Siguiente: Cortafuegos: Casos de estudio
Subir: Arquitecturas de cortafuegos
Anterior: Screened Subnet (DMZ)
Índice General
Algo que puede incrementar en gran medida nuestra seguridad y al mismo tiempo
facilitar la administración de los cortafuegos es utilizar un bastión
diferente para cada protocolo o servicio en lugar de uno sólo; sin embargo,
esta arquitectura presenta el grave inconveniente de la cantidad de máquinas
necesarias para implementar el firewall, lo que impide que muchas
organizaciones la puedan adoptar. Una variante más barata consistiría en
utilizar un único bastión pero servidores proxy diferentes para
cada servicio ofertado.
Cada día es más habitual en todo tipo de organizaciones
dividir su red en diferentes subredes; esto es especialmente aplicable en
entornos de I+D o empresas medianas, donde con frecuencia se han de conectar
campus o sucursales separadas geográficamente, edificios o laboratorios
diferentes, etc. En esta situación
es recomendable incrementar los niveles de seguridad de las zonas más
comprometidas (por ejemplo, un servidor donde se almacenen expedientes o datos
administrativos del personal) insertando cortafuegos internos entre estas zonas
y el resto de la red. Aparte de incrementar la seguridad, firewalls
internos son especialmente recomendables en zonas de la red desde la que no se
permite a priori la conexión con Internet, como laboratorios de
prácticas: un simple PC con Linux o FreeBSD que deniegue cualquier conexión
con el exterior del campus va a ser suficiente para evitar que los usuarios
se dediquen a conectar a páginas web o chats desde equipos no
destinados a estos usos. Concretamente en el caso de redes de universidades
sería muy
interesante filtrar las conexiones a IRC o a MUDs, ya sea a nivel
de aulas o laboratorios o a nivel de todo el campus, denegando en el router de salida de la red hacia INet cualquier tráfico a los puertos 6667,
8888 y similares; aunque realmente esto no evitaría que todos los
usuarios siguieran jugando desde los equipos de la universidad - por ejemplo
a través de un servidor que disponga de conexión en otros puertos -,
sí conseguiría que la mayor parte de ellos dejara de hacerlo.
Siguiente: Cortafuegos: Casos de estudio
Subir: Arquitecturas de cortafuegos
Anterior: Screened Subnet (DMZ)
Índice General
2003-08-08