ESEspañol ENInglés CACatalán

Banco Santander
Icon / Arrow / Down

ESEspañol ENInglés CACatalán

Firewalls o cortafuegos

Un firewall o cortafuegos es una plataforma de seguridad cuyo principal propósito es proteger las redes o los hosts de amenazas provenientes del exterior.

Los firewalls de red, que constituyen la primera capa de protección de las redes internas, inspeccionan el tráfico que pasa a través de ellos, que puede ser con origen o destino internet (tráfico Norte-Sur) o dentro de la propia red (Este-Oeste), mientras que los firewalls de host analizan el tráfico que recibe un endpoint o equipo final. Los dos tipos permiten o bloquean el paso en función de una serie de políticas de seguridad configuradas.

¿Para qué sirven los cortafuegos?

Originalmente, los firewalls de primera generación fueron concebidos como soluciones de filtrado de paquetes para permitir o bloquear el tráfico con origen en internet y destino la red interna y viceversa. Poco a poco, se fueron convirtiendo también en las plataformas en las que se implementaba la segmentación de las redes internas, controlando el tráfico entre las distintas subredes o VLANs de cada red de la misma manera que lo hacían con el tráfico con destino u origen en el exterior.

Los firewalls fueron progresivamente dotados de nuevas capacidades.

Los cortafuegos de segunda generación, además de filtrar los paquetes por direcciones IP (origen y destino) y puertos TCP/UDP (origen y destino), son capaces de entender la secuencia de paquetes de una comunicación o estado de conexión TCP, pudiendo determinar si un paquete inicia una nueva conexión, pertenece a otra en curso o es erróneo o malicioso. Esto permite evitar ataques contra comunicaciones/conexiones en curso o ciertos ataques de denegación de servicio (DoS o DDoS).

Los cortafuegos de tercera generación también son capaces de filtrar el tráfico de red a nivel de aplicación, es decir, pueden filtrar los paquetes por la payload, la carga útil o contenido del paquete, y no solo por la información de la cabecera (direcciones IP y puertos TCP/UDP) y el estado de la conexión TCP.

Actualmente, los firewalls de red de nueva generación (NGFW o Next Gen Firewall) se denominan plataformas UTM (Unified Threat Management) o de gestión unificada de amenazas, ya que incorporan una serie de funcionalidades o blades de ciberseguridad que van más allá de la inspección y filtrado de paquetes, como son, por ejemplo:

  • Antimalware: inspeccionan el tráfico de la red contra firmas de malware conocido o, mediante técnicas de inteligencia artificial, contra patrones y comportamientos para detectar y bloquear malware.
  • Antispam: detectan el envío o recepción de spam de correo electrónico y lo bloquean.
  • IPS: analizan el tráfico de la red para detectar y bloquear ataques, generalmente intentos de intrusión.
  • AntiDDoS: monitorizan los patrones y el comportamiento del tráfico de la red mediante técnicas de inteligencia artificial para detectar y bloquear ataques de denegación de servicio (DoS y DDoS).
  • IoT/OT: monitorizan el tráfico de la red y entienden los protocolos utilizados en la parte operacional (SCADA, PLCs, etc.), conocida como OT y de dispositivos IoT, para detectar y prevenir amenazas y ataques contra estos protocolos.
  • Deep Packet Inspection: sirve, por ejemplo, para descifrar el tráfico HTTPS y examinar el contenido de la carga útil o contenido del paquete.
  • Concentrador de VPNs: permite el establecimiento de túneles o VPNs seguras para la conexión remota y segura a la red desde el exterior.

Cómo funcionan

El funcionamiento típico de un firewall es el siguiente:

