Todo el mundo entiende la función básica de un cortafuegos para proteger su red del malware y el acceso no autorizado. Pero los detalles exactos de cómo funcionan los cortafuegos son menos conocidos.
¿Qué es exactamente un cortafuegos? ¿Cómo funcionan los diferentes tipos de cortafuegos? Y quizás lo más importante, ¿qué tipo de firewall es mejor?
Cortafuegos 101
En pocas palabras, un firewall es solo otro punto final de la red. Lo que lo hace especial es su capacidad para interceptar y escanear el tráfico entrante antes de que ingrese a la red interna, bloqueando el acceso de los actores malintencionados.
Verificando la autenticación de cada conexión, ocultando la IP de destino de los piratas informáticos e incluso escaneando el contenido de cada paquete de datos, los firewalls lo hacen todo. Un firewall sirve como una especie de punto de control, controlando cuidadosamente el tipo de comunicación que se permite.
Cortafuegos de filtrado de paquetes
Los cortafuegos de filtrado de paquetes son la tecnología de cortafuegos más simple y que requiere menos recursos que existe. Si bien está en desuso en estos días, eran el elemento básico de la protección de red en las computadoras antiguas.
Un cortafuegos de filtrado de paquetes funciona a nivel de paquete y escanea cada paquete entrante desde el enrutador de la red. Pero en realidad no escanea el contenido de los paquetes de datos, solo sus encabezados. Esto permite que el cortafuegos verifique metadatos como las direcciones de origen y destino, los números de puerto, etc.
Como puede sospechar, este tipo de firewall no es muy efectivo. Todo lo que puede hacer un firewall de filtrado de paquetes es reducir el tráfico de red innecesario de acuerdo con la lista de control de acceso. Dado que los contenidos de los paquetes en sí mismos no se verifican, el malware aún puede pasar.
Puertas de enlace a nivel de circuito
Otra forma eficiente de recursos de verificar la legitimidad de las conexiones de red es una puerta de enlace a nivel de circuito. En lugar de verificar los encabezados de los paquetes de datos individuales, una puerta de enlace a nivel de circuito verifica la sesión en sí.
Una vez más, un cortafuegos como este no analiza el contenido de la transmisión en sí, lo que la deja vulnerable a una gran cantidad de ataques maliciosos. Dicho esto, verificar las conexiones del Protocolo de control de transmisión (TCP) desde la capa de sesiones del modelo OSI requiere muy pocos recursos y puede cerrar de manera efectiva las conexiones de red no deseadas.
Esta es la razón por la cual las puertas de enlace a nivel de circuito a menudo se integran en la mayoría de las soluciones de seguridad de red, especialmente en los firewalls de software. Estas puertas de enlace también ayudan a enmascarar la dirección IP del usuario al crear conexiones virtuales para cada sesión.
Cortafuegos de inspección con estado
Tanto el cortafuegos de filtrado de paquetes como la puerta de enlace a nivel de circuito son implementaciones de cortafuegos sin estado. Esto significa que operan con un conjunto de reglas estáticas, lo que limita su efectividad. Cada paquete (o sesión) se trata por separado, lo que permite que solo se lleven a cabo comprobaciones muy básicas.
Un firewall de inspección de estado, por otro lado, realiza un seguimiento del estado de la conexión, junto con los detalles de cada paquete transmitido a través de ella. Al monitorear el protocolo de enlace TCP a lo largo de la duración de la conexión, un firewall de inspección de estado puede compilar una tabla que contiene las direcciones IP y los números de puerto del origen y el destino y hacer coincidir los paquetes entrantes con este conjunto de reglas dinámicas.
Gracias a esto, es difícil colar paquetes de datos maliciosos a través de un firewall de inspección de estado. Por otro lado, este tipo de firewall tiene un mayor precio de recursos, lo que ralentiza el rendimiento y crea una oportunidad para que los piratas informáticos utilicen ataques de denegación de servicio distribuido (DDoS) contra el sistema.
Cortafuegos de proxy
Más conocidos como Gateways de Nivel de Aplicación, los Proxy Firewalls operan en la capa frontal del modelo OSI, la capa de aplicación. Como capa final que separa al usuario de la red, esta capa permite la verificación más exhaustiva y costosa de los paquetes de datos, a costa del rendimiento.
De manera similar a las puertas de enlace a nivel de circuito, los firewalls de proxy funcionan intercediendo entre el host y el cliente, ofuscando las direcciones IP internas de los puertos de destino. Además, las puertas de enlace a nivel de aplicación realizan una inspección profunda de los paquetes para garantizar que no pueda pasar tráfico malicioso.
Y si bien todas estas medidas aumentan significativamente la seguridad de la red, también ralentizan el tráfico entrante. El rendimiento de la red se ve afectado debido a las comprobaciones intensivas en recursos realizadas por un firewall con estado como este, lo que lo hace inadecuado para las aplicaciones sensibles al rendimiento.
Cortafuegos NAT
En muchas configuraciones informáticas, el eje clave de la ciberseguridad es garantizar una red privada, ocultando las direcciones IP individuales de los dispositivos de los clientes tanto a los piratas informáticos como a los proveedores de servicios. Como ya hemos visto, esto se puede lograr mediante un firewall proxy o una puerta de enlace a nivel de circuito.
Un método mucho más simple para ocultar direcciones IP es utilizar un cortafuegos de traducción de direcciones de red (NAT). Los cortafuegos NAT no requieren muchos recursos del sistema para funcionar, lo que los convierte en el punto de referencia entre los servidores y la red interna.
Cortafuegos de aplicaciones web
Solo los firewalls de red que operan en la capa de aplicación pueden realizar un análisis profundo de los paquetes de datos, como un firewall de proxy o, mejor aún, un firewall de aplicaciones web (WAF).
Operando desde dentro de la red o el host, un WAF revisa todos los datos transmitidos por varias aplicaciones web, asegurándose de que no pase ningún código malicioso. Este tipo de arquitectura de firewall se especializa en la inspección de paquetes y proporciona una mejor seguridad que los firewalls de nivel superficial.
Cortafuegos en la nube
Los cortafuegos tradicionales, tanto los cortafuegos de hardware como los de software, no escalan bien. Deben instalarse teniendo en cuenta las necesidades del sistema, ya sea centrándose en el rendimiento de tráfico alto o en la seguridad de tráfico de red bajo.
Pero los Cloud Firewalls son mucho más flexibles. Implementado desde la nube como un servidor proxy, este tipo de firewall intercepta el tráfico de la red antes de que ingrese a la red interna, autorizando cada sesión y verificando cada paquete de datos antes de dejarlo entrar.
La mejor parte es que estos firewalls se pueden ampliar o reducir en capacidad según sea necesario, ajustándose a diferentes niveles de tráfico entrante. Se ofrece como un servicio basado en la nube, no requiere hardware y es mantenido por el propio proveedor de servicios.
Cortafuegos de próxima generación
Próxima generación puede ser un término engañoso. A todas las industrias basadas en la tecnología les encanta lanzar palabras de moda como esta, pero ¿qué significa realmente? ¿Qué tipo de características califican a un firewall para ser considerado de última generación?
En verdad, no hay una definición estricta. En general, puede considerar soluciones que combinan diferentes tipos de firewalls en un solo sistema de seguridad eficiente para ser un Firewall de próxima generación (NGFW). Tal firewall es capaz de realizar una inspección profunda de paquetes y al mismo tiempo ignorar los ataques DDoS, lo que proporciona una defensa multicapa contra los piratas informáticos.
La mayoría de los firewalls de próxima generación a menudo combinarán múltiples soluciones de red, como VPN, sistemas de prevención de intrusiones (IPS) e incluso un antivirus en un paquete poderoso. La idea es ofrecer una solución completa que aborde todo tipo de vulnerabilidades de la red, brindando una seguridad de red absoluta. Con este fin, algunos NGFW también pueden descifrar las comunicaciones de Secure Socket Layer (SSL), lo que les permite detectar ataques encriptados también.
¿Qué tipo de firewall es el mejor para proteger su red?
Lo que pasa con los cortafuegos es que los diferentes tipos de cortafuegos usan diferentes enfoques para proteger una red.
Los firewalls más simples solo autentican las sesiones y los paquetes, sin hacer nada con los contenidos. Los cortafuegos de puerta de enlace tienen que ver con la creación de conexiones virtuales y la prevención del acceso a direcciones IP privadas. Los cortafuegos con estado realizan un seguimiento de las conexiones a través de sus protocolos de enlace TCP y crean una tabla de estado con la información.
Luego están los cortafuegos de próxima generación, que combinan todos los procesos anteriores con una inspección profunda de paquetes y una serie de otras características de protección de la red. Es obvio decir que un NGFW proporcionaría a su sistema la mejor seguridad posible, pero esa no siempre es la respuesta correcta.
Según la complejidad de su red y el tipo de aplicaciones que se ejecutan, sus sistemas podrían estar mejor con una solución más simple que proteja contra los ataques más comunes. La mejor idea podría ser simplemente usar un servicio de firewall en la nube de terceros, descargando el ajuste y el mantenimiento del firewall al proveedor de servicios.
