Para implementar una apropiada seguridad se deben seguir tres reglas fundamentales:
1. Cualquier sistema visible desde internet debe residir en la DMZ y no puede contener información sensible
2. Cualquier sistema con información sensible debe residir sobre la red privada y no ser visible desde internet
3. La única manera un sistema DMZ puede comunicarse con un sistema de la red privada es a través de un proxy sobre el nivel de middleware
Estas tres reglas son un ejemplo para la separación de recursos en funcionamiento: se ubican sistemas con diferentes requerimientos de seguridad en áreas separadas. En este ejemplo agrupar recursos similares permite controlar como interactúan los recursos en diferentes grupos. Fortalecer tales restricciones de acceso frecuentemente es el trabajo de un firewall.
Instalar un firewall es una de las maneras más fundamentales para proteger los sistemas de ataques externos. La decisión de utilizar un firewall es bastante simple, pero una pregunta más interesante es: "¿Dónde debería colocarse?". La idea es posicionar el firewall en una localización la cual permita controlar el acceso o restringir tráfico el cual cruza los límites de las secciones de una red.
Primero, el firewall necesita estar localizado en un lugar el cual permita garantizar cualquier tráfico saliente es legítimo. Asimismo también se quiere controla conexiones entrantes. Esto significa el firewall debe estar en una posición la cual permita otorgar peticiones de conexión para los servidores web, de correo y DNS. El firewall también debe ser capaz de bloquear las conexiones entrantes hacia los sistemas sobre la sección privada de la red.
Para ayudar a determinar el lugar óptimo para el firewall, considerar las rutas básicas el tráfico puede transitar sobre la red:
Desde sistemas privados hacoa internet
Desde sistemas privados hacia servidores semipúblicos
Desde servidores semipúblicos hacia internet
Desde internet hacia servidores semipúblicos
Conocer las rutas básicas de red ayuda a determinar el mejor lugar para un firewall (o varios). Los firewalls deben estar localizados en las intersecciones de las rutas descritas anteriormente. Ahora se ha determinado el lugar del firewall, se debe mirar en añadir capas defensivas adicionales para proteger aún más la red.
La defensa en profundidad es fundamental para el diseño de una red segura. Cualquier software puede tener una falla, el hardware puede fallar, y cualquiera puede cometer un error en la configuración. Para compensar estas posibilidades, no se debe depender de un solo sistema o proceso para defender los datos. Por lo tanto se implementan varias capas de defensa para abarcar cualquier punto de falla.
En el contexto de ejemplo, separar los sistemas en varias secciones de red es una capa de defensa. Configurar el firewall para restringir como el tráfico cruza los límites de las secciones es otra. Otro mecanismo de defensa a emplear es un dispositivo funcionando en conjunción con el firewall para filtrar el tráfico entrando y saliendo de la red.
Este dispositivo puede ser un router del borde ubicado entre el ISP y firewall.
Un router del borde puede utilizarse para filtrar ciertos tipos de tráfico de red los cuales obviamente no son deseados. Por ejemplo el router puede ser configurado para bloquear paquetes los cuales supuestamente provienen de direcciones IP no válidas, como las asignadas a direcciones privadas definidas por el RFC 1918. Similarmente solo los paquetes con direcciones IP de origen encontrándose dentro del rango asignado por el ISP deberían salir desde la red de la empresa. Aunque un firewall puede ser configurado para fortalecer restricciones como esta, el firewall ayuda a proteger el host del firewall de ataque. También asiste al firewall aliviando parte de la carga y permitiendo procesar tráfico para el cual está optimizado maneje.
Fuentes: