En el artículo de hoy haremos un breve viaje al mundo de uno de los dispositivos clave en cualquier infraestructura informática actual: el firewall. Definiremos que es un cortafuegos o firewall y sus principales tipos, entre los que se encuentran los de filtrado de paquetes, los de aplicación o los NGFW (Next Generation Firewall).
Los firewalls o cortafuegos surgieron durante los primeros años de evolución de informática hiper-conectada, ante el creciente número de ataques de red procedente de equipos remotos.
En torno a 1987 se cree que Steven M. Bellovin, de la firma AT&T fue el primero en emplear el término firewall para referirse al proceso de filtrado de tráfico de red no deseado.
El nombre escogido está basado en una metáfora, asimilando su función a la de un muro de contención que evita que el fuego se extienda de una estancia a las contiguas.
¿Qué es un firewall?
Un cortafuegos o firewall es un sistema de seguridad en red que monitoriza y controla el tráfico entrante a una red, así como el que abandona esta hacia el exterior.
Básicamente es un elemento, que puede ser hardware o software, encargado de crear una barrera virtual entre nuestros equipos y el exterior, o bien entre nuestra red y otras redes vecinas o la red de redes -Internet- conocida también como WAN (Wide Area Network). Se basan en la premisa de que todo tráfico externo puede ser una amenaza.
¿Qué es un firewall? Imagen: Wikipedia
En hogares, normalmente el firewall se sitúa en la puerta de entrada a nuestra red (generalmente en el enrutador) para proteger el tráfico a/desde internet.
Además del firewall de red incorporado al enrutador, encontraremos un firewall de software instalado como servicio en cada equipo de la red interna.
En empresas y redes corporativas podemos encontrar uno, aunque lo más normal es que encontremos más de un firewall.
Un ejemplo clásico es encontrar uno de estos dispositivos en el vértice exterior de la red corporativa (firewall externo) y varios firewalls internos que compartimentalizan la red, creando exclusas internas para que cada área este aislada de la otra.
Algo así deberíamos hacer si, por ejemplo, damos servicio de gestión a varios clientes con nuestra infrasetructura. En principio no deberían verse entre ellos salvo en casos muy concretos que nosotros podremos controlar.
También podría darse el uso de un segundo dispositivo si necesitamos mantener una DMZ (zona desmilitarizada) que es una parte de nuestrainfraestructura que necesitamos exponer a internet, pero al mismo tiempo queremos que no contamine al resto.
Tipos de firewalls
Normalmente se categorizan en base a dos criterios: lo que son y lo que hacen.
Cortafuegos de red vs cortafuegos de host
Teniendo en cuenta el primer criterio, hablaríamos de la tradicional divisón entre firewalls de red y firewalls basados en host.
Los firewalls de red se sitúan en dispositivos de interconexión y pueden ser de hardware o software. Trabajan en las capas más bajas del modelo OSI (capas 2 a 4: enlace de datos, red, transporte) examinando protocolos, tramas, MAC o direcciones IP, entre otras).
Estos modelos gestionan el acceso entre redes.
Los firewalls de host se sitúan en el dispositivo final que deseamos proteger, típicamente ordenadores basados en Windows, Linux, etcétera) que por supuesto incluyen servidores. Trabajan normalmente en capas más altas (transporte).
Estos modelos controlan el acceso al propio equipo.
Tipos de firewalls según su función
Si nos atenemos a las funciones que desempeñan, podríamos considerar actualmente 4 y hasta cinco tipos de ellos dada su evolución.
Firewalls de filtrado de paquetes
Son el tipo primitivo, operan en linea en los puntos de confluencia entre redes, por ejemplo entre switches y routers. Este tipo de cortafuegos se limita a cotejar cada paquete con una base de datos de reglas previamente definidas:
Direcciones IP permitidas / denegadas
Protocolos / tipo de paquetes
Número de puerto
Los paquetes pueden ser aceptados o desechados (dropped) si no se confía en los mismos por su origen, por el protocolo de transmisión empleado, etcétera.
Para responder a las limitaciones que planteaba el primer tipo, se crearon unos dispositivos capaces no solo de hacer lo ya comentado, sino de ser conscientes de si un paquete determinado es parte de una sesión TCP previamente establecida. Es decir, si se trata de una comunicación solicitada.
Los cortafuegos de estado recientes son además capaces de discernir el flujo de transacciones a través de diferentes capas del modelo OSI al mismo tiempo, lo que aumenta su eficacia.
Pasarela de nivel de circuito (circuit level gateway)
Este tipo de soluciones emplean un método ligero para identificar contenido no deseado, monitorizando los saludos TCP (handshakes) en la red cuando estos se tienen lugar entre la red interna y red externa. De esta manera consideran si el tráfico es o no legítimo.
Aunque puede considerarse un tipo en si mismo, normalmente se incluyen como un mecanismo dentro del tipo anterior (firewall de estado). La pasarela de nivel de circuito actúa como servidor proxy en el nivel de red del modelo OSI.
Firewall de aplicación (application level)
También llamado firewall de tercera generación, este tipo se considera técnicamente un proxy, a veces referido como firewall-proxy y combina la capacidad de filtrado de paquetes (protocolo TCP/IP) con la de pasarela de nivel de circuito.
Aquí se tiene en cuenta tanto el servicio de los paquetes (indicado por su puerto) además de otros datos como pueden ser las cabeceras HTTP.
Este tipo de cortafuegos son más eficientes a la hora de analizar mensajes completos -no solo paquetes separados- y solo dejan pasar el tráfico si el protocolo etá definido.
Firewalls de nueva generación (NGFW)
Es posible que algún purista me critique, pero podríamos considerar os Next Generation Firewall como una subclase en si misma.
NGFW de Cisco, en la imagen
Es un tipo más amplio, menos definido en cuanto a sus capacidades porque básicamente se tiende a colocar en esta categoría todo aquello que no encaja en las anteriores.
Lo que es innegable es que un NGFW siempre ofrecerá más que un cortafuego tradicional. Normalmente, este tipo de solución suele ser de hardware y combina la ya conocida capacidad de filtrado de paquetes (stateful) con la inspección profunda de los mismos (DPI / Deep Packet Inspection).
Cabe destacar que, salvo en el último tipo, el cometido de los firewall es harto complicado, pues ningún programa informático puede predecir el comportamiento de un comando / programa remoto sin ejecutarlo por sí mismo.
Se tiene cierta confianza en las reglas manualmente establecidas, que deberán actualizarse con cierta regularidad y también auditar su efectividad.
Os dejo para terminar un vídeo que os puede aclarar un poco más 😉
Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.
En empresas y redes corporativas podemos encontrar uno, aunque lo más normal es que encontremos más de un firewall.
Un ejemplo clásico es encontrar uno de estos dispositivos en el vértice exterior de la red corporativa (firewall externo) y varios firewalls internos que compartimentalizan la red, creando exclusas internas para que cada área este aislada de la otra.
Algo así deberíamos hacer si, por ejemplo, damos servicio de gestión a varios clientes con nuestra infrasetructura. En principio no deberían verse entre ellos salvo en casos muy concretos que nosotros podremos controlar.
Proteger mi PC 
Excelente! Estimado Alejandro gracias por compartir información siempre muy interesante. Saludos!
Me gustaLe gusta a 1 persona
Gracias!
Me gustaMe gusta