Las arquitecturas de seguridad perimetral se diseñan teniendo en cuenta diferentes factores como son la necesidad de servicios a publicar en Internet, criticidad, disponibilidad, fiabilidad, accesos y presupuesto económico.
Con todo ello, se
busca la opción que mejor se adapte a nuestras necesidades, pero
siempre es necesario cumplir con unos mínimos.
No entraremos a
definir conceptos de cortafuegos (firewall) o zonas desmilitarizadas
(DMZ), hay muchas referencias en Internet que detallan a la
perfección que son y para que sirven, pero si les presentaré
diferentes arquitecturas teniendo en cuenta los criterios citados
anteriormente.
Simplemente comentar que un firewall puede implementarse utilizando dispositivos (appliances) dedicados, o mediante soluciones software de firewall que corren sobre Sistemas Operativos comunes.
También hay que tener en cuenta que día a día las técnicas de ataque evolucionan, y las soluciones de firewall van evolucionando con la intención de adaptarse y anticiparse a la detección y mitigación de ataques.
Hoy en día las
soluciones de firewall a nivel aplicación se están imponiendo y
aportan capacidad de análisis y de toma de decisiones a nivel del
tipo de aplicación.
Arquitectura básica
Es la solución más
básica, se trata de interponer entre la red pública (Internet) y
nuestra Red de Área Local (LAN) un dispositivo firewall.
De esta forma es posible aplicar nuestras políticas de acceso a Internet y proteger nuestra red local de accesos desde el exterior.
De esta forma es posible aplicar nuestras políticas de acceso a Internet y proteger nuestra red local de accesos desde el exterior.
Arquitectura de firewall con zona DMZ
Esta arquitectura
añade a la anterior lo que se denomina zona desmilitarizada, crea
una zona de seguridad intermedia entre Internet y nuestra red
interna.
La DMZ permite crear
un segmento de red, accesible solo a través del firewall, donde
poder ubicar servidores que necesitan publicar servicios a Internet.
¿Por qué la zona
DMZ es el lugar idóneo para publicar servicios en Internet?.
Porque en caso de verse comprometido un servicio de la DMZ, la escalada de accesos se dificulta, debido a que es necesario atravesar las políticas definidas para el acceso a la zona LAN.
Porque en caso de verse comprometido un servicio de la DMZ, la escalada de accesos se dificulta, debido a que es necesario atravesar las políticas definidas para el acceso a la zona LAN.
Arquitectura de doble capa
Este tipo de
arquitectura añaden un nivel de seguridad adicional.
Permite crear dos
capas de firewall separadas, una capa externa, conectada directamente
a Internet y una capa interna conectada directamente a nuestra red
local.
Los niveles de
seguridad en el acceso a nuestra red local desde el exterior se
incrementan, la solución ideal implica contar con soluciones
firewall de diferentes fabricantes en cada capa.
Alta disponibilidad
Los dispositivos
firewall se han convertido en elementos estratégicos para la
seguridad de nuestra red, la mayoría del tráfico entre nuestra red
y los servicios internos o externos (Internet) pasan por nuestro
firewall, por lo que no es de extrañar que en función de la
criticidad de nuestro entorno y presupuesto, las arquitecturas se
presenten teniendo en cuenta criterios de alta disponibilidad (Activo
/ Pasivo), (Activo/Activo).
Alari es una empresa especialista en Instalación de Sistemas de Seguridad Perimetral y Cercos Eléctricos en Empresas, cercos eléctricos countries, Industrias o Depósitos.
ResponderEliminar