Firewalls de próxima generación

Negocios
Rik Ferguson Trend Micro

Rik Ferguson, director de Investigación de Seguridad y Comunicaciones de Trend Micro EMEA, analiza en este artículo cómo han ido evolucionando los firewalls.

El humilde firewall ha recorrido un largo camino desde los días en que, antaño, se centrara en el filtrado de paquetes. Los primeros firewalls fueron desarrollados por Digital Equipment Corporation (DEC, ¿los recuerda?) a finales de los años ochenta. Estos cortafuegos operaban principalmente en los cuatro primeros niveles del modelo OSI, interceptando el tráfico en el cable de inspección de las propiedades de cada paquete individual para determinar si estaba vinculado  al conjunto de reglas configuradas (la dirección de origen y destino y el número de puertos, por ejemplo) y después o bien se abandonaban los paquetes o se procedía a su transmisión según correspondiera.

Este método de inspección del tráfico, aunque rápido, pronto se encontró que requería demasiados recursos innecesarios y condujo directamente a la introducción de los firewalls a nivel de circuito, más tarde conocidos como “stateful” firewalls, promovidos por Check Point Software Technologies. Estos firewalls de próxima generación (¿ves lo que digo aquí?) analizaban con más profundidad el transporte a nivel capas de principales y mantenían un conjunto de  conexiones activas permitiendo  el “estado” de una conexión (nueva, activa, no existente) para ser utilizada como parte de un conjunto de reglas. La introducción del stateful firewall se llevó por delante al firewall del filtrado de paquetes, appliance que, de forma un tanto melancólica, pasó a conocerse como “stateless”.

El desarrollo de los firewalls ha sido muy rápido y no ha dejado de sorprendernos, pues la evolución entre los appliances iniciales y los “Firewalls de Próxima Generación” actuales, ha sido en gran parte orgánica, los desarrollos en la tecnología firewall, en detección y  prevención de intrusiones y usuarios o gestión de contenidos han sido asimilados bajo la plataforma de Gestión Unificada de Amenazas (UTM) actual.

Los firewalls de Nivel de Aplicaciones supusieron un avance importante con el lanzamiento del primer firewall de código abierto, Firewall Toolkit (FWTK) de Trusted Information Systems en 1993, aunque la capa 7 de cortafuegos había sido incluida de nuevo, y por primera vez, por DEC, con SEAL como primer “producto” firewall en 1991. Esta tercera generación de tecnología de firewall impulsó la inspección de paquetes al nivel de aplicación cubriendo hasta el nivela 7. Esto significaba que no sólo la información relativa a la conexión y el estado de la conexión podría ser incorporada en el conjunto de reglas, sino también la información relativa a las operaciones que se estaban llevando a cabo bajo un protocolo individual, por ejemplo, permitiendo una solicitud GET a través de HTTP, pero denegando un POST.TIS comercializaba FWTK como Gauntlet Firewall, un producto con el que tuve el placer de trabajar. El firewall Gauntlet era quizá el primer cortafuegos de última generación disponible comercialmente, con el tiempo finalmente incorporaría autenticación de usuarios, anti-malware, filtrado de URL y cortafuegos a nivel de aplicación con proxies  de aplicación personalizables y todo esto hace más de una década.

Mientras muchos profesionales de la seguridad sostienen que la red y el firewall perimetral no son más que una solución económica a una deficiente práctica de seguridad,  la de una inefectiva  seguridad del host. No se puede negar que la economía continúa siendo un factor clave de negocio. Es cierto que la llegada de la virtualización y el cloud han revolucionado la infraestructura de red, pero no se ha negado por completo la necesidad de fuertes controles en el límite de los entornos con privilegios. Por tanto, el modelo de seguridad en capas no va a desaparecer a corto plazo.

Por estos motivos, observamos  la evolución continua en los “Firewall de Próxima Generación” en los términos actuales, estas últimas ofertas incorporan tecnologías antes discretas, tales como la prevención de intrusiones en la red, la inspección de paquetes en profundidad, la autenticación de usuarios y otras muchas, en una plataforma de hardware de alto rendimiento.

El único inconveniente con los firewalls de próxima generación está en que ¿cómo llamaremos  a las evoluciones posteriores?


Leer la biografía del autor  Ocultar la biografía del autor