Nombre:

Joel Alberto Ramos Piña

Alexander Vásquez Pérez
Sonlly Martínez

Id:
A00139909
2004-5717
2020-0528

Profesor:
Lennin Isidro Javier Piña

Trabajo
Evolución del firewall
 2

Índice
INTRODUCCION ................................................................................................ 3
1. Historia del Firewall ................................................................................... 4
2. ¿Qué es un firewall? ................................................................................... 5
3. ¿Cómo Funciona? ....................................................................................... 5
4. Tipos de firewall ......................................................................................... 6
5. Evolución del firewall ................................................................................ 9
6. Última Generación .................................................................................... 12
7. ¿Qué es el WAF? ...................................................................................... 13
Conclusión .......................................................................................................... 18
 3

INTRODUCCION

Este trabajo de investigación trata sobre la evolución de los firewalls, una de los

tantos tipos hardware utilizado en cuanto a la ciberseguridad se refiere. Si bien es

importante la interconexión de los dispositivos en una empresa, es mas importante la

seguridad de la misma. Hoy en día la información es el principal activo en todas las

instituciones, la preservación y la seguridad de esta es lo primordial, ya que de esta

depende que la empresa sea exitosa o no. Por eso al pasar de los tiempos se han

incorporado diferentes dispositivos para que la información este lo mas segura posible.

A groso modo estaremos hablando de la definición de los Firewalls

centrándonos en mostrar cuales han sido los principales aspectos de la evolución de los

mismos y porque son importantes a nivel de información segura en el mundo. Ya que

toda información hoy en día se guarda en sistemas informáticos o computacionales y

por ello es importante mantener la seguridad de los mismos.

 4

1. Historia del Firewall

La tecnología de los cortafuegos surgió a finales de 1980, cuando Internet era

una tecnología bastante nueva en cuanto a su uso global y la conectividad. Los

predecesores de los cortafuegos para la seguridad de la red fueron los routers utilizados

a finales de 1980, que mantenían a las redes separadas unas de otras. La visión de

Internet como una comunidad relativamente pequeña de usuarios con máquinas

compatibles, que valoraba la predisposición para el intercambio y la colaboración,

terminó con una serie de importantes violaciones de seguridad de Internet que se

produjo a finales de 1980:

En 1988, un empleado del Centro de Investigación Ames de la NASA, en

California, envió una nota por correo electrónico a sus colegas que decía:

"Estamos bajo el ataque de un virus de Internet. Ha llegado a Berkeley, UC San

Diego, Lawrence Livermore, Stanford y la NASA Ames."

El gusano Morris, que se extendió a través de múltiples vulnerabilidades en las

máquinas de la época. Aunque no era malicioso, el gusano Morris fue el primer ataque a

gran escala sobre la seguridad en Internet; la red no esperaba ni estaba preparada para

hacer frente a su ataque.

Estos sistemas han evolucionado en los últimos años y, aunque su funcionalidad

básica se ha mantenido igual, sus capacidades se han expandido enormemente.

 5

2. ¿Qué es un firewall?

Se trata de un dispositivo que es capaz de permitir, limitar, cifrar y hasta

decodificar el tráfico de comunicaciones entre un ordenador o red local e internet,

impidiendo así que usuarios o sistemas no autorizados puedan tener acceso a ese

ordenador o red local.

3. ¿Cómo Funciona?

Por lo que se refiere a su funcionamiento, el cortafuego está programado para

diferenciar entre las conexiones permitidas y las sospechosas, aplicando diferentes

procedimientos en función de cómo califique a la conexión.

Los diferentes procedimientos pueden ser:

Políticas de cortafuegos: suspendiendo las peticiones de comunicación que no

provengan de la misma red o sistema, y disfrazando detrás de una IP los recursos

internos.

Filtrado de contenido: identifica los contenidos que pueden dar problemas,

teniendo el usuario la última palabra sobre si se bloquea o no el acceso.

Servicios antimalware: algunos cortafuegos pueden también detectar virus y

evitar su expansión.

Servicios de DPI: los procedimientos de Inspección Profunda de Paquetes

añaden una segunda capa de seguridad al sistema, revisando en profundidad los

paquetes de información que se reciben.

 6

¿Qué tipos de firewall pueden encontrarse en el mercado?

Los firewalls de hoy necesitan tener una mayor visibilidad del tráfico que pasa

por la red y permitir ver el flujo de contenido. En la actualidad, puede hablarse de cinco

tipos de firewall, que son:

4. Tipos de firewall

Cortafuegos de filtrado de paquetes

Se ocupa de tomar decisiones de procesamiento basadas en direcciones de red,

puertos o protocolos. En general, son muy rápidos porque no hay mucha lógica detrás

de las decisiones que toman.

No hacen ninguna inspección interna del tráfico, ni tampoco almacenan ninguna

información del estado. Deben abrirse los puertos manualmente para todo el tráfico que

fluirá a través del firewall. Un hecho, que, sumado a las limitaciones de este sistema,

hace que se considere uno de los tipos de cortafuegos menos seguros.

