Los cortafuegos saltan el muro
Tendencias
A medida que han ido creciendo las necesidades de seguridad de las empresas, las soluciones de cortafuegos han ido evolucionando y ampliando su concepción y funciones iniciales, desplazándose hacia el centro de la red e incorporando nuevos niveles de protección.
De ser el elemento fundamental y prácticamente exclusivo de los sistemas de protección de las redes corporativas, los cortafuegos (firewall) se están convirtiendo en una plataforma de integración desde la que gestionar las políticas globales de seguridad de las empresas. Por otra parte, estas soluciones de seguridad están avanzando hacia el centro de la red, desplazándose a los propios clientes, donde ya comienzan a aparecer embebidos en forma de cortafuegos distribuidos.
Junto a estas líneas de evolución, van creciendo en importancia los servicios de seguridad gestionados que incluyen funciones de cortafuegos. Estos servicios empiezan a ser una opción consolidada ofrecida bien por parte de los propios fabricantes de sistemas de seguridad, bien como parte de servicios globales gestionados.
Nunca más solos
En las redes actuales, los cortafuegos no pueden luchar por sí solos contra las intrusiones peligrosas. El riesgo de que, por ejemplo, lo alcance un virus supone ya una exposición diaria, especialmente cuando sus puertos se encuentran abiertos para dar acceso al perímetro físico a los usuarios externos. Y ni siquiera es hoy posible ampliar la definición del perímetro: la distinción entre lo que está dentro y fuera del área corporativa se está desvaneciendo.
Cuando, hace una década, los administradores de redes comenzaron a desplegar cortafuegos como herramientas de seguridad, estaban en condiciones de definir sin problemas el perímetro de la red. En esos años, la mayor parte de los usuarios que tenían acceso a las redes corporativas trabajaban desde los ordenadores de sobremesa de la sede central; los enlaces externos para socios comerciales eran prácticamente inexistentes. En estas circunstancias, tenía mucho sentido crear una simple zona desmilitarizada (ZDM) basada en cortafuegos. Pero hoy es ya un escenario común dar acceso a la red corporativa a cualquiera que pueda necesitarlo (como trabajadores móviles, teletrabajadores, socios comerciales, suministradores, incluso clientes). Las cosas, pues, son sensiblemente diferentes, y las vulnerabilidades crecen.
Los sondeos de Computer Security Institute (CSI) muestran que el número de brechas de seguridad aumenta enormemente año a año: los incidentes de seguridad reportados por las empresas se han cuadruplicado durante los dos últimos años. Asimismo, alrededor de un 80% de las corporaciones reconocen haber sufrido pérdidas económicas a causa de problemas relacionados con la seguridad, cuando no hace mucho esa tasa no pasaba del 60%.
De hecho, en una encuesta realizada por Forrester Research en 2002 la “apertura de la red” aparecía como la segunda preocupación citada, por detrás de los virus, cuando se les preguntaba a los responsables de TI cuál era su principal problema de seguridad. Más concreto, un estudio realizado por Cisco Systems hace ya algún tiempo advertía del peligro –y la profusión– de las intromisiones a través de los cortafuegos: el 75% de las empresas analizadas, 200 de las 1000 Fortune, se mostraban vulnerables a ataques a través de sus cortafuegos. Y de este porcentaje, el 95% de los ataques que traspasa el cortafuegos tiene acceso a la red de la empresa, y una vez en ella, el ataque es efectivo en un 100%.
Dadas las conclusiones del estudio, Cisco advertía a las organizaciones de la necesidad de entender la seguridad como un proceso que debe retroalimentarse de manera permanente. “Una política de seguridad es mucho más que instalar un cortafuegos; las redes se han abierto, Internet es un medio comercial y la seguridad, por tanto, una necesidad de negocio”.
No es de extrañar que los fabricantes de cortafuegos, como Check Point Software, CyberGuard, Network Associates, Secure Computing o Symantec, estén intentando solucionar el problema que representa las necesidad creciente de abrir cada vez más las redes mediante la potenciación de las prestaciones de sus sistemas. Algunos, por ejemplo, han desarrollado soluciones basadas en directorios que gestionan los derechos de acceso de los usuarios, así como cortafuegos lógicos que dividen a los usuarios corporativos en grupos. Otras iniciativas son el desarrollo de protección de cortafuegos para los ordenadores de entornos SOHO o para los dispositivos de mano inalámbricos, así como ofrecer distintos niveles de filtrado para mejorar la identificación de los intentos de ataques.
