Otro de los aspectos importantes acerca de la seguridad de las redes es regular de cerca qué tipos de paquetes pueden viajar entre redes. Si un paquete que puede hacer algo malicioso a un host remoto nunca llega a él, el host remoto no se verá afectado. La regulación del tráfico provee este servicio entre hosts y sitios remotos. Esto sucede en tres áreas básicas de la red: routers, firewalls y hosts. Cada uno provee servicios similares en diferentes puntos de la red. De hecho, la línea que los diferencia es arbitraria y difusa.
Política de seguridad
Una política de seguridad es un conjunto de decisiones que determinan, de forma colectiva, la postura asumida con respecto a las medidas de seguirdad implementadas (o a implementar) en una red de computadoras. Es decir, permite determinar los límites de comportamiento aceptable en lo concerniente a qué está y qué no está permitido [Ches-Bell].
La política de seguridad deber ser una de las primeras consideraciones al diseñar una solución de seguridad pues será la que guíe la elección y configuración de la tecnología a utilizar. Y en su definición influye un factor clave: la postura del diseñador, es decir la actitud ante los riesgos que corre la red por su conexión a una red pública. Está afectada por la opinión y habilidades del diseñador y responderá a una filosofía que será más o menos flexible (aceptamos solo aquello que sea seguro -porque lo conocemos-, o rechazar solo aquello que es malo -porque lo conocemos-). No elegir o seleccionar una politica de seguridad, es también en sí misma una política de seguridad: la de permitir todo. Una filosofía apropiada es aquella que no considere que todo es absoluto, es decir, que encuentre un punto intermedio que se ajuste a las necesidades de la organización. Sería deseable que pueda minimizar el peligro y proveer a la vez los beneficios de una conexión de red.
Con esto debe quedar en claro que no existe una fórmula para la política de seguridad de una red privada sino que cada responsable debe diseñarla según el caso, las necesidades, las directivas, las restricciones y otros factores que fundamenten o no una determinada decisión. Tales decisiones son necesariamente dependientes del contexto. Las consideraciones de una política de seguridad están dirigidas por las necesidades estructurales, de negocios o tecnológicas de la organización y pueden involucrar decisiones tales como restringir el tráfico de salida de red que permita a los empleados exportar datos valiosos, restringir el software importado por los empleados sin permiso de la compañía, impedir el uso de un determinado protocolo de comunicación porque no puede ser administrado de forma segura, entre otras. Este es un proceso iterativo que permite modificar la filosofía para ajustarse a las necesidades del momento.
El funcionamiento de un firewall está fuertemente asociado a la política de seguridad elegida. Definir los límites de comportamiento es fundamental para la operación de un firewall. Por lo tanto, una vez que se haya establecido y documentado apropiadamente una sólida política de seguridad, el firewall debe ser configurado para reflejarla y es su trabajo aplicarla como parte de una defensa de perímetro (siguiendo el enfoque tradicional). Consecuentemente se configura un firewall para rechazar todo, a menos que hayamos elegido explícitamente aceptarlo y correr el riesgo. Tomar el camino opuesto de rechazar solo a los ofensores conocidos es una opción extremadamente peligrosa. Por último, cualquier cambio hecho al firewall debería se corregido en la política de seguridad y viceversa.
Filtros y listas de acceso
Los filtros son programas que generalmente se encuentran situados en los sistemas que proveen conectividad entre redes, es decir los puntos de acceso a la red, routers, firewalls y gateways (aunque esto no es así para todos los casos). Estos efectúan un análisis para determinar el destino del paquete completo en base a la información contenida en el encabezado de los paquetes que llegan a dichos sistemas y en función de un conjunto de reglas. De aquí podría decidir desechar el paquete, es decir, no permitir que continúe viajando por la red en la dirección original (entrando o saliendo); aceptar el paquete, con lo cual continuaría atravesando la red, o hacer algo más (por ejemplo, redireccionarlo a otro punto de la red).
Las reglas especifican patrones o propiedades en los datos del encabezado de un paquete asociados con la acción a tomar con dicho paquete. Cada paquete que atraviesa el filtro es comparado contra la lista de reglas también conocida como cadena de reglas. Para decidir el destino de un paquete, el filtro busca, a través del conjunto de reglas, alguna que coincida con el contenido del encabezado del paquete. Una vez encontrada dicha regla, se lleva a cabo la acción indicada por la regla para el paquete. Esta lista de reglas debe ser configurada para reflejar la politica de seguridad asumida por la solución de seguridad de la red.
Con la utilización de un filtro es posible bloquear toda comunicación con ciertas partes (sitios) de la red externa para evitar determinados comportamientos no deseables en los sistemas finales de la red privada; permite restringir todas las comunicaciones entrantes a ciertos servicios de la red para evitar el acceso a recursos privados; y habilitar alarmas o avisos que adviertan que paquetes entran, salen o son rechazados. Por lo tanto el filtro de paquetes puede actuar tanto para la entrada como para la salida de paquetes de la red.