Netdata Cybersecurity Blog

Firewalls de Hardware vs Firewalls de Software

Mario Montoya
25 mayo, 2021
0 comentarios

El término firewall fue inicialmente utilizado en el argot de las redes, a finales de los años 1980, para referirse a la tecnología que comenzó a ser desarrollada cuando Internet era relativamente nueva en términos de uso y conectividad globales.

En sus orígenes, el firewall hacía referencia a una barrera física que protegía las ciudades del fuego, entre edificios, o en inclusive en trenes de transporte.

 

Algunos historiadores coinciden en que el término firewall apareció por primera vez en la película War Games de 1983, a partir de lo cual su uso fue trasladado al mundo de la computación.

 

Tipos de Firewalls

Los firewalls pueden ser categorizados como basados en la red, o basados en host. Los firewalls basados en la red pueden ser colocados en un sitio adecuado en la LAN o en la WAN. Pueden ser un producto de software corriendo en un hardware de propósito general; un dispositivo de hardware corriendo en un hardware especializado; o, un dispositivo virtual corriendo en un host virtual controlado por un hipervisor.

 

Los firewalls también pueden ofrecer funcionalidades tales como DHCP o servicios de VPN. Los firewalls basados en host son desplegados directamente en el host al cual van a proteger, para controlar el tráfico de red u otros recursos de computación. Este puede ser un daemon o servicio, como parte del sistema operativo, o una aplicación para protección.

<<< Cómo funciona un firewall de próxima generación >>>

La primera generación de firewalls, utilizada a comienzos de la década de 1990, protegía los activos de información de las empresas contra ataques externos, mediante la aplicación de un grupo de reglas relativamente sencillas.

 Los primeros firewalls fueron categorizados como de filtrado de paquetes, descritos en un paper publicado por ingenieros de Digital Equipment Corporation, pioneros en el tema.

Este tipo de firewall, tenía una lista de control de acceso, la cual indicaba cuales paquetes debían ser inspeccionados, y cual acción debía ser aplicada, en caso de ser necesario. La acción por defecto era el descarte silencioso (drop). La decisión era tomada, después de analizar la dirección IP de destino, el protocolo y el número del puerto de conexión utilizado.

La siguiente generación de firewalls, denominados firewall de estado, introdujeron mejoras significativas, reteniendo los paquetes hasta que se tenía suficiente información relacionada, con el objetivo de tomar una mejor decisión en relación con el estado del paquete.

El estado de la conexión, hacía más eficiente el filtrado, ya que permitía determinar si un paquete era parte de una conexión existente, o de una nueva conexión. Por otra parte, esta característica hizo los firewalls vulnerables a ataques de denegación de servicio (denial-of-service attack -DoS attack), debido a que el firewall podía ser abrumado por cantidades enormes de paquetes de falsas conexiones, llenando su memoria de estado de conexión.

A mediados de los años 1990, la tercera generación de firewalls –firewalls de aplicación- permitía identificar si un protocolo de comunicaciones intentaba burlar las reglas del firewall en un puerto específico. Este filtrado a nivel de la capa de aplicación, permitió al firewall aprender cómo funcionan protocolos tales como FTP y HTTP, y adaptar sus reglas de manera dinámica, de acuerdo con la forma en la cual las aplicaciones hacen uso de los protocolos.

Los firewalls de nueva generación (Next Generation Firewalls -NGFW) se basan en el análisis a nivel de aplicación, pero incluyendo funcionalidades entre las que se encuentran:

  • Funciones tradicionales de firewalls de primera generación: inspección de estado o de protocolo; NAT y VPN.
  • Inspección profunda de paquetes (Deep Packet Inspection -DPI).
  • Identificación y filtrado de aplicaciones: esta es la característica distintiva de los NGFW; éstos pueden identificar y filtrar tráfico basados en la aplicación específica, en lugar de solamente abrir puertos para cada tipo de tráfico. Esto evita que actividades y aplicaciones maliciosas utilicen puertos no estándar para evadir el firewall.
  • Inspección SSL y SSH: los NGFW pueden inspeccionar tráfico SSL y SSH encriptado. Pueden desencriptar tráfico, asegurarse de que es una aplicación permitida y revisar otras políticas, y después volver a encriptar dicho tráfico. Esto proporciona protección adicional contra actividades y aplicaciones maliciosas que intentan esconderse utilizando encripción para evitar el firewall.
  • Prevención de intrusiones (Intrusion Prevention System -IPS): con inspección profunda de paquetes, los NGFWs pueden también estar en capacidad de proveer prevención y detección de intrusiones. Algunos NGFW pueden incluir suficientes funcionalidades de IPS, que puede no ser necesario tener un IPS stand alone.
  • Integración con el directorio: la mayoría de los NGFW incluyen soporte al directorio (Active Directory, por ejemplo), lo cual permite gestionar aplicaciones autorizadas con base en usuarios y/o grupos.
  • Filtrado de Malware: los NGFW pueden proveer filtrado con base en la reputación para bloquear aplicaciones que tienen una mala reputación. Esto puede abarcar phishing, virus, así como otros sitios y tipos de aplicaciones.

