Un firewall es un sistema de seguridad de red de las computadoras que restringe el tráfico de Internet entrante, saliente o dentro de una red privada.
Este software o esta unidad de hardware y software dedicados funciona bloqueando o permitiendo los paquetes de datos de forma selectiva. Normalmente, su finalidad es ayudar a prevenir la actividad maliciosa y evitar que cualquier persona (dentro o fuera de la red privada) pueda realizar actividades no autorizadas en la web.
Los firewalls pueden considerarse fronteras o puertas que administran el flujo de la actividad web que se permite o prohíbe en una red privada. El término proviene del concepto de paredes físicas que actúan como barreras para ralentizar la propagación del fuego hasta que los servicios de emergencia pueden extinguirlo. En comparación, los firewalls de seguridad de red sirven para la administración del tráfico web y normalmente están destinados a ralentizar la propagación de las amenazas web.
Los firewalls crean “cuellos de botella” para canalizar el tráfico web. En esos puntos, se realiza una revisión según un conjunto de parámetros programados y se actúa en consecuencia. Algunos firewalls también realizan un seguimiento del tráfico y las conexiones en los registros de auditoría para consultar lo que se ha permitido o bloqueado.
Normalmente, los firewalls se utilizan para delimitar las fronteras de una red privada o sus dispositivos host. Así, los firewalls son una herramienta de seguridad que se incluye en la amplia categoría del control de acceso de los usuarios. Estas barreras por lo general se encuentran en dos ubicaciones: en computadoras específicas en la red o en las computadoras del usuario y en otros puntos de conexión (hosts).
Un firewall decide qué tráfico de red se admite y qué tráfico se considera peligroso. Básicamente, separa el tráfico bueno del malo, o el seguro del no fiable. Sin embargo, antes de entrar en detalles, es útil entender la estructura de las redes basadas en la web.
Los firewalls tienen como objetivo proteger las redes privadas y los dispositivos de punto de conexión que se encuentran en ellas, conocidos como hosts de red. Los hosts de red son dispositivos que se “comunican” con otros hosts en la red. Envían y reciben tráfico entre las redes internas, además de enviar y recibir tráfico de redes externas.
Las computadoras y otros dispositivos de punto de conexión utilizan redes para acceder a Internet y comunicarse entre ellos. Sin embargo, el Internet está segmentado en subredes por motivos de seguridad y privacidad. Los segmentos de subredes básicos son los siguientes:
Los enrutadores de filtrado son puertas de enlace especializadas ubicadas en una red para segmentarla. Se los conoce como firewalls domésticos en el nivel de la red. Los dos modelos de segmento más comunes son el firewall de host filtrado y el firewall de subred filtrado:
Tanto el perímetro de red como las máquinas host pueden albergar un firewall. Para ello, se coloca entre una única computadora y su conexión a una red privada.
Un firewall de red requiere una configuración ante una amplia variedad de conexiones, mientras que un firewall de host puede personalizarse para adaptarse a las necesidades del equipo. Sin embargo, personalizar los firewalls de host requiere más esfuerzo, lo que significa que los firewalls basados en la red son ideales para una solución de control integral. A pesar de esto, el uso de ambos firewalls en las dos ubicaciones de manera simultánea es ideal para un sistema de seguridad de varias capas.
El filtrado del tráfico mediante un firewall utiliza reglas preestablecidas o aprendidas dinámicamente para permitir y denegar los intentos de conexión. Estas reglas determinan cómo el firewall regula el flujo de tráfico web a través de la red privada y los dispositivos informáticos privados. Independientemente del tipo, todos los firewalls pueden realizar el filtrado mediante una combinación de lo siguiente:
El origen y el destino se comunican mediante los puertos y las direcciones del protocolo de Internet (IP). Las direcciones IP son nombres de dispositivo únicos para cada host. Los puertos son un subnivel de cualquier origen y dispositivo de host de destino, similar a las oficinas dentro de un gran edificio. Los puertos suelen tener asignados propósitos específicos, de modo que, si hay determinados protocolos y direcciones IP que utilizan puertos no comunes o puertos desactivados, puede haber problemas.
Al utilizar estos identificadores, el firewall puede decidir si se debe desechar un paquete de datos que esté intentando establecer una conexión (silenciosamente o enviando un mensaje de error al remitente) o si se debe redirigir.
Los diferentes tipos de firewall incluyen varios métodos de filtrado. Si bien cada tipo se desarrolló para ser mejor que las generaciones anteriores de firewalls, gran parte de la tecnología principal se ha transmitido entre generaciones.