Integración multifunción
Desde hace ya algún tiempo, una de las tendencias fundamentales hacia este reforzamiento de las prestaciones de los cortafuegos es su integración con otras soluciones de seguridad, como los sistemas de detección de intrusiones (IDS), sistemas antivirus, gestión de contenidos seguros, herramientas de análisis de vulnerabilidades o soluciones de redes privadas virtuales (VPN). Esta tendencia creciente hacia una nueva clase de cortafuegos, denominados en algunas ocasiones como “multifunción”, es tal hoy en día que si alguna vez sistematizar las funciones de seguridad fue sencillo ahora empieza a complicarse cuando se analizan productos comerciales concretos.
Ante la evidencia de que los cortafuegos no pueden permanecer solos por más tiempo si quieren ser efectivos en la protección de la red corporativa, los fabricantes comienzan a cooperar entre sí para facilitar la integración en sus productos de otras funciones complementarias. Tal es el caso de Check Point, que incorpora Norton Antivirus de Symantec en su Firewall-1, o el de Nokia, que ha incorporado el sistema IDS RealSecure de Internet Security Systems (ISS) en sus funciones de cortafuegos. A su vez, ISS mantiene un acuerdo con Network Associates para integrar la tecnología antivirus McAffe en el IDS RealSecure.
La tendencia hacia las soluciones multifunción aporta, además de la ventaja fundamental de proporcionar mayor protección, la simplificación de la gestión de las herramientas de seguridad, al facilitar la administración desde una misma consola de los distintos niveles de seguridad instalados. Además, los productos integrados ayudan a reducir los falsos positivos, es decir, aquellos incidentes que los sistemas reportan como problemas que no han ocurrido realmente, y que representan una de las mayores pesadillas de cualquier responsable de seguridad.
Sobre todo VPN
De las funciones que ahora integran algunos cortafuegos es de destacar la de soporte de redes privadas virtuales (VPN), tecnología que refuerza enormemente la seguridad corporativa en entornos de acceso remoto y teletrabajo. Este tipo de cortafuegos permiten crear VPN para compartir recursos en forma segura con sucursales y delegaciones, teletrabajadores, socios, proveedores y clientes. En su forma más avanzada, ofrecen encriptación mediante el protocolo IPSec para proteger la información mientras se mueve por la red. Como IPSec funciona a nivel de paquete, cada uno de ellos puede ser protegido para proporcionar autenticación, integridad y, opcionalmente, confidencialidad.
Dentro del segmento de la seguridad, estos cortafuegos con funciones VPN integradas, conocidos generalmente como firewall/VPN, representan ya un segmento primordial, maduro y asentado del mercado general de la seguridad, constituyendo una base imprescin
De ser el elemento fundamental y prácticamente exclusivo de los sistemas de protección de las redes corporativas, los cortafuegos (firewall) se están convirtiendo en una plataforma de integración desde la que gestionar las políticas globales de seguridad de las empresas. Por otra parte, estas soluciones de seguridad están avanzando hacia el centro de la red, desplazándose a los propios clientes, donde ya comienzan a aparecer embebidos en forma de cortafuegos distribuidos.
Junto a estas líneas de evolución, van creciendo en importancia los servicios de seguridad gestionados que incluyen funciones de cortafuegos. Estos servicios empiezan a ser una opción consolidada ofrecida bien por parte de los propios fabricantes de sistemas de seguridad, bien como parte de servicios globales gestionados.
Nunca más solos
En las redes actuales, los cortafuegos no pueden luchar por sí solos contra las intrusiones peligrosas. El riesgo de que, por ejemplo, lo alcance un virus supone ya una exposición diaria, especialmente cuando sus puertos se encuentran abiertos para dar acceso al perímetro físico a los usuarios externos. Y ni siquiera es hoy posible ampliar la definición del perímetro: la distinción entre lo que está dentro y fuera del área corporativa se está desvaneciendo.
Cuando, hace una década, los administradores de redes comenzaron a desplegar cortafuegos como herramientas de seguridad, estaban en condiciones de definir sin problemas el perímetro de la red. En esos años, la mayor parte de los usuarios que tenían acceso a las redes corporativas trabajaban desde los ordenadores de sobremesa de la sede central; los enlaces externos para socios comerciales eran prácticamente inexistentes. En estas circunstancias, tenía mucho sentido crear una simple zona desmilitarizada (ZDM) basada en cortafuegos. Pero hoy es ya un escenario común dar acceso a la red corporativa a cualquiera que pueda necesitarlo (como trabajadores móviles, teletrabajadores, socios comerciales, suministradores, incluso clientes). Las cosas, pues, son sensiblemente diferentes, y las vulnerabilidades crecen.
