Firewall
Firewall
Firewall
Abstract— Firewalls are devices that seek to protect estafas, malware). Estas amenazas están en
information, making them one of the main tools of constante evolución, por lo que el firewall (principal
information security. The organizations maintain a mecanismo de defensa y protección en el flujo de
constant flow of information with their información) también debe adaptarse a las
environments and through this flow, enterprises can cambiantes condiciones del entorno. Esto hace que
be put at risk by various threats, both internal el firewall tradicional evolucione a través de retos
(leakage of information) and external (phishing, como el descifrado e inspección de SSL, IPS con
scams, malware). These threats are constantly tecnología antievasión, el control de aplicaciones
evolving, so the firewall (the main defense basado en contexto y la protección contra malware
basada en red. Estos retos han creado un nuevo
mechanism and protection in the flow of
mercado, donde los proveedores se diversifican y
information) must also adapt to changing
compiten para satisfacer las necesidades de sus
environmental conditions. The traditional firewall
clientes. La metodología del Cuadrante Mágico
evolves because of challenges such as decryption permite observar la clasificación de estos
and inspection of SSL, IPS with anti-avoidance proveedores. Dichos proveedores se especializan en
technology, application control based on context, requerimientos detallados del cliente, lo que hace
and protection against network-based malware. que algunos sean más aptos para ciertos sectores
These challenges have created a new market, where organizacionales.
suppliers compete to diversify and meet the needs
of their customers. The Magic Quadrant Palabras clave— Firewall nueva generación,
methodology allows us to observe the classification proveedor, seguridad informática, solución, reglas
of these providers. These providers specialize in de filtrado, identificación y control de aplicaciones,
detailed customer requirements, making some more evasión de seguridad, SSL, SSH, tráfico
suitable for certain market sectors (organizational). desconocido, amenazas, puertos, usuarios,
dispositivos, hardware, software, cuadrante mágico.
Key words— New generation firewall, provider,
security, solution, filtering rules, identification and I. INTRODUCCIÓN
control applications, evading security, SSL, SSH, La información ha cobrado un rol importante para el
unknown traffic, threats, ports, users, devices, logro de los objetivos en las organizaciones. Esto le
hardware, software, magic quadrant. ha significado ser considerada en muchos casos
como su activo más importante o su ventaja
Resumen— Los firewall son dispositivos que competitiva. Al ser un elemento tan relevante y
buscan proteger la información, por lo que son una diferenciador para la organización, en un ambiente
de las herramientas principales de seguridad competitivo, es objeto de diversas amenazas como
informática. Las organizaciones mantienen un flujo el robo, la falsificación, el fraude, la divulgación y
constante de información con su entorno y a través hasta la destrucción, entre muchas otras amenazas.
de este flujo puede entrar en riesgo el propio Por lo anterior, la seguridad de la red es un
negocio por diversas amenazas, tanto internas (fuga problema corporativo cada vez más prioritario,
de información) como externas (suplantación, enfatizado en los pilares de la seguridad como lo
reglas que se definen con las partes interesadas, de Por ejemplo, el primer tipo de firewall que se
acuerdo a sus necesidades, sus intereses y a las desarrolló, se denominó firewall de filtrado de
tendencias del mercado. Específicamente, existen paquetes (packet filter). Este opera inspeccionando
dos enfoques: el restrictivo y el permisivo. todos los paquetes que llegan a la red y en función
de las reglas de filtrado. Funcionalmente, se puede
El enfoque restrictivo hace que todas las conexiones decir que los paquetes son aceptados o descartados,
sean bloqueadas, excepto aquellas que están de acuerdo a la verificación y cumplimiento de la
explícitamente permitidas dentro de los acuerdos de información básica del paquete, como la dirección
servicio estipulados y las reglas de filtrado de origen y destino, el protocolo o el puerto [2].
