Entendiendo las politicas de un Firewall

¿Saben que es un firewall? seguramente cuando les digo firewall a muchos les viene a la mente un programa que bajas e instalas, y si, algunos firewalls son asi, pero hay otros que son más profesionales que es un aparatito una caja con normalmente 3 entradas y zonas, la trust o segura, untrust o insegura, y la DMZ que es la zona pública o desmilitarizada.

FirewallEstos firewalls obviamente son mucho más seguros que los de software comerciales como norton internet security o zone alarm, hay un firewall nuevo de juniper que es sobre software, el cual es realmente seguro, pues su idea es simplemente ser un firewall, la razón por la que son más seguros es porque al estar instalados en un sistema operativo tienen más posibilidad de tener una falla que algunos que son una caja y usan una versión reducida de unix para operar, o sea (sólamente lo necesario) y asi es menos probable un ataque.

Obviamente hay que saber configurarlos, por ejemplo si tenemos un firewall que en la zona trust tenga nuestra red, en la zona insegura tenga la entrada y salida a internet y en la DMZ tenga un servidor web, o sea lo más común, supongamos que lo más común es tener politicas para que de la zona insegura no puedan entrar a la zona segura, o sea en otras palabras de internet no deben de poder entrar a nuestra red, pero de nuestra red probablemente puedan salir supongamos que por diferntes servicios como lo son http(web), https(web seguro), pop3(correo entrante), smtp(correo saliente), y ftp(transferencia de archivos), ssh(shell seguro) y sólamente imaginemos que pueden salir por esos puertos de nuestra zona segura a la insegura, entonces en el firewall pondríamos algo asi:

Segura a Insegura:

Origen Destino Servicio(puerto) Acción
Cualquiera Cualquiera http(80), https(443), pop3(110),smtp(25), ftp(21), ssh(22) Permitir
Cualquiera Cualquiera Cualquiera Negar

En otros firewalls como iptables habría que espécificar después la última regla que significa que todo lo que no coincida con la de arriba simplemente lo niegue. En otros por default tienen esta regla

Insegura a Segura:

Origen Destino Servicio(puerto) Acción
Cualquiera Cualquiera Cualquiera Negar

Ésto significa que de la insegura no pueden ver a la zona segura.

Luego iremos con las politicas para la DMZ, entonces de la zona insegura supongamos que sólamente pueden entrar a la DMZ por http y https, que es lo que un servidor web tendría y también el ping, que es para saber si un host esta vivo, luego también podríamos que de la Zona segura podrían entrar a la DMZ por http, https y ssh y ping, y de la DMZ no pueden entrar a la zona segura para nada y de la DMZ sólamente pueden salir a internet por el puerto del servicio de actualización.

DMZ a Insegura:

Origen Destino Servicio(puerto) Acción
Cualquiera Cualquiera puerto de actualización Permitir
Cualquiera Cualquiera Cualquiera Negar

DMZ a Segura

Origen Destino Servicio(puerto) Acción
Cualquiera Cualquiera Cualquiera Negar

Segura a DMZ

Origen Destino Servicio(puerto) Acción
Cualquiera Cualquiera http, https, ping(icmp), ssh Permitir
Cualquiera Cualquiera Cualquiera Negar

Insegura a DMZ

Origen Destino Servicio(puerto) Acción
Cualquiera Cualquiera http, https Permitir
Cualquiera Cualquiera Cualquiera Negar

Seguramente muchos se preguntarían pero si no deja entrar conexiones de por ejemplo internet a mi red como es que voy a ver los datos que me envían de una página al meterme, y pues ésto se debe a que simplemente checa las conexiones ya establecidas, o sea cuando se establece una conexión se sincronizan los dos lados, lo cual es como se da cuenta el firewall de que ya hay una conexión establecida. Esto último de la sincronización lo explico mejor en el articulo sobre Nmap

Un commentario
  1. [...] La razón por la que se pone en esa parte del firewall un servidor web es porque esa zona esta pensada para eso, pero realmente no esta limitada a que sólamente pueda haber un servidor web, es más podría haber en la zona DMZ alguna otra máquina que queramos que este segura, simplemente habría que definir las politicas del firewall de manera que no hubiera acceso a la zona DMZ desde la insegura, pero si alrevez. Tomando como ejemplo un firewall de Juniper, en la zona DMZ se puede hacer practicamente lo mismo que en la segura, y podríamos usarlas de otro modo por ejemplo que la zona segura fuera la Home, o donde esta el equipo de casa y la DMZ fuera la Work o donde esta otra red con diferentes privilegios que la Home, también podríamos crear políticas entre ellas por ejemplo: [...]

Deja un comentario