Un firewall es un concepto central en las redes de transmisión de datos.
Por lo general, un firewall es un sistema para mantener políticas de seguridad para varias redes, tanto privadas/locales como públicas, como Internet. El término se refería originalmente a un muro destinado a confinar un incendio dentro de una línea de edificios adyacentes.
Un firewall puede ser un dispositivo o un grupo de dispositivos configurados para pasar/bloquear y cifrar/descifrar el tráfico entre dos redes en función de criterios específicos. El propósito de un firewall es bloquear el tráfico prohibido y permitir las conexiones permitidas. Puede considerarse un filtro que controla todo el tráfico que va de una red a otra y, según su configuración, permite, restringe o bloquea los paquetes de tráfico.
Se pueden implementar como hardware, software o ambos. Evitan que los usuarios de Internet no autorizados accedan a redes privadas conectadas a Internet y, por lo tanto, constituyen un componente esencial de ciberseguridad.
Todos los paquetes de datos entrantes y salientes de una red corporativa pasan por un firewall que analiza cada paquete y bloquea aquellos que no cumplen con ciertos requisitos de seguridad.
Los firewall a menudo se conectan a una tercera red conocida como zona desmilitarizada o DMZ, con servidores corporativos accesibles desde la red externa.
La principal razón para implementarlo suele ser la misma: salvaguardar una red privada de intrusiones provenientes de otras redes o de Internet.
El objetivo es evitar que los usuarios no autorizados accedan a los recursos de la LAN y no permitir el tráfico no autorizado con información confidencial fuera de la red privada.
CONFIGURACIÓN DE UN FIREWALL
En general, un firewall mantiene una de las dos políticas básicas que impactan drásticamente los fundamentos de seguridad de una empresa:
- Política restrictiva: bloquea todo el tráfico excepto el permitido explícitamente. El firewall bloquea todo el tráfico y permite solo el tráfico de aquellos servicios que se agregaron a las exclusiones de la regla. Este enfoque es común para empresas y autoridades estatales que consideran la seguridad de la información su máxima prioridad.
- Política permisiva: permite todo el tráfico excepto el bloqueado explícitamente. Cada servicio que se cree que es malicioso debe aislarse individualmente, mientras que el resto del tráfico no se filtra. Este enfoque es común para las empresas que siguen sus normas de seguridad.
La política restrictiva es la más segura, ya que es poco probable que permita el tráfico peligroso por error, lo que ocurre con una política permisiva propensa a errores que podría permitir el tráfico que olvidó bloquear.
Por lo general, todos los posibles puntos de ataque en una red pueden protegerse con el mismo nivel de seguridad mediante firewalls de hardware (dispositivos) y firewalls de software (aplicaciones).
Un firewall de hardware es un dispositivo ubicado entre una red privada y un punto de conexión a una red pública o Internet. Por ejemplo, un enrutador con un firewall como función central analiza y permite/bloquea el tráfico de acuerdo con la política de seguridad específica.
Un firewall de software es una aplicación que protege los puertos del dispositivo (por ejemplo, en un servidor, PC, teléfono inteligente, etc.) contra malware o tráfico de un determinado tipo de aplicación.
TIPOS DE FIREWALL
A medida que la tecnología evolucionó, cada nueva generación agregó nuevas funciones de procesamiento de datos.
La primera generación: Firewall de red
Un firewall de red se centra en el filtrado implementado como inspección de tráfico.
Si un paquete coincide con el conjunto de reglas de filtrado, el paquete se verifica y luego se permite o bloquea (un remitente recibe un mensaje de error). Este tipo de firewall ignora el flujo de tráfico al que pertenece el paquete. Solo importa el contenido del paquete (origen/destino del paquete, protocolo y puerto TCP/UDP).
Los firewall de red procesan el tráfico en las primeras tres capas del modelo OSI (interconexión de sistemas abiertos).
La segunda generación: Firewall con estado
Los firewall de segunda generación también consideran la serie de paquetes a la que pertenece un paquete. Esta tecnología se conoce como Stateful Packet Inspection, ya que realiza un seguimiento del estado de todos los paquetes que pasan por un firewall y puede definir si un paquete indica una nueva conexión, pertenece a una conexión existente o es un paquete de error.
Esta tecnología aplica mecanismos de seguridad a las conexiones TCP/UDP. Una vez que se establece una conexión, los paquetes van y vienen sin verificación. Un cortafuegos mantiene una tabla de control de acceso y permite el paso de paquetes si coinciden con algún registro de la tabla. Una vez que finaliza una conexión, la tabla se borra y la transmisión de datos se detiene. Este tipo de firewall puede prevenir ataques contra conexiones en curso o ciertos ataques de denegación de servicio.
La tercera generación: Firewall de aplicaciones
Los firewalls de aplicaciones operan en la capa de aplicación del modelo OSI y pueden comprender ciertas aplicaciones y protocolos. Esto les permite identificar un protocolo no deseado utilizando un puerto no estándar o detectar si se está abusando de un protocolo permitido.
Un firewall de aplicaciones es mucho más seguro y confiable ya que afecta siete capas OSI. En general, analiza todos los paquetes y mantiene el estado de la conexión y la secuencia de información. Esta tecnología también puede validar claves de acceso y algunos tipos de solicitudes de servicio.
La tercera generación puede procesar protocolos de capas superiores, como FTP, TELNET, DNS, DHCP, HTTP, TCP, UDP, etc.; por lo tanto, para bloquear toda la información relacionada con una palabra en particular, puede crear un filtro de contenido relevante. Sin embargo, los firewalls de aplicaciones son más lentos que los de estado.
VENTAJAS DE SU USO
Las ventajas más destacables del firewall para la protección del tráfico, tanto para empresas como para uso personal, son las siguientes:
- Administra los posibles intentos de acceso desde Internet a una red privada.
- Protege contra intrusiones, ya que se puede acceder a algunos segmentos de la red corporativa desde dispositivos autorizados de otros segmentos, así como desde Internet.
- Restringe el acceso a información sensible estableciendo diferentes niveles de acceso a la información; por lo tanto, cada grupo de usuarios corporativos puede acceder solo a los servicios y datos necesarios.
- Optimiza el acceso identificando los componentes internos de la red y estableciendo una comunicación directa entre ellos; facilitando así la reconfiguración de los parámetros de seguridad.
- Permite a un administrador de red definir un “punto de control” negando el acceso a usuarios no autorizados y bloqueando la comunicación con redes externas desde una interna.
- Ofrece un punto para monitorear la seguridad de las transmisiones de datos entrantes y salientes.