Palo Alto Networks, con uno de los portafolios de Ciberseguridad más robustos del mercado, además de las características arriba resumidas, introdujo el primer NGFW potenciado con Machine Learning. Teniendo en cuenta cómo cambian el ambiente y el panorama de las amenazas, se requiere una aproximación revolucionaria. Sin embargo, la solución debe comenzar con el NGFW como la base.

El NGFW, desplegado en los factores de forma físico, virtual o de nube, y potenciado por servicios de seguridad entregados en la nube, permanece como el punto de control ideal en la empresa, sirviendo como la primera línea de defensa de cualquier plataforma sólida de seguridad.

Los NGFWs proveen completa visibilidad a través de la red, así como capacidades de respuesta automatizada, para mantener segura su organización. Desde este punto de partida, el NGFW necesita evolucionar con el objetivo de aumentar sus actuales capacidades de automatización con el poder del Machine Learning –hasta el core de su operación. En esencia, un NGFW potenciado con Machine Learning puede cambiar el panorama. En lugar de ser reactivo, este asume un enfoque proactivo, basado en la nube y orientado a Machine Learning para mantener las redes seguras.

 

Firewalls en Formato de Hardware vs. Firewalls en Formato Software

El firewall en formato hardware, protege la red de amenazas externas desde un dispositivo físico, el cual es instalado entre el punto de conexión de la empresa y la Internet. El dispositivo monitorea e inspecciona los paquetes de tráfico, y permite o deniega el paso con base en reglas predefinidas.

Los firewalls en formato hardware exigen conocimientos de tecnología, y específicamente de seguridad de la información, relativamente avanzados, para la implementación y monitoreo. Debido a las anteriores razones, y el elevado presupuesto asociado, este tipo de firewall es utilizado generalmente por empresas medianas o grandes.

Una característica inherente a los firewalls en formato hardware empresariales, es su diseño orientado a la alta disponibilidad, para soportar servicios 7X24. De acuerdo con la tolerancia a fallas de cada empresa, y en función de su presupuesto, los arreglos de firewall pueden incluir redundancia de fuentes de poder, y el firewall mismo en alta redundancia, como contingencia ante la falla de servicios en uno de los sitios que alberga cada firewall.

El firewall en formato software, generalmente protege a nivel de endpoint; este tipo de firewall ha sido diseñado para que haga un consumo moderado de los recursos del endpoint. Mantener la versión del firewall actualizada, contribuye a asegurar la integridad de los activos de información que pueden ser accedidos desde el endpoint. Las empresas por lo general complementan las soluciones de Tecnología de Información (entre ellas el firewall) con frameworks (PCI DSS; ISO 27001) que buscan reducir las brechas que puedan ser aprovechadas por los atacantes.

 

Firewall Virtual o Firewall de Nube

Un firewall virtual también conocido como un firewall de nube, es una solución de seguridad de red diseñada específicamente para ambientes en los cuales es imposible o muy difícil implementar un firewall de hardware, tal como en ambientes de nube pública y privada; redes definidas por software (software-defined networks -SDN); y redes WAN definidas por software (software-defined wide area networks, o SD-WAN).

En forma similar a los firewalls de hardware, los firewalls virtuales permiten o deniegan el acceso a los flujos de tráfico entre zonas de confianza y zonas no confiables. A diferencia de los firewalls de hardware –los cuales son ubicados físicamente en el sitio del centro de datos- los firewalls virtuales son esencialmente software, haciéndolos ideales para asegurar ambientes virtuales.

Los firewalls virtuales también pueden ser desplegados como instancias virtualizadas de NGFWs. Estos firewalls virtuales avanzados pueden inspeccionar y controlar tráfico perimetral norte – sur en ambientes de nube pública, así como segmentar tráfico este – oeste dentro de los centros de datos y en oficinas remotas, a la vez que insertan medidas de prevención de amenazas vía micro segmentación –es decir, aislando las cargas de trabajo unas de otras y asegurándolas de manera individual.

REporte Palo Alto

Mario Montoya