Los tipos de firewall se distinguen según su método en relación a lo siguiente:
Cada tipo opera a un nivel diferente del modelo de comunicaciones estandarizado, el modelo de interconexión de sistemas abiertos (OSI, por sus siglas en inglés). Este modelo proporciona una mejor visualización de cómo cada firewall interactúa con las conexiones.
Los firewalls de filtrado estático de paquetes, también conocidos como firewalls de inspección sin estado, operan en la capa de red OSI (capa 3). Ofrecen un filtrado básico mediante la comprobación de todos los paquetes de datos individuales enviados a través de la red, según su procedencia y el destino al que quieren llegar. Cabe destacar que no se realiza un seguimiento de las conexiones aceptadas previamente. Esto significa que cada conexión debe volver a aprobarse cada vez que se envía un paquete de datos.
El filtrado se basa en las direcciones IP, los puertos y los protocolos de paquetes. Como mínimo, estos firewalls evitan que dos redes se conecten directamente sin permiso.
Las reglas para el filtrado se establecen según una lista de control de acceso creada manualmente. Estas reglas son muy rígidas y es difícil abordar correctamente el tráfico no deseado sin poner en riesgo la usabilidad de la red. El filtrado estático requiere una revisión manual continua para funcionar eficazmente. Esto puede gestionarse en redes pequeñas, pero se complica rápido en las más grandes.
La incapacidad de leer protocolos de aplicación significa que no pueden leerse los contenidos de un mensaje enviado dentro de un paquete. Sin leer el contenido, los firewalls con filtrado de paquetes tienen una calidad de protección limitada.
Las puertas de enlace de nivel de circuito funcionan en el nivel de sesión (capa 5). Estos firewalls comprueban si hay paquetes funcionales en el intento de conexión y, si funcionan correctamente, permiten establecer una conexión abierta persistente entre las dos redes. Después de esto, el firewall deja de supervisar la conexión.
Aparte de su estrategia en cuanto a las conexiones, la puerta de enlace de nivel de circuito puede ser similar a los firewalls proxy.
La conexión no supervisada en curso es peligrosa, ya que los medios legítimos pueden abrir la conexión y después permitir que un actor malicioso entre sin interrupciones.
Los firewalls de inspección con estado, también llamados firewalls de filtrado dinámico de paquetes, son únicos en comparación al filtrado estático debido a su capacidad para supervisar conexiones en curso y recordar las anteriores. Comenzaron actuando en la capa de transporte (capa 4), pero en la actualidad, estos firewalls pueden supervisar muchas capas, incluida la capa de aplicación (capa 7).
Del mismo modo que el firewall de filtrado estático, los firewalls de inspección con estado permiten o bloquean el tráfico en función de las propiedades técnicas, como los protocolos de paquete específicos, las direcciones IP o los puertos. Sin embargo, estos firewalls también supervisan y filtran de forma única según el estado de las conexiones con una tabla de estados.
Este firewall actualiza las reglas de filtrado en función de eventos de conexión antiguos registrados en la tabla de estados por el enrutador de filtrado.
Generalmente, las decisiones de filtrado suelen estar basadas en las reglas del administrador establecidas al configurar el equipo y el firewall. Sin embargo, la tabla de estados permite que estos firewalls dinámicos tomen sus propias decisiones según interacciones anteriores de las que han “aprendido”. Por ejemplo, los tipos de tráfico que causaron interrupciones anteriormente serían descartados en un futuro. La flexibilidad de la inspección con estado la consolidó como uno de los métodos de protección más extendidos.
Los firewalls proxy, también conocidos como firewalls de nivel de aplicación (capa 7), son únicos a la hora de leer y filtrar protocolos de aplicación. Combinan la inspección a nivel de aplicación, o “inspección profunda de paquetes” (DPI, por sus siglas en inglés), y la inspección con estado.
Un firewall proxy es lo más parecido a una barrera física real. A diferencia de otros tipos de firewall, actúa como dos hosts adicionales entre las redes externas y las computadoras host internas, con uno como representante (o “proxy”) para cada red.
El filtrado se basa en los datos a nivel de aplicación, en lugar de direcciones IP, puertos y protocolos de paquete básicos (UDP, ICMP) como en los firewalls basados en paquetes. Leer y entender FTP, HTTP, DNS y otros protocolos permite una investigación más profunda y el filtrado cruzado para muchos aspectos de datos diferentes.
Al igual que un guardia en una puerta, analiza y evalúa los datos entrantes. Si no se detectan problemas, se autoriza el paso de datos hacia el usuario.
