Appliances de seguridad perimetral (I)

En la mayoría de las corporaciones, el único elemento de protección existente entre la red insegura (Internet) y las redes internas es un firewall como por ejemplo iptables, el cual filtra exclusivamente paquetes a nivel de red. Este dispositivo abrirá los puertos a los cuales haya que permitir su acceso y cerrará el resto.

Es un error muy grave el hecho de delegar a los puntos finales de la infraestructura (servidores, equipos de los usuarios, etc.) la seguridad de los servicios implicados. En cualquier caso, estas medidas internas deberían ser siempre el segundo elemento de protección encargado de frenar cualquier amenaza que hubiese conseguido atravesar la primera barrera: el punto de entrada a la red local a través del sistema de seguridad frontal.

Lo habitual es situar siempre como primer muro de protección a nuestra red, un elemento capaz de eliminar o atenuar la mayoría de dichas amenazas.

Estos dispositivos se conocen también como sistemas All-In-One o appliances de seguridad perimetral, y se denominan de esta forma porque son capaces de integrar en una única máquina todas las funcionalidades necesarias para salvaguardar la seguridad del perímetro. Por lo general, estamos ante sistemas que suelen ofrecer las siguientes características globales:

• Firewall: previene accesos no autorizados hacia o desde una red privada, filtrando tanto a nivel de red como a nivel de aplicación. Todo el tráfico que entra o sale de la LAN pasa a través del firewall, el cual examina cada paquete y bloquea aquellos que no cumplen unos determinados umbrales de seguridad.


• Servidor VPN: permite establecer redes privadas virtuales entre dos o más equipos conectados a través de una red insegura. Los usuarios se pueden conectar directamente entre ellos o a sus respectivas redes corporativas, estableciendo para ello túneles por los que la información viajará de forma segura (cifrada). Otra de las ventajas de las VPNs es que son más económicas que los enlaces dedicados, ya que son construidas sobre enlaces públicos compartidos, como por ejemplo Internet.


• Sistema de Protección de Intrusos (IPS): inspecciona toda la actividad entrante y saliente de la red, identificando patrones sospechosos que puedan indicar la existencia de un posible intento de ataque. Ante estas situaciones, el sistema tiene la capacidad de bloquear dichos ataques (IPS – Intrusion Prevention System) o simplemente dejar constancia de ellos a través de registros o alertas (IDS – Intrusion Detection System).


• Anti-malware: protección frente a virus, jokes, dialers, phishing, etc. Estos sistemas incorporan un motor antivirus capaz de interceptar todo tipo de malware en base a un fichero de firmas, el cual debe de ser actualizado periódicamente.


• Anti-spam: protección frente a correos spam. Estos sistemas incorporan un motor anti-spam capaz de clasificar los correos electrónicos en base a su contenido. Suelen emplear diferentes tipos de técnicas de detección, como por ejemplo la actualización periódica de una base de datos con las catalogaciones de spam, listas RBL (Real-time Blackhole List), etc.


• Filtrado web: restricción de aquellas páginas no permitidas.


• Filtrado de contenidos: protección frente a aquellos contenidos que se consideran indebidos o peligrosos, como por ejemplo archivos protegidos por contraseña, archivos anidados con un índice superior a cierto límite, archivos que exceden un determinado tamaño, etc.

La principal diferencia entre un IDS (como por ejemplo Snort) y un IPS, es que el primero evalúa la intrusión sospechosa una vez que ésta se está produciendo o ya ha tenido lugar, alertando en ese momento del peligro existente. Es decir, estamos ante un sistema pasivo frente a otro activo. Este retardo temporal desde que se recibe el evento hasta que efectivamente se toma una medida, puede provocar en la mayoría de los casos consecuencias fatales para una organización.

El objetivo de incorporar el servicio VPN dentro de dicho dispositivo All-In-One no es otro que el de poder analizar la información que circula a través del túnel, ya que el hecho de que ésta viaje encriptada a través del enlace no es garantía suficiente de que no pueda contener características maliciosas.

En la siguiente figura se ofrece un esquema funcional de una arquitectura de tipo All-In-One. En él pueden observarse los distintos subsistemas de protección encargados de analizar la información proveniente de una red insegura.

Otras características que presentan esta clase de sistemas son la posibilidad de configurarlos en alta disponibilidad (activo/pasivo, activo/activo) y balanceo de carga, o incluso que realicen tareas a nivel de servidor tradicional: servicios de autenticación e impresión, archivos compartidos, correo, proxy, etc.