Los sondeos de Computer Security Institute (CSI) muestran que el número de brechas de seguridad aumenta enormemente año a año: los incidentes de seguridad reportados por las empresas se han cuadruplicado durante los dos últimos años. Asimismo, alrededor de un 80% de las corporaciones reconocen haber sufrido pérdidas económicas a causa de problemas relacionados con la seguridad, cuando no hace mucho esa tasa no pasaba del 60%.
De hecho, en una encuesta realizada por Forrester Research en 2002 la “apertura de la red” aparecía como la segunda preocupación citada, por detrás de los virus, cuando se les preguntaba a los responsables de TI cuál era su principal problema de seguridad. Más concreto, un estudio realizado por Cisco Systems hace ya algún tiempo advertía del peligro –y la profusión– de las intromisiones a través de los cortafuegos: el 75% de las empresas analizadas, 200 de las 1000 Fortune, se mostraban vulnerables a ataques a través de sus cortafuegos. Y de este porcentaje, el 95% de los ataques que traspasa el cortafuegos tiene acceso a la red de la empresa, y una vez en ella, el ataque es efectivo en un 100%.
Dadas las conclusiones del estudio, Cisco advertía a las organizaciones de la necesidad de entender la seguridad como un proceso que debe retroalimentarse de manera permanente. “Una política de seguridad es mucho más que instalar un cortafuegos; las redes se han abierto, Internet es un medio comercial y la seguridad, por tanto, una necesidad de negocio”.
No es de extrañar que los fabricantes de cortafuegos, como Check Point Software, CyberGuard, Network Associates, Secure Computing o Symantec, estén intentando solucionar el problema que representa las necesidad creciente de abrir cada vez más las redes mediante la potenciación de las prestaciones de sus sistemas. Algunos, por ejemplo, han desarrollado soluciones basadas en directorios que gestionan los derechos de acceso de los usuarios, así como cortafuegos lógicos que dividen a los usuarios corporativos en grupos. Otras iniciativas son el desarrollo de protección de cortafuegos para los ordenadores de entornos SOHO o para los dispositivos de mano inalámbricos, así como ofrecer distintos niveles de filtrado para mejorar la identificación de los intentos de ataques.
Integración multifunción
Desde hace ya algún tiempo, una de las tendencias fundamentales hacia este reforzamiento de las prestaciones de los cortafuegos es su integración con otras soluciones de seguridad, como los sistemas de detección de intrusiones (IDS), sistemas antivirus, gestión de contenidos seguros, herramientas de análisis de vulnerabilidades o soluciones de redes privadas virtuales (VPN). Esta tendencia creciente hacia una nueva clase de cortafuegos, denominados en algunas ocasiones como “multifunción”, es tal hoy en día que si alguna vez sistematizar las funciones de seguridad fue sencillo ahora empieza a complicarse cuando se analizan productos comerciales concretos.
Ante la evidencia de que los cortafuegos no pueden permanecer solos por más tiempo si quieren ser efectivos en la protección de la red corporativa, los fabricantes comienzan a cooperar entre sí para facilitar la integración en sus productos de otras funciones complementarias. Tal es el caso de Check Point, que incorpora Norton Antivirus de Symantec en su Firewall-1, o el de Nokia, que ha incorporado el sistema IDS RealSecure de Internet Security Systems (ISS) en sus funciones de cortafuegos. A su vez, ISS mantiene un acuerdo con Network Associates para integrar la tecnología antivirus McAffe en el IDS RealSecure.
La tendencia hacia las soluciones multifunción aporta, además de la ventaja fundamental de proporcionar mayor protección, la simplificación de la gestión de las herramientas de seguridad, al facilitar la administración desde una misma consola de los distintos niveles de seguridad instalados. Además, los productos integrados ayudan a reducir los falsos positivos, es decir, aquellos incidentes que los sistemas reportan como problemas que no han ocurrido realmente, y que representan una de las mayores pesadillas de cualquier responsable de seguridad.
Sobre todo VPN
De las funciones que ahora integran algunos cortafuegos es de destacar la de soporte de redes privadas virtuales (VPN), tecnología que refuerza enormemente la seguridad corporativa en entornos de acceso remoto y teletrabajo. Este tipo de cortafuegos permiten crear VPN para compartir recursos en forma segura con sucursales y delegaciones, teletrabajadores, socios, proveedores y clientes. En su forma más avanzada, ofrecen encriptación mediante el protocolo IPSec para proteger la información mientras se mueve por la red. Como IPSec funciona a nivel de paquete, cada uno de ellos puede ser protegido para proporcionar autenticación, integridad y, opcionalmente, confidencialidad.
Dentro del segmento de la seguridad, estos cortafuegos con funciones VPN integradas, conocidos generalmente como firewall/VPN, representan ya un segmento primordial, maduro y asentado del mercado general de la seguridad, constituyendo una base imprescin
