¿Qué es un firewall? Definición y explicación

Firewall: significado y definición

Un firewall es un sistema de seguridad de red de las computadoras que restringe el tráfico de Internet entrante, saliente o dentro de una red privada.

Este software o esta unidad de hardware y software dedicados funciona bloqueando o permitiendo los paquetes de datos de forma selectiva. Normalmente, su finalidad es ayudar a prevenir la actividad maliciosa y evitar que cualquier persona (dentro o fuera de la red privada) pueda realizar actividades no autorizadas en la web.

¿Qué es un firewall?

Los firewalls pueden considerarse fronteras o puertas que administran el flujo de la actividad web que se permite o prohíbe en una red privada. El término proviene del concepto de paredes físicas que actúan como barreras para ralentizar la propagación del fuego hasta que los servicios de emergencia pueden extinguirlo. En comparación, los firewalls de seguridad de red sirven para la administración del tráfico web y normalmente están destinados a ralentizar la propagación de las amenazas web.

Los firewalls crean “cuellos de botella” para canalizar el tráfico web. En esos puntos, se realiza una revisión según un conjunto de parámetros programados y se actúa en consecuencia. Algunos firewalls también realizan un seguimiento del tráfico y las conexiones en los registros de auditoría para consultar lo que se ha permitido o bloqueado.

Normalmente, los firewalls se utilizan para delimitar las fronteras de una red privada o sus dispositivos host. Así, los firewalls son una herramienta de seguridad que se incluye en la amplia categoría del control de acceso de los usuarios. Estas barreras por lo general se encuentran en dos ubicaciones: en computadoras específicas en la red o en las computadoras del usuario y en otros puntos de conexión (hosts).

¿Cómo funcionan los firewalls?

Un firewall decide qué tráfico de red se admite y qué tráfico se considera peligroso. Básicamente, separa el tráfico bueno del malo, o el seguro del no fiable. Sin embargo, antes de entrar en detalles, es útil entender la estructura de las redes basadas en la web.

Los firewalls tienen como objetivo proteger las redes privadas y los dispositivos de punto de conexión que se encuentran en ellas, conocidos como hosts de red. Los hosts de red son dispositivos que se “comunican” con otros hosts en la red. Envían y reciben tráfico entre las redes internas, además de enviar y recibir tráfico de redes externas.

Las computadoras y otros dispositivos de punto de conexión utilizan redes para acceder a Internet y comunicarse entre ellos. Sin embargo, el Internet está segmentado en subredes por motivos de seguridad y privacidad. Los segmentos de subredes básicos son los siguientes:

1. Las redes públicas externas, que suelen referirse al Internet público o global, o a varias extranets.
2. Las redes privadas internas, que son redes domésticas, intranets de empresas y otras redes “cerradas”.
3. Las redes de perímetro, que hacen referencia a las redes fronterizas compuestas por hosts bastión: computadoras host dedicadas con seguridad reforzada que están preparadas para soportar ataques externos. A modo de búfer asegurado entre redes internas y externas, estas también se pueden usar para alojar cualquier servicio orientado al exterior brindado por la red interna (por ejemplo, servidores para sitios web, correo electrónico, FTP, VoIP, etc.). Son más seguras que las redes externas pero menos seguras que las internas. No siempre están presentes en las redes más simples, como las redes domésticas, pero se utilizan con frecuencia en las intranets de empresas o nacionales.

Los enrutadores de filtrado son puertas de enlace especializadas ubicadas en una red para segmentarla. Se los conoce como firewalls domésticos en el nivel de la red. Los dos modelos de segmento más comunes son el firewall de host filtrado y el firewall de subred filtrado:

• Los firewalls de host filtrados utilizan un único enrutador de filtrado entre las redes externas e internas. Estas redes son las dos subredes de este modelo.
• Los firewalls de subred filtrados utilizan dos enrutadores de filtrado: uno conocido como enrutador de acceso entre la red externa y perimetral, y otro conocido como choke router entre el perímetro y la red interna. Esto crea tres subredes, respectivamente.

Tanto el perímetro de red como las máquinas host pueden albergar un firewall. Para ello, se coloca entre una única computadora y su conexión a una red privada.

