¿Qué es un firewall?

Historia de los firewall

firewall han existido desde finales de la década de 1980 y comenzaron como filtros de paquetes, que se configuraban para examinar paquetes, o bytes, transferidos entre computadoras. Aunque firewall de filtrado de paquetes todavía se utilizan hoy en día, firewall han recorrido un largo camino a medida que la tecnología se ha desarrollado a lo largo de las décadas.

• Virus Gen 1
  • Generación 1, finales de la década de 1980, los ataques de virus en PC independientes afectaron a todas las empresas e impulsaron los productos antivirus.
• Generación 2 rojo
  • Los ataques de Internet de segunda generación, mediados de los años 1990, afectaron a todas las empresas e impulsaron la creación del firewall.
• aplicación generación 3
  • Generación 3, principios de 2000, explotando la vulnerabilidad en la aplicación que afectó a la mayoría de las empresas e impulsó el sistema de prevención de intrusiones de productos (IPS).
• Carga útil Gen 4
  • Generación 4, Aprox. 2010, aumento de ataques selectivos, desconocidos, evasivos y polimórficos que afectaron a la mayoría de las empresas e impulsaron productos anti-bot y sandboxing.
• Gen 5 Mega
  • Generación 5, Aprox. 2017, megaataques a gran escala, multivectoriales, que utilizan herramientas de ataque avanzadas y están impulsando soluciones avanzadas de prevención de amenazas.

En 1993, el director ejecutivo de Check Point, Gil Shwed, presentó el primer firewall de inspección con estado, FireWall-1. Veintisiete años después, un firewall sigue siendo la primera línea de defensa de una organización contra el ciberataque. firewall actuales, incluidos Firewall de última generación y Network firewall admiten una amplia variedad de funciones y capacidades con características integradas, que incluyen:

• Prevención de amenazas de red
• aplicación y control basado en identidad
• Soporte de nube híbrida
• Rendimiento escalable

La evolución de los firewalls

Al igual que las redes que protegen, los firewalls han experimentado cambios significativos durante la última década. Hasta las primeras herramientas de firewall eran esenciales para la seguridad de la red, ya que sus homólogas de la década de 1980 surgieron inicialmente como herramientas de filtrado de paquetes.

Desarrollo inicial: firewall de filtrado de paquetes

La primera generación de firewall, presentada a finales de la década de 1980, utilizaba un filtrado de paquetes sencillo. Estas herramientas examinaban los paquetes de datos en la capa de red (capa 3 del modelo OSI) y filtraban los paquetes a los que respondía una red mediante parámetros como direcciones IP, puertos y protocolos. Sin embargo, su falta de conocimiento contextual y su enfoque abrumador en paquetes individuales los hizo vulnerables a ataques complejos como la fragmentación de IP.

El surgimiento de la inspección con estado

La década de 1990 vio la llegada de los firewalls de inspección con estado, iniciados por Check Point. Estos firewalls de segunda generación supervisaban continuamente el estado de las conexiones y se aseguraban de que los paquetes formaran parte de una sesión establecida. Esta mejora reforzó significativamente la seguridad.

Capa de aplicación y firewalls proxy

Los firewalls de capa de aplicación y los firewalls proxy surgieron al mismo tiempo. El primero operaba en la capa 7, y podía analizar y aplicar datos y conjuntos de reglas específicos de la aplicación. También eran muy seguros, ya que podían separar completamente las solicitudes de tráfico de la arquitectura de red subyacente; sin embargo, los primeros modelos tenían una potencia de procesamiento limitada y una latencia deficiente.

Gestión unificada de amenazas (UTM) y firewall de última generación (NGFW)

La década de 2010 tuvo la llegada de los sistemas UTM, que buscaban combinar la capacidad de reacción de un firewall con los puntos de datos adicionales de los antivirus, la detección de intrusiones y otros sistemas de seguridad empresarial. Los NGFW pudieron impulsar estas capacidades de integración mediante la incorporación de inspección profunda de paquetes, protección avanzada contra amenazas y filtrado a nivel de aplicación.

Adaptaciones modernas: nube e inteligencia artificial

Hoy en día, los firewalls se han adaptado a los entornos en la nube y a las aplicaciones en contenedores, lo que dio lugar al Firewall como Servicio (FWaaS). Sobre la base de los datos de todos los entornos, la IA y el aprendizaje automático se implementan cada vez más para la detección superior de anomalías, el análisis predictivo de amenazas y la aplicación adaptativa de políticas.

Desde filtros estáticos hasta sistemas inteligentes y sensibles al contexto, los firewalls han evolucionado continuamente para satisfacer las exigencias de un panorama de amenazas en constante cambio. Vamos a profundizar en todas las características que hacen que los firewalls actuales sean tan importantes.

Los diferentes tipos de Firewalls

Filtrado de paquetes

El filtrado de paquetes es una técnica de seguridad de red utilizada en los firewalls para controlar el flujo de datos entre redes. Evalúa los encabezados del tráfico entrante y saliente según un conjunto de reglas predefinidas y, a continuación, decide si autorizarlos o bloquearlos.

Las reglas de firewall son directivas precisas que forman una parte crítica de las configuraciones de firewall. Definen las condiciones en las que se permite o bloquea el tráfico en función de parámetros como las direcciones IP de origen y destino, los puertos y los protocolos de comunicación. En entornos empresariales, estas reglas individuales se agrupan para formar listas de control de acceso (ACL). Al procesar el tráfico, el firewall evalúa cada paquete según las reglas ACL en orden secuencial. Una vez que un paquete coincide con una regla, el firewall realiza la acción correspondiente, como permitir, denegar o rechazar el tráfico, sin una evaluación adicional de las reglas posteriores. Este enfoque estructurado y metódico garantiza que el acceso a la red esté estrictamente controlado y sea coherente.

Servicio proxy

Dado que los firewalls se instalan fácilmente en el perímetro de una red, un firewall proxy es ideal para actuar como un único punto de entrada: de este modo, pueden evaluar la validez de cada conexión. Los firewalls de servicio proxy separan completamente lo interno y lo externo, terminan la conexión del cliente en el firewall, analizan la solicitud y establecen una nueva conexión con el servidor interno.

Inspección con estado

La inspección de paquetes con estado analiza el contenido de un paquete de datos y los compara con la información sobre paquetes que ya han atravesado el firewall.

La inspección sin estado analiza cada paquete de forma aislada; por otro lado, la inspección con estado recurre a datos previos del dispositivo y de la conexión para comprender mejor las solicitudes de tráfico de red. Esto es más similar a ver los datos de red como un flujo continuo. Si se mantiene una lista de conexiones activas y se las evalúa desde una perspectiva más macroscópica, los firewalls con estado pueden asignar el comportamiento de la red a perfiles de usuarios y dispositivos a largo plazo.

firewall de aplicaciones web

Un firewall de aplicaciones web (WAF) envuelve una aplicación específica y examina las solicitudes HTTP que se envían a ella. Al igual que otros tipos de firewall, aplica reglas predefinidas para detectar y bloquear el tráfico malicioso. Entre los componentes que se examinan, se incluyen encabezados, cadenas de consulta y el cuerpo de las solicitudes HTTP, ya que todos contribuyen a señales de actividad maliciosa. Cuando se identifica una amenaza, el WAF bloquea la solicitud sospechosa y notifica al equipo de seguridad.

Firewall con tecnología de IA

Los firewalls son, básicamente, valiosos motores analíticos: son perfectos para la implementación de algoritmos de aprendizaje automático. Debido a que los algoritmos de ML pueden admitir y analizar cantidades mucho mayores de datos mucho más rápido que sus contrapartes manuales, los firewalls con tecnología de IA han sido capaces de superar constantemente a sus contrapartes más antiguas cuando manejan amenazas novedosas (día cero).

Una de las implementaciones más comunes de la IA en los firewalls, por ejemplo, es el análisis del comportamiento de usuarios y terminales (UEBA). Esto recopila los datos históricos de redes completas y establece cómo interactúa normalmente cada usuario y cada terminal con ellos: qué recursos utilizan, cuándo acceden a ellos, etc.

Firewalls de alta disponibilidad y clústeres resilientes para la distribución de carga en hiperescala

Un firewall de alta disponibilidad está diseñado para mantener la protección de la red incluso en caso de fallo del firewall. Esto se logra a través de la redundancia, en forma de clústeres de alta disponibilidad: varios pares de firewall que trabajan juntos para ofrecer protección ininterrumpida. En caso de fallo del dispositivo, el sistema pasa automáticamente a un dispositivo equivalente a fin de mantener una seguridad de red sin interrupciones. Más allá de los diseños tradicionales de “alta disponibilidad”, muchas organizaciones ahora necesitan sistemas de firewall hiperescalables y de telecomunicaciones resilientes para asegurar un tiempo de actividad del 99,99999 % o más, y hasta 1000 Gb/s de rendimiento de red con prevención de amenazas completa.  Un diseño inteligente de firewall con distribución de carga distribuye el tráfico de red entre un grupo de firewalls. También puede reasignar automáticamente recursos adicionales del firewall a aplicaciones críticas durante picos de tráfico inesperados u otros desencadenantes predefinidos, y luego reasignar esos recursos del firewall a su grupo original una vez que las condiciones vuelven a la normalidad. Esto optimiza el rendimiento y evita que un solo dispositivo se sature, además de garantizar el máximo rendimiento de la red en todas las condiciones.

Firewall virtual

Los firewalls eran tradicionalmente exclusivos de hardware, ya que necesitaban la gran potencia de la CPU para revisar de forma manual todas las reglas de la ACL. Ahora, sin embargo, esa potencia de procesamiento puede externalizarse gracias a la virtualización de los firewalls. Los sistemas virtuales admiten segmentación interna: una herramienta puede usarse para configurar y monitorizar varios firewalls segmentados, lo que permite que los subfirewalls tengan sus propias políticas y configuraciones de seguridad.

Los firewalls virtuales ofrecen muchas ventajas: los entornos de múltiples usuarios, por ejemplo, se benefician de esta segmentación. También permite a las organizaciones más grandes implementar la segmentación de la red de una manera más optimizada, a través de una herramienta central. Además, los firewalls virtuales pueden ofrecer las mismas capacidades que sus contrapartes basadas en hardware.

firewallen la nube

Es común ver que las personas confunden los firewalls virtualizados con los firewalls en la nube, pero existe una distinción: mientras que los firewalls virtualizados describen la arquitectura subyacente, los firewalls en la nube se refieren a los activos empresariales que están protegiendo. Los firewall en la nube se utilizan para proteger las redes públicas y privadas basadas en la nube de las organizaciones.

Firewall como servicio de sucursal (FWaaS)

Dado que la virtualización en la nube ahora permite adquirir y utilizar la potencia de procesamiento de forma remota, ahora es posible utilizar firewalls virtuales. Esto abre nuevas posibilidades para la arquitectura de firewall, una de las cuales es firewall como servicio (FWaaS).

FWaaS, como cualquier SaaS, es una solución de firewall preconstruida que se implementa a través de la nube. En lugar de que todo el tráfico empresarial se dirija y analice a través de una sala de servidores interna, la oferta única de FWaaS suele ser sus puntos de presencia globales, lo que permite una implementación de firewall más local (y sin latencia).

Gestionado firewall

Por último, está muy bien tener un firewall, pero como abordaremos en breve, esta herramienta necesita un perfeccionamiento y ajuste continuos. Algunas empresas consideran que las exigencias humanas que esto conlleva pueden desbordar rápidamente a un equipo de ciberseguridad reducido. Por lo tanto, muchos optan por dirigir su tráfico a través de un firewall administrado, que se monitorea continuamente para detectar amenazas, anomalías o patrones de tráfico inusuales. Estos firewalls subcontratados también pueden beneficiarse de las herramientas avanzadas y la inteligencia sobre amenazas del proveedor.

La importancia de los protocolos de firewall

Hasta los firewalls básicos son capaces de indagar en el origen, el destino y los protocolos que cumple cada paquete. Pero la visibilidad por sí sola no impide los ataques; las reglas del firewall regulan cómo reacciona la herramienta de firewall a cada paquete para permitir o denegar, al final, el ingreso a la red empresarial.

Estas reglas son fundamentales para mantener la seguridad de la red, ya que controlan el acceso a los sistemas y desde ellos, lo que garantiza que solo pase el tráfico autorizado y se bloqueen los datos maliciosos o no deseados. Para ahorrar tiempo, la mayoría de los firewalls listos para usar ofrecen conjuntos de reglas preconfiguradas. Al fin y al cabo, muchas amenazas son universales, independientemente de las particularidades de su industria o empleados, sobre todo cuando los atacantes pueden escanear cualquier red pública en busca de vulnerabilidades comunes. Mediante la distribución con conjuntos de reglas preconfigurados, los firewall modernos permiten una reducción inmediata de las amenazas potenciales que podrían afectar a su empresa; esto constituye un beneficio para la implementación, ya que permite a los administradores reducir gran parte de la configuración manual que suele exigir una nueva herramienta. De este modo, se reducen los errores y se garantiza el cumplimiento de las prácticas recomendadas de la industria.

¿Por qué necesitamos firewall?

Los firewalls, en especial los firewalls de última generación, se centran en bloquear el malware y los ataques a nivel de aplicación. Junto con un sistema integrado de prevención de intrusiones (IPS), estos firewalls de última generación pueden reaccionar de manera rápida y a la perfección para detectar y combatir ataques en toda la red. Los firewalls pueden actuar sobre políticas previamente establecidas para proteger mejor su red y realizar evaluaciones rápidas para detectar actividades invasivas o sospechosas, como malware, y eliminarlas. Al aprovechar un firewall para su infraestructura de seguridad, estará configurando su red con políticas específicas para permitir o bloquear el tráfico entrante y saliente.

Prácticas recomendadas de seguridad de firewall

Los firewalls no son una solución que se instala y luego se olvida. Los ataques que enfrenta su organización están en constante cambio, y los firewalls que dependen únicamente de las actualizaciones manuales de reglas requieren la misma cantidad de tiempo y atención.

Establezca reglas según los principios del privilegio mínimo

El principio del privilegio mínimo es fundamental para una gestión eficaz de las reglas del firewall. A nivel funcional, solo se permite el tráfico que cumple una función empresarial específica y necesaria. Si se cumple este principio, se garantiza prácticamente que en los futuros cambios en las reglas, se minimice el riesgo, se mantenga un mayor control sobre el tráfico de la red y se limiten las comunicaciones innecesarias entre redes. Para aplicar esto a las reglas, siempre deben definirse detalles como las direcciones IP (o rangos) de origen y destino, y los puertos de destino. Esta es la razón por la que las reglas demasiado permisivas como “Any/Any” (Cualquiera/cualquiera), deben reemplazarse por una estrategia explícita de denegar/permitir para todas las actividades entrantes y salientes.

Mantenga la documentación actualizada

A medida que se cambian y actualizan las reglas preconfiguradas, es fundamental contar con una documentación clara y completa. Cualquier miembro del equipo de seguridad de la red debería comprender fácilmente el propósito de cada regla a partir de la documentación. Como mínimo, debe registrar detalles como el propósito de la regla, los servicios a los que afecta, los usuarios y dispositivos involucrados, la fecha en que se implementó, la fecha de vencimiento de la regla si es temporal y el nombre del analista que la creó.

Proteja el firewall

El firewall no es solo una pieza crítica de la seguridad empresarial: es la pieza más pública de cualquier infraestructura de red, lo que hace que los firewalls no administrados en sí mismos sean una amenaza. Para proteger el firewall, existen algunas prácticas recomendadas clave que son obligatorias: protocolos inseguros como telnet y SNMP deben desactivarse por completo; se deben realizar copias de seguridad de las configuraciones y bases de datos de registros; y se debería implementar una regla de sigilo para proteger el firewall de los escaneos de red. Por último, vigile regularmente las actualizaciones disponibles para la solución de firewall.

Reglas de grupo (y redes) en categorías correspondientes

Segmentar las redes empresariales en niveles de seguridad correspondientes es otra práctica recomendada para la seguridad de la red, y las reglas de firewall son perfectamente adecuadas para hacer cumplir estos segmentos. Para agilizar la administración, organice las reglas en categorías o secciones según su función o características relacionadas. Este enfoque le permite estructurar las reglas en el orden más efectivo y garantiza una mejor supervisión.

Los firewalls con tecnología de IA son cada vez más capaces de automatizar las reglas y la documentación en las que se basan: estos enormes avances en eficiencia son la razón principal por la que los NGFW están reemplazando a sus modelos anteriores.

Inspección de la capa de red frente a la capa de aplicación

Los filtros de capa de red o de paquetes inspeccionan los paquetes en un nivel relativamente bajo de la pila de protocolos TCP/IP, no permitiendo que los paquetes pasen a través del firewall a menos que coincidan con el conjunto de reglas establecido donde el origen y el destino del conjunto de reglas se basan en el Protocolo de Internet ( IP) direcciones y puertos. firewall que realizan la inspección de la capa de red funcionan mejor que los dispositivos similares que realizan la inspección de la capa de aplicación. La desventaja es que las aplicaciones no deseadas o el malware pueden pasar por los puertos permitidos, por ejemplo tráfico de Internet saliente a través de los protocolos web HTTP y HTTPS, puerto 80 y 443 respectivamente.

La importancia de NAT y VPN

firewall también realiza funciones básicas a nivel de red, como traducción de direcciones de red (NAT) y red privada virtual (VPN). La traducción de direcciones de red oculta o traduce direcciones IP internas de clientes o servidores que pueden estar en un "rango de direcciones privadas", como se define en RFC 1918, a una dirección IP pública. Ocultar las direcciones del dispositivo protegido preserva la cantidad limitada de direcciones IPv4 y es una defensa contra el reconocimiento de la red, ya que la dirección IP está oculta de Internet.

De manera similar, una red privada virtual (VPN) extiende una red privada a través de una red pública dentro de un túnel que a menudo está cifrado donde el contenido de los paquetes está protegido mientras atraviesa Internet. Esto permite a los usuarios enviar y recibir datos de forma segura a través de una red pública o compartida.

Firewall de última generación y más allá

Los firewall de última generación inspeccionan paquetes en el nivel de aplicación de la pila TCP/IP y pueden identificar aplicaciones como Skype o Facebook y aplicar políticas de seguridad según el tipo de aplicación.

Hoy en día, el dispositivo UTM (Unified Threat Management) y el Firewall de última generación también incluyen tecnologías de prevención de amenazas como el sistema de prevención de intrusiones (IPS) o Antivirus para detectar y prevenir malware y amenazas. Estos dispositivos también pueden incluir tecnologías de espacio aislado para detectar amenazas en archivos.

A medida que el panorama de seguridad cibernética continúa evolucionando y los ataques se vuelven más sofisticados, los firewalls de última generación seguirán siendo un componente fundamental de la solución de seguridad en cualquier organización, ya sea que se encuentre en el centro de datos, la red o la nube.

Proteja su red con Quantum NGFW de Check Point, los firewall más eficaces impulsados por IA, que cuentan con la prevención de amenazas con mayor valoración, escalabilidad fluida y gestión unificada de políticas.

Al combinar la prevención de amenazas de vanguardia, un rendimiento inigualable y una eficiencia optimizada, las capacidades avanzadas de Check Point Quantum incluyen inspección inteligente del tráfico, integración fluida con servicios en la nube y automatización profunda de incidentes. Compruebe usted mismo cómo Quantum ofrece escalabilidad sin esfuerzo y gestión centralizada de políticas con una demostración.

Para obtener más información sobre las capacidades esenciales que debe tener su firewall de última generación, descargue la Guía de compra de firewalls de última generación (NGFW) hoy mismo.