Firewall o cortafuegos

¿Qué es un firewall?

Podemos definir de forma sencilla:

El firewall o cortafuegos es el programa encargado de supervisar las conexiones entre 2 redes.

Si tenemos nuestra red privada y nos conectamos a Internet, podemos colocar un firewall de red entre ambas. De este modo, las conexiones se filtrarán en base a unas reglas que hayamos definido previamente. Estará supervisando el tráfico de red entre la oficina y el exterior.

Aunque se puede utilizar sin problemas la palabra cortafuegos, la verdad es que su acepción inglesa es mucho más habitual.

Tipos de firewall

Si bien hemos visto que se encarga de supervisar las conexiones, ¿en que formatos los podemos encontrar?. Básicamente como un appliance (dispositivo hardware), en forma de software, como máquina virtual o incluso como máquina preconfigurada para sistemas Cloud como Amazon o Azure.

Vamos a ver cada uno de ellos en detalle

Firewall Software

Se trata de programas que instalamos sobre un ordenador. La mayoría de los sistemas operativos modernos incorpora un programa de este tipo de uno u otra forma. Por ejemplo Microsoft incluye como parte del sistema su Firewall de Windows.

Recibimos muchas consultas acerca de como desactivar el firewall de windows, así que te dejamos un artículo para que aprendas a deshabilitarlo.

Accediendo a la configuración, es posible filtrar las conexiones entrantes y salientes de nuestros equipos. Se puede hacer en base al puerto, programa, protocolo, origen, destino…

Ejemplo: queremos instalar un servidor de FTP en nuestra máquina y dar acceso a otros usuarios para que puedan utilizar el servicio. Debemos, una vez configurado el FTP, habilitar puertos como el 21 para permitir las conexiones con la máquina. De otro modo el firewall de windows bloqueará el acceso y el FTP no se podrá utilizar.

Aparte de los programas de cortafuegos incluidos con el sistema operativo, siempre es posible desinstalarlos o deshabilitarlos y usar el proporcionado por otras empresas. En la mayoría de los casos esto es altamente recomendable. Los que tenemos de fábrica son versiones muy reducidas de programas completos o con funcionalidades limitadas. Si bien es cierto que siempre es mejor que no tener nada 😉

Los casos anteriores son bajo el punto de vista de un usuario que necesita protegerse y saber exactamente que información entra y sale de su ordenador. Pero también esta la circunstancia en la que necesitamos proteger la red. Ya sea la de nuestra casa, empresa, colegio…

A esto se le conoce como seguridad perimetral. Proteger lo que entra y sale de una red hacia otra y no solo un equipo en concreto.

Podemos convertir un equipo convencional (como pueda ser un ordenador tradicional) en un firewall corporativo para ayudarnos a establecer nuestra política de seguridad perimetral. Instalamos el sistema operativo que precise y a continuación la versión de software facilitada por el fabricante en cuestión. El ordenador habrá pasado a ser una máquina dedicada en exclusiva para esta función.

¿Si tengo una empresa merece la pena utilizar esta opción?

Como siempre dependerá de cada caso y circunstancias, pero por lo general no.

El dispositivo (ordenador + firewall software instalado) va a estar funcionando 24 horas x 365 días al año. Necesita unas prestaciones decentes sino queremos que se convierta en un cuello de botella. Hay que pensar que si falla un componente de hardware, no se podrán establecer las comunicaciones (hacia Internet por ejemplo).

Merece la pena asegurarse que va a tener un rendimiento adecuado y no habrá sustos.

Es más rentable utilizar los firewall hardware que venden los fabricantes (appliance).

Integran equipos que prescinden de cualquier componente superfluo, están optimizados para un uso constante, se dimensionan en funcion del uso que se le va a dar, etc

¿Cuando es mejor utilizar la versión software? En nuestra opinión, solo es mejor utilizar esta modalidad cuando queremos hacer pruebas, aprovechando algún equipo, etc o si disponemos de servidores muy potentes a los que no se les esté dando uso.

