Monografias | Selección de Firewalls

Selección de un Firewall

Uno de las mayores preocupaciones que tienen las empresas hoy día es cómo llevar a cabo sus transacciones electrónicas manteniendo altos niveles de seguridad y confidencialidad.
La conectividad total se ha convertido en una necesidad para poder sobrevivir en el ambiente competitivo del nuevo milenio. Esto ha traído, al mismo tiempo, serios problemas de seguridad al facilitar el acceso desde el mundo exterior a través de Internet y así exponer los recursos internos de la red.
Para impedir que personas no autorizadas penetren en la red o que accesen a más información de la permitida, se utiliza un sistema de defensa perimetral llamado en firewall (cortafuego), el cual se coloca como una barrera de protección entre Internet y la red local de la empresa. A veces se utilizan firewalls adicionales internamente para separar distintos departamentos.
A la hora de implantar un sistema de esta naturaleza, surgen preguntas como las siguientes:
" ¿Cuál tipo de firewall conviene utilizar?
" ¿Cómo debe ser configurado?
" ¿Qué pruebas se van a efectuar para verificar que el firewall se comporta cómo se esperaba?
" ¿Quién va a efectuar el mantenimiento?
" ¿Cómo se va a dar soporte y adiestramiento?

Un sistema basado en firewalls no es la panacea para la seguridad. Continuamente se descubren fallas en los productos comerciales y aparecen nuevos tipos de ataques. Y lo que es peor, la mayoría de los sistemas se configuran mal y carecen de mantenimiento.

Descripción del Trabajo
El servicio de Selección e Instalación de Firewalls está diseñado para garantizar que el firewall que el cliente vaya a utilizar funcione siempre perfectamente y brinde la máxima seguridad. En caso de que el firewall ya haya sido adquirido o instalado, En la política de seguridad se definen las reglas que se aplicarán en los firewalls. Las reglas especifican el origen, destino, servicio y acción a realizar para cualquier transacción. También definen que eventos deben guardarse bitácoras (logs). La primera regla es usualmente no permitir cualquier acción a no ser que esté permitida expresamente, puesto que las posibles brechas de seguridad son más fácilmente identificables de esta manera.
Es imprescindible que la política de seguridad esté diseñada de acuerdo a los activos de información que se quieren proteger y a las condiciones específicas de cada empresa. Nuestros consultores en seguridad ayudarán a definir los requerimientos de comunicaciones internos y externos para así convertirlos en la base de la política de la empresa. Nuestros analistas de seguridad entrevistarán al personal clave de todas las áreas para garantizar que todas las variables sean consideradas. Finalmente, nuestros expertos trabajarán en la implantación de dicha política en la empresa utilizando los equipos y productos seleccionados. Nosotros entendemos a fondo la operación de los firewalls y podemos convertir esa política de seguridad en reglas idóneas para la configuración del firewall.

Productos
Debido a que no creemos en el concepto de "caja negra", donde el cliente desconoce lo que se le entrega, trabajaremos desde el principio con el personal de la empresa para entrenarlos en el manejo y monitoreo del firewall. Este conocimiento permitirá así que es personal brinde un soporte de primera línea.
" Evaluación de firewalls comerciales y recomendaciones
" Estudio de costos de adquisición, implantación y mantenimiento
" Desarrollo de la política de seguridad para los activos de información del cliente
" Las reglas completas para el firewall, en forma escrita
" El firewall configurado con dichas reglas
" Pruebas bajo operación normal
" Pruebas de vulnerabilidad
" Pruebas bajo ataques de negación de servicio (DoS)
" Informe final

METODOLOGÍA PARA
SELECCIÓN E INSTALACIÓN DE FIREWALLS

1. Preselección del Producto
La mayoría de los firewalls emplean una combinación de técnicas para llevar a cabo su labor de la forma más eficiente y segura.
El filtrado de paquetes, la utilización de servidores proxy y la traducción de direcciones de red (NAT) son, en la actualidad, las técnicas más utilizadas.
Algunos protocolos, como por ejemplo Telnet y SNMP, se pueden manejar con más efectividad con filtrado de paquetes. Otros (como FTP o HTTP) se manejan con más efectividad con servidores proxy.
El firewall debe poder configurarse para bloquear todo tipo de tráfico entrante o saliente, excepto para algunos servicios, tales como:
1. TELNET
2. FTP
3. HTTP
4. HTTPS
5. SMTP
6. DNS