• Los firewalls de red implican el uso de uno o más firewalls entre las redes externas y las redes internas privadas. Estos regulan el tráfico de red entrante y saliente, y separan las redes públicas externas (como el Internet global) de las redes internas, como las redes de wifi domésticas y las intranets de empresas o nacionales. Los firewalls de red pueden tener cualquiera de los siguientes formatos: hardware dedicado, software y virtual.
• Los firewalls de host o “firewalls de software” requieren el uso de firewalls en dispositivos de usuario individuales y otros puntos de conexión de red privados como barreras entre los dispositivos dentro de la red. Estos dispositivos, o hosts, reciben una regulación adaptada del tráfico desde y hacia aplicaciones de la computadora específicas. Los firewalls de host pueden ejecutarse en dispositivos locales como un servicio del sistema operativo o una aplicación de seguridad de punto de conexión. Los firewalls de host pueden acceder de manera más profunda al tráfico web, el filtrado basado en HTTP y otros protocolos de red, lo que permite administrar el contenido que recibe el equipo, en lugar de solo saber de dónde viene.

Un firewall de red requiere una configuración ante una amplia variedad de conexiones, mientras que un firewall de host puede personalizarse para adaptarse a las necesidades del equipo. Sin embargo, personalizar los firewalls de host requiere más esfuerzo, lo que significa que los firewalls basados en la red son ideales para una solución de control integral. A pesar de esto, el uso de ambos firewalls en las dos ubicaciones de manera simultánea es ideal para un sistema de seguridad de varias capas.

El filtrado del tráfico mediante un firewall utiliza reglas preestablecidas o aprendidas dinámicamente para permitir y denegar los intentos de conexión. Estas reglas determinan cómo el firewall regula el flujo de tráfico web a través de la red privada y los dispositivos informáticos privados. Independientemente del tipo, todos los firewalls pueden realizar el filtrado mediante una combinación de lo siguiente:

• Origen: lugar desde donde se intenta establecer la conexión.
• Destino: lugar al que se intenta dirigir la conexión.
• Contenido: información que la conexión está intentando enviar.
• Protocolos del paquete: el “lenguaje” que se utiliza para transmitir el mensaje al intentar establecer la conexión. Entre los protocolos de red que los hosts utilizan para “comunicarse” entre sí, los protocolos TCP/IP se usan principalmente para comunicarse por Internet y entre intranets o subredes.
• Protocolos de aplicaciones: los protocolos comunes incluyen HTTP, Telnet, FTP, DNS y SSH.

El origen y el destino se comunican mediante los puertos y las direcciones del protocolo de Internet (IP). Las direcciones IP son nombres de dispositivo únicos para cada host. Los puertos son un subnivel de cualquier origen y dispositivo de host de destino, similar a las oficinas dentro de un gran edificio. Los puertos suelen tener asignados propósitos específicos, de modo que, si hay determinados protocolos y direcciones IP que utilizan puertos no comunes o puertos desactivados, puede haber problemas.

Al utilizar estos identificadores, el firewall puede decidir si se debe desechar un paquete de datos que esté intentando establecer una conexión (silenciosamente o enviando un mensaje de error al remitente) o si se debe redirigir.



Tipos de firewall

Los diferentes tipos de firewall incluyen varios métodos de filtrado. Si bien cada tipo se desarrolló para ser mejor que las generaciones anteriores de firewalls, gran parte de la tecnología principal se ha transmitido entre generaciones.

Los tipos de firewall se distinguen según su método en relación a lo siguiente:

1. Seguimiento de la conexión
2. Reglas de filtrado
3. Registros de auditoría

Cada tipo opera a un nivel diferente del modelo de comunicaciones estandarizado, el modelo de interconexión de sistemas abiertos (OSI, por sus siglas en inglés).  Este modelo proporciona una mejor visualización de cómo cada firewall interactúa con las conexiones.

Firewall de filtrado estático de paquetes

Los firewalls de filtrado estático de paquetes, también conocidos como firewalls de inspección sin estado, operan en la capa de red OSI (capa 3). Ofrecen un filtrado básico mediante la comprobación de todos los paquetes de datos individuales enviados a través de la red, según su procedencia y el destino al que quieren llegar. Cabe destacar que no se realiza un seguimiento de las conexiones aceptadas previamente. Esto significa que cada conexión debe volver a aprobarse cada vez que se envía un paquete de datos.

El filtrado se basa en las direcciones IP, los puertos y los protocolos de paquetes. Como mínimo, estos firewalls evitan que dos redes se conecten directamente sin permiso.

Las reglas para el filtrado se establecen según una lista de control de acceso creada manualmente. Estas reglas son muy rígidas y es difícil abordar correctamente el tráfico no deseado sin poner en riesgo la usabilidad de la red. El filtrado estático requiere una revisión manual continua para funcionar eficazmente. Esto puede gestionarse en redes pequeñas, pero se complica rápido en las más grandes.

La incapacidad de leer protocolos de aplicación significa que no pueden leerse los contenidos de un mensaje enviado dentro de un paquete. Sin leer el contenido, los firewalls con filtrado de paquetes tienen una calidad de protección limitada.

Firewall de puerta de enlace de nivel de circuito

Las puertas de enlace de nivel de circuito funcionan en el nivel de sesión (capa 5). Estos firewalls comprueban si hay paquetes funcionales en el intento de conexión y, si funcionan correctamente, permiten establecer una conexión abierta persistente entre las dos redes. Después de esto, el firewall deja de supervisar la conexión.

Aparte de su estrategia en cuanto a las conexiones, la puerta de enlace de nivel de circuito puede ser similar a los firewalls proxy.

La conexión no supervisada en curso es peligrosa, ya que los medios legítimos pueden abrir la conexión y después permitir que un actor malicioso entre sin interrupciones.

Firewall de inspección con estado

Los firewalls de inspección con estado, también llamados firewalls de filtrado dinámico de paquetes, son únicos en comparación al filtrado estático debido a su capacidad para supervisar conexiones en curso y recordar las anteriores. Comenzaron actuando en la capa de transporte (capa 4), pero en la actualidad, estos firewalls pueden supervisar muchas capas, incluida la capa de aplicación (capa 7).

Del mismo modo que el firewall de filtrado estático, los firewalls de inspección con estado permiten o bloquean el tráfico en función de las propiedades técnicas, como los protocolos de paquete específicos, las direcciones IP o los puertos. Sin embargo, estos firewalls también supervisan y filtran de forma única según el estado de las conexiones con una tabla de estados.

Este firewall actualiza las reglas de filtrado en función de eventos de conexión antiguos registrados en la tabla de estados por el enrutador de filtrado.

Generalmente, las decisiones de filtrado suelen estar basadas en las reglas del administrador establecidas al configurar el equipo y el firewall. Sin embargo, la tabla de estados permite que estos firewalls dinámicos tomen sus propias decisiones según interacciones anteriores de las que han “aprendido”. Por ejemplo, los tipos de tráfico que causaron interrupciones anteriormente serían descartados en un futuro. La flexibilidad de la inspección con estado la consolidó como uno de los métodos de protección más extendidos.

Firewall proxy

Los firewalls proxy, también conocidos como firewalls de nivel de aplicación (capa 7), son únicos a la hora de leer y filtrar protocolos de aplicación. Combinan la inspección a nivel de aplicación, o “inspección profunda de paquetes” (DPI, por sus siglas en inglés), y la inspección con estado.

Un firewall proxy es lo más parecido a una barrera física real. A diferencia de otros tipos de firewall, actúa como dos hosts adicionales entre las redes externas y las computadoras host internas, con uno como representante (o “proxy”) para cada red.

El filtrado se basa en los datos a nivel de aplicación, en lugar de direcciones IP, puertos y protocolos de paquete básicos (UDP, ICMP) como en los firewalls basados en paquetes. Leer y entender FTP, HTTP, DNS y otros protocolos permite una investigación más profunda y el filtrado cruzado para muchos aspectos de datos diferentes.

Al igual que un guardia en una puerta, analiza y evalúa los datos entrantes. Si no se detectan problemas, se autoriza el paso de datos hacia el usuario.

La desventaja de este tipo de medidas de seguridad fuertes es que, a veces, interfieren con los datos entrantes que no suponen una amenaza y provocan retrasos en la funcionalidad.

Firewall de última generación (NGFW)

La constante evolución de las amenazas implica contar con soluciones más sólidas. Los firewalls de última generación superan este problema porque combinan las funciones de un firewall tradicional con sistemas de prevención de intrusiones en la red.

