Los diferentes tipos de firewalls y cómo evolucionaron para proteger las redes corporativas

Un firewall es un sistema diseñado para prevenir el acceso no autorizado a o desde una red privada. Aunque técnicamente preciso, esta definición solo nos dice qué hace un firewall y no aborda la pregunta más importante de cómo lo hace. Para los administradores que se centran continuamente en mantener seguras sus redes, es útil analizar más de cerca cómo funcionan los firewalls y cómo han evolucionado en los últimos años para proteger mejor nuestras redes corporativas.

Índice de Contenido
  1. Firewalls de primera generación: Filtrado de paquetes
  2. Firewalls de inspección de paquetes en estado
  3. Firewalls de segunda generación: Servicios de proxy
  4. Firewalls evolucionados: La tercera generación
  5. Conclusión

Firewalls de primera generación: Filtrado de paquetes

Uno de los tipos más simples y menos costosos de protección de firewall se conoce como filtrado estático de paquetes. Con este enfoque, cada paquete que entra o sale de la red se verifica y se pasa o se rechaza según un conjunto de reglas definidas por el usuario. El firewall examina cada paquete individualmente y aplica su conjunto de reglas para determinar cuál permitir o denegar. Puedes comparar esta forma de seguridad a un guardaespaldas en un club que permite el ingreso de personas mayores de 21 años y rechaza a aquellos que no cumplen con los requisitos de edad. El firewall de filtrado estático de paquetes examina cada paquete en función de los siguientes criterios:

  • Dirección IP de origen
  • Dirección IP de destino
  • Puerto de origen TCP/UDP
  • Puerto de destino TCP/UDP

Por ejemplo, para permitir el envío y recepción de correos electrónicos a través de un servidor SMTP, se insertaría una regla en el firewall que permitiera todo el tráfico de red con un puerto de origen y destino TCP de 25 (SMTP) y la dirección IP del servidor de correo como dirección IP de origen o destino. Si este fuera el único filtro aplicado, todo el tráfico de red no relacionado con SMTP que tenga su origen fuera del firewall y tenga como destino la dirección IP del servidor de correo sería bloqueado por el firewall.

Muchas personas se preguntan si un enrutador con una lista de acceso es un firewall. La respuesta es sí, un firewall de filtrado de paquetes puede ser esencialmente un enrutador con capacidades de filtrado de paquetes. (Casi todos los enrutadores pueden hacer esto). Los filtros de paquetes son una opción atractiva cuando tienes un presupuesto limitado y donde los requisitos de seguridad se consideran bastante bajos.

Pero hay limitaciones. Los firewalls de filtrado de paquetes básicos son susceptibles al spoofing de IP, donde un intruso intenta obtener acceso no autorizado a computadoras enviando mensajes a una computadora con una dirección IP que indica que el mensaje proviene de un host de confianza. Los expertos en seguridad de la información creen que los firewalls de filtrado de paquetes ofrecen la menor seguridad porque permiten una conexión directa entre puntos finales a través del firewall. Esto deja la posibilidad de explotar una vulnerabilidad. Otra desventaja es que esta forma de firewall rara vez ofrece suficientes capacidades de registro o informes.

Firewalls de inspección de paquetes en estado

Dentro de la misma generación de firewalls de filtrado de paquetes estáticos se encuentran los firewalls de inspección de paquetes en estado. Este enfoque examina el contenido de los paquetes en lugar de simplemente filtrarlos, es decir, considera tanto el contenido como las direcciones. Puedes compararlo con el agente de seguridad en un aeropuerto. Un boleto valida que debes viajar desde tu origen a tu destino, sin embargo, tus pertenencias deben ser revisadas para llegar a tu destino final.

Cómo solucionar problemas de políticas de grupo con RSoP

Estos firewalls se llaman en estado porque pueden permitir sesiones salientes mientras niegan sesiones entrantes. Tienen en cuenta el estado de las conexiones que manejan para que, por ejemplo, un paquete entrante legítimo pueda coincidir con la solicitud saliente correspondiente a ese paquete y se le permita ingresar. Por el contrario, se puede bloquear un paquete entrante que pretenda ser una respuesta a una solicitud saliente inexistente. Al usar algo conocido como filtrado de sesión o inteligente, la mayoría de los firewalls de inspección en estado pueden realizar un seguimiento efectivo de la información sobre el inicio y fin de las sesiones de red para controlar de manera dinámica las decisiones de filtrado. El filtro utiliza reglas inteligentes, mejorando así el proceso de filtrado y controlando la sesión de red en lugar de controlar los paquetes individuales.

Los enrutadores básicos normalmente no realizan inspecciones de paquetes en estado a menos que tengan un módulo especial como la función de firewall en los enrutadores Cisco. Por lo general, se requiere un dispositivo de firewall dedicado o un servidor (con software) cuando el nivel de seguridad exige inspección en estado de los datos dentro y fuera de una red. Aunque la inspección de paquetes en estado ofrece una mayor seguridad y un mejor registro de actividades en comparación con los filtros de paquetes estáticos, también tiene sus limitaciones. Configurar reglas de inspección de paquetes en estado es más complicado y, al igual que el filtrado de paquetes estáticos, este enfoque permite una conexión directa entre puntos finales a través del firewall.

Firewalls de segunda generación: Servicios de proxy

La siguiente generación de firewalls intentó aumentar el nivel de seguridad entre redes confiables y no confiables. Conocido como firewalls de puerta de enlace o de proxy de aplicación, este enfoque de protección es significativamente diferente de los filtros de paquetes e inspección de paquetes en estado. Un firewall de puerta de enlace de aplicación utiliza software para interceptar conexiones para cada protocolo de Internet y realizar una inspección de seguridad. Implica lo que comúnmente se conoce como servicios de proxy. El proxy actúa como una interfaz entre el usuario en la red interna confiable y Internet. Cada computadora se comunica con la otra al pasar todo el tráfico de red a través del programa proxy. El programa proxy evalúa los datos enviados por el cliente, decide qué enviar y qué descartar. Las comunicaciones entre el cliente y el servidor ocurren como si el proxy no estuviera allí, con el proxy actuando como el cliente al hablar con el servidor y como el servidor al hablar con el cliente. Esto es similar a un traductor de idiomas que es quien dirige y envía la comunicación en nombre de las personas.

Muchos expertos en seguridad de la información creen que los firewalls de proxy ofrecen el más alto grado de seguridad porque el firewall no permite que los puntos finales se comuniquen directamente entre sí. De esta manera, una vulnerabilidad en un protocolo que podría pasar desapercibida para un filtro de paquetes o un firewall de inspección de paquetes en estado podría ser detectada por el programa proxy. Además, el firewall de proxy puede ofrecer el mejor registro e informe de actividades.

Por supuesto, esta solución de seguridad está lejos de ser perfecta. Para utilizar el firewall de proxy, un protocolo debe tener un proxy asociado a él. La falta de un proxy puede impedir que un protocolo sea manejado correctamente por el firewall y potencialmente puede ser descartado. Además, generalmente hay una penalización de rendimiento por usar este tipo de firewall debido al procesamiento adicional necesario para los protocolos a nivel de aplicación.

Firewalls evolucionados: La tercera generación

La generación más nueva de firewalls puede definirse como una seguridad perimetral de última generación integrada en los principales componentes de la red. Estos sistemas alertan a los administradores en tiempo real sobre actividades sospechosas que pueden estar ocurriendo en sus sistemas. Aunque puede ser difícil de asimilar, esta nueva generación de firewall ha evolucionado para cumplir con los principales requisitos exigidos por las redes corporativas de aumentar la seguridad al mismo tiempo que se minimiza el impacto en el rendimiento de la red. Los requisitos de la tercera generación de firewalls serán aún más exigentes debido al creciente soporte para VPN, comunicación inalámbrica y una protección antivirus mejorada. El elemento más difícil de esta evolución es mantener la simplicidad del firewall (y por lo tanto su mantenibilidad y seguridad) sin comprometer la flexibilidad.

Por qué los firewalls no son suficientes para asegurar tu empresa

La categoría más reciente de firewalls que intentan satisfacer esta demanda realiza lo que se ha denominado inspección de múltiples niveles en estado o SMLI. Los firewalls SMLI eliminan la redundancia y la naturaleza intensiva en recursos del hardware de proxy. El enfoque único de SMLI examina todo el paquete, las capas OSI del 2 al 7, y compara rápidamente cada paquete con los patrones de bits conocidos de los paquetes confiables antes de decidir si se pasa el tráfico. Combinado con o integrado en un sistema de detección de intrusiones (IDS), SMLI ofrece el primer vistazo a esta nueva definición de firewall. Entre los productos que utilizan esta nueva tecnología se encuentran Check Point's FireWall-1, Internet Manager de Elron Software y la línea de productos de seguridad de acceso de SonicWall.

Conclusión

Independientemente de la generación de firewall que estés utilizando actualmente o estés considerando, lo más importante es que coincida el producto con los requisitos de seguridad específicos de tu organización. No querrás pagar más de lo necesario o terminar con menos protección de la que tu organización demanda. Puede ser útil consultar la lista de firewalls certificados por ICSA en tu proceso de evaluación.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Los diferentes tipos de firewalls y cómo evolucionaron para proteger las redes corporativas , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.