Todo el mundo comprende la función básica de un firewall: proteger su red contra malware y acceso no autorizado. Pero los detalles exactos de cómo funcionan los firewalls son menos conocidos.
¿Qué es exactamente un cortafuegos? ¿Cómo funcionan los diferentes tipos de firewalls? Y quizás lo más importante: ¿qué tipo de firewall es mejor?
Cortafuegos 101
En pocas palabras, un firewall es simplemente otro punto final de la red. Lo que lo hace especial es su capacidad para interceptar y escanear el tráfico entrante antes de que ingrese a la red interna, bloqueando el acceso de actores malintencionados.
Verificar la autenticación de cada conexión, ocultar la IP de destino a los piratas informáticos e incluso escanear el contenido de cada paquete de datos: los firewalls lo hacen todo. Un firewall sirve como una especie de punto de control, controlando cuidadosamente el tipo de comunicación que se deja entrar.
Firewalls de filtrado de paquetes
Los cortafuegos de filtrado de paquetes son la tecnología de cortafuegos más sencilla y que consume menos recursos que existe. Si bien hoy en día están en desuso, eran el elemento básico de la protección de la red en las computadoras antiguas.
Un firewall de filtrado de paquetes opera a nivel de paquete, escaneando cada paquete entrante desde el enrutador de la red. Pero en realidad no escanea el contenido de los paquetes de datos, sólo sus encabezados. Esto permite que el firewall verifique metadatos como las direcciones de origen y destino, los números puerto, etc.
Como puedes sospechar, este tipo de firewall no es muy efectivo. Todo lo que puede hacer un firewall de filtrado de paquetes es reducir el tráfico de red innecesario de acuerdo con la lista de control de acceso. Dado que el contenido del paquete no se verifica, el malware aún puede pasar.
Puertas de enlace a nivel de circuito
Otra forma eficiente de verificar la legitimidad de las conexiones de red es una puerta de enlace a nivel de circuito. En lugar de comprobar los encabezados de los paquetes de datos individuales, una puerta de enlace a nivel de circuito verifica la sesión misma.
Una vez más, un firewall como este no atraviesa el contenido de la transmisión, dejándola vulnerable a una serie de ataques maliciosos. Dicho esto, verificar las conexiones del Protocolo de control de transmisión (TCP) desde la capa de sesiones del modelo OSI requiere muy pocos recursos y puede cerrar efectivamente conexiones de red no deseadas..
Esta es la razón por la que las puertas de enlace a nivel de circuito suelen estar integradas en la mayoría de las soluciones de seguridad de red, especialmente en los cortafuegos de software. Estas puertas de enlace también ayudan a enmascarar la dirección IP del usuario creando conexiones virtuales para cada sesión.
Firewalls de inspección con estado
Tanto el firewall de filtrado de paquetes como el gateway a nivel de circuito son implementaciones de firewall sin estado. Esto significa que operan según un conjunto de reglas estáticas, lo que limita su eficacia. Cada paquete (o sesión) se trata por separado, lo que permite realizar únicamente comprobaciones muy básicas.
Un Firewall de Inspección de Estado, por otro lado, realiza un seguimiento del estado de la conexión, junto con los detalles de cada paquete transmitido a través de ella. Al monitorear el protocolo de enlace TCP durante la duración de la conexión, un firewall de inspección de estado puede compilar una tabla que contiene las direcciones IP y los números de puerto del origen y el destino y hacer coincidir los paquetes entrantes con este conjunto de reglas dinámicas.
Gracias a esto, es difícil introducir paquetes de datos maliciosos a través de un firewall de inspección de estado. Por otro lado, este tipo de firewall tiene un mayor costo de recursos, lo que ralentiza el rendimiento y crea una oportunidad para que los piratas informáticos utilicen ataques de denegación de servicio distribuido (DDoS) contra el sistema.
Firewalls proxy
Más conocidos como puertas de enlace a nivel de aplicación, los firewalls proxy operan en la capa frontal del modelo OSI: la capa de aplicación. Como capa final que separa al usuario de la red, esta capa permite la verificación más exhaustiva y costosa de los paquetes de datos, a costa del rendimiento.
Al igual que las puertas de enlace a nivel de circuito, los cortafuegos proxy funcionan intercediendo entre el host y el cliente, ofuscando las direcciones IP internas de los puertos de destino. Además, las puertas de enlace a nivel de aplicación realizan una inspección profunda de los paquetes para garantizar que no pueda pasar tráfico malicioso.
Y si bien todas estas medidas aumentan significativamente la seguridad de la red, también ralentizan el tráfico entrante. El rendimiento de la red se ve afectado debido a las comprobaciones que consumen muchos recursos realizadas por un firewall con estado como este, lo que lo convierte en una mala opción para aplicaciones sensibles al rendimiento..
Cortafuegos NAT
En muchas configuraciones informáticas, el eje clave de la ciberseguridad es garantizar una red privada, ocultando las direcciones IP individuales de los dispositivos cliente tanto de los piratas informáticos como de los proveedores de servicios. Como ya hemos visto, esto se puede lograr utilizando un firewall proxy o una puerta de enlace a nivel de circuito.
Un método mucho más sencillo para ocultar direcciones IP es utilizar un cortafuegos de traducción de direcciones de red (NAT). Los cortafuegos NAT no requieren muchos recursos del sistema para funcionar, lo que los convierte en el punto de referencia entre los servidores y la red interna.
Firewalls de aplicaciones web
Solo los cortafuegos de red que operan en la capa de aplicación pueden realizar un escaneo profundo de paquetes de datos, como un cortafuegos proxy o, mejor aún, un cortafuegos de aplicaciones web (WAF).
Al operar desde dentro de la red o el host, un WAF revisa todos los datos transmitidos por varias aplicaciones web, asegurándose de que no pase ningún código malicioso. Este tipo de arquitectura de firewall se especializa en la inspección de paquetes y proporciona mejor seguridad que los firewalls de nivel de superficie.
Firewalls en la nube
Los cortafuegos tradicionales, tanto los de hardware como los de software, no se escalan bien. Deben instalarse teniendo en cuenta las necesidades del sistema, ya sea centrándose en el rendimiento de alto tráfico o en la seguridad de bajo tráfico de red.
Pero los Cloud Firewalls son mucho más flexibles. Implementado desde la nube como un servidor proxy, este tipo de firewall intercepta el tráfico de la red antes de que ingrese a la red interna, autorizando cada sesión y verificando cada paquete de datos antes de dejarlo ingresar.
La mejor parte es que estos firewalls pueden ampliarse o reducirse en capacidad según sea necesario, ajustándose a diferentes niveles de tráfico entrante. Ofrecido como un servicio basado en la nube, no requiere hardware y su mantenimiento corre a cargo del propio proveedor del servicio.
Firewalls de próxima generación
Próxima Generación puede ser un término engañoso. A todas las industrias basadas en la tecnología les encanta usar palabras de moda como ésta, pero ¿qué significan realmente? ¿Qué tipo de características califican a un firewall para ser considerado de próxima generación?
En realidad, no existe una definición estricta. Generalmente, puede considerar soluciones que combinan diferentes tipos de firewalls en un único sistema de seguridad eficiente para ser un Firewall de próxima generación (NGFW). Un firewall de este tipo es capaz de realizar una inspección profunda de paquetes y al mismo tiempo hacer caso omiso de DDoS ataques, proporcionando una defensa multicapa contra los piratas informáticos..
La mayoría de los cortafuegos de próxima generación suelen combinar varias soluciones de red, como VPN, sistemas de prevención de intrusiones (IPS) e incluso un antivirus en un solo paquete potente. La idea es ofrecer una solución completa que aborde todo tipo de vulnerabilidades de la red, brindando seguridad absoluta a la red. Con este fin, algunos NGFW también pueden descifrar las comunicaciones Secure Socket Layer (SSL), lo que les permite detectar ataques cifrados también.
¿Qué tipo de firewall es el mejor para proteger su red?
Lo que pasa con los firewalls es que los diferentes tipos de firewalls utilizan diferentes enfoques para proteger una red.
Los cortafuegos más simples simplemente autentican las sesiones y los paquetes, sin hacer nada con el contenido. Los firewalls de puerta de enlace tienen como objetivo crear conexiones virtuales y evitar el acceso a direcciones IP privadas. Los cortafuegos con estado realizan un seguimiento de las conexiones a través de sus protocolos de enlace TCP y crean una tabla de estado con la información.
Luego están los firewalls de próxima generación, que combinan todos los procesos anteriores con una inspección profunda de paquetes y una serie de otras funciones de protección de red. Es obvio decir que un NGFW proporcionaría a su sistema la mejor seguridad posible, pero esa no siempre es la respuesta correcta.
Dependiendo de la complejidad de su red y del tipo de aplicaciones que se ejecutan, sus sistemas podrían estar mejor con una solución más simple que proteja contra los ataques más comunes. La mejor idea podría ser simplemente utilizar un servicio third-party Cloud cortafuegos, descargando el ajuste y el mantenimiento del firewall al proveedor de servicios.
.