La desventaja de este tipo de medidas de seguridad fuertes es que, a veces, interfieren con los datos entrantes que no suponen una amenaza y provocan retrasos en la funcionalidad.
La constante evolución de las amenazas implica contar con soluciones más sólidas. Los firewalls de última generación superan este problema porque combinan las funciones de un firewall tradicional con sistemas de prevención de intrusiones en la red.
Los firewalls de última generación para amenazas específicas están diseñados para examinar e identificar amenazas específicas, como malware avanzado, en un nivel más detallado. Este es el tipo de firewall más utilizado por empresas y redes sofisticadas, ya que proporciona una solución integral para filtrar y descartar cualquier amenaza.
Como su nombre indica, los firewalls híbridos usan dos o más tipos de firewalls en una sola red privada.
La invención del firewall todavía está en curso. Esto se debe a que está evolucionando constantemente y ha habido varios creadores involucrados en su desarrollo y evolución.
Desde finales de la década de 1980 hasta mediados de los 90, cada creador mejoró varios componentes y versiones relacionados con los firewalls antes de que se convirtieran en el producto utilizado como base para todos los firewalls modernos.
Brian Reid, Paul Vixie y Jeff Mogul
A finales de la década de 1980, Mogul, Reid y Vixie tenían puestos en Digital Equipment Corp (DEC) en los que desarrollaban tecnología de filtrado de paquetes que acabaría siendo valiosa para los firewalls del futuro. Esto llevó al concepto de revisar las conexiones externas antes de que establecieran el contacto con los equipos de una red interna. Mientras que algunos consideran este filtro de paquetes como el primer firewall, se asemejaba más a una tecnología de componente que daría soporte a los verdaderos sistemas de firewall posteriores.
David Presotto, Janardan Sharma, Kshitiji Nigam, William Cheswick y Steven Bellovin
Entre finales de los 80 y principios de los 90, varios empleados de AT&T Bell Laps investigaron y desarrollaron el primer concepto de un firewall de puerta de enlace de nivel de circuito. Era el primer firewall que revisaba y permitía las conexiones entrantes en comparación con la reautorización repetida después de que llegara cada paquete de datos. Presotto, Sharma y Nigam desarrollaron la puerta de enlace de nivel de circuito entre 1989 y 1990 y, luego de ellos, llegó el trabajo en tecnología de firewall de Cheswick y Bellovin en 1991.
Marcus Ranum
Desde 1991 a 1992, Ranum inventó los proxies de seguridad en DEC que se convirtieron en un componente vital del primer producto de firewall de capa de aplicación: el producto de 1991 basado en proxies Secure External Access Link (SEAL). Consistía en una expansión del trabajo de Reid, Vixie y Mogul en DEC, y fue el primer firewall lanzado comercialmente.
Gil Shwed y Nir Zuk
Desde 1993 hasta 1994 en Check Point, el fundador de la empresa, Gil Shwed, y el desarrollador prolífico Nir Zuk desempeñaron papeles significativos a la hora de desarrollar el primer producto de firewall fácil de usar y adoptado por el público general: Firewall-1. Gil Shwed creó y presentó la patente estadounidense para la inspección con estado en 1993. A esto le siguió el trabajo de Nir Zuk en una interfaz gráfica fácil de usar para el Firewall-1 de 1994, que fue vital para el uso extendido de firewalls en las empresas y los hogares en el futuro cercano.
Estos desarrollos fueron esenciales para moldear el producto de firewall que conocemos en la actualidad, ya que cada aspecto se utiliza de alguna manera en muchas soluciones de ciberseguridad.
¿Cuál es el propósito de un firewall y por qué es tan importante? Las redes sin protección son vulnerables a cualquier tráfico que esté intentando acceder a sus sistemas. El tráfico de red siempre debe revisarse, sin importar si es dañino o no.
Conectar equipos personales a otros sistemas de TI o a Internet abre una amplia gama de beneficios, incluida la colaboración sencilla con otras personas, la combinación de recursos y la creatividad mejorada. Sin embargo, esto puede producirse a expensas de una red completa y de la protección de los dispositivos. El hackeo, el robo de identidad, el malware y el fraude en línea son amenazas comunes a las que se pueden enfrentar los usuarios cuando conectan sus equipos a una red o a Internet.
Una vez descubiertos por un actor malicioso, la red y los dispositivos pueden encontrarse fácilmente, obtener acceder a ellos con rapidez y verse expuestos a amenazas recurrentes. Las conexiones a Internet durante todo el día aumentan el riesgo de que suceda esto (dado que es posible acceder a la red en cualquier momento).