definidas. Por el contario, el enfoque permisivo
acepta todas las conexiones según los acuerdos de El segundo tipo de firewall que se desarrolló, es el
servicio y las reglas, exceptuando aquellas que están conocido por la inspección de estado (stateful
explícitamente restringidas [2]. inspection). Se diferencia del primer tipo porque
adicionalmente lleva a cabo el seguimiento de los
De acuerdo con esto, la configuración del firewall paquetes de datos y el estado de las conexiones que
depende del enfoque que se aplique, así como de los pasan a través de él [2]. En otras palabras, este sólo
servicios que ofrece el proveedor, las necesidades permite el paso de paquetes de datos que coinciden
de las partes interesadas o los miembros de la con una conexión activa y que según las reglas de
organización, teniendo en cuenta las labores que se filtrado se hayan reconocido como legítimas, los
desempeñan y los activos que se pretende proteger. demás paquetes (que vienen de conexiones inactivas
y que no cumplen con las reglas) son descartados y
rechazados.
B. Importancia del firewall
Este mecanismo de seguridad continua siendo Otro tipo de firewall, históricamente aceptado como
altamente utilizado en el entorno corporativo. Según el tercer tipo, es reconocido como filtrado de
un estudio de seguridad informática en aplicación (application filtering). La principal
Latinoamérica, el 76% de los ejecutivos de 14 funcionalidad de este tipo es la capacidad de
países de esta región cuentan con una solución de detectar si una conexión no deseada está tratando de
este tipo; lo que ubica al firewall en el segundo evitarlo (cumpliendo con las reglas de filtrado
lugar de los controles de seguridad más utilizados, establecidas) a través de una dirección IP y un
después de los antivirus [4]. puerto válido (esquivando el flujo de información
donde está involucrado el mismo Firewall) [2]. Se
Esta utilidad del firewall se relaciona con los puede decir que logra dirigir e inspeccionar
beneficios que proporciona dicho dispositivo en aplicaciones específicas, ya que además de
cuanto a la protección, debido al proceso de examinar el encabezado del paquete, también
filtración de conexiones exteriores que suelen evalúa todo el contenido del mismo.
realizar algunos tipos de software maliciosos como
gusanos, virus o botnets. De igual manera, los A pesar de todos los beneficios, el control de los
firewalls bloquean las conexiones de posibles firewall es muy superficial. De acuerdo con esto,
intrusos en la red como medida de seguridad para el actualmente su gestión debe ser complementada con
control de conexiones al exterior [2]. otros controles relacionados con la seguridad
perimetral, donde se deben incluir sistemas de
III. EVOLUCIÓN DEL FIREWALL
detección de intrusiones (IDS) o sistemas de
Desde su aparición como solución para la seguridad prevención de intrusos (IPS) [2].
informática, el firewall ha evolucionado buscando
ofrecer distintas características de protección, según De acuerdo con lo anterior, se deben incluir otros
las necesidades de momento a las cuales se han niveles considerados en la seguridad por capas. Esto
enfrentado los usuarios y el mismo mercado. se relaciona directamente con la aplicación de otros
controles necesarios e imperantes para las
organizaciones, como antivirus, antispam, otras amenazas procedentes de Internet. Una de las
prácticas como el respaldo y el cifrado de ventajas competitivas de estos dispositivos
información, soluciones de doble autenticación y vanguardistas es que proporcionan un punto
hasta soluciones de seguridad para dispositivos centralizado (ver Figura 1) por el cual se puede
móviles, cuando éstos son utilizados para acceder a controlar el tráfico desde distintas características
la red corporativa [2]. Estos requerimientos abren como [5]:
paso a nuevas oportunidades en la seguridad Dirección IP: de origen o de destino.
informática que pueden ser saciadas por los firewall Número de Puerto: de origen o de destino.
de nueva generación. Dominio: integración con el servicio de
nombres de dominio (DNS), para simplificar
IV. ¿QUÉ ES UN FIREWALL DE NUEVA el acceso a recursos que resultarían más
GENERACIÓN? difíciles de definir por otros medios.