Por otra parte, cada vez son mas las empresas que cuentan con una infraestructura virtual. Atrás han quedado las épocas en las que era necesaria tener un servidor físico para cada tarea de la red.

Ahora se puede virtualizar todo en una empresa: servidores, puestos de los usuarios, electrónica de red y como no, también los firewalls.

Se entregan como “appliance virtuales” (como si fuese una unidad de hardware, pero en virtual). Únicamente hay que moverlo a la infraestructura virtual de la empresa para que todas sus funcionalidades estén disponibles.

Son ideales para laboratorios y pruebas. Para entornos de producción siempre recomendamos que sean dispositivos independientes, salvo que contemos con la infraestructura virtual suficiente

Firewall Hardware

Es la opción mas habitual en las instalaciones de seguridad perimetral de las empresas.

Se trata de un dispositivo que integra en un solo elemento la parte física (el hardware) y el software de cortafuegos.

Es una buena idea decantarse por esta opción. Están específicamente diseñados para dar servicio permanente a las redes informáticas de las empresas. Así carecen de todo elemento que no sea imprescindible para desarrollar su función y al mismo tiempo están equipados con más elementos de red  de los que podemos encontrar en un ordenador convencional.

Por ejemplo: un firewall hardware no cuenta con tarjeta de sonido pero incluso en los modelos más pequeños, incorpora 4 salidas de red. Estas las podremos configurar de forma independiente según las necesidades de cada red del cliente.

El hardware viene configurado en función de la carga de trabajo que va a soportar.

Si el modelo Sophos XG Firewall 105 está pensado para dar servicio a una red de unos 10 usuarios, otros modelos como el Sophos XG 750 puede soportar hasta 5.000 usuarios concurrentes. Si bien, no quiere decir que el primer modelo comentado no vaya a funcionar en una red de 11 usuarios. Es una estimación del rendimiento que es capaz de proporcionar la máquina.

Firewall en Cloud

Se trata del mismo producto que el firewall virtual pero en distinto entorno.

Si tenemos servicios en la nube de Amazon y/o Azure, tendremos una infraestructura de servicios, máquinas, etc que nos interesa proteger. Podemos desplegar directamente desde las tiendas de estas plataformas, un firewall que se adapte a lo que buscamos.

Se podría instalar vía software o virtual… sí. Esta vía es simplemente más rápida y viene totalmente preconfigurada, lista para utilizar desde el minuto 1.

Firewall perimetral vs Firewall local

Como vimos antes, un firewall perimetral es el que sirve para proteger la red. Gestiona las conexiones que se producen entre dos redes.

En base a las políticas que tengamos definidas, dejaremos pasar un tráfico u otro y así aseguramos el conjunto de la red. De ahí su nombre de perimetral.

Un firewall perimetral sirve para proteger el conjunto de la red

Por contra, o mejor dicho de forma suplementaria, un firewall local protege única y exclusivamente las conexiones que se realizan entre el dispositivo que lo tiene instalado y el resto. Un ejemplo es el firewall de windows 7. Administra las conexiones entre el PC y el resto, pero no administra las conexiones que realiza el equipo de otro compañero.

Firewall gratuito vs de pago

Si un cortafuegos ejecuta un listado de reglas, en orden, para permitir o denegar el tráfico… ¿en concepto de qué se paga por un firewall?

Lo primero que hay que analizar es el tipo de cortafuegos que estamos analizando. No es lo mismo cambiar el firewall de windows 7 por un software tipo zonealarm, que proteger la red de la empresa mediante seguridad eprimetral.

Con los firewalls para empresas aparte de las actualizaciones constantes del firmware del producto se puede:

Realizar un control de aplicaciones puesto que funciona como un firewall de capa 7. Realizar reglas y políticas basadas en usuarios, direcciones IP, hosts, redes, zonas, horarios…

Se integran perfectamente en soluciones de active Directory, OpenLdap, sistemas Radius, etc para identificar los usuarios y sus conexiones.

