Fundamentos de Seguridad Perimetral y Arquitectura de Firewalls

Seguridad Perimetral

La seguridad perimetral consiste en la defensa en la zona de contacto de la red con el exterior, permitiendo el acceso controlado de usuarios internos y externos.

Las amenazas evolucionan constantemente, con un crecimiento exponencial de las vulnerabilidades desde 2017. Actualmente, la mayoría de los equipos conectados son dispositivos móviles.

Tipos de atacantes

• Black hats: Expertos con amplios conocimientos técnicos. Representan una amenaza muy seria.
• Script kiddies: Usuarios inexpertos que utilizan código ajeno. Constituyen la mayoría de los ataques, aunque su nivel de peligro es menor.

Clasificación de cortafuegos

• Personal: Para una o ninguna máquina; baja complejidad y sin requisitos técnicos específicos.
• Departamental: Para una red segmentada; alta complejidad y requisitos recomendables.
• Empresarial: Para una o más redes; muy alta complejidad y requisitos imprescindibles.

Ciclo de vida del cortafuegos

1. Requisitos: Documentar las amenazas a mitigar y elegir el cortafuegos en la escala lógica adecuada dentro del sistema.
2. Justificación:
   • Temporal: Planificación, instalación y mantenimiento.
   • Económico: Costes de licencias, hardware y soporte.
   • Organizativo: Adaptación de flujos de trabajo y normativas.
3. Diseño arquitectónico: No existe una solución única. El proceso sigue una secuencia: Análisis → Simulación → Priorización → Implementación. Es un proceso iterativo: si tras la implementación surgen vulnerabilidades imprevistas, se retrocede para revisar el plan, ajustar la técnica y volver a ejecutar. Es un ciclo de mejora continua.
4. Diseño de directivas: Reglas que definen el comportamiento mediante el control de acceso, el análisis de tráfico y la documentación.
   • Origen: Red interna → Destino: Internet → Acción: OK
   • Red interna → Servidor cursos/fotos → OK
   • Red externa → Servidor cursos → OK
   • Cualquiera → Cualquiera → DROP
5. Implementación: Selección de software/hardware según capacidades técnicas (NAT, logging), fiabilidad, eficiencia, usabilidad, soporte e inversión.
6. Pruebas: Validar siempre en un entorno aislado antes de pasar a producción, aplicar reglas por fases y disponer de un plan de rollback. Omitir pruebas es la causa principal de cortes de servicio, junto con el bloqueo accidental de tráfico legítimo y la omisión de las fases de diseño y justificación.
7. Mantenimiento: Supervisión constante, revisión y optimización periódica de reglas, enfocada en la mejora continua y la adaptación al cambio.

Paquetes en la red

Los cortafuegos filtran paquetes IP, ICMP, UDP y TCP. El tráfico puede monitorizarse mediante herramientas como Wireshark.

Tipos de Firewalls

• En el router: Filtra por IP desde el propio router. Carece de flexibilidad y profundidad, ya que las máquinas privadas y públicas comparten red.
• Cortafuegos expuesto: Utiliza una zona perimetral para separar servicios públicos de la red interna. Un ataque al servidor público no otorga acceso directo a la red privada.
• Cortafuegos apantallado: Un solo firewall protege todo el sistema. Si un servidor público es comprometido, existe riesgo de acceso directo a la red privada.
• Red apantallada (Defensa en profundidad): Utiliza dos firewalls. El firewall exterior protege la DMZ (servidores públicos), mientras que el firewall interior protege exclusivamente la red privada.
• Tres direcciones: Un solo dispositivo con tres interfaces (red pública, DMZ y red privada). Es una solución económica que permite aislamiento, aunque presenta un punto único de fallo.
• Red apantallada dividida: El servidor público cuenta con dos tarjetas de red y actúa como puente controlado entre las zonas perimetrales.