Como se ha venido describiendo, los firewalls Tipo de aplicación: con técnicas de
surgieron para revolucionar la seguridad de la red inspección profunda de paquetes, para
satisfaciendo las necesidades y requerimientos controlar el funcionamiento de las
actuales de los usuarios, garantizando la protección aplicaciones web.
de la información. Los firewalls tradicionales se Traducción de direcciones IPv4 por NAT en
limitan únicamente a la revisión de paquetes por sentido de salida, y acceso IPv6 nativo a
estado y a la implementación de reglas de control de internet.
acceso. La funcionalidad de estos antiguos Control del acceso remoto a redes
mecanismos se ha vuelto obsoleta con la natural corporativas.
evolución de la tecnología y del mercado, por no
mencionar la proactividad de los hackers; lo que
hace que las amenazas sean más sofisticadas
dejando atrás la eficacia de este sistema. Con el fin
de proteger el negocio de estas amenazas dinámicas,
en constante evolución, el firewall de nueva
generación (NGFW por sus siglas en inglés), se ha
desarrollado con el fin de ofrecer un nivel más
profundo de seguridad de red, buscando la mejor
protección para el flujo de información de las Figura 1. Posición y función del Firewall en el flujo
compañías actuales [1]. de información.
Imagen tomada del sitio: http://www.interoute.es
La clave de esta protección se basa en garantizar la /sites/default/files/files/next_gen_fwall_service_des
inspección de todos los bytes de cada paquete. cription_v2_ES.pdf
Adicionalmente, estas metodologías de revisión y
protección de información han de mantener el V. PROPUESTAS Y SERVICIOS DE LOS
rendimiento elevado y la baja latencia para que las NGFW
redes con alto tráfico sigan funcionando Los NGFW buscan satisfacer todas las actuales
óptimamente. De esta forma, su objetivo es buscar necesidades de las organizaciones en cuanto a
combatir amenazas eficazmente, abordando todos seguridad informática. Básicamente estos deben
los problemas de productividad apremiantes, ya que inspeccionar todo el tráfico, incluidas las
todas las organizaciones requieren mayor control y aplicaciones, las amenazas y el contenido, y lo
profundidad en sus sistemas de seguridad vincula al usuario independientemente de la
informática [1]. ubicación o el tipo de dispositivo (Ver Figura 2) [7].
Se puede decir que la aplicación, el contenido y el Figura 3. Alcance Políticas de Seguridad NGFW
usuario, son los elementos que impulsan la gestión Imagen tomada del sitio:
de la información en una organización, por ello se https://www.paloaltonetworks.com/content
convierten en componentes integrales de la política /dam/pan/en_US/assets/pdf/datasheets/firewall-
de seguridad informática corporativa para toda la features-overview/firewall-features-overview-es.pdf
organización (Ver Figura 3) [7]. Algunos beneficios
que ofrece la implementación de arquitecturas De acuerdo con esto, una herramienta de seguridad
informáticas basadas en NGFW son [6]: informática como estas debe ofrecer alternativas
tales como [7]:
Habilitación, de forma segura, a
aplicaciones, usuarios y contenidos A. Identificación y control de aplicaciones en
mediante la clasificación de todo el tráfico, todos los puertos, en todo momento.
la determinación del caso de uso empresarial Los desarrolladores de aplicaciones ya no adoptan
y la asignación de políticas con el fin de el estándar de mapeo puerto/protocolo/aplicación.
permitir y proteger el acceso a las Por lo que cada vez hay mas aplicaciones que son
aplicaciones pertinentes. capaces de funcionar en puertos no estándar o
Mitigación de amenazas eliminando pueden saltar de puerto (por ejemplo, las
aplicaciones no deseadas para reducir la aplicaciones de mensajería instantánea, de
superficie de impacto y aplicación de intercambio de archivos P2P o de VoIP). Además,
políticas de seguridad selectivas para los usuarios ya tienen los conocimientos suficientes
bloquear exploits de vulnerabilidades, virus, como para hacer que las aplicaciones se ejecuten a
spyware, botnets y malware desconocido través de puertos no estándar (por ejemplo, RDP o
(APT). SSH).
