Se exponen las arquitecturas de protección del perímetro (cortafuegos, proxies, red externa, red interna) requeridas para las categorías del sistema Baja, Media y Alta, según el Esquema Nacional de Seguridad (ENS).

Protección del perímetro para sistemas de categoría baja: APP-3

Para los sistemas de las tecnologías de la información sujetos al Esquema Nacional de Seguridad, con categoría baja, se autoriza la arquitectura de protección del perímetro APP-3 o superior, consistente en:

Protección del perímetro para sistemas de categoría baja: APP-3

En la arquitectura de protección del perímetro de tipo 3 (APP-3), se combina un cortafuegos con un intermediario (proxy). Esta arquitectura permite monitorizar y controlar los intercambios de datos y los contenidos, pudiendo establecer reglas precisas de autorización y registro de actividad.

El elemento que hace de cortafuegos está expuesto directamente a ataques desde el exterior. En cambio, el elemento que hace de intermediario ve reducida su superficie de ataque a lo que permita el cortafuegos, además de los ataques procedentes del interior.

Un fallo (vulnerabilidad) en el cortafuegos tiene como consecuencia directa el acceso al interior, o la fuga de datos.

Si el intermediario se viera comprometido, el atacante tendría acceso a la red interior.

Protección del perímetro para sistemas de categoría media: APP-4

Para los sistemas de las tecnologías de la información sujetos al Esquema Nacional de Seguridad, con categoría media, se autoriza la arquitectura de protección del perímetro APP-4 o superior, consistente en:

Similar a la arquitectura anterior APP-3, aunque en este caso el cortafuegos tendrá configurados tres puertos, uno para la red interior, otro para la red exterior y un tercero para el proxy. De este modo conseguimos que el proxy no esté ni en la red interior ni en la exterior, sino en un tramo de red intermedio, que se denomina zona desmilitarizada (DMZ). La diferencia funcional radica en que todo el tráfico de entrada y de salida a nuestra red es filtrado a través del proxy y todos los accesos al proxy deben ser autorizados en los cortafuegos.

La zona DMZ es un tramo de acceso controlado, filtrado por el cortafuegos que protege sus conexiones interna y externa. Es habitual desplegar en esta zona servicios como pasarelas de correo electrónico o de páginas web, de forma que es sencillo filtrar el contenido de los intercambios. También es frecuente desplegar en esta zona servidores DNS que limitan la visibilidad exterior a lo estrictamente necesario.

Esta arquitectura controla entre qué elementos pueden circular paquetes IP, limitando el tráfico permitido:

  • Entre la red interior y el intermediario o proxy.
  • Entre el intermediario (proxy) y la red exterior.
  • No debe autorizarse el paso de paquetes directamente de la red exterior a la interior sin atravesar el intermediario o proxy.

Esta arquitectura permite reducir la exposición de nuestro sistema ante ataques externos o errores internos, ya que el tráfico es filtrado por el cortafuegos. Se controla qué flujos de información se permiten entre el interior y el intermediario. Esto reduce la exposición a ataques o errores internos que puedan llevar flujos no autorizados al intermediario. Así mismo, si el intermediario se viera comprometido, se limita su accesibilidad a la red interior.

Un fallo (vulnerabilidad) en el cortafuegos, tiene como consecuencia directa la posibilidad de acceso al interior, o la fuga de datos.

Protección del perímetro para sistemas de categoría alta: APP-5

Para los sistemas de las tecnologías de la información sujetos al Esquema Nacional de Seguridad, con categoría alta, se autoriza la arquitectura de protección del perímetro APP-5 o superior, consistente en:

Se despliegan, un intermediario (proxy) y dos cortafuegos, dejando un tramo de red intermedio. Esta red intermedia se denomina coloquialmente zona desmilitarizada (DMZ) y no se autoriza que circulen paquetes, directamente entre los cortafuegos.

Un cortafuegos permite la entrada de datos al proxy, mientras que el otro cortafuegos permite la salida de datos del proxy. En ambas direcciones, según requieran los flujos autorizados.

Funcionalmente, esta arquitectura funciona de forma similar a la APP-4, pero dificultamos los ataques al cortafuegos: ahora deben comprometerse dos cortafuegos para atravesar el perímetro sin ser interceptados por el proxy. Para potenciar esta característica se evita que ambos cortafuegos puedan sucumbir como consecuencia de un único vector de ataque, forzando a que sean diferentes: diferente fabricante, diferente software, diferente configuración, diferentes administradores de seguridad, etc.

Esta arquitectura controla entre qué elementos pueden circular paquetes IP, limitando el tráfico permitido:

  • Entre la red interior y el intermediario (proxy).
  • Entre el intermediario (proxy) y la red exterior.
  • No debe autorizarse el paso de paquetes directamente de la red exterior a la red interior sin atravesar el intermediario o proxy.

Comparado con APP-4 se ha eliminado el riesgo de que una vulnerabilidad en un solo cortafuegos se traduzca en una posibilidad de acceso directo a la red interna.

APP-6

Otra arquitectura de seguridad perimetral, aunque no obligatorias para el cumplimiento con el ENS, es la APP-6, consistente en:

Se despliegan, un intermediario (proxy) y dos cortafuegos, pero, a diferencia de la arquitectura APP-5, no existe un tramo de red directo entre los cortafuegos.

Comparado con APP5, eliminamos el requisito de que los cortafuegos deban ser diferentes, al no existir conexión directa entre ellos. El razonamiento tras el requisito de que los cortafuegos sean diferentes es reducir la posibilidad de que una vulnerabilidad en uno de ellos se reproduzca automáticamente en el otro, bien sea una vulnerabilidad hardware, software o de la configuración. Si la vulnerabilidad afecta al encaminamiento de paquetes, en APP-5 sería posible pasar de la red exterior a la red interior directamente. Al no existir la red física en APP-6, ese peligro desaparece.

APP-7

Se puede dar el caso de que la organización tenga unos requisitos de confidencialidad superiores a los que marca el Esquema Nacional de Seguridad, para los que sea recomendable sustituir el intermediario o proxy por una pasarela de intercambio seguro o incluso un diodo. Como resultado quedaría una arquitectura de tipo APP7, consistente en:

Que como se puede apreciar en la imagen anterior, es igual a la APP6, pero sustituyendo el proxy por una pasarela o incluso un diodo.