Apunte de Firewalls (Teoría de las Comunicaciones)
Firewalls
El siguiente no es más que una lista de los temas tocados en la clase de Firewalls dada por Ernesto.
Llegué un poquito tarde y me perdí la definición inicial de firewall, si alguien puede completar es bienvenido (dudo que wikipedia pueda tener algo muy distinto al respecto, pero nunca se sabe).
Zona desmilitarizada (DMZ)
La idea es tener una capa intermedia entre la red interna y la externa (internet por ejemplo) en la cual colocar todos aquellos servicios que se exponen al exterior. La idea es que si por ej. uno tiene un servidor web, entonces está muy expuesto a ataques. Para reducir al mínimo el riesgo en la red interna, el servidor se pone en esta zona intermedia que es altamente monitoreada para detectar violaciones de seguridad. Lo mismo vale para cualquier tipo de servidor expuesto hacia afuera.
DMZ en wikipedia (Vean la parte de Architectures haciendo hincapié en dual firewalls, que fue el ejemplo principal de la clase)
Filters
Son routers que filtran paquetes según distintos criterios, patterns, etc. En clase los dividimos en los más simples sin estado y los que más se usan ahora que son todos con estado. No tengo claro si un filter constituye en sí mismo un firewall, si uno se guia por wikipedia parecería que sí, pero tengo el recuerdo de que Ernesto dijo algo sobre todo lo que abarca un firewal.
Sin estado: Esencialmente filtran paquetes en base a patrones y reglas (por ejemplo, las cuatrupla <ip, port, ip, port>) que usan información contenida sólo en el paquete y sin tener en cuenta la historia de qué se dejó pasar y que no.
Con estado: A diferencia de los anteriores, guardan un estado por cada flujo o conexión de lo que dejaron pasar anteriormente para filtrar de manera más selectiva. Pueden saber si un paquete es de una nueva conexión o una ya existente. Obviamente esto requiere hardware más potente y con recursos para almacenar el estado. Incluso hay problemas con routers (ej: linksys wrt54g) y P2P porque se generan muchas conexiones que agotan las tablas de estado.
Bastiones
Se les llama bastiones a aquellos servidores altamente especializados que exponen servicios al exterior. La idea es que por su exposición serán los primeros en caer si hay un ataque de seguridad. Por esta razón suelen ser servidores dedicados a exponer un único servicio y están despojados de cualquier otra cosa para que si un atacante eventualmente toma el servidor, no pueda usarlo para hacer más daños. Generalmente se encuentran en la DMZ.
Intrusion detection system (IDS)
Esencialmente son sistemas para detectar intrusos o ataques en una red. Puede ser un servidor en la DMZ sniffeando todo el tráfico de la zona en busca de patrones de tráfico que indiquen un ataque. También pueden estar dentro de la red interna (aunque siempre que detecte algo ahí va a ser medio tarde) o en la externa (por sobre todo para tener una medida de cuán atacada es la red, aunque la mayoría de los ataques no lleguen a pasar el primer filtro que separa la DMZ de la red externa).