¿Qué es un Firewall? Cómo funcionan y cómo encajan en la seguridad

Los cortafuegos de red fueron creados como la defensa perimetral primaria para la mayoría de las organizaciones, pero desde su creación la tecnología ha generado muchas iteraciones: proxy, stateful, aplicación Web.

Los cortafuegos han existido durante tres décadas, pero han evolucionado drásticamente para incluir funciones que solían venderse como dispositivos independientes y para obtener datos recopilados externamente a fin de tomar decisiones más inteligentes sobre el tráfico de red que se debe permitir y que se debe bloquear.

1. ¿Qué es un Firewall?

Que es Firewall

Que es Firewall

Un firewall (cortafuego) es un dispositivo de red que monitorea los paquetes que entran y salen de las redes, los bloquea o les permite de acuerdo con las reglas que se han establecido para definir qué tráfico es permisible y qué tráfico no lo es.

Inicialmente ubicados en los límites entre redes confiables y no confiables, los firewalls ahora también se despliegan para proteger los segmentos internos de las redes, como los centros de datos, de otros segmentos de las redes de las organizaciones.

Existen varios tipos de cortafuegos que se han desarrollado a lo largo de los años, haciéndose cada vez más complejos y teniendo en cuenta más parámetros a la hora de determinar si se debe permitir el paso del tráfico. Por lo general, se implementan como dispositivos creados por proveedores individuales, pero también se pueden comprar como dispositivos virtuales, es decir, como software que los clientes instalan en su propio hardware.

2. Tipos de firewalls

Tipos de Firewall

Tipos de Firewall

2.1. Cortafuegos basados en proxy

Estos cortafuegos actúan como una puerta de enlace entre los usuarios finales que solicitan datos y la fuente de los mismos. Los dispositivos del host se conectan al proxy, y el proxy hace una conexión separada a la fuente de datos. En respuesta, los dispositivos de origen hacen conexiones al proxy, y el proxy hace una conexión separada al dispositivo host.

Antes de pasar paquetes a una dirección de destino, el proxy puede filtrarlos para aplicar políticas y ocultar la ubicación del dispositivo del destinatario, pero también para proteger el dispositivo y la red del destinatario.

Ventaja

Los equipos fuera de la red que están protegidos sólo pueden recopilar información limitada sobre la red porque nunca están conectados directamente a ella.

Inconveniente

La terminación de las conexiones entrantes y la creación de conexiones salientes más el filtrado causan retrasos que pueden degradar el rendimiento. A su vez, esto puede eliminar el uso de algunas aplicaciones a través del cortafuegos porque los tiempos de respuesta se vuelven demasiado lentos.

2.2. Cortafuegos de estado

Una mejora del rendimiento en comparación con los cortafuegos basados en proxy se produjo en forma de cortafuegos de estado, que realizan un seguimiento de un reino de información sobre conexiones y hacen innecesario que el cortafuegos inspeccione todos los paquetes. Esto reduce en gran medida el retraso introducido por el cortafuegos.

Al mantener el estado de las conexiones, estos cortafuegos pueden, por ejemplo, no inspeccionar los paquetes entrantes que identifican como respuestas a conexiones salientes legítimas que ya han sido inspeccionadas. La inspección inicial establece que la conexión es permisible, y al preservar ese estado en su memoria, el cortafuegos puede pasar a través del tráfico subsiguiente que es parte de esa misma conversación sin inspeccionar cada paquete.


2.3. Cortafuegos de aplicaciones web

Los cortafuegos de aplicaciones web se sitúan de forma lógica entre los servidores que soportan las aplicaciones web e Internet, protegiéndolos de ataques HTML específicos, tales como secuencias de comandos entre sitios, inyección de SQL y otros. Pueden estar basados en hardware o en la nube, o pueden ser introducidos en las propias aplicaciones para determinar si se debe permitir el acceso a cada uno de los clientes que intentan llegar al servidor.

2.4. Cortafuegos de última generación

Los paquetes pueden filtrarse utilizando algo más que el estado de las conexiones y las direcciones de origen y destino. Aquí es donde entran en juego las NGFW, incorporan reglas sobre lo que se permite hacer a las aplicaciones individuales y a los usuarios, y mezclan los datos recopilados de otras tecnologías para tomar decisiones mejor informadas sobre el tráfico que se debe permitir y el que se debe reducir.

