Professional Documents
Culture Documents
las llamas se extendieran entre las estructuras que conectaba. Luego, el trmino fue aplicado a la plancha de metal que separaba el compartimento del motor de un vehculo o aeronave del compartimento del pasajero. Eventualmente, el trmino se adapt para su uso en las redes de computadoras:
Beneficios del uso de un firewall en una red Puede prevenir la exposicin de hosts y aplicaciones sensibles a usuarios no confiables. Puede sanitizar el flujo de protocolos, previniendo la explotacin de fallas en los protocolos. Puede bloquearse el acceso de datos maliciosos a servidores y clientes. Puede hacer que la aplicacin de la poltica de seguridad se torne simple, escalable y robusta. Puede reducir la complejidad de la administracin de la seguridad de la red al reducir la mayora del control de acceso a la red a algunos puntos.
Limitaciones de los Firewalls Si est mal configurado, el firewall puede tener consecuencias serias (nico punto de falla). Muchas aplicaciones no pueden pasar a travs del firewall en forma segura. El rendimiento de la red puede disminuir Los usuarios pueden intentar buscar maneras de sortear el firewall para recibir material bloqueado, exponiendo la red a potenciales ataques. Puede hacerse tunneling de trfico no autorizado o puede disfrazrselo como trfico legtimo.
Tecnologas de Firewalling
En las redes corporativas es frecuente aplicar una lgica de segmentacin o separacin de diferentes sectores de la red, minimizando la interaccin entre los diferentes segmentos. El firewall es el dispositivo que controla las interacciones que puedan tener lugar entre los segmentos o dominios adyacentes.
La separacin entre dominios puede ser: Separacin Fsica: Se trata de redes fsicamente diferentes que por lo tanto se conectan al firewall a travs de diferentes interfaces fsicas. Desde la perspectiva de seguridad es el mejor mtodo de separacin de dominios, aunque el mas costoso. Separacin Lgica: Separa diferentes grupos de usuarios sobre la misma infraestructura fsica. Entre las implementaciones que permiten este tipo de separacin se cuentan las VLANs, VSANs, VPN-MPLS, etc.
Tipos de firewall Firewall de filtrado de paquetes (Packet - filtering firewall) Tpicamente consiste en un router con la capacidad de filtrar paquetes con algn tipo de contenido, como informacin de capa 3 y, en ocasiones, de capa 4. Los firewalls de filtrado de paquetes revisan una tabla simple para permitir o denegar el trfico basndose en criterios especficos: La direccin IP de origen La direccin IP de destino El protocolo de red que se est utilizando (TCP, UDP o ICMP) El puerto de origen TCP o UDP El puerto de destino TCP o UDP Si el protocolo es ICMP, el tipo de mensaje ICMP
Firewall con estados (Stateful firewall) Monitorea el estado de las conexiones, si estn en estado de iniciacin, transferencia de datos o terminacin Los firewalls con estados son la tecnologa de firewall ms verstil y comn en uso actualmente. Proporcionan filtrado de paquetes con estados utilizando la informacin de conexiones mantenida en una tabla de estados. El filtrado con estados es una arquitectura de firewall que se clasifica como de capa de Red, aunque, para algunas aplicaciones, tambin puede analizar trfico de capas 4 y 5. A diferencia del filtrado de paquetes esttico, que examina paquetes en base a la informacin del encabezado del paquete, el filtrado con estados monitorea cada conexin que pasa por las interfaces del firewall y confirma su validez.
Firewall gateway de aplicacin (proxy) (Application gateway firewall) Filtra segn informacin de las capas 3, 4, 5 y 7 del modelo de referencia OSI. La mayora del control y filtrado del firewall se hace por software.
Firewall de traduccin de direcciones (Address translation firewall) Expande el nmero de direcciones IP disponibles y esconde el diseo del direccionamiento de la red.
Es una solucin de fcil despliegue que integra capacidades de software, seguridad en comunicaciones unificadas Cisco (voz y video), capa de sockets seguros (SSL) y VPNs IPsec, IPS y servicios de seguridad de contenidos. Diseado como un componente clave de las redes autodefensivas de Cisco, Cisco ASA proporciona servicios inteligentes de defensa de amenazas y comunicaciones seguras que detienen los ataques antes de que afecten la continuidad de los negocios. Los ASA fueron diseados para proteger las redes de todos los tamaos y bajar los costos generales de despliegue y operacin para la empresa al proporcionar una seguridad global multicapa
Cisco Systems presenta la nueva familia de dispositivos para la defensa de amenazas en redes corporativas
Madrid, 20 de mayo de 2005, - Cisco Systems, lder mundial en soluciones de red e infraestructuras para Internet, ha anunciado la disponibilidad de su conjunto de dispositivos de seguridad ASA (Adaptive Security Appliance) 5500, una innovadora familia de terminales de seguridad que permite detener cualquier ataque antes de que se difunda a travs la red corporativa. La serie ASA 5500 de Cisco controla el trfico en aplicaciones y redes y ofrece conectividad VPN flexible, reduciendo los costes operativos y de despliegue tpicos de este tipo de instalaciones. Una de las claves en la estrategia de seguridad de
autoproteccin de redes de Cisco es precisamente la serie ASA 5500, que incluye los productos Cisco ASA 5510, Cisco ASA 5520 y Cisco ASA 5540. Esta familia de dispositivos ha sido diseada especialmente para abarcar los requerimientos de empresas de todos los tamaos, desde pequeas y medianas compaas hasta grandes corporaciones, incidiendo en las necesidades de gestin unificada y de escalabilidad de los servicios concurrentes. De esta manera, se consigue un alto rendimiento y la posibilidad de operar mltiples servicios de seguridad de forma simultnea sin aadir otras complejidades operativas. Las nuevas soluciones han sido desarrolladas manteniendo los estndares de seguridad de las familias de productos IPS 4200 y VPN 3000 Concentrator. La serie ASA 5500 tambin ofrece un potente conjunto de servicios VPN que permiten acceso remoto IPSec y capacidades VPN SSL, as como servicios IPSec de Calidad de Servicio (QoS). Estos productos presentan tambin importantes funciones de integracin IP y han sido diseados para ofrecer soporte multicast, IPv6, routing y QoS, permitiendo la integracin dentro de la red sin interrumpir el trfico por la misma ni el uso de las aplicaciones. La instalacin tpica de servicios de seguridad provoca una brecha entre la eficacia operativa y la seguridad integral dentro de las organizaciones , segn afirma Joel Conover, analista principal de infraestructura empresarial de la consultora Current Analysis. La integracin de mltiples tecnologas dentro de la familia ASA 5500 resuelve el problema de la gestin de la seguridad en dispositivos mltiples y hace tambin factible operativa y econmicamente la instalacin de servicios de seguridad completos en un mayor nmero de puestos dentro de la red.
autorizados. La serie ASA 5500 tambin incorpora servicios de virtualizacin que hacen posible la segmentacin de redes y escalabilidad de los servicios.