TELNET, en el puerto 23, a menudo se permite sólo a algunos sistemas. Igualmente FTP, en los puertos 20 y 21, se permite sólo a algunos sistemas. SMTP, en el puerto 25, se permite sólo a algunos servidores de correo centrales. DNS, en el puerto 53, proporciona información sobre los hosts y que pudiera ser útil para un atacante.
Los siguientes servicios son inherentemente vulnerables y no deberían autorizarse:
" TFTP (Trivial FTP)
" X Windows, en los puertos arriba de 6000
" RPC (Remote Procedure Call) en el puerto 111
" Rlogin, rsh y rexec, en los puertos 513, 514 y 512

El firewall debe permitir llevar un registro de todos los eventos y en particular de todos los accesos permitidos, así como de todos los intentos de acceso fallidos.
El firewall debe poseer un sistema de gestión local y remota para facilitar su configuración y elaborar reportes de auditoría. Las sesiones de administración debe realizarse encriptadas y se requiere un mecanismo de autenticación robusto para tener acceso al firewall..
Para asesorar al cliente sobre el producto a adquirir, se recomienda visitar el sitio www.icsa.net y consultar los siguientes documentos: Annual ICSA Firewall Buyer's Guide y Firewall Product Certification Criteria. A continuación se muestra una lista de productos certificados por ICSA.

Certified Product Names Vendor Names
AltaVista Tru64 UNIX
Axent Technologies
BorderManager Enterprise Edition
Novell
BorderWare Firewall Server
BorderWare Technologies
Cable Modem ComPort 5000
Com21
CommandView Firewall for NT
Elron Software Inc.
Conclave
Internet Dynamics
CyberGuard NT
CyberGuard Corporation
CyberGuard Unixware
CyberGuard Corporation
CyberWall PLUS-IP
Network-1 Security Solutions
Firebox II
WatchGuard Technologies
Firewall-1 NT
Check Point Software
Firewall-1 Solaris
Check Point Software
Firewall Switching Agent for ESX/Firewall1
Marconi Communications
Fort Knox Policy Router
Alcatel
Gauntlet NT
Network Associates
GNAT Box
Global Technology Associates, Inc.
Guardian Firewall
NetGuard
iGateway Family
Intoto, Inc.
Instagate
eSoft
LANRover VPN Gateway
Intel
Lucent Managed Firewall
Lucent Technologies
Netopia S9500 Security Appliance
Netopia
NetScreen Family
NetScreen Technologies
Nokia IP Series Routers
Nokia
OfficeConnect Internet Firewalls
3Com Corporation
OfficeConnect NETBuilder
3Com Corporation
OneStream Fort Knox
Alcatel
Phoenix Adaptive Firewall
Progressive Systems
Prestige 312
ZyXEL Communications Corp.
Raptor NT
Axent Technologies
Raptor Solaris
Axent Technologies
SecureConnect Firewalls
Lucent Technologies
SecureIT
SLMSoft.com
SecureWay AIX
IBM
SecureWay NT
IBM
Shasta 5000 Broadband Service Node BSN
Nortel Networks
Sidewinder
Secure Computing
SonicWALL Family
SonicWALL, Inc.
SunScreen
Sun Microsystems
WebGuard Firewall Linux
GenNet
WebGuard Firewall NT
GenNet
WebGuard Firewall Solaris
GenNet
WinRoute Pro
Tiny Software

2. Análisis de costos

Costos no recurrentes
" Hardware
" Software
" Adiestramiento
" Certificados digitales, tokens, tarjetas inteligentes
" Otros

Costos recurrentes
" Sueldos del personal a cargo del firewall
" Honorarios de consultores externos
" Mantenimiento
" Seguro
" Actualizaciones y parches
" Auditoría
" Otros

Advertencia: Todos los derechos reservados. Toda información y diseño de este sitio de Internet son propiedad material de Victor Cappuccio que son propiedad original del autor o publicador. Está estrictamente prohibida la reproducción, total o parcial del material encontrado en este sitio de Internet, sin el consentimiento y aceptación por escrito del propietario.

Compartir