  1. El cortafuegos recibe un paquete y examina su cabecera para obtener la información necesaria para el control de acceso: direcciones IP origen y destino, puertos TCP/UDP origen y destino, tipo de paquete, etc. En el caso de un firewall con funcionalidad statefull (segunda generación), examina la tabla de conexiones TCP establecidas para determinar si se trata de una comunicación en curso que previamente ha sido permitida. Si lo es, pasa al punto 5. Si se trata de una comunicación nueva, continúa el proceso.
  2. Comprueba si la dirección IP de destino es alcanzable, es decir, si existe una ruta establecida en el firewall para enviar el paquete hacia su destino. En el caso de que no haya una ruta establecida, descarta el paquete. Si esa ruta sí existe, continúa el proceso. Los firewalls de host no realizan este punto, ya que están en ejecución en el sistema al que va dirigido el paquete.
  3. Verifica que existe una política (ACL) que permite el tráfico del origen del paquete hacia ese destino. En caso contrario, descarta el paquete.
  4. Comprueba que existe una política de traducción de direcciones (NAT) hacia ese destino. En el caso de que no exista, descarta el paquete. Los firewalls de host no realizan este punto.
  5. En el caso de un cortafuegos de tercera generación o de nueva generación (NGFW), examina el contenido del paquete y le aplica las reglas de tráfico de aplicaciones permitidas o bloqueadas. Si no está permitido, descarta el paquete. Si sí lo está, realiza la traducción de la dirección o NATeo (sustituyendo la IP pública de la red a la que va dirigido el paquete desde el exterior por la IP interna del activo que tiene que recibirlo, salvo el caso de los firewalls de host, donde no es necesario) y el paquete es analizado para verificar que no es malicioso.
  6. Se realiza la traducción de dirección IP interna de destino (capa 3 del modelo OSI) a MAC del destino del paquete (capa 2 del modelo OSI) y se envía el paquete hacia el destino. En caso de que la dirección IP interna no sea resoluble a MAC, se descarta el paquete.

De manera muy simplificada, el funcionamiento de un firewall o cortafuegos es el siguiente:


Tipos de cortafuegos en informática

Los firewalls o cortafuegos se pueden clasificar según el activo que protegen:

  • De red: inspeccionan el tráfico con origen o destino en el exterior de la red interna (tráfico Norte-Sur) o el tráfico entre las distintas subredes internas (tráfico Este-Oeste).
  • De host: inspeccionan el tráfico con destino al endpoint o equipo final en el que están desplegados. Actualmente, forman parte de suites de protección de endpoints como EPP o EDR, aunque un ejemplo muy extendido es el firewall de Windows.

Según las funcionalidades del firewall o cortafuegos:

  • De primera generación o filtrado de paquetes: inspeccionan las cabeceras de los paquetes que van recibiendo para, de acuerdo con las reglas o políticas configuradas, permitir o bloquear el paso del paquete hacia su destino.
  • De segunda generación o inspección de estado: funcionan igual que los de primera generación y, además, mantienen el estado de las conexiones TCP o comunicaciones en curso, por lo que, si se recibe un paquete que no inicia una conexión permitida o de otra que está en curso, es descartado.
  • De tercera generación o nivel de aplicación: además de las funcionalidades de los de primera y segunda generación, entienden los protocolos de las capas superiores a la de red (capa 3 del modelo OSI) hasta la de aplicación (capa 7), por lo que son capaces de filtrar los paquetes en función de su contenido y no solo de la información de su cabecera.
  • De nueva generación, NGFW: además de todo lo comentado anteriormente, se trata de plataformas de gestión unificada de amenazas, que incluyen funcionalidades avanzadas de ciberseguridad como antimalware, antispam, IPS, antiDDoS, VPN y Deep Packet Inspection.

¿Dónde puedo encontrar los cortafuegos?

Los cortafuegos de red se pueden encontrar en el perímetro de la red, en el Data Center (appliances físicos o hardware o máquinas virtuales); mientras que los firewalls de host son una aplicación o software en los propios host, endpoints o equipos finales (como ordenadores personales o servidores).

¿Es lo mismo un antivirus que un cortafuegos?

Los antivirus actuales, más conocidos como EPP y EDR, son suites que incluyen varias funcionalidades de protección o ciberseguridad, entre ellas la de firewall de host, pero un firewall y un antivirus son cosas distintas.

Un firewall inspecciona el tráfico de red que recibe y toma decisiones en función de una serie de políticas de control de acceso o de prevención de amenazas (como los blades antimalware, etc.) para permitir o bloquear el paso, mientras que un antivirus analiza el comportamiento de los usuarios, los procesos y los servicios que se ejecutan en la máquina donde está instalado. Los antivirus también analizan el tráfico, pero no a nivel de red (si está permitido o no que el equipo reciba tráfico de ese origen), sino en función del payload o carga útil de los paquetes que recibe.

¿Por qué es importante que mi equipo o red cuenten con cortafuegos o firewall?

Los firewalls son la primera línea de defensa de las redes y activos tecnológicos de una organización. Es importante disponer de firewalls de red para prevenir amenazas del exterior y proteger el perímetro de la red (intrusiones, malware, filtraciones de información, DoS/DDoS, etc.), y de firewalls de host como línea de defensa en los equipos finales para asegurarnos de que, si el tráfico malicioso ha conseguido evadir los firewalls de red u otras soluciones de ciberseguridad que estén implementadas, no afecte a los activos.

¿Te ha parecido útil esta información?
Nos encantaría conocer tu opinión para mejorar

Te puede interesar

×
${loading}
×