La importancia de la información para el logro de los objetivos en las organizaciones, le ha significado ser considerada en muchos casos como el activo más importante. Debido al valor que se le atribuye, es objeto de diversas amenazas como el robo, falsificación, fraude, divulgación y destrucción, entre muchas otras.
Los riesgos a los que está expuesta dicha información conducen a la necesidad de desarrollar ambientes confiables, pero conseguirlo es un problema complejo y multifactorial. Por esta razón, se han desarrollado enfoques de seguridad como la defensa en profundidad (defense in depth), que tiene como propósito proteger la información a través de la aplicación de controles en distintas capas.
Una de estas capas es el perímetro, el límite lógico que divide la red corporativa de otras redes, incluyendo Internet. En la llamada seguridad perimetral, el firewall continúa teniendo vigencia como mecanismo de protección de las redes y ha sido un elemento imprescindible desde su aparición hace 25 años.
¿Por qué las empresas necesitan un firewall?
Repasemos primero, ¿a qué se refiere este término? Es una herramienta de software o hardware que tiene como propósito filtrar las conexiones que ingresan a la red interna de la organización, así como también las conexiones de red que se dirigen hacia el exterior de la misma. Se implementa como un mecanismo de control de acceso lógico.
De esta manera, evita que usuarios de Internet que no han sido autorizados para ingresar a la red de la empresa puedan tener acceso a la misma o que miembros de la organización accedan a servicios externos para los cuales no han sido autorizados.
Entonces, ¿dónde radica la importancia de esto? El firewall opera como un filtro que examina todos los paquetes que se dirigen hacia la red corporativa y compara la información del encabezado con reglas previamente establecidas. Si la dirección IP y el puerto son válidos de acuerdo con las reglas, el paquete es entregado, en caso contrario se desecha. La misma operación es realizada con los paquetes que son enviados desde interior hacia Internet.
Por lo tanto, al desechar paquetes que no están permitidos y en consecuencia evitar conexiones que no son válidas de acuerdo a las reglas, el firewall puede evitar la propagación de códigos maliciosos a través de la red, accesos no autorizados o posibles intrusiones de terceros a la red corporativa.
Sin embargo, no podrá proteger de amenazas como el phishing o scam, ya que para la gran mayoría de las organizaciones el correo electrónico es fundamental en sus operaciones, por lo que no es bloqueado. Tampoco puede proteger de una infección de malware, si éste llega como un archivo adjunto o a través de medios removibles.
Ahora bien, ¿cómo se definen las reglas de filtrado? Básicamente, se permite o niega el acceso de las conexiones en función de los criterios y reglas que se definan. Si se aplica un enfoque restrictivo, todas las conexiones son bloqueadas excepto aquellas que están explícitamente permitidas. Por el contario, si emplea un enfoque permisivo, se aceptan todas las conexiones, excepto aquellas que están explícitamente restringidas.
La configuración de firewall depende en gran medida del enfoque que se emplee, así como de los servicios que se ofrecen, los servicios requeridos por los miembros de la organización para desempeñar sus labores y los activos que se pretende proteger.
Entendiendo la importancia del firewall
El firewall continúa siendo un mecanismo de seguridad altamente utilizado en las empresas. De acuerdo con el estudio ESET Security Report Latinoamérica 2014, el 76.6% de los ejecutivos encuestados en 14 países de la región afirmaron contar con una solución de este tipo, lo que la ubica en segundo lugar si hablamos de los controles de seguridad más utilizados, después de los antivirus.
Lo anterior, debido a los beneficios que proporciona en cuanto a la protección, principalmente al filtrar conexiones exteriores que suelen realizar algunos tipos de software malicioso como gusanos, virus o botnets. También, evitar las conexiones de posibles intrusos en la red o como medida de seguridad para el control de conexiones al exterior.
Su evolución en estos 25 años
Desde su aparición, el firewall ha evolucionado ofreciendo distintas características de protección:
- El primer tipo desarrollado se denominó de filtrado de paquetes (packet filter), y opera básicamente como lo antes descrito: se inspeccionan todos los paquetes que llegan a la red y en función de las reglas de filtrado, los paquetes son aceptados o descartados. Para tomar la decisión, se verifica si la información básica del paquete como la dirección de origen y destino, el protocolo o el puerto, cumple con las reglas o políticas establecidas.
- La segunda característica que desarrollaron los firewalls es la conocida como inspección de estado (stateful inspection). A diferencia del primer tipo, se lleva a cabo el seguimiento de los paquetes y el estado de las conexiones que pasan a través de él. En este caso, sólo se permite el paso de los paquetes que coinciden con una conexión activa que ha sido reconocida como legítima; los demás paquetes son rechazados.
- El tercer tipo es conocido como filtrado de aplicación (application filtering) y su principal característica es que permite detectar si una conexión no deseada está tratando de evitarlo a través de una dirección IP y un puerto válidos, de acuerdo a las reglas configuradas. En otras palabras, es capaz de controlar aplicaciones específicas, ya que además de verificar el encabezado del paquete, también revisa el contenido del mismo.
- En los últimos años se comenzó a hablar de los firewalls de nueva generación (NGFW por sus siglas en inglés), que deben poseer funcionalidades adicionales a las antes descritas. Aunque hasta este momento no se han definido completamente las nuevas características que debe tener, se espera que combine las capacidades de los Sistemas de Prevención de Intrusiones (IPS), así como su integración con otras tecnologías, además de una inspección amplia y profunda de paquetes en las diferentes capas del modelo OSI.
Un solo control no es suficiente
A pesar de las bondades que hemos revisado, los firewalls son una solución aplicada solamente para una de las capas descritas en el enfoque de seguridad en profundidad, por lo que actualmente debe ser complementada con otros controles de seguridad en lo que concierne a la seguridad perimetral, incluyendo los Sistemas de Detección de Intrusiones (IDS) o los IPS.
Del mismo modo, se deben incluir los otros niveles considerados en la seguridad por capas, lo que puede derivar en la aplicación de otros controles necesarios para las empresas como antivirus, antispam, prácticas como el respaldo y cifrado de información, soluciones de doble autenticación, incluso soluciones de seguridad para dispositivos móviles cuando éstos son utilizados para acceder a la red corporativa.
Continuamos viendo la evolución de este mecanismo de seguridad, que se mantiene vigente como uno de los elementos fundamentales para la gestión de la seguridad, y que actualmente no debería faltar cuando se tiene como propósito proteger los activos y principalmente la información en las organizaciones