NETDATA BLOG

¿Qué es un UTM Firewall?

Jeniffer Carreño
21 mayo, 2021
0 comentarios

Una herramienta como un UTM Firewall brinda máxima seguridad a tu organización. Conoce más características de esta herramienta y de qué manera te permite asegurar tus conexiones.


La seguridad de la información ha generado una necesidad en entornos corporativos: cada vez más empresas buscan mayor visibilidad, competitividad y escala. Es una ventaja competitiva.

 

Si no se adoptan medidas y soluciones de seguridad para proteger el tránsito, intercambio y almacenamiento de informaciones, toda la escalabilidad ofrecida puede ser amenazada.

 

Existen diversas soluciones de seguridad para minimizar estos riesgos. Muchas soluciones de seguridad operan de manera aislada unas de otras, y partiendo de esta necesidad es que surgen soluciones más integradas, especialmente de perímetro, que ofrecen un conjunto de características de seguridad.

 

Por ejemplo, cuando buscamos un firewall en el mercado encontraremos dos opciones:

 

-    UTM (Unified Threat Management) o gestión unificada de amenazas.

-    NGFW (Next Generation Firewall)  o cortafuegos de nueva generación. 

 

Estas dos herramientas tienen similitudes en cuanto a funcionalidades como IPS, VPN, registro de eventos, monitorización, filtrado de tráfico, control de aplicaciones, seguridad del correo electrónico, DLP (Data Leak Prevention) o antivirus.

 

Hablemos un poco de cuál es el papel de cada una de estas funciones.

 

¿Qué es el firewall UTM?

El término firewall UTM o simplemente UTM (Unified Threat management/Gestión Unificada de Amenazas) es la nomenclatura dada a un dispositivo de hardware o software capaz de reunir diversas funciones de seguridad, como filtro de paquetes, proxy, sistemas de detección y prevención de intrusos, protección contra malware, control de aplicación, entre otros.

 

El papel de un firewall en una red corporativa es regular el tráfico entre dos o más redes (internet y red interna, o redes internas, Internet y DMZ, entre otras), defendiendo los intereses y/o necesidades de control de las empresas.

 

En el caso de UTM su capacidad o profundidad de protección es superior a los firewalls tradicionales, pues reúne un conjunto mayor de características. Esto ofrece más dinamismo y seguridad para crear controles en el entorno corporativo. Sin embargo, los UTM de forma nativa son penalizados en rendimiento al activar características en paralelo.

 

<<Conoce más: Firewalls de Hardware vs Firewalls de Software>>

 

¿Cómo un UTM asegura la red corporativa?

Control web

Basado en categorías en lugar del tradicional modelo de control ofrecido por proxies web, donde el administrador administra perfiles de acceso con bases propias de URL de lo que puede o no ser accedido, el control basado en categorías permite un conocimiento muy profundo de sitios clasificados de acuerdo con su contenido.

 

Esto permite una facilidad, tanto en la gestión basada en intereses del sector, como disminuye considerablemente la complejidad de gestión de accesos web, teniendo más asertividad en los controles y, por lo tanto, mayor seguridad para la empresa.

 

No es necesario crear listas interminables de sitios restringidos, ya sea de contenido adulto, de craqueo, warez y similares. La base de URLs está totalmente estructurada y es mantenida por el propio fabricante.

 

 

Protección contra malware

Es relativamente común que las soluciones de firewall UTM tengan la característica de antivirus integrado, propio o de terceros, o incluso cuenten con la opción de mantener una base de datos clasificada de firmas y direcciones que alojan contenidos maliciosos.

Sin embargo, sugerimos en que puede repercutir la efectividad de la solución dado que la capacidad y funcionalidad de protección amenazas no está integrado completamente a la solución y es un motor individual.

 

El recurso es interesante porque permite que, independientemente de que la organización no tenga una política adecuada de protección de endpoint, el propio firewall UTM reduzca potencialmente los riesgos de un dispositivo (portátil, ordenador, etc.) anticuado que se infecte y perjudique de alguna manera a la empresa.

 

Si no tiene base propia, es común que las soluciones ofrezcan estructura integrada con antivirus externos, así que las peticiones hechas al firewall (como por ejemplo un acceso en una página), son debidamente encaminadas al antivirus para verificar la seguridad de esos datos.

 

Aunque tener el control de malware en la puerta de enlace o firewall de la red reduce los problemas potenciales en el punto final, es siempre una buena práctica dentro de una estrategia de seguridad de la información habilitar recursos que protejan el punto final.

 

 

Control de aplicación

Conocido también como el filtro de capa 7, presenta una gran ventaja en la gestión de seguridad de la información en los días actuales, donde cada vez son menos efectivas las políticas basadas en puertos, protocolos y direcciones .

 

 

OSI-model

Imagen 1. Modelo TCP/IP y Modelo de Referencia OSI

 

El control de aplicación básicamente trata de filtrar el contenido de la última capa de un paquete de red para identificar, independientemente de la dirección, el puerto y el protocolo, el comportamiento de las aplicaciones, y en base a ello y en la política, permitir o bloquear el acceso.

 

A través de una base de conocimiento del comportamiento de las aplicaciones, los proveedores ofrecen actualizaciones regulares (como ocurre con las vacunas antivirus) para garantizar que la eficiencia del control permanezca incluso después de las actualizaciones de las aplicaciones, como Skype, Tor, BitTorrent y otros.

 

 

Prevención de intrusión

Característica fundamental de protección encontrada en un firewall UTM, son los sistemas que detectan y previenen la ocurrencia de ataques en las redes. Estos sistemas tradicionalmente trabajan con reconocimiento de patrones en los paquetes típicamente de ataques, y pueden actuar en el bloqueo de ese tipo de ocurrencia.

 

Hay varias facilidades en cuanto al uso de IDS y IPS y eso va a depender mucho de la necesidad de cada ambiente. En muchos casos, los administradores sólo utilizan de manera pasiva para conocer los eventos e incidentes, pero no hay ningún bloqueo de ataques.

 

En otros casos, además de registrar los eventos, el firewall UTM efectivamente impide que esa petición o paquete malicioso llegue al servidor o estación presente en la comunicación. Es un mecanismo potencial en una estrategia de defensa en profundidad.

 

Además de estos recursos, hay varios otros que podrían añadirse como parte de soluciones de esta herramienta, en conjunto de estas soluciones pueden ofrecer mayor seguridad para las redes corporativas, y por ello, se dice gestión unificada de amenazas, ya que centralizan varias capas y soluciones de protección para maximizar el éxito en la estrategia de seguridad de las organizaciones.

 

Aunque el firewall UTM tiene varios beneficios en seguridad, también muchos de los servicios como Control WEB, control de amenazas, Sandbox, control de aplicación entre otros mencionados anteriormente son tercerizados y luego son agregados a la tecnología con un enfoque no nativo.

 

 

REporte Palo Alto

Jeniffer Carreño