Cortafuegos, segmentación
y aislamiento

Una técnica muy extendida para mejorar la seguridad en las redes de empresas es dividirlas en segmentos más pequeños por departamentos. La comunicación entre esas subredes está supervisada, controlada y protocolizada por routers cortafuegos. Los atacantes y los software maliciosos que consigan penetrar en una de las subredes serán impedidos en su extensión por filtros de paquetes. Una medida para incrementar aún más la seguridad es aislar los distintos sistemas y unidades de funcionamiento en segmentos de red propios. De ese modo se puede proteger eficazmente dispositivos especialmente vulnerables.

Segmentación: división en subredes seguras

El protocolo de Internet (IP) hace posible el intercambio de datos más allá de los límites de las redes. La información encapsulada en paquetes IP son enviados a su destino a través de diferentes routers.

Los administradores de redes aprovechan esa propiedad de enrutamiento para dividir las redes de las empresas en subredes interconectadas. Así, los ordenadores de la administración son asignados a la subred de administración y también las máquinas de la producción disponen de un segmento de red propio, igual que los ordenadores de trabajo del departamento de investigación y desarrollo.

Cada uno de esos segmentos de red está conectado a la red envolvente de la empresa a través de un router. Toda la comunicación entre las subredes está dirigida a través de los routers.

Filtrado de paquetes para más seguridad

Es lógico analizar los paquetes de datos dirigidos a través del router y reenviar únicamente los paquetes de datos permitidos.

Podría ser de interés para la dirección de la empresa que los empleados del departamento de administración puedan acceder a las páginas de Internet pero, al mismo tiempo, proteger sus datos sensibles, como liquidaciones de salarios o contratos, bloqueando su acceso desde la red de la empresa y desde Internet. Estos se ponen a disposición en la red de Windows a través de la autorización para compartir archivos e impresoras.

Un filtro de paquetes instalado en el router analiza si el tráfico dirigido por la red contiene conexiones que sean utilizadas para compartir archivos e impresoras. Son conexiones TCP en los puertos 139 y 445. Si el filtro de paquetes detecta paquetes IP que contengan una comunicación TCP con esos puertos, no los reenvía, sino que los desecha. La autorización para compartir archivos e impresoras se mantiene dentro de la subred para la administración, pero no puede sobrepasar los límites del segmento. Por lo tanto, no es posible acceder a los archivos, como liquidaciones de sueldos, desde otros segmentos de la red.

A los routers que filtran el flujo de datos de ese modo se les denomina router cortafuegos o simplemente cortafuegos.

Aislamiento: segmentación dirigida de sistemas individuales

Las reglas cortafuegos para grandes subredes pueden devenir rápidamente en algo muy complejo. Si son demasiado extensas pueden ser utilizadas por atacantes. Si son demasiado estrictas pueden limitar el funcionamiento. Además, cada dispositivo terminal de un segmento puede ser una fuente potencial de accesos no deseados.

Especialmente los equipos y sistemas que requieren una elevada protección, por ejemplo máquinas-herramientas o equipos médicos, pero también ordenadores de control antiguos u ordenadores con software anticuado, presentan lagunas de seguridad conocidas utilizables que no están cubiertas por las reglas.

Aislamiento significa identificar esos sistemas especialmente vulnerables en la red y aislarlos en un segmento de red propio -una isla segura- con ayuda de pequeños cortafuegos como Microwall. Las conexiones necesarias entre los sistemas aislados y la red envolvente son registradas previamente y están definidas por reglas en una lista positiva. Solo los paquetes de datos con autorización explícita son reenviados, el resto desechados y, si es preciso, protocolizados. De ese modo los sistemas aislados están protegidos eficazmente tanto contra ataques de hackers o programas maliciosos, como de errores humanos.

En esas islas seguras se encuentran solo algunos sistemas. Al estar protegidas por reglas estrictas y adaptadas exactamente a la tarea respectiva, el aislamiento proporciona un notable incremento de la seguridad.

El aislamiento con Microwall es fácil de aplicar y aumenta eficazmente el nivel de seguridad en las redes de empresas. De ello se benefician sobre todo pequeñas empresas, para las que no merece la pena una costosa segmentación por departamentos.