Permite proteger a los servidores internos de la empresa que se hayan publicado en Internet mediante análisis de tráfico. Así se establece un análisis que permite evitar la mayoría de los ataques de cross site scripting, inyección de SQL, etc

Sistema de prevención de intrusiones para el análisis de tráfico hacia botnets.

Filtrado de tráfico web y aplicaciones (e incluso micro-aplicaciones) Al igual que en los demás apartados, este filtrado lo podemos realizar a nivel de empresa, red, usuario, IP, según un horario, QoS… o la combinación de ellos.

Protección contra amenazas avanzadas…

Como vemos la protección de estos dispositivos no tiene nada que ver con lo que nos ofrece un firewall gratuito. Mientras que las soluciones de pago brindan una protección completa contra todo tipo de amenazas y situaciones, las versiones gratuitas apenas permiten realizar un filtrado más o menos avanzado, dejando de lado muchos aspectos importantes en la seguridad de una red.

En seguridad informática no se puede optar por soluciones a medias. Como dice el refrán:

La cadena siempre se rompe por el eslabón más débil.

¿Hay firewall gratuitos que incorporen funciones avanzadas?

Por supuesto. Sophos XG Firewall Home Edition es como se llama el firewall de Sophos pensado para los usuarios domésticos. Incorpora prestaciones similares a la versión empresarial y es totalmente funcional.

Os animamos a que lo descarguéis y comencéis desde hoy mismo a ver todas sus prestaciones y posibilidades.

Firewall para empresas vs doméstico

Al igual que en el punto anterior utilizar una versión u otra depende de las necesidades de cada red.

Nosotros, en tecnozero, solo trabajamos con empresas. Sus necesidades son diferentes a las de un usuario doméstico. Un negocio busca soluciones a problemas muy distintos y le surgen otro tipo de necesidades.

Como vimos en el apartado anterior Sophos XG Firewall está disponible para usuarios domésticos de forma totalmente gratuita. el paquete completo.

No es una versión “freemium” como otros fabricantes, en donde lo pruebas y si quieres cualquier funcionalidad avanzada, tienes que pagar.

Si quieres proteger la red de tu casa o simplemente probar las funcionalidades de estos cortafuegos, os animamos a que descarguéis el producto y lo instaléis con total libertad.

¿Cuál es el mejor firewall?

Todos los años la consultora Gartner publica sus informes del mercado. Analiza los principales fabricantes, la posición que ocupan los productos que ocmercializan y su trayectoría.

Así obtenermos su famoso cuadrante mágico y en sus informes describen de forma detallada porque ocupan una u otra posición.

Sophos se encuentra un año más entre los líderes del mercado. Hay que destacar que aparte de ser un referente en seguridad perimetra con los dispositivos XG Firewall cuenta con toda una gama de productos que son capaces de interrelacionarse con el cortafuegos.

Así su producto anti-ransomware es capaz de informar del estado del equipo de modo que el firewall pueda aislar al equipo, hasta que deje de ser una amenaza.

Sophos XG seleccionado una vez más como uno de los tres mejores firewalls del mercado

Los mejores firewalls 2017 según NSS Labs

Dimensionar el firewall correctamente

A la hora de escoger un modelo que se adapte a las funciones que va a desempeñar, es importante escoger el modelo correcto. Un firewall demasiado potente para pocos usuarios, estará infrautilizado y supondrá unos costes elevados en algo que no se va  utilizar. Al contrario un modelo más pequeño de lo necesario creará cuellos de botella y todo tipo de problemas en la red.

Como referencia, cogemos la siguiente tabla:

Vemos los distintos tipos de suscripción y en la línea inferior el número de usuarios a los que se les va a dar servicio. Si el UTM va a monitorizar diferentes tareas y tenemos 50 usuarios en la red, debemos decantarnos por el modelo Sophos XG Firewall 210. Si queremos sobredimensionar un poco el dispositivo, en previsión de crecimientos futuros o de aumento de consumo del ancho de la red, optaremos por el modelo 230.

Puedes ver las distintas opciones según el tipo de empresa