Seguridad perimetral 8min de Leitura - 05 de agosto de 2015

Firewall definición: Mejore sus conocimientos de seguridad

Frente de um servidor

This post is also available in: Português English Español

Firewalls se presentan como uno de los principales dispositivos en una arquitectura de seguridad, así como en una estrategia de seguridad en profundidad, protegiendo el perímetro fijo de las empresas. El alcance de los firewalls ha evolucionado mucho a lo largo del tiempo (ver artículo Firewall: Historia), y especialmente por eso, conocer los principales tipos y entender las diferencias es fundamental para profesionales de seguridad.

A lo largo de este material vamos a introducir el concepto, la terminología, los diferentes tipos, así como la evolución de las tecnologías a lo largo de los años. Aproveche la lectura y mejore sus conocimientos acerca de Firewalls.

Firewall: definición y principios básicos

Firewall no es más que un concepto que, transformado en un activo ante una infraestructura, tiene la capacidad de permitir el paso de determinados tráficos. Cuando se aplica a un equipo final, o endpoint, un firewall determina lo que puede entrar y salir en términos de paquetes/información de red, permitiendo mayor control sobre dicho equipo.

El concepto de Firewall también puede ser aplicado a dispositivos, estratégicamente colocados entre redes, por donde la comunicación obligatoriamente necesita pasar para llegar hasta un determinado destino. En estos casos, más común en empresas, proveedores y otros, la importancia de control sobre las comunicaciones es fundamental, regulando lo que puede o no transitar en las redes interconectadas por el firewall.

Por eso, de manera resumida y simplificada, un firewall no es más que un activo (software o hardware) que debe colocarse en una posición estratégica dentro de una topología de red, por donde el tráfico necesita ser afilado. Una vez que esto sucede, este dispositivo pasa a tener control de lo que puede o no traer en la red.

Para quedarse un poco más claro, vamos a imaginar una empresa con topología bastante simplificada. Esta empresa posee comunicación con Internet, y también cuenta con una red interna. El firewall será un dispositivo conectado directamente a Internet, y también conectado a la red interna. De esta forma, la única manera posible de la red local acceder a Internet es pasando por el firewall. En este momento hay, por lo tanto, la posibilidad de control de lo que puede o no transitar en el ambiente, tanto de internet a la red local, como en el sentido contrario.

Imagine ahora un escenario un poco más complejo: una empresa con 2 enlaces con Internet, y 4 redes locales. El firewall puede interconectar estas 4 redes, administrando lo que debe o no pasar por ellas, además de garantizar lo que puede venir de Internet, o salir de internet, por cada una de las redes o computadoras conectadas a ellas.

Por su ubicación e importancia, el firewall se presenta como una pared de fuego dentro de una topología de red, especialmente protegiendo redes privadas y públicas, pero no sólo esto. El icono más asociado en imágenes para la representación de un firewall, no accidentalmente, es una pared o muro en llamas.

Tipos de firewall

Los tipos de firewall están asociados a la evolución técnica a lo largo del tiempo, y más recientemente, también relacionados con el marketing realizado por las empresas para comunicar los recursos de seguridad en sus productos. Esto es interesante y al mismo tiempo inspira cuidados, especialmente al comparar tecnologías, pues es común que los fabricantes traten un determinado concepto con nomenclaturas totalmente diferentes.

Haremos un resumen de las terminologías utilizadas actualmente para diferenciar el propósito de cada una de ellas. Es importante destacar que muchos de los recursos, aunque de primera o segunda generación, continúan siendo utilizados por soluciones actuales, pues forman la base de control necesaria para el funcionamiento de los filtros.

Aunque son asuntos un poco más técnicos trataremos, dentro de lo posible, en carácter informativo, facilitando el entendimiento del funcionamiento, propósito y extensión de cada tecnología o concepto.

Firewall Stateless y Stateful

El concepto detrás del filtrado stateless (sin estado) y stateful (con estado) está relacionado con el formato de filtro de paquetes aplicado. Mientras que los filtros sin estado no tienen conocimiento de las conexiones, tratando cada paquete de manera independiente sobre el punto de vista del filtrado, firewalls stateful utilizan un mecanismo auxiliar llamado tabla de estados o conexiones, que mantiene el registro actualizado del estado de cada conexión que transita por el dispositivo.

En la práctica, esta diferencia permite que los firewalls stateful produzcan ahorros de número de reglas, mayor velocidad en la validación de las reglas y especialmente mayor seguridad para el ambiente, ya que evalúan otros datos de la conexión además de direcciones y puertos, dependiendo del protocolo de transporte utilizado.

Consideramos entonces que stateful es una evolución natural del mecanismo stateless, pero ambos continúan en uso hasta los días actuales y componen elemento esencial para soluciones de seguridad de la información.

Firewall Proxy

El término firewall proxy, o simplemente proxy, se aplica a controles más especializados sobre un determinado protocolo de aplicación. Los proxies funcionan de manera complementaria en una arquitectura de seguridad, ofreciendo un control más profundo de acuerdo con los comportamientos y características del protocolo soportado.

El ejemplo que podemos traer como más común, facilitando el entendimiento, se trata del control de navegación, en el que se pueden gestionar los accesos a los sitios de acuerdo con diversos parámetros como usuarios, direcciones, horarios y otros. Mientras que un firewall stateless y stateful actuaría permitiendo o bloqueando el acceso al puerto utilizado para navegación (actuando hasta la capa 4), el proxy HTTP tiene la visibilidad de la última capa ofreciendo, por lo tanto, mayor flexibilidad para la aplicación de políticas de acceso.

En muchos casos, los proxies de aplicación actúan de manera transparente en una arquitectura de seguridad, donde el tráfico al puerto asociado al servicio se dirige automáticamente al proxy y los controles se aplican de acuerdo con la necesidad de la empresa. En otros casos, sin embargo, es necesario configuración o intervención manual, para que se tenga acceso al proxy y uso del servicio.

Otro ejemplo interesante de integración y complementariedad de firewalls stateful con proxy es que si el último es manual y no está debidamente configurado en un dispositivo (computadora, tablet, smartphone, etc.), el filtro de paquetes con estado puede bloquear el acceso, forzando que determinada aplicación sólo funcione a través del proxy.

Por la diversidad de aplicaciones y servicios, no es común y no hay necesidad de proxies para cada servicio. Por lo tanto, es más común ver proxies actuando de manera especializada en los protocolos HTTP, FTP, IMAP, POP3, SMTP y otros. Los proxies pueden actuar tanto en el sentido de salida de conexiones, como de entrada, en estos casos más conocidos como proxies inversos.

Un proxy inverso permite centralizar un conjunto de aplicaciones y publicarlas en la red, en base a lo que se solicita, el proxy dirige al activo que tiene determinada información o aplicación. Como todo tráfico termina siendo apilado en el proxy, los ataques se pueden detectar antes de que el paquete se reenvíe a la aplicación de hecho.

Es bastante común el uso de proxy inverso para la publicación de aplicaciones web en Internet, donde el servidor no está directamente expuesto y todo el tráfico pasa por una capa intermedia de seguridad. Otros recursos comúnmente utilizados en las arquitecturas de proxy inverso son el equilibrio de carga, la compresión de tráfico, que permiten la construcción de ambientes altamente disponibles y tasas considerables de ahorro de banda.

Deep Packet Inspection o Inspección Profunda de Paquete (DPI)

Los retos de seguridad a lo largo del tiempo crecieron de tal manera que analizar y filtrar los paquetes basados en la información de cabecera se hicieron insuficientes para garantizar la integridad de los entornos, ya que los ataques se dirigían cada vez más a la capa de aplicación. Los sistemas de detección de intrusiones (IDS) y posteriormente la evolución de los sistemas de prevención de intrusiones (IPS) han añadido el concepto de inspección profunda de paquetes o una inspección profunda de contenido.

A través de este concepto, los paquetes ya no son analizados solamente basados en la información almacenada en sus encabezados, pero especialmente en su contenido. Con un modelo basado en firmas, los datos de los paquetes son analizados y si se identifica algún comportamiento anómalo o ataque, una acción es tomada registrando el evento, bloqueando la conexión, entre otras facilidades.

En el caso de los proxies, la capacidad de analizar aplicaciones por parte de IDS/IPS no es necesariamente amplia, pues es obligatorio conocer el comportamiento del protocolo para insertar los análisis y comparaciones con base en el conocimiento existente de la solución (asignaciones). Como una porción mucho mayor de información se almacena en el área de datos de un paquete, es común que este mecanismo ofrezca mayor consumo de recursos computacionales, especialmente CPU.

Ratificando la importancia de varios elementos de seguridad en una arquitectura realmente robusta, incluso los proxies actuando en su gran parte en el área de encabezado de la capa de aplicación, el área de datos en general no se visualiza. El concepto de DPI, presente en IDS/IPS, permite añadir esta visibilidad y por consiguiente tener un entorno de seguridad más robusto, menos susceptible a ataques.

Unified Threat Management o Gestión Unificada de Amenazas (UTM)

La percepción de que era necesario agregar cada vez más mecanismos de seguridad de la información en una única solución, incluso trabajando de manera integrada para construir ambientes más seguros, hizo surgir naturalmente el concepto de UTM, o Gestión Unificada de Amenazas.

Se trata de una clasificación comercial para soluciones que poseen filtro de paquetes, proxies, VPN, IDS/IPS, antivirus y otras características, dentro de una misma solución. Esto permitió a los fabricantes crear materiales publicitarios buscando diferenciar las soluciones presentadas al mercado.

Aunque reunir tantos elementos complementarios en una sola caja puede parecer una solución fundamental para los retos de seguridad, hay tantas otras implicaciones que hacen que la implementación por sí misma sea bastante compleja: cuanto más elementos de seguridad, más recursos de hardware son necesarios. Dependiendo del tamaño de la organización, UTM puede representar un problema para el rendimiento, o incluso el presupuesto, ya que requieren hardware altamente robusto para satisfacer la demanda generada por los usuarios.

Next Generation Firewall o Firewall de próxima generación

NGFW o Firewall de próxima generación puede ser entendido como un sucesor de los UTM, especialmente en lo que se refiere al desafío de garantizar seguridad en profundidad para los ambientes, sin impactar en la utilización de los recursos computacionales. Para ello, la contribución fundamental del NGFW es la aplicación de políticas de seguridad basadas en el conocimiento de las aplicaciones, así como ataques asociados a las mismas.

Las premisas básicas para clasificar un firewall como de próxima generación es la característica de visibilidad y control basado en la aplicación, además de la inspección de contenido SSL/SSH, control web basado en categorías, integración de antivirus y capacidad de comunicación con servicios de terceros, como Active Directory.

Los mecanismos de seguridad citados anteriormente continúan presentes en la arquitectura de un NGFW, como filtrado de estado, recursos NAT/PAT, IPS, proxies y otros. La gran diferencia, sin embargo, es la simplificación en la gestión de seguridad ofrecida a través de la visibilidad de las aplicaciones.

Este concepto de visibilidad de aplicación, desarrollando el ejemplo citado referente al tráfico HTTP, se trata de la capacidad de diferenciar los recursos de Facebook en fotos, vídeos, juegos, publicidad, chat, me gusta, compartir y permitir que la política de seguridad pueda llevar en consideración ese nivel de granularidad, y no sólo permitir o negar el acceso a la dirección facebook.com.

Otro aspecto fundamental de un NGFW es detectar el tipo de aplicación basada en el tráfico, y no necesariamente en el puerto y el protocolo utilizado en la comunicación. Esto quiere decir que, independientemente de si una aplicación utiliza su puerto predeterminado o no, el tráfico se identificará correctamente y la política aplicada.

¿Ya puede identificar el tipo de firewall utilizado en su empresa? Comente con nosotros sus experiencias y vea cómo las tecnologías actuales pueden hacer más por su empresa. No deje de leer nuestro artículo sobre las principales diferencias entre UTM y NGFW.

This post is also available in: Português English Español