Ejemplo, algunos de estos NGFWs realizan filtrado de URLs, pueden terminar conexiones de capa de sockets seguros (SSL) y de seguridad de capa de transporte (TLS), y soportar redes de área extendida definidas por software (SD-WAN) para mejorar la eficiencia de cómo se aplican las decisiones dinámicas SD-WAN sobre conectividad.

3. Los cortafuegos no son suficientes

Las características que históricamente eran manejadas por dispositivos separados ahora se incluyen en muchas NGFW e incluyen:

3.1. Sistemas de prevención de intrusiones (IPS)

Mientras que las tecnologías básicas de cortafuegos identifican y bloquean ciertos tipos de tráfico de red, los IPSes utilizan una seguridad más granular, como el rastreo de firmas y la detección de anomalías, para evitar que las amenazas entren en las redes. Una vez separadas las plataformas, la funcionalidad IPS es cada vez más una característica estándar del cortafuegos.

3.2. Inspección profunda de paquetes (DPI)

La inspección profunda de paquetes es un tipo de filtrado de paquetes que mira más allá de la procedencia y destino de los paquetes e inspecciona su contenido, revelando, por ejemplo, a qué aplicación se está accediendo o qué tipo de datos se está transmitiendo. Esta información puede hacer posible políticas más inteligentes y granulares para que el cortafuegos las aplique. El DPI puede utilizarse para bloquear o permitir el tráfico, pero también para restringir la cantidad de ancho de banda que se permite utilizar a determinadas aplicaciones.

3.3. Terminación SSL/TLS

El tráfico encriptado por SSL es inmune a la inspección de paquetes profundos porque su contenido no se puede leer. Algunos NGFWs pueden terminar el tráfico SSL, inspeccionarlo, y luego crear una segunda conexión SSL a la dirección de destino deseada. Esto se puede utilizar para evitar, por ejemplo, que los empleados malintencionados envíen información confidencial fuera de la red segura, permitiendo al mismo tiempo el paso del tráfico legítimo. Aunque es bueno desde el punto de vista de la protección de datos, la OMPD puede plantear problemas de privacidad, con la llegada de la seguridad de la capa de transporte (TLS) como una mejora de SSL, esta terminación y proxying puede aplicarse también a TLS.

3.4. Sandboxing

Los archivos adjuntos entrantes o las comunicaciones con fuentes externas pueden contener código malicioso. Mediante el sandboxing, algunos NGFWs pueden aislar estos archivos adjuntos y cualquier código que contengan, ejecutarlos y averiguar si son maliciosos. La desventaja de este proceso es que puede consumir muchos ciclos de CPU e introducir retrasos notables en el tráfico que fluye a través del cortafuegos.

Las características que podrían incorporarse en las NGFW, es el apoyo a la toma de datos recopilados por otras plataformas y su uso para tomar decisiones de cortafuegos. Por ejemplo, si los investigadores han identificado una nueva firma de malware, el cortafuegos puede captar esa información y comenzar a filtrar el tráfico que contiene la firma.

4. Proveedores de cortafuegos más populares

Proveedores Gartner

Proveedores Gartner

Según el último ranking de Gartner de cortafuegos empresariales, los proveedores designados como líderes son Checkpoint, Cisco, Fortinet y Palo Alto Networks. Sophos está al borde del cuadrante de líderes, pero se muestra tímido tanto en la capacidad de ejecución como en la exhaustividad de su visión.

Los cuatro líderes del Cuadrante Mágico de Gartner también son los mejores cuando se miden por la cantidad de ingresos que generan sus productos, según IDC. En conjunto, controlaron más de la mitad de la cuota de mercado de cortafuegos, dijo IDC.

Hace cinco años, los líderes de cortafuegos de Gartner sólo incluían a Checkpoint y Palo Alto, pero en 2017 Fortinet se abrió camino y en 2018 Cisco se unió a la categoría superior.

De estos proveedores, Gartner también otorgó a Cisco, Fortinet y Palo Alto sus premios Customer Choice Awards, que se basan en los comentarios de los clientes sobre sus productos. En total, los clientes revisaron a 17 proveedores y enviaron un total de 3.406 comentarios, de los cuales 2.943 eran sobre los proveedores clasificados como líderes.

Los otros 12 proveedores no mencionados aquí son AhnLab, Barracuda Networks, Forcepoint, GreyHeller, Hillstone Networks, Huawei, Juniper Networks, New H3C, Sangfor, Sonic Wall, Stormshield y Watchguard.

Deja un Comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.