La protección proactiva es esencial al utilizar cualquier tipo de red. Los usuarios pueden proteger su red de los peores riesgos con un firewall.
¿Qué hace un firewall y contra qué puede protegerlo? El concepto de un firewall de seguridad de red tiene como objetivo limitar la superficie de ataque de una red a un solo punto de contacto. En lugar de que cada host de una red esté directamente expuesto al Internet general, todo el tráfico debe contactar primero con el firewall. Dado que esto también funciona a la inversa, el firewall puede filtrar y bloquear el tráfico no permitido, tanto entrante como saliente. Además, los firewalls se utilizan para crear un registro de auditoría de los intentos de conexión de red para obtener un mayor conocimiento de la seguridad.
Esto crea casos de uso personalizados de los firewalls debido a que el tráfico de seguridad puede ser un conjunto de reglas establecido por los propietarios de una red privada. Entre los casos de uso populares se incluye la gestión de lo siguiente:
Sin embargo, los firewalls son menos eficaces para lo siguiente:
En la práctica, las aplicaciones reales de firewalls han obtenido reseñas buenas y malas. Aunque los firewalls han alcanzado muchos logros, este tipo de seguridad se debe implementar de la manera correcta para evitar vulnerabilidades de seguridad. Además, los firewalls son conocidos por usarse de formas éticamente cuestionables.
Desde el año 2000, China tiene establecidos marcos de trabajo de firewalls internos para crear su intranet cuidadosamente vigilada. Por naturaleza, los firewalls permiten la creación de una versión personalizada del Internet global dentro de una nación. Esto se consigue al impedir que ciertos servicios e información se utilicen o que se pueda acceder a ellos desde la intranet nacional.
La vigilancia y la censura nacionales permiten que se reprima continuamente la libertad de expresión a la vez que se mantiene la imagen del gobierno. Además, el firewall de China permite que su gobierno limite los servicios de Internet a las empresas locales. Esto hace que sea más fácil controlar aspectos como los motores de búsqueda y los servicios de correo electrónico para manipularlos a favor del gobierno.
En China hay continuas protestas internas en contra de esta censura. El uso de redes privadas virtuales y proxies para superar el firewall nacional ha permitido que muchos expresen su descontento.
En el 2020, un firewall mal configurado fue una de las muchas deficiencias de seguridad que llevaron a la vulneración de origen anónimo de una agencia federal de Estados Unidos.
Se cree que un agente de un estado nacional abusó de una serie de vulnerabilidades en la ciberseguridad de la agencia estadounidense. Entre los problemas de seguridad mencionados, el firewall que se utilizó tenía muchos puertos salientes que estaban abiertos al tráfico inadecuadamente. Además de recibir un mantenimiento deficiente, la red de la agencia estaba lidiando con nuevos desafíos a causa del trabajo remoto. Una vez dentro de la red, el atacante mostró claras intenciones de avanzar por cualquier otra ruta que le diera acceso a otras agencias. Este tipo de ataque no solo pone en riesgo de vulneración de seguridad a la agencia infiltrada, sino también a muchas otras.
En 2019, un proveedor de operaciones de la red eléctrica de Estados Unidos se vio afectado por una vulneración de seguridad de denegación de servicio (DoS) de la que se aprovecharon los hackers. Los firewalls en la red perimetral estuvieron atrapados en un bucle de reinicio durante unas diez horas.
Posteriormente, se determinó que fue el resultado de una vulnerabilidad de seguridad conocida pero no actualizada del firmware de los firewalls. Aún no se había implementado un procedimiento de operación estándar para comprobar las actualizaciones antes de la implementación, lo que causó demoras en las actualizaciones y un problema de seguridad inevitable. Afortunadamente, el problema de seguridad no causó una penetración significativa de la red.
Estos eventos demuestran la importancia de actualizar el software de manera regular. Sin las actualizaciones, los firewalls son otro sistema de seguridad más que se puede vulnerar.
Es esencial realizar una instalación y un mantenimiento adecuados del firewall para mantener la red y los dispositivos protegidos. A continuación, proporcionamos algunos consejos sobre prácticas de seguridad de red de los firewalls:
Kaspersky Endpoint Security recibió tres premios AV-TEST al mejor rendimiento, protección y utilidad de un producto de seguridad de puntos de conexión para empresas en 2021. En todas las pruebas, Kaspersky Endpoint Security demostró un rendimiento, protección y usabilidad excepcionales para las empresas.
Vínculos relacionados: