Un firewall es un dispositivo cuyo propósito es conectar dos o más redes diferentes y que es atravesado por el tráfico que va de una red a otra. Estas redes pueden pertenecer a diferentes zonas de seguridad: algunas son más confiables y necesitan más protección, y otras son más riesgosas.
Por lo tanto, el firewall implementa políticas de seguridad a través de las cuales se determina el tráfico que puede pasar de una red a otra y el que debe ser bloqueado, por ser riesgoso para la red o redes a proteger.
Hasta hace no muchos años, cuando las medidas de seguridad en la empresa se centraban casi exclusivamente en la defensa perimetral, el firewall era el centro neurálgico de la infraestructura de seguridad de la empresa.
Con la evolución de los sistemas de información de las empresas y la difuminación gradual del perímetro corporativo, el firewall ha perdido su importancia, hasta el punto de que algunos han llegado a especular que es inútil.
Pero esto no es cierto, porque el firewall no ha permanecido igual. De hecho ha evolucionado con el tiempo para adaptarse a las nuevas infraestructuras y amenazas. Y aunque actualmente es una de las muchas tecnologías de seguridad desplegadas en la empresa, sigue desempeñando un papel importante.
El firewall: cómo funciona
Los puntos fundamentales del firewall son la definición de las políticas, tarea del equipo que gestiona el propio firewall, y los parámetros por los que se pueden definir estas políticas, tarea del fabricante del firewall.
Las políticas de seguridad se implementan generalmente mediante las denominadas listas de control de acceso (ACL), es decir, listas ordenadas de condiciones (por ejemplo, sobre IP y protocolos) a las que se asocia un objetivo (por ejemplo, permitir/denegar): al final de la lista está el objetivo por defecto.
Cada paquete se compara por orden con todas las condiciones y se envía al objetivo o se descarta en función de cuál sea el objetivo de la primera ACL para la que se cumpla la condición. Si no se cumple ninguna condición, el paquete se descarta o se envía a su destino según lo que prevea el objetivo por defecto.
La evolución del firewall
El firewall se originó en la década de 1990 como una funcionalidad de filtrado de paquetes incorporada en los equipos de red.
El filtrado de paquetes permite que las condiciones de la ACL se basen en las direcciones IP de origen y destino, el protocolo de transporte y el puerto.
Firewalls de filtrado de paquetes
Una de las primeras evoluciones de los firewalls de filtrado de paquetes fue el firewall con funcionalidad de inspección de estado. El firewall stateful guarda información sobre el estado de la conexión, por lo que es posible definir una condición en una ACL no solo por la dirección IP, el protocolo de transporte y el puerto, sino también por el estado de la conexión de la que forma parte el paquete.
El seguimiento del contexto del paquete permite una mayor seguridad al inspeccionar los paquetes.
Firewalls de aplicación
Posteriormente, surgió la necesidad de escalar la pila de protocolos ISO/OSI, creando así los denominados firewalls de aplicación, es decir, firewalls capaces de comprender y, por tanto, definir condiciones de filtrado, en los protocolos de red de la capa de aplicación (HTTP, SMTP, etc.).
Firewalls de aplicaciones web
Esta necesidad ha provocado la aparición de soluciones de seguridad especializadas, como los sistemas de prevención de intrusiones (IPS), aparatos capaces de reconocer y filtrar los patrones de ataque, y los firewalls de aplicaciones web (WAF), aparatos capaces de reconocer y bloquear los ataques a las aplicaciones web.
Firewalls de gestión unificada de amenazas
Dado que la presencia de varios dispositivos de seguridad de red complicaba la gestión del personal de seguridad, aparecieron en escena los llamados firewalls de gestión unificada de amenazas (UTM), es decir, dispositivos de seguridad caracterizados sobre todo por su sencillez, que combinan varios tipos de productos en su interior: además del firewall y los mencionados IPS y WAF, también antispam, antimalware, filtrado de URL, etc.
De nueva generación
En 2009, Gartner acuñó el término firewall de nueva generación para indicar los aparatos altamente personalizables con inspección profunda de paquetes, prevención de intrusiones, capacidad de reconocer las aplicaciones (y no solo el protocolo de aplicación) y funciones antimalware con inteligencia desde el exterior.
Por último, primero los paradigmas de la virtualización y luego los de la red definida por software (SDN) se han aplicado también a los firewalls, hasta el punto de que ahora se habla de seguridad definida por software. Hoy en día, los principales proveedores de nubes también ofrecen firewalls virtuales como parte de sus servicios IaaS.
Tipos de Firewalls
Los tipos de filtrado, introducidos en la sección sobre la evolución (anteriormente), también pueden ser útiles para clasificar los firewalls. Otro tipo de clasificación puede derivar del tipo de uso para el que están diseñados, o de la forma en que se suministran.
Firewall para empresas
Un firewall para empresas está diseñado para proteger las redes corporativas, ofrece muchas funcionalidades y suele ser complicado de utilizar, por lo que requiere personal especializado.
Firewall personal
Un firewall personal, por otro lado, está diseñado para proporcionar protección en un único host o en una pequeña red. Suele ofrecer una funcionalidad básica, pero fácil de usar. Aunque, como su nombre indica, suelen asociarse a un uso personal. Por ejemplo en una red doméstica, pueden utilizarse en una empresa como complemento de los firewalls empresariales.
Firewall de hardware
Un firewall de hardware se suministra como un aparato construido a propósito que contiene un software dedicado. Aunque es a todos los efectos un ordenador, con procesador, RAM, tarjetas de red, sistema operativo, etc., todos los componentes de hardware y software están especialmente diseñados para este fin. Se eliminan todos los componentes del sistema operativo que no sirven para el propósito.
Firewall de software
Un firewall de software es una aplicación que se ejecuta en un sistema genérico, equipado con hardware genérico y un sistema operativo de propósito general. Por ello, suele ser menos eficaz, aunque, por otro lado, es menos costoso y más flexible.
El firewall en el contexto corporativo
Una primera valoración que hay que hacer con respecto al uso de firewalls en el contexto corporativo es el tipo de firewall con el que se quiere contar y su posicionamiento dentro de la red corporativa, dado que los firewalls deben ser atravesados por el tráfico que se quiere controlar. Por lo tanto, es necesario saber:
- la estructura de la red corporativa;
- qué tipo de tráfico fluye a través de él;
- la necesidad de utilizar una o varias DMZ o de crear zonas segregadas;
- donde los datos y los sistemas deben ser protegidos;
- cuáles son las amenazas y los posibles patrones de ataque.
En cuanto al posicionamiento, la opción más obvia es el firewall perimetral, que es el posicionamiento tradicional del firewall corporativo. El firewall se coloca en el perímetro de la red corporativa para protegerla de los ataques del exterior.
Aunque la presencia de un firewall perimetral sigue siendo necesaria hoy en día, pronto es evidente que hoy no es suficiente.
Red DMZ
El hecho de que cada vez más servicios corporativos tuvieran que estar expuestos en Internet, dio lugar a la necesidad de una DMZ, una red en la que se colocan los sistemas expuestos en Internet y se aíslan lo máximo posible de la red interna, de modo que cualquier compromiso de estos sistemas no tenga un impacto inmediato en los sistemas internos.
La DMZ fue una de las primeras formas de segmentación, a menudo conseguida a través del propio firewall perimetral.
Hoy en día, la necesidad de segregar las redes diferenciando los sistemas y entornos con distintos requisitos de seguridad está bien establecida en todas las empresas. Esta necesidad suele satisfacerse manteniendo el firewall perimetral y añadiendo uno o más firewalls para las redes internas. En este escenario, es deseable añadir la protección de los hosts individuales mediante firewalls personales.
La siguiente figura muestra un posible ejemplo de implementación de la segmentación de la red.
Por último, los nuevos paradigmas de virtualización de la seguridad y de la seguridad como servicio permiten llevar el concepto de segmentación al extremo, incluso hasta el host individual. En estos casos, se habla de microsegmentación.
Otro aspecto a considerar es la integración de los firewalls corporativos con otros sistemas de seguridad.
El Firewall como un todo
Hemos visto cómo los firewalls son herramientas importantes en la protección de la red, pero por sí solos no son suficientes para asegurar un entorno. Por lo tanto, hay que pensar en el entorno como un todo. Considerar todos los riesgos posibles y el firewall forma parte de un contexto de protección más amplio.
Un aspecto importante en este escenario es la comunicación y la cooperación entre los distintos dispositivos de seguridad.
Tradicionalmente, cada tipo de dispositivo realizaba su tarea sin tener en cuenta otros dispositivos de diferentes tipos y/o proveedores. Pero en realidad sería mucho más eficaz si los dispositivos fueran capaces de comunicarse entre sí sobre las amenazas y los ataques en curso y de cooperar para neutralizarlos.
Considere un escenario en el que un NGFW reconozca la descarga de malware por parte de un usuario. Allí sería de gran ayuda que esta información se transmitiera al software antimalware, que entonces podría reconocer el mismo malware que puede estar ya presente en las estaciones de trabajo.
Si el NGFW fue un primer paso en esta dirección, dado que los diferentes componentes residen en un único aparato y están altamente integrados, se han dado más pasos adelante en la comunicación y cooperación entre diferentes aparatos del mismo proveedor, o en el uso de la información de aparatos del mismo proveedor instalados en todo el mundo.
Más difícil es la cooperación entre aparatos de diferentes proveedores, debido a la falta de estándares compartidos o a lógicas de mercado que no estimulan a los proveedores a invertir en este sentido.
Las mejores soluciones para empresas
El análisis de los mejores firewalls para empresas, al igual que para otros tipos de productos informáticos para empresas, ya se realiza de forma excelente y se actualiza anualmente por parte de los principales analistas.
Por lo tanto, a la espera del resultado de estos análisis para entender cuáles son los “ganadores” de los mismos, puede ser interesante informar aquí de cuáles son las características que los analistas, en particular Gartner, tienen en cuenta a la hora de evaluar los firewalls empresariales.
Como reitera la propia Gartner, aunque el análisis produce un resultado que también se muestra gráficamente, el famoso “cuadrante mágico”, que parece declarar cuáles son los ganadores, en realidad, el análisis debe evaluarse en su totalidad, ya que incluso los productos que no se sitúan en el cuadrante superior derecho pueden ser los más adecuados en un contexto determinado.
Cuadrante mágico de Gartner
Gartner, en su “cuadrante mágico” para firewalls de red, considera diferentes tipos de firewalls: aparatos físicos, aparatos virtuales, módulos de firewall integrados y firewalls proporcionados por proveedores de IaaS.
En el cuadrante de la capacidad de ejecución, se tiene en cuenta la calidad del producto o servicio, la viabilidad del fabricante, la capacidad del fabricante para responder a los retos del mercado, la experiencia del cliente y la visibilidad y operatividad del fabricante.
En el cuadrante de visión completa, Gartner considera la capacidad de entender el mercado, el marketing, la estrategia de ventas y suministro, el modelo de negocio, la estrategia para los mercados verticales, la innovación, la estrategia geográfica.
Soluciones personales
Para terminar, mencionemos brevemente la funcionalidad de los firewalls personales suministrados con los sistemas operativos Windows y Linux. Aunque a nivel corporativo este tipo de firewalls no pueden considerarse como sustitutos de los firewalls empresariales, su uso tanto en servidores como en estaciones de trabajo puede ser útil como medida de seguridad adicional, ya que permiten filtrar el tráfico incluso dentro de los mismos segmentos de red.
Firewall de Windows
El firewall de Windows distingue entre tres tipos de redes: red de dominio (si la máquina Windows forma parte de un dominio AD), red privada y red pública. El firewall puede ser activado o desactivado y sus reglas definidas en cada una de estas redes.
También es posible solicitar una notificación cada vez que el firewall bloquee una nueva aplicación y bloquear todas las conexiones entrantes independientemente de las reglas definidas, por ejemplo, como medida temporal cuando se conecta a una red Wi-Fi pública.
El firewall de Windows le permite definir reglas, de entrada y de salida, por aplicaciones o, más clásicamente, por protocolo, puerto, direcciones IP.
En las versiones más recientes de Windows, ya se han definido reglas para el cortafuegos que permiten el tráfico de red para las aplicaciones principales.
