Tallafocs

1 Juny 2014
Josep Ma Solanes 0

Un tallafocs és un dispositiu que es col·loca entre la xarxa pública (la majoria de vegades Internet) i les xarxes privades que es volen protegir. El tallafocs permet controlar el trànsit de dins cap a fora i de fora cap a dins. És el guardià de l’entorn i com a tal podem saber i controlar moltes de les coses que passen a la xarxa. És una eina imprescindible en les xarxes corporatives per no anar donant cops de cec.

Com es munta una xarxa?

Simplifiquem l’entorn. Partim d’una petita xarxa d’ordinadors com pot ser la de casa. En la que podem tenir dos o tres equips connectats a un commutador (switch o router amb funcions de switch) que permet que els equips es comuniquin entre sí.

El diagrama mostra una petita xarxa interna connectada a Internet per una millor comprensió. Els equips que es visualitzen són servidors i ordinadors, en un entorn domèstic segurament no trobaríem servidors, però segurament si portàtils, tauletes, televisions, NAS, etc…

Xarxa interna connectada a Internet sense tallafocs.
Xarxa interna connectada a Internet sense tallafocs.

 

D’aquesta forma des del PC del pare es pot accedir al PC de la mare o al NAS domèstic, la televisió, etc… per a compartir la informació. D’aquesta part en diem xarxa local o interna, que per a nosaltres són els equips amb els què confiem i en tenim el control.

Per un altre costat, va arribar Internet (xarxa externa, de no confiança i sense control) i amb ell la necessitat d’accedir a altres ordinadors fora de la nostra xarxa local. La majoria de llars ja han adoptat un nou aparell anomenat encaminador (router amb anglès) que permet la connexió a Internet. Un encaminador té, el que s’anomena familiarment, dues potes. Una pota pertany a la xarxa local (interna) i l’altre pota pertany a Internet (pública). El que fa l’encaminador és passar el trànsit de la xarxa interna a Internet i a l’inrevés. Com una mena de pont entre les dues xarxes, però sense control.

Es podrien connectar els ordinadors directament a Internet? La resposta és si, però el problema es produeix que les adreces IPs d’Internet (IP v4) són finites i, per tant, no n’hi ha suficients perquè tots els ordinadors del món en tinguin una (en principi ho soluciona el IP v6). D’aquesta forma, només s’assigna una adreça IP pública a la pota d’Internet de l’encaminador. Aquest s’encarrega de substituir l’adreça IP dels equips de la xarxa interna, per l’adreça IP pública que se li ha assignat a l’encaminador. Sense posar cap limitació des de la xarxa interna a Internet, però sí un bloqueig des d’Internet a la xarxa interna.

En el cas de voler permetre accedir a serveis de la xarxa interna per equips que es troben a Internet, cal obrir els ports (habitualment TCP i UDP), dirigir les peticions d’Internet a la IP pública cap a equips i/o serveis ubicats dins la xarxa. Per exemple, un servidor Web, el telèfon de veu IP, la VPN, etc…

Amb l’encaminador es poden obrir els ports, però no es pot tenir un control del trànsit que circula per ells. Queden exposats a tothom.

I la funció del tallafocs?

El tallafocs, permet posar ordre a aquesta situació, permet obrir ports, però potser no per a tothom, en certes hores, en certes circumstàncies, controlant l’ample de banda, etc… Tant de la xarxa interna cap a Internet com des d’Internet a la xarxa interna.

El fet de poder controlar de forma centralitzada tot el trànsit, fa possible aplicar intel·ligència a aquest punt central. Per exemple: l’anàlisi de virus, malware, botnets, geolocalització, filtres de contingut per accés a segons quines pàgines, protecció davant d’atacs a nivell del servei, balancejar trànsit entre varies connexions a Internet, etc… Quan un tallafocs incorpora totes aquestes funcionalitats, que avui en dia és el més normal de demanar, també s’anomenen UTMs.

Tornant a la nostra petita xarxa, què implicaria incorporar el tallafocs? Afegir un element central entre la xarxa interna i la xarxa pública, darrera de l’encaminador. El diagrama mostra esquemàticament la configuració d’un petit entorn amb tallafocs, on s’incorpora una zona desmilitaritzada (DMZ) per a la publicació de serveis públics, per exemple, la web corporativa, extranet, etc…

L’experiència m’ha portat a configurar una xarxa de trànsit entre l’encaminador i el tallafocs, sempre que l’encaminador ho permeti. D’aquesta manera es deleguen els problemes derivats de la connexió a Internet al proveïdor de la mateixa. L’encaminador es configura per dirigir totes les peticions a la IP pública cap a la IP de la xarxa de trànsit del tallafocs. S’ha de fer un sobre esforç per configurar correctament els dos dispositius, però evita problemes amb l’ISP.

L’altre forma de configurar-ho és traslladant la IP pública a la pota de la xarxa de trànsit del tallafocs. Això s’aconsegueix configurant l’encaminador en mode mono lloc, delegant completament la gestió de la IP al tallafocs. No obstant, els últims canvis en els paràmetres d’ADSL i Fibra Òptica que es donen a Espanya, fa que hi pugui haver talls de connexió o sincronització amb el proveïdor. Hi ha menys càrrega tècnica, però pot derivar a talls en la connexió.

Xarxa interna connectada a Internet mitjançant un tallafocs que també controla una zona desmilitaritzada (DMZ).

Xarxa interna connectada a Internet mitjançant un tallafocs que també controla una zona desmilitaritzada (DMZ).

Un cop el trànsit d’Internet arriba al tallafocs, comença la diversió. Què en fem? publiquem un servidor Web que el tenim a la DMZ, obrim una connexió d’escriptori virtual, rebem correu electrònic, permeten la connexió entre la DMZ i la xarxa interna, i a l’inrevés, etc… Les possibilitats de gestió són moltes amb el que ens permet tenir un cert control sobre l’estructura.

D’on trec un tallafocs?

Aquí depèn de l’ús que se n’hagi de fer i les capacitats del trànsit a controlar. Es poden trobar encaminadors amb funcions de tallafocs incorporades (per les xarxes domèstiques, per exemple), tallafocs virtuals (la majoria de tallafocs són sistemes operatius complexes) i tallafocs físics (aparells dedicats que processen grans quantitats d’informació).

En quan a virtuals o físics, trobem distribucions basades en GNU/Linux enfocades a ser un tallafocs. Tot i que la pots muntar al teu gust amb qualsevol distribució i l’IPTABLES, aquestes venen preparades per ser un tallafocs:

 

A nivell empresarial parlem d’aparells específics amb el què, a més, de la gestió de grans quantitats de trànsit es demana un centre de respostes al darrera (actualitzacions de bases de dades de firmes, malware, botnets, IDS, IPS, etc…):

  • Etc..

 

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Similar Posts by The Author:

 

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada