Aprender los conceptos básicos sobre los diferentes tipos de firewalls, la diferencia entre ellos y cómo cada tipo puede proteger su red de diferentes maneras.
Un firewall es una capa de seguridad básica pero esencial que actúa como una barrera entre su red privada y el mundo exterior. Desde cortafuegos sin estado de primera generación hasta cortafuegos de próxima generación, las arquitecturas de cortafuegos han evolucionado enormemente en las últimas cuatro décadas. Hoy en día, las organizaciones pueden elegir entre varios tipos de firewalls, incluidas las puertas de enlace a nivel de aplicación (firewalls proxy), los firewalls de inspección con estado y las puertas de enlace a nivel de circuito, e incluso usar varios tipos simultáneamente para una solución de seguridad integral de capa profunda.
¿Qué Es un Firewall y Para Qué Se Utiliza?
Un cortafuegos es una herramienta de seguridad que supervisa el tráfico de red entrante y/o saliente para detectar y bloquear paquetes de datos maliciosos según reglas predefinidas, lo que permite que solo el tráfico legítimo entre en su red privada. Implementados como hardware, software o ambos, los firewalls suelen ser su primera línea de defensa contra malware, virus y atacantes que intentan llegar a la red y los sistemas internos de su organización.
Al igual que una puerta de detector de metales en la entrada principal de un edificio, un firewall físico o de hardware inspecciona cada paquete de datos antes de dejarlo entrar. Comprueba las direcciones de origen y destino y, basándose en reglas predefinidas, determina si un paquete de datos debe pasar o no. Una vez que un paquete de datos está dentro de la intranet de su organización, un firewall de software puede filtrar aún más el tráfico para permitir o bloquear el acceso a puertos y aplicaciones específicos en un sistema informático, lo que permite un mejor control y seguridad frente a amenazas internas.
Una lista de control de acceso puede definir direcciones de Protocolo de Internet (IP) específicas que no se pueden confiar. El firewall eliminará cualquier paquete de datos que provenga de esas direcciones IP. Alternativamente, la lista de control de acceso puede especificar IP de origen de confianza, y el firewall solo permitirá el tráfico procedente de esas IP enumeradas. Existen varias técnicas para configurar un cortafuegos. El alcance de la seguridad que proporcionan también depende generalmente del tipo de firewall y de cómo está configurado.
¿Cuáles son los tipos de cortafuegos?
Estructuralmente, los firewalls pueden ser software, hardware o una combinación de ambos. Los firewalls de software se instalan por separado en dispositivos individuales. Proporcionan un control más granular, ya que pueden permitir el acceso a una aplicación o función mientras bloquean otras. Pero pueden ser costosos en términos de recursos, ya que utilizan la CPU y la RAM de los dispositivos en los que están instalados, y los administradores deben configurarlos y administrarlos individualmente para cada dispositivo. Además, es posible que todos los dispositivos dentro de una intranet no sean compatibles con un único firewall de software y que se requieran varios firewalls diferentes.
Los firewalls de hardware, por otro lado, son dispositivos físicos, cada uno con sus propios recursos informáticos. Actúan como puertas de enlace entre las redes internas e Internet, manteniendo paquetes de datos y solicitudes de tráfico de fuentes no confiables fuera de la red privada. Los firewalls físicos son bastante convenientes para organizaciones con muchos dispositivos en la misma red. Si bien bloquean el tráfico malicioso mucho antes de que llegue a cualquiera de los puntos finales, no proporcionan seguridad contra ataques internos. Por lo tanto, una combinación de firewalls de software y hardware puede proporcionar una seguridad óptima a la red de su organización.
Los firewalls también se clasifican en función de cómo funcionan, y cada tipo se puede configurar como un software o un dispositivo físico. Según su método de operación, hay cuatro tipos diferentes de cortafuegos.
Cortafuegos de filtrado de paquetes
Los cortafuegos de filtrado de paquetes son el tipo de cortafuegos más antiguo y básico. Operando en la capa de red, simplemente comprueban un paquete de datos por su IP de origen y IP de destino, el protocolo, el puerto de origen y el puerto de destino contra reglas predefinidas para determinar si pasar o descartar el paquete. Los firewalls de filtrado de paquetes son esencialmente sin estado, monitoreando cada paquete de forma independiente sin ningún seguimiento de la conexión establecida o de los paquetes que han pasado a través de esa conexión previamente. Esto hace que estos firewalls sean muy limitados en su capacidad de protección contra amenazas y ataques avanzados.
