DataSunrise está patrocinando AWS re:Invent 2024 en Las Vegas, por favor visítenos en el stand #2158 de DataSunrise

Este sitio web almacena cookies para recopilar información sobre cómo interactúas con nuestro sitio web. Para obtener más información, visita nuestra Política de Privacidad.

Tipos de Firewalls

Tipos de Firewalls

Hoy estamos comenzando una serie de publicaciones dedicadas a varios tipos de firewalls. Va a ser una serie de 4 partes. Comenzaremos revisando las categorías básicas de modos de procesamiento de firewalls y dando una visión general de los modos de firewall. En las siguientes publicaciones profundizaremos en los firewalls a nivel de aplicación: WAF y DAF.

En este artículo de apertura, vamos a discutir los tipos de firewalls más utilizados, sus ventajas y posibles desventajas, así como a revisar las tendencias actuales y perspectivas de desarrollo de esta tecnología.

El firewall es la primera línea de defensa contra ataques externos e internos y un componente fundamental de una estrategia de seguridad integral. Los firewalls se utilizan para prevenir el acceso no autorizado a recursos locales, desempeñando un rol crucial en un sistema de seguridad de información de múltiples capas. Puede implementarse en hardware, software o una combinación de ambos. Examina y filtra todo el tráfico entrante y saliente a través de un único punto de verificación de seguridad concentrado y bloquea las solicitudes que no cumplen con los criterios de seguridad especificados.

En general, hay dos tecnologías principales según las cuales los firewalls pueden categorizarse: filtrado de paquetes y filtrado en la capa de aplicación. Cada tipo de firewall filtra y controla el tráfico de la red de una manera diferente, pero estos dos pueden solaparse parcialmente y pueden implementarse juntos en un sistema.

Firewall de Filtrado de Paquetes

La mayoría de los dispositivos de red utilizan tecnología de filtrado. Los filtros de paquetes son el mecanismo de control de tráfico más básico que opera en una capa de red. Permiten pasar o bloquear paquetes en función de los atributos del encabezado del paquete: protocolos, direcciones de origen y destino o números de puerto. En algunos casos, se analizan otros atributos del encabezado, por ejemplo, para determinar si el paquete es parte de una conexión nueva o existente. Los filtros de paquetes se implementan utilizando listas de control de acceso (ACL). Cuando un paquete llega a la interfaz del router, primero se determina si se puede entregar o no y luego se verifica el cumplimiento con el conjunto de reglas existente – ACL.

Las reglas de filtrado se determinan en función de uno de los siguientes principios:

1) Todo lo que no está explícitamente prohibido está permitido

En este caso, el firewall permite el paso de paquetes mientras no coincidan con una regla de bloqueo. Este enfoque es más permisivo y facilita la administración. No obstante, la falta de definición de todas las reglas necesarias resulta en una configuración inadecuada y lleva a la ineficacia de la herramienta de seguridad.

2) Todo lo que no está explícitamente permitido está prohibido

En este caso, el firewall niega el paso de paquetes a menos que cumplan una regla de filtrado positiva. Este principio proporciona un nivel de protección más alto. Desde el punto de vista de la seguridad, esta opción, cuando se permite el paso de paquetes determinados y se bloquea todo lo demás, sería más preferible. Por un lado, este enfoque agiliza el proceso de configuración ya que el número de paquetes que no están permitidos suele ser mucho mayor que el número de los permitidos. Por otro lado, cada tipo de interacción permitida requiere una o más reglas.

Ventajas:
* El filtrado de paquetes es la tecnología de firewall más rápida y está ampliamente difundida.
* Por defecto, los firewalls de red están incluidos en la mayoría de los sistemas operativos de computadoras y dispositivos de red.
* Al crear reglas de filtrado, es posible utilizar información fuera de los atributos del encabezado, por ejemplo, la hora y fecha de paso del paquete de red.

Desventajas:
* El filtrado de paquetes es la tecnología de firewall menos segura porque no inspecciona el tráfico a nivel de aplicación, lo que lleva a una amplia gama de vulnerabilidades de seguridad.
* Los filtros de paquetes solo trabajan con encabezados y no inspeccionan la carga útil del paquete, permitiendo el acceso a través del firewall con un mínimo escrutinio.
* Los filtros de paquetes no rastrean el estado de las conexiones y, por lo tanto, pueden permitir un paquete de una fuente que no tiene sesiones activas en el momento.
* La configuración adecuada requiere habilidades altas de administración de sistemas y un profundo entendimiento del conjunto de protocolos TCP/IP.
* Los filtros de paquetes no cuentan con auditoría de eventos o mecanismos de alerta.

