Un firewall es definido como
“una pared que existe entre dos niveles de acceso, por ejemplo el internet y
las casas, sirve para evitar que te ataquen, personas que no quieres que tengan
acceso lo hagan, para repetir cierto tipo de tráfico como telefonía o video”.
Lo diferencia de un IDS
(Intrusion
Detection System o Sistema de Detección de Intrusos) en que éste se
puede implementar a un firewall, aunque en este último se pueden tenenr reglas
como que cierto tráfico de cierto usuario o IP se dirija hacia otro lado con
ciertas especificaciones, por alguna interfaz o cierta configuración. En el IDS
sólo se bloquea el acceso a intrusos.
Existen diferentes tipos de IDS:
• Network Based (Network IDS)
Opera
sobre los flujos de información intercambiados en una red.
• Host Based (HIDS)
Trabaja
con la información recogida en un solo host para detectar actividad maliciosa
en el mismo.
• Physical (Physical IDS)
Cámaras
de seguridad, sensores de movimiento.
• Honeypot
Atrae
y analiza ataques realizados por terceros. Muchos simulan ser una red local de
múltiples equipos con IP falsas, directorios inventados, etc, para crear
confusión o detectar nuevos métodos de irrupción.
En el caso de una empresa en particular, el líder del Network
Operation Center (Centro de Control de Red) de Unosquare, Francisco Carreón,
nos explica como funciona en la compañía la parte de los firewalls.
“Tenemos un firewall local y uno
en la nube (Web Application Firewall), el de la nube lo que hace es ocultar las
IP de la empresa, maneja nuestros registros de DNS por lo que cuando alguien
hace una petición a algún servicio, primero llega a ese firewall
en la nube, luego se hace la petición por el usuario externo y a nosotros nos
llegan directamente las peticiones del firewall web.
“En el interno tenemos cazadas
las direcciones MAC con las IP, nadie que no esté registrado puede meterse a la
red. Ahí hay reglas como que sólo se pueden entrar a ciertas páginas o a otras
que puedan tener virus. Hay una configuración (Country blocking) de cierto tráfico
que podemos estar esperando, como de Indonesia por ejemplo, nadie va a entrar
de Indonesia, entonces tenemos bloqueados todos los accesos de allá, al igual
que de otros países”, señala.
Este tipo de herramientas ayudan
a cuidar la forma en la que la red es utilizada tanto por gente interna como
por externos, y dado a que la manera en que atacan va cambiando constantemente,
se debe cubrir cualquier tipo de imprevisto.
“Lo que más se presenta son los
bots que intentan hacer ataques, se pueden registrar hasta 100 mil intentos
diarios de acceder, de aquí te marca el país, la IP pública, puerto por puerto
intentando penetrar la red, pero pues esto es trabajo para el firewall de estar
limpiando eso”.
En algunas otras empresas, ya han
ocurrido percances debido a las fallas en sus firewalls, tal y como comenta
Francisco:
“Habían dejado una regla que
nunca se utilizó, un puerto abierto en una base de datos y cuando lo
descubrieron fue porque se detectó actividad inusual. Entraron a revisar y
alguien nos había atacado, no supieron cuánto se alcanzó a ver y cuánto no, y
ya el equipo de base de datos revisó qué tanto tenían expuesto”.
Este tipo de herramientas deben
hacer frente a los cambios de comportamiento en el sistema, además de ser adaptables
a lo que ya está instalado. Los miembros del NOC se encargan de revisar todo el
tráfico tanto interno como externo y de revisar que el firewall esté cumpliendo
con su función y no deje ningún hueco para un posible desastre.