Los firewalls de última generación para amenazas específicas están diseñados para examinar e identificar amenazas específicas, como malware avanzado, en un nivel más detallado. Este es el tipo de firewall más utilizado por empresas y redes sofisticadas, ya que proporciona una solución integral para filtrar y descartar cualquier amenaza.

Firewall híbrido

Como su nombre indica, los firewalls híbridos usan dos o más tipos de firewalls en una sola red privada.

¿Quién inventó los firewalls?

La invención del firewall todavía está en curso. Esto se debe a que está evolucionando constantemente y ha habido varios creadores involucrados en su desarrollo y evolución.

Desde finales de la década de 1980 hasta mediados de los 90, cada creador mejoró varios componentes y versiones relacionados con los firewalls antes de que se convirtieran en el producto utilizado como base para todos los firewalls modernos.

Brian Reid, Paul Vixie y Jeff Mogul

A finales de la década de 1980, Mogul, Reid y Vixie tenían puestos en Digital Equipment Corp (DEC) en los que desarrollaban tecnología de filtrado de paquetes que acabaría siendo valiosa para los firewalls del futuro. Esto llevó al concepto de revisar las conexiones externas antes de que establecieran el contacto con los equipos de una red interna. Mientras que algunos consideran este filtro de paquetes como el primer firewall, se asemejaba más a una tecnología de componente que daría soporte a los verdaderos sistemas de firewall posteriores.

David Presotto, Janardan Sharma, Kshitiji Nigam, William Cheswick y Steven Bellovin

Entre finales de los 80 y principios de los 90, varios empleados de AT&T Bell Laps investigaron y desarrollaron el primer concepto de un firewall de puerta de enlace de nivel de circuito. Era el primer firewall que revisaba y permitía las conexiones entrantes en comparación con la reautorización repetida después de que llegara cada paquete de datos. Presotto, Sharma y Nigam desarrollaron la puerta de enlace de nivel de circuito entre 1989 y 1990 y, luego de ellos, llegó el trabajo en tecnología de firewall de Cheswick y Bellovin en 1991.

Marcus Ranum

Desde 1991 a 1992, Ranum inventó los proxies de seguridad en DEC que se convirtieron en un componente vital del primer producto de firewall de capa de aplicación: el producto de 1991 basado en proxies Secure External Access Link (SEAL). Consistía en una expansión del trabajo de Reid, Vixie y Mogul en DEC, y fue el primer firewall lanzado comercialmente.

Gil Shwed y Nir Zuk

Desde 1993 hasta 1994 en Check Point, el fundador de la empresa, Gil Shwed, y el desarrollador prolífico Nir Zuk desempeñaron papeles significativos a la hora de desarrollar el primer producto de firewall fácil de usar y adoptado por el público general: Firewall-1. Gil Shwed creó y presentó la patente estadounidense para la inspección con estado en 1993. A esto le siguió el trabajo de Nir Zuk en una interfaz gráfica fácil de usar para el Firewall-1 de 1994, que fue vital para el uso extendido de firewalls en las empresas y los hogares en el futuro cercano.

Estos desarrollos fueron esenciales para moldear el producto de firewall que conocemos en la actualidad, ya que cada aspecto se utiliza de alguna manera en muchas soluciones de ciberseguridad.

Importancia de los firewalls

¿Cuál es el propósito de un firewall y por qué es tan importante? Las redes sin protección son vulnerables a cualquier tráfico que esté intentando acceder a sus sistemas. El tráfico de red siempre debe revisarse, sin importar si es dañino o no.

Conectar equipos personales a otros sistemas de TI o a Internet abre una amplia gama de beneficios, incluida la colaboración sencilla con otras personas, la combinación de recursos y la creatividad mejorada. Sin embargo, esto puede producirse a expensas de una red completa y de la protección de los dispositivos. El hackeo, el robo de identidad, el malware y el fraude en línea son amenazas comunes a las que se pueden enfrentar los usuarios cuando conectan sus equipos a una red o a Internet.

Una vez descubiertos por un actor malicioso, la red y los dispositivos pueden encontrarse fácilmente, obtener acceder a ellos con rapidez y verse expuestos a amenazas recurrentes. Las conexiones a Internet durante todo el día aumentan el riesgo de que suceda esto (dado que es posible acceder a la red en cualquier momento).

La protección proactiva es esencial al utilizar cualquier tipo de red. Los usuarios pueden proteger su red de los peores riesgos con un firewall.

¿Qué hace la seguridad del firewall?

¿Qué hace un firewall y contra qué puede protegerlo? El concepto de un firewall de seguridad de red tiene como objetivo limitar la superficie de ataque de una red a un solo punto de contacto. En lugar de que cada host de una red esté directamente expuesto al Internet general, todo el tráfico debe contactar primero con el firewall. Dado que esto también funciona a la inversa, el firewall puede filtrar y bloquear el tráfico no permitido, tanto entrante como saliente. Además, los firewalls se utilizan para crear un registro de auditoría de los intentos de conexión de red para obtener un mayor conocimiento de la seguridad.

Esto crea casos de uso personalizados de los firewalls debido a que el tráfico de seguridad puede ser un conjunto de reglas establecido por los propietarios de una red privada. Entre los casos de uso populares se incluye la gestión de lo siguiente:

• Infiltración de agentes maliciosos:: se pueden bloquear las conexiones no deseadas de un origen con comportamiento extraño. Esto puede prevenir el espionaje y las amenazas persistentes avanzadas (APT).
• Controles parentales: los padres pueden bloquear el acceso a contenido web explícito para sus hijos.
• Restricciones en la navegación web en el lugar de trabajo: los empleadores pueden prevenir que los empleados utilicen las redes de la empresa para acceder a ciertos servicios y contenido, como las redes sociales.
• Red interna controlada a nivel nacional: los gobiernos nacionales pueden bloquear el acceso interno de los residentes al contenido web y los servicios que difieran potencialmente con el liderazgo o los valores de la nación.

Sin embargo, los firewalls son menos eficaces para lo siguiente:

1. Identificar vulnerabilidades de seguridad de procesos de red legítimos: los firewalls no anticipan la intención humana, de modo que no pueden determinar si una conexión “legítima” tiene fines maliciosos. Por ejemplo, el fraude de dirección IP (spoofing de IP) se produce porque los firewalls no validan las IP de origen y destino.
2. Bloquear las conexiones que no pasan por el firewall: por sí solos, los firewalls de nivel de red no detienen la actividad maliciosa interna. Los firewalls internos, como los basados en hosts, deben estar presentes junto con un firewall de perímetro para realizar una partición de la red y ralentizar el movimiento de los “incendios” internos.
3. Proporcionar protección adecuada contra malware: aunque se pueden detener las conexiones que transportan código malicioso al no permitirlas, una conexión considerada aceptable puede llevar estas amenazas a la red. Si un firewall ignora una conexión a causa de una configuración errónea o una vulneración de seguridad, se seguiría necesitando un paquete de protección de antivirus para limpiar el malware.

Ejemplos de firewall

En la práctica, las aplicaciones reales de firewalls han obtenido reseñas buenas y malas. Aunque los firewalls han alcanzado muchos logros, este tipo de seguridad se debe implementar de la manera correcta para evitar vulnerabilidades de seguridad. Además, los firewalls son conocidos por usarse de formas éticamente cuestionables.

El gran firewall de China: censura en Internet

Desde el año 2000, China tiene establecidos marcos de trabajo de firewalls internos para crear su intranet cuidadosamente vigilada. Por naturaleza, los firewalls permiten la creación de una versión personalizada del Internet global dentro de una nación. Esto se consigue al impedir que ciertos servicios e información se utilicen o que se pueda acceder a ellos desde la intranet nacional.

La vigilancia y la censura nacionales permiten que se reprima continuamente la libertad de expresión a la vez que se mantiene la imagen del gobierno. Además, el firewall de China permite que su gobierno limite los servicios de Internet a las empresas locales. Esto hace que sea más fácil controlar aspectos como los motores de búsqueda y los servicios de correo electrónico para manipularlos a favor del gobierno.

En China hay continuas protestas internas en contra de esta censura. El uso de redes privadas virtuales y proxies para superar el firewall nacional ha permitido que muchos expresen su descontento.

