| Artículos | 01 SEP 2002

Clavister Firewall 7.0

Tags: Histórico
Cortafuegos corporativo de defensa para ataques externos
José M. Alarcón.
Nos encontramos ante un producto cortafuegos muy interesante que ofrece características de seguridad y administración avanzadas para entornos corporativos. Hay que distinguir entre dos productos claramente diferenciados dentro de la caja de Clavister Firewall 7. Por un lado tenemos Firewall 7.0 Core, que constituye el núcleo del cortafuegos, la parte que realmente se encarga de analizar el tráfico y proteger nuestra red corporativa. Por otra parte se incluye Firewall 7.0 Manager, que sirve para gestionar desde una ubicación central los diferentes cortafuegos existentes en nuestra red. Esta distinción es importante en este caso, ya que desde el administrador podremos controlar varias instancias de Firewall 7.0 Core ejecutándose en diferentes ubicaciones.
El núcleo del cortafuegos se instala en cualquier equipo que deseemos que actúe como pasarela hacia el exterior e incorpore la protección. Para usarlo no es necesario disponer de ningún sistema operativo instalado, ya que el cortafuegos dispone de su propio sistema operativo especializado, sin problemas heredados de seguridad y con rendimiento optimizado para el trabajo al que está asignado. Ello permite que Clavister Firewall 7.0 soporte tasas de transferencia de datos superiores a los 500 Mbps con múltiples interfaces. Los requerimientos de un equipo capaz de albergarlo son ridículos: un 486 a 25 MHz, con 4 MB de RAM y dos tarjetas de red serán suficientes.
El producto utiliza la tecnología de inspección de estado, la más empleada en cortafuegos avanzados. Ello conlleva que es transparente para los recursos internos, no siendo necesaria la instalación de ningún software ni configuración adicional alguna, que sí sería precisa si se tratara de un servidor Proxy.
Entre sus características podemos destacar sus muchas posibilidades de control de flujo de datos y la capacidad para priorizar el tráfico y limitar el ancho de banda usado. Soporta la traducción dinámica de direcciones basada en NAT para ocultar muchas direcciones protegidas detrás de una única IP, ofreciendo asignación estática de puertos así como de direcciones o rangos de IP. Cada paquete recibido por el cortafuegos se somete a varias comprobaciones de consistencia relacionadas con los tamaños de los encabezados, las opciones configuradas, la fragmentación y sus indicadores. Puede proteger nuestra red frente a ataques DoS (Denial of Service, denegación de servicio) e intentos de “firewalking”. Gracias a que es capaz de soportar hasta 64 interfaces de red, se permite la existencia de múltiples segmentaciones internas de la red y varias zonas desmilitarizadas o DMZ (Demilitarized Zones).
Es posible, con un paquete adicional de alta disponibilidad, combinar dos cortafuegos en paralelo para conseguir redundancia y aumentar así la seguridad ante posibles fallos o caídas de los equipos que los albergan.


Tecnologías de cortafuegos
---------------------------------------
Simplificando, los cortafuegos se basan en tres tecnologías para controlar el tráfico que pasa a su través y tratar de determinar su seguridad:
-Filtrado de paquetes: esta tecnología es la más antigua y la más criticada. Básicamente, estos cortafuegos analizan las direcciones de origen y destino y el número de puerto de cada paquete que los atraviesa, comparándolas con una tabla de reglas predefinidas en función de las cuales se les deja pasar o no. Son relativamente fáciles de engañar mediante técnicas de IP Spoofing y similares, que permiten mentir sobre las direcciones de los paquetes. Además, poseen la desventaja de que ponen en contacto directo los equipos externos e internos cuando dejan pasar un paquete.
-Proxies de aplicación: se colocan entre el exterior y la red interna y analizan los paquetes en función de los servicios a los que van dirigidos. Descartan los paquetes que se pretenden introducir entregándolos directamente ellos mismos, y evitando así el contacto directo de sistemas del exterior con los que se pretende proteger, principal debilidad de anterior tipo de cortafuegos.
-Inspección de paquetes: este tipo es el que utiliza el producto que nos ocupa en este primer contacto, y es el más extendido en la actualidad en cortafuegos de gama alta. Se deriva del primer tipo (filtrado de paquetes), pero además de fijarse en las direcciones de origen y destino analiza también el contenido de los paquetes. Se suelen utilizar dos estilos distintos de verificación de los paquetes: verificación de estado y verificación de sesión. En el primer caso sólo se admiten paquetes que hayan sido previamente solicitados desde el interior del cortafuegos. Cualquier intento de entrada no solicitado (en los servicios que no estén habilitados de otro modo) se descarta. En segundo tipo se basa en el concepto de sesión, evitando toda comunicación una vez que una sesión entre dos equipos (interno y externo) controlada por el cortafuegos se da por terminada por un sistema de confianza.


Clavister Firewall 7.0
-----------------------------
FABRICANTE: Clavister
DISTRIBUIDOR: ABOX
Tel: 934 262 257 www.abox.com
IDIOMA: inglés
PVP: consultar
Calificación: ****

jalarcon@pcw.idg.es

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información