Firewall de próxima generación: ¿De qué generación es un Firewall de Next Generación?
Mi trabajo, el cual me apasiona, es ayudar a los administradores de red a mantener seguras sus infraestructuras y evitar que sus empresas se vean vulneradas.
Es a lo que me he dedicado al menos por unos 20 años .
Cuando me preguntan: ¿Por dónde empezamos? ¿Qué capa atacamos primero? ¿Adquirimos el Endpoint o el Firewall?
Por supuesto que todas las redes son distintas, todas tienen sus particularidades, incluso sus administradores, algunos con mucha experiencia y otros en preparación.
Pero en la mayoría de los casos la respuesta es la misma "vamos a empezar por el firewall" .
Aquí entonces empieza una etapa interesante en la implementación, donde me toca hacer las preguntas correctas para entender claramente qué espera el cliente de su futuro firewall.
Y te sorprenderás pero todos los clientes esperan algo diferente o algo muy básico del dispositivo.
Lo que detecto es que la mayoría de los clientes manejan conceptos y estrategias de ciberseguridad que fueron muy efectivas en algún momento pero ya no lo son.
Este es el ejemplo de la “Seguridad Distribuida por Capas” que se inventó hace unos 25 años y todavía instituciones financieras o de gobierno pueden estar utilizando.
En esa estrategia de ciberseguridad, los dispositivos de seguridad no debían conversar entre sí y mucho menos intercambiar información (telemetría).
Algo que en este momento es total y absolutamente absurdo , tomando en cuenta la tecnología que existe en el mundo.
La tendencia mundial es la “Seguridad Sincronizada” . Aunque hablaremos de ella en otro post.
Retomando el tema del firewall, hoy en día existe una criatura cibernética extraña que ha evolucionado con el tiempo y algunos no se han dado cuenta.
Esa criatura es conocida en nuestra área como “Next Generation Firewall” .
¿Ese nombre les suena familiar?
¡Apuesto que sí!
¿Necesito un Firewall en mi red si mis computadoras tienen Windows Firewall?
Vamos primero a lo básico: ¿Qué es un Firewall? ¿Y cuál es su función?
Palabras más palabras menos un firewall es un sistema de seguridad de red , en software o hardware, que gestiona el tráfico entrante y saliente de esa red, basado en unas reglas.
Este sistema separa nuestras redes locales (Lan, DMZ, Intranet) de las redes externas (Wan), tales como el Internet.
Existen firewalls de red y otros basados en host, en este post nos vamos a concentrar en los firewalls de red.
Gracias Wikipedia por la ayuda !!! (enlace) https://en.wikipedia.org/wiki/Firewall_(computing)
Es totalmente necesario un dispositivo en tu "perímetro" que protege tus aplicaciones internas, datos e infraestructura de nuestra red de: cibercriminales, malware, robo, falla de configuración, vulnerabilidades, etc.
Incluso cuando hablamos de la nube.
Si usas o piensas usar Azure, Aws o Google , requieres de un firewall virtualizado que proteja los assets dentro de tu nube.
Recuerda que la seguridad de la nube es compartida, el proveedor asegura unas cosas y tú debes asegurar otras. El proveedor tiene su responsabilidad y tú la tuya.
Este dispositivo con el tiempo ha venido evolucionando y, como es lógico, existen varias generaciones con sus diferencias bien marcadas.
¿Realmente cuántas generaciones de firewall existen o han existido?
Aunque para algunos no sea tan importante conocer qué generación de firewall usan sino que simplemente funcionan y ya!
Totalmente válido.
Para otros, conocer la forma en que han evolucionado estos dispositivos en el tiempo es fascinante.
Me incluyo en ese grupo.
Así que aquí está la respuesta: existen tres generaciones de firewall.
Primera Generación
La primera generación se caracterizó por usar inspección sin estado o protección a nivel de paquetes.
Los dispositivos de esta generación permitían o no el enrutamiento de los paquetes entre redes dependiendo de la información obtenida del encabezado (header) del paquete.
IP de origen y destino, protocolo y puertos de comunicación.
El primer firewall que utilizaba packet filtering fue desarrollado por Digital Equipment Corporation en el año 1987.
Segunda Generación
La segunda generación desarrollada entre los años 1989 y 1990 por AT&T Bell Laboratories agregó inspección estatal .
Es decir que podía hacer todo que hacía la primera generación, más analizar las sesiones establecidas entre los computadores locales y los de Internet que intentaban conversar.
Esta generación agregó la capacidad de crear y gestionar una tabla de sesiones entre los puntos finales con la que podía examinar la comunicación entre ellos.
También vino a resolver algunos problemas de seguridad que existían con la generación anterior, como por ejemplo el forjamiento o spoofing de la información de conexión entre los endpoints.
Tercera Generación
Y la tercera, que es la razón por la que estamos aquí, es esa "criatura cibernética extraña" que mencionamos anteriormente: Next Gen Firewall
Fascinante no? jajajaja
La verdad verdadera es que el Firewall de próxima generación no fue originalmente la tercera generación sino el Firewall de aplicaciones o firewall de aplicaciones.
El NGFW sería una evolución de ese Application Firewall original, desarrollado en fases por varias personas entre los años 1990 y 1994.
Algunos de los que colaboraron en el diseño y construcción del primer firewall de la aplicación:
Marcus Ranum
Gene Spafford
Bill Cheswick
Wei Xu
Peter cementerio
Ok, ya aclarado el tema histórico y por supuesto honor a quien honor merece.
¡Seguimos!
El firewall de aplicaciones está diseñado para gestionar el tráfico en cualquier capa del modelo OSI hasta la capa de aplicaciones.
Tiene la capacidad de entender mucho mejor las aplicaciones y servicios que pasan a través de él.
Es capaz de detectar conexiones que intentan utilizar un protocolo no permitido a través de un puerto permitido , bloquear páginas web según el contenido, malware, incluso algunos ataques de explotación.
¿Qué es un firewall tradicional?
Esta sección no tenía la planificada originalmente para el post pero considerado importante distinguir correctamente entre un firewall tradicional y un Firewall de próxima generación.
Lo que conocemos como firewall tradicional es en realidad un firewall de segunda generación.
Para mí lo importante de esta definición es que es un dispositivo de seguridad de red que proporciona inspección de estado también conocido como filtrado dinámico de paquetes o protección a nivel de sesión .
Como mencionamos anteriormente, el estado de inspección se aplica a todo el tráfico que pasa a través de él tomando en cuenta la tabla de sesiones , puertos, protocolos y las políticas predefinidas por el administrador del dispositivo.
Sencillo.
Y finalmente… ¿Qué es un Firewall de próxima generación?
Perfecto, ya finalizando la publicación ¡Vamos a revisar las características básicas de un Firewall de próxima generación!
Ya debes saber quién es Gartner pero para los que no lo saben, es un evaluador muy importante en área de tecnología.
En algún lugar leí que Fortune 100 toma sus decisiones tecnológicas en base a lo que expresara Gartner en sus evaluaciones.
¿Is true? no es cierto? no lo sé pero lo que sí es cierto es que muchos de nuestros clientes potenciales lo toman (a Gartner) muy en cuenta.
Así que de acuerdo a la definición de Gartner, un Next Gen Firewall debe incluir:
Características de firewall estándar como el estado de inspección.
Prevención de intruso integrado (IPS).
Conocimiento y control de aplicaciones para detectar y bloquear aplicacionesas.
Fuentes de Inteligencia de Amenazas (inteligencia de amenazas).
Poder actualizarse para agregar nuevas fuentes de información.
Técnicas para direccionar amenazas de seguridad que evolucionen.
Adicional al concepto de Gartner, que respeto totalmente, estoy completamente claro y convencido que nuestros clientes requieren de otros módulos de seguridad muy importantes.
Que no son nombrados por Gartner directamente.
Entre ellos tenemos:
Reportes avanzados para mejorar la visibilidad en su red y poder configurar las políticas y reglas de la forma correcta.
Mejor rendimiento.
Gran entendimiento del tráfico HTTPS (SSL y TLS) para detectar malware avanzado.
Interacción con otras capas de seguridad como el Endpoint, para hacer telemetría e intercambiar información.
Conclusiones
Luego de mi investigación podemos concluir lo siguiente:
Los clientes tienen necesidades tecnológicas que no han identificado y por ende es muy difícil que puedan adquirir la solución correcta que se adapte mejor a esas necesidades particulares.
Los clientes se resisten a pensar en otras opciones diferentes a la “Seguridad Distribuida por Capas”.
Los Firewalls de próxima generación han evolucionado muy rápido en el tiempo y han agregado módulos de inteligencia y análisis imprescindibles hoy en día para las organizaciones pequeñas, medianas y grandes.
Los Firewalls de próxima generación son una evolución de los firewalls de tercera generación .
Los firewalls tradicionales ya no manejan las características de seguridad que necesitan los clientes.
Estamos viviendo en un mundo que la tecnología evoluciona, cambia o muere a la velocidad de la luz .
Sergio Maestre
Fuente:
Sophos
https://www.sophos.com
Software Cero Uno:
https://blog.cerounosoftware.com.mx/que-es-un-next-generation-firewall-ngfw
Cisco:
https://www.cisco.com/c/en/us/products/security/firewalls/what-is-a-next-generation-firewall.html
Esecurity Planet:
https://www.esecurityplanet.com/network-security/evaluating-a-ngfw-here-is-all-you-need-to-know.html
Techtarget:
https://searchnetworking.techtarget.com/definition/stateful-inspection
SDX Central:
https://www.sdxcentral.com/resources/glossary/stateful-inspection-firewall/
Enebro:
http://abchost.cz/download/264-4/juniper-stateful-inspection-firewall.pdf
Ostec:
https://ostec.blog/es/seguridad-perimetral/firewall-stateful-stateless