Gateway VPN y Firewall, seguridad en la frontera

Un firewall es una combinación de hardware y software utilizado para implementar una política de seguridad que controla el tráfico de datos entre dos o más redes. La política se aplica solamente sobre la red o redes que

están bajo el control de la organización26_.

Al conjunto formado por la red o redes incluidas en el alcance de la política se lo denomina dominio de seguridad. Es necesario tener claro los límites de este dominio para evaluar en forma correcta la aplicación de la política.

La intersección con otros dominios es el escenario donde se requiere la presencia de un firewall, es decir en el borde o frontera de la red de la organización.

Un gateway o servidor VPN permite el acceso a usuarios remotos ubicados fuera del dominio de seguridad de la organización, como Internet, la red de un proveedor u otra red perteneciente a un dominio de seguridad diferente. Por esta razón deberá estar ubicado en el mismo ámbito que el

firewall. En general el gateway VPN es parte del conjunto de herramientas y

tecnologías que brindan seguridad a la red de la organización.

Existen diferentes topologías relacionadas con la ubicación del

gateway VPN, en la mayoría de ellas es aconsejable el diseño basado en DMZ

(Demilitarized Zone) o zona desmilitarizada, ya que brinda mayor seguridad a la red interna.

Una DMZ es una red donde se ubican los equipos que brindan los servicios públicos de una organización. Estos son accedidos desde el exterior, por esta razón deben estar separados de la red local de la organización. La DMZ es una red aislada de la red interna mediante un

firewall que se encarga de proteger ésta última y los equipos en la DMZ. Para

lograr esta separación cuenta con al menos tres interfases de red: para la red externa, la DMZ y la red interna.

Gateway VPN sobre el Firewall

La solución más natural y simple es la implementación del servidor VPN en el mismo dispositivo donde funciona el firewall. Es habitual en dispositivos firewall comerciales, los cuales incluyen funcionalidad de

gateway VPN en sus productos, por ejemplo CISCO en su línea de productos

firewall ASA PIX.

Este diseño permite tener un único punto de entrada a la red de la organización, donde el firewall autoriza las conexiones salientes hacia el exterior, previene las conexiones entrantes no autorizadas hacia el interior y la función de gateway VPN es administrar las conexiones de los usuarios remotos, autorizando su acceso y encriptando su tráfico.

26

80 Las ventajas de este esquema son:

 Centraliza el control de toda la seguridad, con lo que se

disminuye el costo de administración.

 La interacción Firewall-Gateway VPN es natural y directa, lo que

facilita la creación dinámica de reglas del firewall aplicadas al tráfico VPN.

 Menos equipamiento.

Figura 3-2 Gateway VPN sobre el Firewall

Las desventajas son:

 Único punto de falla.

 El protocolo de túnel no es transparente al firewall.

 Una configuración incorrecta de las reglas del firewall podrían

permitir el acceso, a través del espacio de direcciones de la VPN, de tráfico no permitido.

 Competencia de recursos de hardware a causa del procesamiento

por parte de los dos servicio. Se requiere un equipo potente en CPU y memoria.

 Escalabilidad limitada si el dispositivo no soporta el agregado

de módulos para des/encriptar. Si se incrementa la cantidad de clientes remotos, el punto anterior será más evidente.

 Costo de entrenamiento para un uso adecuado del dispositivo, si se trata de una solución propietaria.

Gateway VPN y Firewall en paralelo

Como en el diseño anterior los servicios se sitúan separados

físicamente en diferentes equipos, pero esta vez la separación del

procesamiento es completa. Este esquema se basa en una DMZ estándar donde ambos dispositivos tienen acceso a la red interna y a la red externa, estableciéndose una zona buffer entre el gateway predeterminado de la red local, el firewall y el Gateway VPN.

Las ventajas son:

 Procesamiento en paralelo de tráfico específico sobre los

dispositivos correspondientes. Se desliga completamente al

firewall de atender el tráfico relacionado con la VPN.

 Mejor escalabilidad respecto del crecimiento de usuarios

remotos. Se puede agregar mas servidores VPN y distribuir la carga.

 No hay un único punto de falla.

 No se requiere procesamiento NAT en el gateway VPN ni en el

firewall.

82 Las desventajas son:

 El servidor VPN esta conectado directamente a la red externa.

Debe configurarse cuidadosamente (hardening) para evitar que sea comprometido.

 Configurar cuidadosamente ambos equipos para evitar el flujo de

tráfico no permitido.

 Incremento en el costo de administración y mantenimiento de las

configuraciones.

 Mayor costo económico por la adquisición de equipos

Este diseño se basa en una DMZ tradicional, donde el dispositivo que separa la red local es un router de filtrado de paquetes, lo cual lo hace un esquema poco seguro.

Dependiendo del nivel de seguridad que brinda el servidor VPN, es recomendable ubicar antes o después de éste un firewall dedicado para asegurar el tráfico entrante VPN antes de alcanzar la red interna. Esta alternativa agrega una demora en el procesamiento de los datos y requiere compatibilidad con el protocolo de túnel.

Gateway VPN integrado a DMZ única

El gateway VPN se ejecuta en un dispositivo separado del firewall, una de sus interfaces se conecta a la red externa mientras que la restante se conecta a la única DMZ compartida con el firewall.

En este caso el tráfico VPN es atendido por el Gateway VPN y es filtrado por el firewall a través las interfaces de ambos equipos en la DMZ, para finalmente reenviarlo a la red local interna. Este es un diseño simple y muy seguro, por lo tanto el más adecuado.

Las ventajas son:

 Distribución del procesamiento del tráfico entrante, el gateway

se encarga estrictamente del tráfico VPN.

 Menor configuración relacionada al tráfico VPN en el firewall.

 Mayor seguridad al tráfico de la VPN que llega a la red interna.

 El tráfico VPN puede ser analizado para prevenir ataques en su paso por la interfaz de la DMZ del firewall.

 El procesamiento del tráfico VPN, en el firewall, es

independiente del protocolo de túnel utilizado y no se requiere procesamiento NAT.

Figura 3-4 Gateway VPN con DMZ única

Las desventajas son:

 El servidor VPN esta conectado directamente a la red externa.

Debe configurarse cuidadosamente (hardening) para evitar que sea comprometido.

 El firewall representa un único punto de falla.

Gateway VPN y Firewall con doble DMZ

Este es un esquema de máxima seguridad aplicado al gateway VPN. Se utilizan dos DMZ para separar el flujo entrante y saliente de la VPN. Nuevamente los servicios se encuentran en dispositivos separados, pero solo el firewall se conecta a la red externa. Este filtra el flujo VPN entrante y saliente a través de dos DMZ establecidas.

Este esquema, si bien es muy seguro, agrega demora al procesamiento del tráfico ya que se requiere atravesar dos redes además del doble análisis por parte del firewall, sin embargo el tráfico VPN entrante a la red interna es confiable.

Las ventajas son:

 Acceso remoto hacia la red interna es muy seguro.

 Separación del flujo VPN entrante y saliente, lo que permite aplicarle reglas de control de forma más específica.

84

Figura 3-5 Uso de una doble DMZ

Las desventajas son:

 Doble procesamiento del tráfico VPN, proveniente de los clientes

remotos mediante la DMZ Outside y de la red interna a través de la DMZ Inside.

 El firewall es dependiente del protocolo de túnel, al menos

durante el procesamiento en su interfaz conectada en la DMZ

Outside.

 Alto costo administrativo de la configuración