Firewall de Aplicación

Los firewalls de aplicación operan en la capa de aplicación del conjunto de protocolos TCP/IP. Incluyen software y actúan como intermediarios entre el cliente y el servidor. El filtrado a nivel de aplicación permite eliminar la comunicación directa entre dos nodos. Este tipo de firewall intercepta paquetes que viajan hacia o desde una aplicación y bloquea solicitudes maliciosas basándose en la información específica de la aplicación. Desarma un paquete y analiza su contenido, incluida la carga útil, en busca de inconsistencias, comandos inválidos o maliciosos.

Ventajas:
* El filtrado a nivel de aplicación ofrece el mejor nivel de seguridad. A diferencia de los filtros de paquetes, los firewalls de aplicación pueden inspeccionar no solo el encabezado sino todo el paquete de red en busca de contenido inadecuado. La inspección profunda del tráfico entrante y saliente asegura un mayor grado de control granular.
* Los firewalls de aplicación permiten un registro más detallado. La información de registro es muy útil para la investigación de incidentes de seguridad y la implementación de políticas.
* Los firewalls de aplicación tienen reglas de filtrado menos complicadas.

Desventajas:
* Todas las ventajas mencionadas vienen con un mayor costo.
* Los firewalls de aplicación no sobresalen en velocidad y rendimiento. La examinación profunda del contenido del paquete lleva más tiempo que el filtrado de paquetes tradicional, ralentizando notablemente el rendimiento de la red y afectando negativamente el rendimiento.

Entre los firewalls a nivel de aplicación se encuentran los WAF (Firewalls de Aplicaciones Web) diseñados para proteger aplicaciones y servidores web de ataques basados en la web; DAF (Firewalls de Acceso a Base de Datos) que apuntan a la protección de bases de datos; Firewalls de Aplicación DNS, etc.

Visión General del Modo de Firewall

Proxy Firewall

Un firewall proxy actúa como un intermediario entre un cliente y un servidor real, estableciendo la conexión en nombre del cliente. Para obtener contenido de los hosts del servidor externo, el cliente envía solicitudes al firewall, que a su vez inicia una nueva conexión basada en la solicitud recibida. Las solicitudes se evalúan de acuerdo con el conjunto de reglas existente y luego el firewall bloquea o permite la conexión. Si la solicitud no contiene parámetros prohibidos, el firewall concede acceso al servidor de origen. Después de recibir una respuesta del servidor, el firewall la valida y, si la respuesta es aceptada, la reenvía al cliente que originó la solicitud. El filtrado se implementa en base a muchos parámetros, incluidas las direcciones IP de origen y destino, los archivos adjuntos, la hora de la solicitud, etc.

El firewall proxy es el tipo de firewall más confiable. Asegura un nivel aumentado de seguridad a través del filtrado profundo de paquetes, el control de solicitudes y el registro detallado. El firewall proxy nunca permite la comunicación directa entre un cliente interno y el servidor real de un servicio externo ni el reenvío directo de paquetes entre dos nodos. De esta manera, las direcciones IP internas están protegidas de los servidores externos y hay una mínima posibilidad de que alguien pueda analizar la topología de una intranet usando la información contenida en los paquetes entrantes y salientes.

Usando registros de auditoría, los administradores pueden monitorear la actividad de los usuarios e identificar intentos de violar las políticas de seguridad del firewall. El almacenamiento en caché permite reducir el tráfico, balancear la carga y disminuir el tiempo que toma al cliente acceder a la información.

Reverse Proxy Firewall

En general, un proxy inverso es un servidor web regular con algunas características adicionales, incluida la redirección de URL. El firewall proxy inverso opera de la misma manera que un proxy de reenvío con la única diferencia de que un proxy inverso se utiliza para proteger servidores y no clientes. El proxy inverso también reside entre el cliente y el servidor real, pero es transparente para el cliente y actúa en nombre de un servidor web. Los clientes no ven el proxy inverso, todo parece como si se dirigieran directamente al servidor web, a diferencia del proxy de reenvío donde los clientes saben que se están conectando a través de un proxy.