Los cortafuegos de filtrado de paquetes son rápidos, baratos y efectivos. Pero la seguridad que proporcionan es muy básica. Dado que estos firewalls no pueden examinar el contenido de los paquetes de datos, son incapaces de protegerse contra paquetes de datos maliciosos que provienen de IP de origen de confianza. Al ser apátridas, también son vulnerables a los ataques de enrutamiento de origen y a los ataques de fragmentos pequeños. Pero a pesar de su funcionalidad mínima, los cortafuegos de filtrado de paquetes allanaron el camino para los cortafuegos modernos que ofrecen una seguridad más sólida y profunda.
Pasarelas de nivel de circuito
Trabajando en la capa de sesión, las pasarelas de nivel de circuito verifican las conexiones establecidas del Protocolo de Control de Transmisión (TCP) y realizan un seguimiento de las sesiones activas. Son bastante similares a los cortafuegos de filtrado de paquetes en el sentido de que realizan una única comprobación y utilizan recursos mínimos. Sin embargo, funcionan en una capa superior del modelo de Interconexión de Sistemas Abiertos (OSI). Principalmente, determinan la seguridad de una conexión establecida. Cuando un dispositivo interno inicia una conexión con un host remoto, las puertas de enlace a nivel de circuito establecen una conexión virtual en nombre del dispositivo interno para mantener oculta la identidad y la dirección IP del usuario interno.
Las pasarelas a nivel de circuito son rentables, simplistas y apenas tienen impacto en el rendimiento de una red. Sin embargo, su incapacidad para inspeccionar el contenido de los paquetes de datos los convierte en una solución de seguridad incompleta por sí sola. Un paquete de datos que contiene malware puede eludir fácilmente una puerta de enlace a nivel de circuito si tiene un enlace TCP legítimo. Es por eso que a menudo se configura otro tipo de firewall en la parte superior de las puertas de enlace a nivel de circuito para mayor protección.
firewalls de inspección con estado
Un paso por delante de las puertas de enlace a nivel de circuito, los firewalls de inspección con estado, además de verificar y realizar un seguimiento de las conexiones establecidas, también realizan inspecciones de paquetes para proporcionar una seguridad mejor y más completa. Funcionan creando una tabla de estados con IP de origen, IP de destino, puerto de origen y puerto de destino una vez que se establece una conexión. Crean sus propias reglas dinámicamente para permitir el tráfico de red entrante esperado en lugar de depender de un conjunto de reglas codificadas en base a esta información. Sueltan convenientemente paquetes de datos que no pertenecen a una conexión activa verificada.
Los firewalls de inspección con estado comprueban las conexiones legítimas, así como las direcciones IP de origen y destino, para determinar qué paquetes de datos pueden pasar. Aunque estas comprobaciones adicionales proporcionan seguridad avanzada, consumen una gran cantidad de recursos del sistema y pueden ralentizar el tráfico considerablemente. Por lo tanto, son propensos a ataques DDoS (ataques distribuidos de denegación de servicio).
Pasarelas de nivel de aplicación (cortafuegos proxy)
Las pasarelas de nivel de aplicación, también conocidas como cortafuegos proxy, se implementan en la capa de aplicación a través de un dispositivo proxy. En lugar de que un extraño acceda directamente a su red interna, la conexión se establece a través del firewall proxy. El cliente externo envía una solicitud al firewall del proxy. Después de verificar la autenticidad de la solicitud, el firewall proxy la reenvía a uno de los dispositivos o servidores internos en nombre del cliente. Alternativamente, un dispositivo interno puede solicitar acceso a una página web, y el dispositivo proxy reenviará la solicitud mientras oculta la identidad y la ubicación de los dispositivos internos y la red.
A diferencia de los firewalls de filtrado de paquetes, los firewalls proxy realizan una inspección de paquetes profunda y con estado para analizar el contexto y el contenido de los paquetes de datos contra un conjunto de reglas definidas por el usuario. Según el resultado, permiten o descartan un paquete. Protegen la identidad y la ubicación de sus recursos confidenciales al evitar una conexión directa entre los sistemas internos y las redes externas. Sin embargo, configurarlos para lograr una protección de red óptima puede ser un poco difícil. También debe tener en cuenta la compensación: un firewall proxy es esencialmente una barrera adicional entre el host y el cliente, lo que causa una considerable ralentización.
¿Qué es un Firewall de Próxima Generación?
Los firewalls de próxima generación (NGFW) están diseñados para superar las limitaciones de los firewalls tradicionales y, al mismo tiempo, ofrecer algunas características de seguridad adicionales. A pesar de las características y arquitecturas flexibles, lo que hace que un firewall sea realmente de próxima generación es su capacidad para realizar una inspección profunda de paquetes, además de la inspección de puertos/protocolos y paquetes a nivel de superficie. Aunque no hay una definición concreta y acordada, de acuerdo con Gartner, un firewall de próxima generación es «un firewall de inspección profunda de paquetes que va más allá de la inspección y el bloqueo de puertos/protocolos para agregar inspección a nivel de aplicación, prevención de intrusiones y traer inteligencia desde fuera del firewall.»
