Hoy os voy ha hablar de firewalls, pero no de si cerrar o no cerrar puertos, vamos a hablar de lo que nos puede aportar un firewall de nueva generación que agrupa todo un conjunto de servicios de la red, generalmente orientados a la auditoria, control y seguridad. Para ilustrar este escenario me voy a basar en un caso real, omitiendo las referencias, que el equipo de ICA, Informática y Comunicaciones Avanzadas ha implementado. ¡¡Vamos allá!!
Recientemente hemos efectuado un proyecto que ha puesto de manifiesto de forma clara las ventajas de los Next Generation FireWalls, a partir de ahora NGFW. Vamos a entender un NGFW como un firewall que además de filtrar paquetes, puede enrutarlos, aplicarles políticas de seguridad, analizar los paquetes en varias capas OSI, etc.. Convenientemente dimensionado, este equipo ofrece un throughput, rendimiento, más que suficiente a la vez que permite implantar un conjunto de servicios adicionales de alto valor (Antivirus, IPS, Detectores de Fuga de Información – en inglés Data Loss Prevention o DLP, etc..) .
Organización inicial de la red
Estrategia de firewalling clásica
La organización inicial de red que había, como se muestra en la siguiente figura, era una organización en la que había un core de red, un firewall Cisco ASA, un balanceador F5 y un switch. Había políticas de enrutamiento en el Cisco ASA, el F5 y el switch. Esta arquitectura provocaba que la gestión del routing fuera compleja, y la aplicación de sistemas de detección de fuga de información, antivirus y detectores de intrusión fuera realmente complicado.
La aproximación con NGFW
El equipo que se ha montado es un Fortinet 1500D, con la arquitectura mostrada en la figura de la siguiente.
La idea es que el enrutamiento se hace en el NGFW, de modo que se inspecciona todo el tráfico que se debe enrutar: de y hacia los servidores, de y hacia la DMZ, entre VLANS y todo lo que vaya a salir de la compañía. Si se desea emplear balanceadores de carga, se pueden colocar en la zona de servidores, pero que solamente balanceen carga.
El resultado es una arquitectura muy limpia, fácil de mantener y ampliar, donde además podemos dotar a la infraestructura de mecanismos de seguridad integrados, maximizando su efectividad y manteniendo la armonía arquitectónica.
Agradecimientos: Ricard Ballesta, Responsable de Redes y Seguridad de ICA en Barcelona.
Pere
Deja un comentario