Protección y Rendimiento de Redes: Firewalls, Alta Disponibilidad y Balanceo de Carga

Seguridad de Red: Tipos y Políticas de Diseño de Firewalls

En el ámbito de la seguridad informática, los firewalls (o cortafuegos) son componentes esenciales para proteger las redes. A continuación, se detallan los principales tipos y las políticas fundamentales para su diseño e implementación.

Tipos de Firewall

1. Filtrado de Paquetes: Se utilizan routers con filtros y reglas basadas en políticas de control de acceso para permitir o denegar el tráfico de red.
2. Proxy-Gateways de Aplicaciones: El proxy actúa como intermediario entre el cliente y el servidor real de la aplicación, siendo transparente para ambas partes y añadiendo una capa de seguridad al inspeccionar el contenido de las comunicaciones.
3. Dual-Homed Host: Dispositivos que están conectados a dos perímetros de red distintos (por ejemplo, red interna y externa) y no permiten el paso directo de paquetes IP entre ellos, forzando el tráfico a pasar por el host.
4. Screened Host: Combina un router con un host bastión. El principal nivel de seguridad proviene del filtrado de paquetes realizado por el router, mientras que el host bastión ofrece servicios controlados y monitorizados.
5. Screened Subnet: En este diseño, se busca aislar la máquina más expuesta y vulnerable (el nodo bastión) del firewall principal. Para ello, se establece una Zona Desmilitarizada (DMZ) de forma que, si un intruso accede a esta máquina, no consiga el acceso total a la subred protegida.
6. Inspección de Paquetes con Estado (Stateful Inspection): Se basa en el principio de que cada paquete que circula por la red es inspeccionado, así como su procedencia y destino, manteniendo un registro del estado de las conexiones para tomar decisiones de seguridad más informadas.
7. Firewalls Personales: Aplicaciones disponibles para usuarios finales que desean conectarse a una red externa insegura (como Internet) y mantener su computadora a salvo de ataques que puedan ocasionarles.

Políticas de Diseño de Cortafuegos

Generalmente, se plantean algunas preguntas fundamentales que debe responder cualquier política de seguridad de red:

• ¿Se deberían proteger todos los elementos de la red interna (hardware, software, datos, etc.)?
• ¿Cómo protegerse de cualquier intento de acceso no autorizado desde el exterior y contra ciertos ataques desde el interior que puedan preverse y prevenirse?

Para responder a estas preguntas, puede optarse por alguno de los siguientes paradigmas o estrategias:

Paradigmas de Seguridad

• Permisivo por defecto: Se permite cualquier servicio excepto aquellos expresamente prohibidos.
• Denegación por defecto: Se prohíbe cualquier servicio excepto aquellos expresamente permitidos. (Este es el enfoque más seguro).

Estrategias de Seguridad

• Paranoica: Se controla todo, no se permite nada sin una justificación explícita y rigurosa.
• Prudente: Se controla y se conoce todo lo que sucede en la red, aplicando políticas de seguridad equilibradas.
• Permisiva: Se controla, pero se permite demasiado, lo que puede aumentar la superficie de ataque.
• Promiscua: No se controla (o se hace poco) y se permite todo, lo que representa un riesgo de seguridad muy alto.

Alta Disponibilidad y Balanceo de Carga en Sistemas Informáticos

La continuidad operativa es crucial en cualquier infraestructura tecnológica. Las soluciones de alta disponibilidad y el balanceo de carga son pilares fundamentales para garantizar que las aplicaciones y los datos estén siempre accesibles.

Soluciones de Alta Disponibilidad

La alta disponibilidad (HA) se refiere a la capacidad de que aplicaciones y datos se encuentren operativos para los usuarios autorizados en todo momento, debido a su carácter crítico. Esto se logra mediante:

• Redundancia en dispositivos hardware: Duplicación de componentes críticos como fuentes de alimentación, discos duros, tarjetas de red, etc.
• Redundancia, distribución y fiabilidad en la gestión de la información:
  • Sistemas RAID de almacenamiento (Redundant Array of Independent Disks).
  • Centros de procesamiento de datos de respaldo (DRP - Disaster Recovery Plan).
• Redundancia en las comunicaciones: Múltiples rutas de red y enlaces para evitar puntos únicos de fallo.
• Redundancia y distribución en el procesado: Uso de clústeres de servidores y virtualización para distribuir la carga y permitir la conmutación por error.
• Independencia en la administración y configuración de aplicaciones y servicios: Asegurar que la configuración de un componente no afecte negativamente a otros.

Balanceo de Carga

El balanceo de carga es la manera en que las peticiones de Internet (o de cualquier otra red) son distribuidas eficientemente entre un conjunto de servidores. Existen varios métodos y generaciones de balanceadores:

• Método Round Robin: Las peticiones de clientes son distribuidas equitativamente entre todos los servidores existentes de forma cíclica. Este método no tiene en cuenta las condiciones y carga real de cada servidor, lo que puede llevar a que algunos servidores reciban peticiones de carga mucho mayores mientras otros apenas están utilizando sus recursos.
• Primera Generación de Balanceo de Carga: Esta generación puede detectar el rendimiento del servidor mediante "passive polling", lo que significa que el balanceador de carga mide el tiempo de respuesta de los servidores y así obtiene una idea de cómo están funcionando.
• Segunda Generación de Balanceo de Carga (Balanceo Inteligente): El balanceo de carga más eficaz solo se puede conseguir considerando el uso real de los servidores, permitiendo que los recursos existentes se empleen al máximo. Esto se logra al conocer cómo están siendo utilizados estos recursos incluso antes de que las peticiones de los clientes lleguen a ellos. Para lograrlo, el balanceador de carga continuamente realiza peticiones de datos de cada servidor en la granja de servidores para monitorizar sus condiciones y direccionar las peticiones de los clientes hacia el servidor que se encuentre más disponible y en mejor estado para responder a dichas peticiones.