Cuando un proxy inverso recibe una solicitud de un cliente, no la procesa, sino que la redirige a otro servidor o a un conjunto de servidores y envía la respuesta de vuelta al cliente. Reenviar solicitudes a un conjunto de servidores permite aumentar el rendimiento y balancear la carga. El proxy inverso también almacena datos en caché para reducir la carga de red o del servidor. Para mantener su anonimato, el firewall proxy inverso intercepta las solicitudes antes de que lleguen al servidor.

Transparent Proxy Firewall

El Proxy Transparente también se conoce como Bump in the Wire. Se ubica en la puerta de enlace e intercepta las solicitudes de los clientes. A los clientes se les da la impresión de que se están conectando al servidor real, sin saber que hay un servidor proxy que media sus solicitudes. El proxy transparente también almacena contenido en caché y no requiere ninguna configuración del lado del cliente. En este modo, el firewall puede filtrar el tráfico entre hosts.

Firewall de Próxima Generación

A medida que el mercado de firewalls para redes empresariales continúa evolucionando, los proveedores de software buscan formas de ir más allá de las capacidades tradicionales de los firewalls y añadir funcionalidades que aumenten inmensamente la efectividad y eficiencia de los firewalls. El Firewall de Próxima Generación es un sistema integrado que combina la tecnología de firewall tradicional con otras funcionalidades de seguridad de red como la Inspección Profunda de Paquetes (DPI), el Sistema Integrado de Protección contra Intrusiones (IPS), la inspección SSL y SSH, la detección de malware basada en la reputación, etc.

Se espera que los Firewalls de Próxima Generación integren varias características clave:
* control continuo de aplicaciones y protección contra ataques e intrusiones sofisticados;
* capacidades tradicionales de firewall empresarial: análisis de paquetes, filtrado y redirección de tráfico, autenticación de conexiones, bloqueo de protocolos y contenido, cifrado de datos, etc.;
* auditoría y análisis avanzados del tráfico, incluidas las aplicaciones;
* integración con sistemas y aplicaciones empresariales de terceros (SIEM, sistemas de gestión de datos, etc.);
* colección regularmente actualizada de descripciones de aplicaciones y amenazas potenciales.

Gradualmente, más organizaciones están trasladando sus operaciones a la nube y adoptando tecnologías de virtualización de datos. Con esto, los firewalls de próxima generación están volviéndose más demandados, pero el principal factor que afecta el desarrollo del mercado es el alto costo de la implementación inicial del sistema y su soporte. Las pequeñas y medianas empresas son reticentes a invertir en la tecnología. Por eso, los proveedores que atienden este mercado se centran principalmente en grandes empresas.

Firewall de Base de Datos DataSunrise

DataSunrise Database Firewall funciona en Modo Proxy Inverso con Modo Transparente en camino. El Firewall de DataSunrise es un Firewall de Acceso a Base de Datos e implementa auditoría detallada y filtrado de solicitudes para asegurar un avanzado nivel de control y seguridad de bases de datos.

DataSunrise soporta todas las principales bases de datos y almacenes de datos como Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata y más. Estás invitado a descargar una prueba gratuita si deseas instalarlo en tus instalaciones. En caso de que seas un usuario de la nube y ejecutes tu base de datos en Amazon AWS o Microsoft Azure, puedes obtenerlo desde el mercado de AWS o el mercado de Azure.

 

En la próxima publicación, dedicada a Firewalls de Aplicaciones Web (WAF) hablaremos sobre por qué las empresas prestan especial atención a esta tecnología y cómo es diferente de los firewalls de red tradicionales, NGFWs (Firewalls de Próxima Generación) y IPSs (Sistemas de Prevención de Intrusiones).

 

Siguiente

WAF. Un Caballero en Brillante Armadura

WAF. Un Caballero en Brillante Armadura

Más información

¿Necesita la ayuda de nuestro equipo de soporte?

Nuestros expertos estarán encantados de responder a sus preguntas.

Información general:
[email protected]
Ventas:
[email protected]
Servicio al Cliente y Soporte Técnico:
support.datasunrise.com
Consultas sobre Asociaciones y Alianzas:
[email protected]