Protección para los centros de datos por
medio de la validación de aplicaciones, el Los NGFW deben asumir que cualquier aplicación
aislamiento de datos, el control sobre las se puede ejecutar en cualquier puerto y que su
aplicaciones no apropiadas y la prevención próximo firewall debe clasificar el tráfico por
de amenazas de alta velocidad. aplicación en todos los puertos en todo momento.
La clasificación del tráfico en todos los puertos será
un tema recurrente en todos los puntos que quedan; está utilizando el SSH se pueden crear políticas de
de lo contrario, los controles basados en puertos seguridad apropiadas [7].
seguirán siendo burlados por las mismas técnicas
D. Control funcional de aplicaciones
que los han atormentado durante años [7].
La supervisión continua del estado para comprender
B. Identificación y control para las las diferentes funciones que cada aplicación puede
herramientas de evasión de la seguridad. admitir, y los diferentes riesgos asociados, es un
Muy pocas aplicaciones pueden evadir requisito fundamental que ofrecen los NGFW. De
intencionalmente las propias políticas de seguridad esta forma, deben clasificar continuamente cada
que protegen los activos digitales corporativos. Se aplicación y realizar un seguimiento de los cambios
puede decir que existen dos: las que sirven para que puedan indicar que se está utilizando una
evadir la seguridad (proxies externos, túneles función diferente en este momento.
cifrados no relacionados con VPN) y las que se
E. Gestión sistemática el tráfico desconocido.
pueden adaptar para lograr fácilmente el mismo
objetivo (herramientas de administración de Los NGFW pueden proporcionar la capacidad de
servidor/escritorio remoto). ver todo el tráfico desconocido, en todos los
puertos, en una consola de gestión única y analizar
Estas mismas herramientas son utilizadas cada vez rápidamente el tráfico para determinar:
con más frecuencia por los atacantes como parte de 1. Si es una aplicación interna o personalizada.
intrusiones contra la seguridad informática 2. Si es una aplicación comercial sin una firma.
corporativa. Sin la capacidad de controlar estas 3. Si es una amenaza.
herramientas de evasión de seguridad, las empresas
no pueden aplicar sus políticas de seguridad y por Además, ofrecen las herramientas necesarias, no
tanto se exponen a los mismos riesgos que pensaban solo para ver el tráfico desconocido sino también
que sus controles estaban deteniendo [7]. Esta es la para gestionarlo sistemáticamente, controlándolo
nueva alternativa que debe ofrecer el NGFW. mediante políticas, creando firmas personalizadas,
enviando un PCAP de las aplicaciones comerciales
C. Configuración e inspección de SSL y control para su posterior análisis o realizando
de SSH investigaciones forenses para determinar si se trata
La capacidad de descifrar el tráfico SSL es algo de una amenaza.
prioritario, no solo porque es cada vez más
F. Búsqueda de amenazas en todas las
significativo dentro del tráfico empresarial, sino
aplicaciones, en todos los puertos.
porque también habilita unas cuantas funciones
claves más que resultarían incompletas o ineficaces Los NGFW deben promover la habilitación segura
sin la capacidad de descifrar SSL. Los elementos de aplicaciones, porque es lo que los negocios
clave necesarios son el reconocimiento y descifrado solicitan. Para esto hay que aceptar dicha aplicación
del SSL en cualquier puerto, tanto de entrada como y rastrearla en busca de amenazas. Todas las
de salida; políticas de control sobre el descifrado y aplicaciones pueden comunicarse a través de una
los elementos hardware y software necesarios para combinación de protocolos (por ejemplo,
realizar el descifrado SSL y todas las conexiones SharePoint utiliza CIFS, HTTP y HTTPS, y
simultáneas con rendimiento predecible. requieren de una política de NGFW más sofisticada
que únicamente la de “bloquear la aplicación o
Otro de los requisitos adicionales que deberá tener permitirla ciegamente”). El primer paso es
en cuenta es la capacidad para identificar y identificar la aplicación (independientemente del
controlar el uso de SSH. En concreto, el control de puerto o el cifrado), determinar las funciones que
SSH debe incluir la capacidad de determinar si se quiera permitir o denegar y, a continuación, analizar
está utilizando como un redireccionador de puertos los componentes permitidos buscando cualquiera de
(local, remoto, X11) o para uso nativo (SCP, SFTP las amenazas (exploits, virus/malware o spyware,
y acceso a la shell). Una vez que se conoce cómo se etc.) o incluso información confidencial o sensible
[7].
