administradores de sistema son capaces de limitar el acceso solo a aquellos puertos y protocolos esenciales a la aplicación o función implementada, por ejemplo, HTTP, HTTPS, puerto 80, puerto 443, etc. Gracias a estas características, los firewalls distribuidos proveen los medios de efectuar un despliegue de seguridad rápido y flexible cuando se albergan aplicaciones de otras organizaciones. Esto permite, además, que el desempeño de la red sea maximizado cuando éste sea un aspecto crítico. Al mismo tiempo, proveen una solución de seguridad de múltiples firewalls para ASPs y otras organizaciones que implementan estas configuraciones de seguridad.
Figura 30: Cada servidor de información, de infraestructura, y de aplicación críticos está protegido usando reglas de seguridad dedicadas, administradas centralmente.
Esta configuración permite obtener políticas de seguridad individualizadas para cada compañía, personalizada por aplicación, usuarios permitidos, u otros. De esta forma las políticas de seguridad estarán optimizadas para cada servidor de acuerdo con la aplicación, protocolo y compañía. Además puede ser remotamente administrada por los clientes proveedores de servicios o por los propietarios de los servidores.
Esta configuración asegura el mejor desempeño y escalabilidad. A medida que la red de servidores crece, la carga de procesamiento de seguridad es distribuida. Esto resulta en una escalabilidad ilimitada.
Aquellas organizaciones que compartan un servidor obtienen las funciones de firewall como un recurso compartido.
El firewall distribuido puede ser tratado como otra aplicación a ser cargada en el servidor, puede ser configurado y ejecutado luego de su instalación en el servidor.
Proteger las computadoras de los usuarios finales
Ya que la defensa perimetral tradicional no es impenetrable para muchas de las aplicaciones y servicios de Internet actuales, en ocasiones es recomendable mover las medidas de seguridad a los puntos finales de la red para proveer la protección donde más se necesita – los servidores y maquinas de usuarios finales. (ver Figura 31)
Un firewall distribuido puede proteger los sistemas de los usuarios finales de una red y competir de esa forma con los firewalls personales. En este sentido son como firewalls personales pero con algunas diferencias significativas. Ofrecen administración centralizada, y en algunos casos (dependiendo del producto), alta granularidad de control de acceso. Cuando estos dos atributos se encuentran juntos, es posible configurar políticas de seguridad especializadas para la red de la organización y enviarlas a través de la misma a los usuarios finales. De esta forma, los usuarios conectados directamente a la red de la organización o en maquinas remotas, conectados mediante enlaces de alta velocidad (tales como cable modem o DSL), pueden ser protegidos. Los firewalls distribuidos en las estaciones de trabajo y computadoras personales son actualizados y monitoreados centralmente para maximizar los recursos.
Figura 31: Los firewalls distribuidos pueden ser desplegados en PCs, estaciones de trabajo, y computadoras móviles, junto con soluciones de seguridad de perímetro tradicionales y otras medidas. Son configurados centralmente y distribuidos a lo largo de la red extendida de la organización.
En ambientes donde se necesita de una seguridad rigurosa, los firewalls distribuidos usados en conjunto con firewalls de perímetro ofrecen soluciones firewall de múltiples capas. En estos esquemas, el firewall de perímetro provee el nivel básico de seguridad para la red, ofreciendo un servicio de seguridad general. Los firewalls de perímetro deben tomar un enfoque de común denominador a las necesidades conflictivas de los servidores que protegen. Por otro lado, los firewalls distribuidos actúan como especialistas tratando los servicios de los servidores individuales y maquinas de usuarios finales.
Con esta configuración se pueden proteger grandes redes internas donde la información confidencial se encuentra ampliamente distribuida. Provee una capa de defensa adicional contra ataques tanto externos como internos controlando el acceso interno a información restringida o delicada. Además se obtiene un aspecto importante, transparencia: las políticas de seguridad son formuladas y enviadas a lo largo de la red, a usuarios conectados directamente a la red y a usuarios remotos, sin utilizar en estos una interfaz de usuario a tal fin. Esto evita que el usuario final pueda manipular o deshabilitar el firewall.
Otras arquitecturas
Basándose en estos enfoques, existen varias alternativas posibles de configurar una arquitectura de seguridad con múltiples capas de firewalls usando firewalls distribuidos embebidos directamente en los servidores y sistemas de usuarios finales. Usados con firewall de perímetros convencionales, proveen una capa de protección necesaria para los puntos críticos de la red. La administración centralizada maximiza los recursos de IT y asegura políticas de seguridad de la organización uniformes. Una de las posibles alternativas es aplicar diferentes arquitecturas de seguridad a diferentes segmentos de red, por ejemplo, utilizando un firewall perimetral para un segmento de la red y para el resto usar una solución distribuida en cada host servidor.
En general, aquellos segmentos de la red protegidos por un firewall perimetral no exigirán gran tráfico de red y serán altamente especializados, tampoco estarán a cargo de usuarios comunes de la organización, como por ejemplo servidores de información o servicios.
Aquellos segmentos protegidos por firewalls distribuidos generalmente albergarán computadoras de usuarios finales de la organización y será un ambiente altamente heterogéneo y con diversidad de necesidades de comunicación.
También es posible aplicar un firewall distribuido para el caso de redes privadas virtuales (VPN), donde los usuarios remotos tienen acceso completo a la red interna, mediante el uso de túneles. De la misma forma es configurado el tráfico desde las máquinas internas a los nodos remostos. Lo que difiere en esta configuración es que el tráfico desde los nodos remotos al resto de Internet está regulado por la política de seguridad del sitio central. Esto es, el administrador del firewall distribuye una política de seguridad a los nodos remotos asegurando de esta forma una política de seguridad consistente.
Otra variedad para una implementación híbrida (enfoque tradicional y distribuido) descarta el uso de túneles. En este caso se distribuyen reglas basadas en direcciones IP, que son aplicadas por cada host del sitio. Adicionalmente se dispone de un router que previene ataques de spoofing de direcciones provenientes del exterior. Esta arquitectura se compara con un firewall tradicional, con la diferencia de que se elimina la existencia de un único punto de control.