Agencia federal de EE. UU. de asistencia ante el COVID-19 comprometida debido a deficiencias del trabajo remoto

En el 2020, un firewall mal configurado fue una de las muchas deficiencias de seguridad que llevaron a la vulneración de origen anónimo de una agencia federal de Estados Unidos.

Se cree que un agente de un estado nacional abusó de una serie de vulnerabilidades en la ciberseguridad de la agencia estadounidense. Entre los problemas de seguridad mencionados, el firewall que se utilizó tenía muchos puertos salientes que estaban abiertos al tráfico inadecuadamente. Además de recibir un mantenimiento deficiente, la red de la agencia estaba lidiando con nuevos desafíos a causa del trabajo remoto. Una vez dentro de la red, el atacante mostró claras intenciones de avanzar por cualquier otra ruta que le diera acceso a otras agencias. Este tipo de ataque no solo pone en riesgo de vulneración de seguridad a la agencia infiltrada, sino también a muchas otras.

Vulneración del firewall sin parches del operador de la red eléctrica de EE. UU.

En 2019, un proveedor de operaciones de la red eléctrica de Estados Unidos se vio afectado por una vulneración de seguridad de denegación de servicio (DoS) de la que se aprovecharon los hackers. Los firewalls en la red perimetral estuvieron atrapados en un bucle de reinicio durante unas diez horas.

Posteriormente, se determinó que fue el resultado de una vulnerabilidad de seguridad conocida pero no actualizada del firmware de los firewalls. Aún no se había implementado un procedimiento de operación estándar para comprobar las actualizaciones antes de la implementación, lo que causó demoras en las actualizaciones y un problema de seguridad inevitable. Afortunadamente, el problema de seguridad no causó una penetración significativa de la red.

Estos eventos demuestran la importancia de actualizar el software de manera regular. Sin las actualizaciones, los firewalls son otro sistema de seguridad más que se puede vulnerar.

Cómo utilizar la protección del firewall

Es esencial realizar una instalación y un mantenimiento adecuados del firewall para mantener la red y los dispositivos protegidos. A continuación, proporcionamos algunos consejos sobre prácticas de seguridad de red de los firewalls:

1. Actualice siempre sus firewalls lo antes posible: los parches de software y firmware mantienen el firewall actualizado contra nuevas vulnerabilidades. Los usuarios de firewalls domésticos y personales pueden actualizar inmediatamente el firewall de manera segura. Puede que las empresas grandes deban comprobar primero la configuración y compatibilidad en toda la red. Sin embargo, todo el mundo debería disponer de procesos establecidos para realizar rápidamente las actualizaciones.
2. Utilice protección antivirus: por sí solos, los firewalls no están diseñados para detener el malware y otras infecciones. Estas pueden atravesar las protecciones del firewall, por lo que necesitará una solución de seguridad diseñada para desactivarlos y eliminarlos. Kaspersky Total Security puede protegerlo en todos sus dispositivos personales, y nuestras soluciones de seguridad para empresas pueden proteger cualquier host de red que quiera mantener limpio.
3. Limite los puertos y hosts accesibles con una lista de permitidos: por defecto, establezca la denegación de conexión para el tráfico entrante. Limite las conexiones entrantes y salientes a una lista de aprobación estricta de direcciones IP de confianza. Reduzca los privilegios de acceso de los usuarios al mínimo necesario. Es más fácil mantenerse protegido al permitir el acceso cuando sea necesario, en lugar de tener que anular y mitigar daños después de un incidente.
4. Red segmentada: el movimiento lateral de los actores maliciosos es un claro peligro que puede ralentizarse mediante la limitación interna de la comunicación cruzada.
5. Cuente con redundancias de red activas para evitar el tiempo de inactividad: las copias de seguridad de datos para los hosts y otros sistemas esenciales pueden prevenir la pérdida de datos y la falta de productividad durante un incidente.

Kaspersky Endpoint Security recibió tres premios AV-TEST al mejor rendimiento, protección y utilidad de un producto de seguridad de puntos de conexión para empresas en 2021. En todas las pruebas, Kaspersky Endpoint Security demostró un rendimiento, protección y usabilidad excepcionales para las empresas.

Vínculos relacionados:

• Spam y phishing
• Por qué necesita archivos de copia de seguridad
• Cómo eliminar un virus o malware de la computadora
• ¿Qué es un código malicioso?