Un firewall de última generación combina las características de otros tipos de firewalls en una única solución sin afectar el rendimiento de la red. Son más robustos y ofrecen una seguridad más amplia y profunda que cualquiera de sus predecesores. Además de llevar a cabo una inspección profunda de paquetes para detectar anomalías y malware, los NGFW vienen con la función de reconocimiento de aplicaciones para el análisis inteligente de tráfico y recursos. Estos firewalls son totalmente capaces de bloquear ataques DDoS. Cuentan con funcionalidad de descifrado de capa de sockets seguros (SSL) para obtener una visibilidad completa entre las aplicaciones, lo que les permite identificar y bloquear los intentos de violación de datos de aplicaciones cifradas también.
Los firewalls de próxima generación pueden identificar usuarios y roles de usuario, pero sus predecesores se basaban principalmente en las direcciones IP de los sistemas. Esta característica innovadora permite a los usuarios aprovechar los dispositivos inalámbricos y portátiles, al tiempo que proporciona seguridad de amplio espectro en entornos de trabajo flexibles y políticas de dispositivos propios (BYOD). También pueden incorporar otras tecnologías, como los antivirus y los sistemas de prevención de intrusiones (IP), para ofrecer un enfoque más amplio de la seguridad.
Los firewalls de próxima generación son adecuados para empresas que necesitan cumplir con la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) o las reglas de la industria de tarjetas de pago (PCI), o para aquellas que desean integrar múltiples funciones de seguridad en una sola solución. Pero tienen un precio más alto que otros tipos de cortafuegos, y dependiendo del cortafuegos que elija, es posible que su administrador deba configurarlos con otros sistemas de seguridad.
¿Qué Tipo de Firewall se Adapta Mejor a Mi Organización?
No hay una solución única que pueda cumplir con los requisitos de seguridad únicos de cada organización. De hecho, cada uno de los diferentes tipos de cortafuegos tiene sus propios beneficios y limitaciones. Los cortafuegos de filtrado de paquetes son simplistas, pero ofrecen seguridad limitada, mientras que la inspección con estado y los cortafuegos proxy pueden comprometer el rendimiento de la red. Los firewalls de próxima generación parecen ser un paquete completo, pero no todas las organizaciones tienen el presupuesto o los recursos para configurarlos y administrarlos con éxito.
A medida que los ataques se vuelven más sofisticados, las defensas de seguridad de su organización deben ponerse al día. Un único firewall que proteja el perímetro de su red interna de las amenazas externas no es suficiente. Cada activo dentro de la red privada también necesita su propia protección individual. Es mejor adoptar un enfoque por capas hacia la seguridad en lugar de confiar en la funcionalidad de un único firewall. Y por qué optar por uno cuando puede aprovechar los beneficios de varios firewalls en una arquitectura optimizada específicamente para las necesidades de seguridad de su organización.
Usar Parallels RAS para proteger el acceso a Sus Datos
Detectar y mitigar ciberataques en un panorama de amenazas en constante evolución es tan desalentador como crucial. Independientemente de lo sofisticados que sean, los cortafuegos por sí solos no pueden ofrecer suficiente protección. A medida que los entornos de trabajo flexibles y los modelos de negocios para trabajar desde el hogar se convierten en la corriente principal, los empleadores y los empleados deben tomar seriamente las amenazas inminentes. Los empleados que intentan acceder a los recursos internos de forma remota deben hacerlo a través de una red privada virtual (VPN) y usar dispositivos que cumplan con la política de la organización.
Parallels® Remote Application Server (RAS) ofrece una amplia gama de herramientas y funciones para supervisar y proteger aplicaciones y datos en un entorno multicloud. Proporciona control de acceso avanzado y directivas de cliente granulares para permitir o restringir el acceso en función de la puerta de enlace, la dirección de control de acceso a medios (MAC), el tipo de cliente, la dirección IP, el usuario específico o el rol de usuario.
Parallels RAS enhanced data security también protege los datos confidenciales y evita el acceso no autorizado a través del cifrado y la autenticación multifactor, además de políticas de permisos muy granulares. Con Parallels RAS, sus empleados pueden cambiar de dispositivo y acceder a datos y aplicaciones locales desde cualquier ubicación, mientras que sus recursos permanecen seguros dentro de la red interna.
¿Está interesado en obtener más información sobre cómo Parallels RAS enhanced data security puede proteger sus datos corporativos? ¡Descargue nuestra prueba de 30 días hoy mismo!