Por lo tanto, el firewall podría utilizarse con la configuración por defecto, sin necesidad de definir manualmente nuevas reglas. También es posible crear nuevas reglas a raíz de una nueva notificación de bloqueo de una determinada aplicación; cuando el firewall notifica que se ha bloqueado el tráfico de una determinada aplicación, si se conoce ésta, se puede habilitar.
Veamos ahora con más detalle, a través de las siguientes capturas de pantalla autoexplicativas, qué parámetros pueden utilizarse para definir una nueva regla.
El firewall de Linux
En los sistemas Linux, el firewall ha estado presente prácticamente desde tiempos inmemoriales, con varios programas de software que van y vienen. Todos en constante evolución.
Aunque existen diferentes tipos de software de firewall, aquí mencionaremos en particular a netfilter/iptables, el producto con mayor historia y el más utilizado.
Nacido como un firewall de tipo de filtrado de paquetes, netfilter se ha convertido en stateful. Y aunque no es un firewall de aplicaciones, ha integrado gradualmente la posibilidad de definir reglas también para los protocolos de aplicación.
Netfilter e Iptables
Netfilter es un componente del núcleo de Linux que amplía su funcionalidad de enrutamiento y filtrado. Para interactuar con netfilter a nivel de usuario, se utiliza el comando iptables. Netfilter se basa en los conceptos de tablas, cadenas y reglas: cada tabla está formada por cadenas, es decir, puntos de control, y cada cadena está formada por reglas (ACL).
Hay tres cuadros principales:
- filtro: es la tabla que contiene las reglas de filtrado reales para los paquetes que el host origina y recibe o que transitan por el host;
- nat: se utiliza para realizar NAT (traducción de direcciones de red) de direcciones IP o valores de puerto de origen o destino;
- mangle: se utiliza para realizar alteraciones particulares en la cabecera IP (TTL, TOS, MARK). Especialmente interesante es el objetivo MARK, que permite marcar el paquete para que pueda ser tratado de forma diferente en los puntos de control posteriores o por otros programas.
Las cadenas predefinidas son las siguientes:
- INPUT: operaciones sobre paquetes que acaban de llegar y se dirigen al propio host;
- FORWARD: operaciones sobre los paquetes que pasan por el host para ser reenviados;
- OUTPUT: operaciones sobre paquetes generados localmente a punto de salir del host;
- PREROUTING: operaciones sobre paquetes que acaban de llegar al host, antes de la decisión de enrutamiento;
- POSTROUTING: operaciones sobre paquetes a punto de salir del host.
El usuario también puede definir nuevas cadenas. Cada cadena tiene una política por defecto.
Por último, las reglas están en forma de ACL. Se desplazan del primero al último y en la primera coincidencia se decide qué hacer con el paquete y, salvo en casos especiales, se detiene el análisis de las reglas en cadena. Si no hay coincidencia con ninguna regla, se ejecuta la política por defecto. Al definir la regla, hay que indicar la tabla y la cadena a la que pertenece la regla, los criterios para aplicarla a los paquetes y un objetivo. Es decir, el destino del paquete si satisface la coincidencia. Los ejemplos de objetivos son los siguientes:
- ACEPTAR: el paquete es aceptado;
- DROP: el paquete se descarta;
- REJECT: mismo efecto que DROP, pero se devuelve un mensaje de error ICMP ‘puerto inalcanzable’;
- CADENA CREADA POR EL USUARIO: el control se pasa a una cadena creada por el usuario.
Conclusiones
Los firewalls siguen siendo un componente importante de la seguridad corporativa, aunque ya no son su pilar principal. De hecho, los firewalls han seguido evolucionando a lo largo de los años para tener en cuenta las diferentes amenazas que han aparecido.
En el contexto actual, es importante evaluar los tipos de firewall más adecuados para la empresa. ¿Cómo? Valorando también su ubicación, integración y capacidad de comunicación con otros dispositivos de seguridad corporativos según las necesidades de protección de la empresa, su tamaño y la topología de la red.
Por último, aunque la presencia de uno o varios firewalls empresariales es esencial para la empresa, como medida adicional es bueno no pasar por alto la posibilidad de activar y utilizar firewalls personales. Tanto en los servidores como en las estaciones de trabajo.