tipos de firewall

Tipos de firewall: características y recomendaciones de uso

Blog |

Hoy día existen muchos tipos de firewall diferentes entre los que elegir. Sin embargo, la mayoría de los responsables de seguridad de la información son conscientes de que proteger los datos simplemente construyendo un cortafuegos alrededor de un sistema de información ya no es suficiente.

Aun así, siguen siendo un componente importante en la arquitectura de TI para salvaguardar la información

Los cortafuegos han existido desde finales de la década de los 80, inicialmente erigidos alrededor de los perímetros de la red para controlar el flujo de tráfico y proteger los datos dentro de los ordenadores que actuaban como host. Pero la informática ha cambiado drásticamente desde que Digital Equipment Corp. desarrolló el firewall de filtro de paquetes en 1988.

Estos sistemas han evolucionado en los últimos años y, aunque su funcionalidad básica se ha mantenido igual, sus capacidades se han expandido enormemente.

¿Qué es un firewall y para qué sirve?

Se trata de un dispositivo que es capaz de permitir, limitar, cifrar y hasta decodificar el tráfico de comunicaciones entre un ordenador o red local e internet, impidiendo así que usuarios o sistemas no autorizados puedan tener acceso a ese ordenador o red local.

¿Cómo funciona?

Por lo que se refiere a su funcionamiento, el cortafuegos está programado para diferenciar entre las conexiones permitidas y las sospechosas, aplicando diferentes procedimientos en función de cómo califique a la conexión.

Los diferentes procedimientos pueden ser:  

  • Políticas de cortafuegos: suspendiendo las peticiones de comunicación que no provengan de la misma red o sistema, y disfrazando detrás de una IP los recursos internos.
  • Filtrado de contenido: identifica los contenidos que pueden dar problemas, teniendo el usuario la última palabra sobre si se bloquea o no el acceso.
  • Servicios antimalware: algunos cortafuegos pueden también detectar virus y evitar su expansión.
  • Servicios de DPI: los procedimientos de Inspección Profunda de Paquetes añaden una segunda capa de seguridad al sistema, revisando en profundidad los paquetes de información que se reciben.

¿Qué tipos de firewall pueden encontrarse en el mercado?

Los firewalls de hoy necesitan tener una mayor visibilidad del tráfico que pasa por la red y permitir ver el flujo de contenido. En la actualidad, puede hablarse de cinco tipos de firewall, que son:

Cortafuegos de filtrado de paquetes 

Se ocupa de tomar decisiones de procesamiento basadas en direcciones de red, puertos o protocolos. En general, son muy rápidos porque no hay mucha lógica detrás de las decisiones que toman. 

No hacen ninguna inspección interna del tráfico, ni tampoco almacenan ninguna información del estado. Deben abrirse los puertos manualmente para todo el tráfico que fluirá a través del firewall. Un hecho, que, sumado a las limitaciones de este sistema, hace que se considere uno de los tipos de cortafuegos menos seguros. 

Esto se debe a que reenviará cualquier tráfico que fluya en un puerto aprobado y, por lo tanto, podría enviarse tráfico malicioso, porque, siempre que esté en un puerto aceptable, no se bloqueará.

Puerta de enlace a nivel de circuito

Una puerta de enlace de nivel de circuito opera en la capa de transporte de los modelos de referencia de Internet o OSI y, como su nombre indica, implementa el filtrado a nivel de circuito en lugar del filtrado a nivel de paquete. 

Este firewall comprueba la validez de las conexiones (es decir, circuitos) en la capa de transporte (generalmente conexiones TCP) contra una tabla de conexiones permitidas, antes de que se pueda abrir una sesión e intercambiar datos. 

Las reglas que definen una sesión válida prescriben y, una vez que se permite una sesión, no se realizan más verificaciones, ni siquiera a nivel de paquetes individuales. 

Entre las desventajas de las puertas de enlace a nivel de circuito se encuentran la ausencia de filtrado de contenido y el requisito de modificaciones de software relacionadas con la función de transporte.

Firewall de inspección con estado

Este es uno de los tipos de firewall capaces de realizar un seguimiento del estado de la conexión. 

Los puertos se pueden abrir y cerrar dinámicamente si es necesario para completar una transacción. Por ejemplo, cuando se realiza una conexión a un servidor utilizando HTTP, el servidor iniciará una nueva conexión al sistema en un puerto aleatorio. Un firewall de inspección con estado abrirá automáticamente un puerto para esta conexión de retorno. 

Habitualmente, se consideran más seguros que los de filtrado de paquetes, ya que procesan los datos de la capa de aplicación y, por ese motivo, pueden profundizar en la transacción para comprender lo que está sucediendo.

Puerta de enlace de nivel de aplicación (también conocido como firewall proxy)

Este tipo de firewalls operan en la capa de aplicación del modelo OSI, filtrando el acceso según las definiciones de la aplicación. Se considera como uno de los firewalls más seguros disponibles, debido a su capacidad para inspeccionar paquetes y garantizar que se ajusten a las especificaciones de la aplicación. Dada la cantidad de información que se procesa, los firewalls de la puerta de enlace de aplicaciones pueden ser un poco más lentos.

Firewall de próxima generación

Un cortafuegos de próxima generación ofrece un filtrado de paquetes básico o una toma de decisiones basada en proxy dentro de las capas 3 y 4 del modelo OSI disponible dentro de los firewalls tradicionales y con estado. Sin embargo, amplía su protección al tomar también decisiones en la capa de aplicación (es decir, la capa 7). 

Las características que definen a este novedoso cortafuegos son la identificación y control de aplicaciones, autenticación basada en el usuario, protección contra malware, protección contra exploits, filtrado de contenido (incluido el filtrado de URL) y control de acceso basado en la ubicación.

Las empresas que deseen una protección completa que les blinde contra las amenazas, no deberían conformarse con ninguno de los tipos de firewall previos al de próxima generación, a no ser que opten por una combinación de ellos que les garantice la eficacia deseada. En un entorno en el que la ciberseguridad es vital, toda precaución es poca.