proveedores de acuerdo a la evaluación de dos de seguridad informática [9]. Por ejemplo, PC COM
variables: la integridad visional (portafolio de Mayorista argumenta que las necesidades de los
alternativas y ofrecimientos) y la capacidad de clientes dependen principalmente del tamaño de las
ejecución (cumplimiento). El desempeño de los organizaciones y los medios o canales de
proveedores según estos dos aspectos permite información utilizados. Por lo que sugiere que por
clasificarlos en cuatro categorías: lideres (buena ejemplo Barracuda Firewall tiene mayor desempeño
visión y buena ejecución), desafiantes (buena con empresas de menor tamaño; en cambio, NGF se
ejecución, poca visión); visionarios (buena visión, especializa en compañías de mayor flujo de
poca ejecución) y competidores (poca visión, poca información
ejecución). En la Figura 4 se puede observar la
clasificación de los proveedores de NGFW, en abril Por otra parte, ProtektNet aconseja los servicios de
del 2015, según la metodología mencionada Cyberoam por su amplia oferta en capacidad de
anteriormente [8]. reportes y eficacia informática. Mientas Sourcefire
sugiere que para las necesidades de control de
aplicaciones y seguridad, Cisco ofrece un mejor
portafolio. Finalmente, Fortinet menciona
innovadoras metodologías de seguridad informática
que garantizan la total protección de la información
a través de la inteligencia artificial.
VIII. CONCLUSIONES
A través de toda la revisión documental y de los
hallazgos teóricos se puede concluir que los firewall
son dispositivos protagónicos en la protección de
información, por lo que son la herramienta
predilecta en seguridad informática. También se
puede decir que debido a que las organizaciones
mantienen un flujo constante de información con su
entorno, y que a causa de este flujo se genera el
riesgo por diversas amenazas, tanto propias
(internas) como ajenas (de origen externo).
Figura 4. Cuadrante Mágico del Firewall de Redes
Empresariales, Abril 2015 Todas estas amenazas evolucionan constantemente,
Imagen tomada del sitio: por lo que el firewall también debe buscar adaptarse
http://www.bradreese.com/blog/5-28-2015.pdf a las cambiantes condiciones del entorno (nuevas
amenazas o nuevos requerimientos de los clientes).
VII. OPINIONES DE LOS EXPERTOS: Esta evolución hace que el firewall tradicional se
NECESIDADES Y PRODUCTOS. desarrolle cumpliendo con nuevos desafíos como el
Como se ha venido mencionando, muchas de las descifrado e inspección de SSL, IPS con tecnología
soluciones y alternativas a los requerimientos antievasión, el control de aplicaciones basado en
organizacionales en seguridad informática, están contexto y la protección contra malware basada en
siendo solventadas por varios proveedores y sus red.
portafolios diversificados.
Estos procesos evolutivos (de retos, amenazas,
Algunas marcas líderes se atreven a opinar sobre las necesidades y soluciones) han creado un nuevo
necesidades más representativas que se encuentran mercado, donde los proveedores también deben
dentro de los clientes y sugieren el portafolio adaptarse a través de la diversificación y la
(proveedor) que les ayudaría a mejorar sus políticas competencia perfecta, para así lograr satisfacer a
sus clientes. La metodología del Cuadrante Mágico