Esto se debe a que reenviará cualquier tráfico que fluya en un puerto aprobado y,

por lo tanto, podría enviarse tráfico malicioso, porque, siempre que esté en un puerto

aceptable, no se bloqueará.

Puerta de enlace a nivel de circuito

Una puerta de enlace de nivel de circuito opera en la capa de transporte de los

modelos de referencia de Internet o OSI y, como su nombre indica, implementa el

filtrado a nivel de circuito en lugar del filtrado a nivel de paquete.

 7

Este firewall comprueba la validez de las conexiones (es decir, circuitos) en la

capa de transporte (generalmente conexiones TCP) contra una tabla de conexiones

permitidas, antes de que se pueda abrir una sesión e intercambiar datos.

Las reglas que definen una sesión válida prescriben y, una vez que se permite

una sesión, no se realizan más verificaciones, ni siquiera a nivel de paquetes

individuales.

Entre las desventajas de las puertas de enlace a nivel de circuito se encuentran la

ausencia de filtrado de contenido y el requisito de modificaciones de software

relacionadas con la función de transporte.

Firewall de inspección con estado

Este es uno de los tipos de firewall capaces de realizar un seguimiento del estado

de la conexión.

Los puertos se pueden abrir y cerrar dinámicamente si es necesario para

completar una transacción. Por ejemplo, cuando se realiza una conexión a un servidor

utilizando HTTP, el servidor iniciará una nueva conexión al sistema en un puerto

aleatorio. Un firewall de inspección con estado abrirá automáticamente un puerto para

esta conexión de retorno.

Habitualmente, se consideran más seguros que los de filtrado de paquetes, ya

que procesan los datos de la capa de aplicación y, por ese motivo, pueden profundizar

en la transacción para comprender lo que está sucediendo

Puerta de enlace de nivel de aplicación (también conocido como firewall

proxy)
 8

Este tipo de firewalls operan en la capa de aplicación del modelo OSI, filtrando

el acceso según las definiciones de la aplicación. Se considera como uno de los firewalls

más seguros disponibles, debido a su capacidad para inspeccionar paquetes y garantizar

que se ajusten a las especificaciones de la aplicación.

Firewall de próxima generación

Un cortafuego de próxima generación ofrece un filtrado de paquetes básico o

una toma de decisiones basada en proxy dentro de las capas 3 y 4 del modelo OSI

disponible dentro de los firewalls tradicionales y con estado. Sin embargo, amplía su

protección al tomar también decisiones en la capa de aplicación (es decir, la capa 7).

Las características que definen a estos novedosos cortafuegos son la

identificación y control de aplicaciones, autenticación basada en el usuario, protección

contra malware, protección contra exploits, filtrado de contenido (incluido el filtrado de

URL) y control de acceso basado en la ubicación.

Las empresas que deseen una protección completa que les blinde contra las

amenazas, no deberían conformarse con ninguno de los tipos de firewall previos al de

próxima generación, a no ser que opten por una combinación de ellos que les garantice

la eficacia deseada. En un entorno en el que la ciberseguridad es vital, toda precaución

es poca.
 9

5. Evolución del
firewall

La Firewall en la

década de los 80

Firewall no es un

concepto nuevo, se popularizó especialmente con la diseminación de la pila de

protocolos TCP/IP como consecuencia de su propia naturaleza. Una vez que el

protocolo IP tiene la capacidad de intercomunicación, dejar redes con propósitos o

dominios (empresas, universidades, etc.) diferentes sin ningún control, presenta un

riesgo potencial de acceso no autorizado, exposición de datos, entre otras posibilidades.

Por eso, defender el perímetro no es más que crear una barrera que separa la

parte pública de interconexión ofrecida por internet, y operada por grandes empresas de

telecomunicaciones y proveedores locales, de los segmentos de red privados.

Los primeros firewalls fueron desarrollados por Digital Equipment Corporation

(DEC, ¿los recuerda?) a finales de los años ochenta. Estos cortafuegos operaban

principalmente en los cuatro primeros niveles del modelo OSI, Su operación consistía

en filtrar el tráfico de acuerdo con un conjunto de reglas basadas en cierta información

en el encabezado del paquete. Estos filtros simples, que a menudo se usan en routers y

switches, podrían eludirse mediante la suplantación de IP y no detectaron

vulnerabilidades
 10

Este método de inspección del tráfico, aunque rápido, pronto se encontró que

requería demasiados recursos innecesarios y condujo directamente a la introducción de

los firewalls

Firewall en la década de los 90

El Bell Labs de AT & T, a través de Steve Bellovin y Bill Cheswick, desarrolló

en 1991 el primer concepto de lo que se consolidaría a continuación como filtrado de

paquetes stateful, o simplemente firewall stateful. Esta etapa quedó marcada como

segunda generación de firewalls.

En un corto espacio de tiempo, surgió la tercera generación de firewalls, cuando

se inicializó la comercialización del DEC SEAL, ya contando con recursos más

modernos de proxies de aplicación. La combinación entre filtros de paquetes y proxy en

una única solución hizo que el nombre de firewall híbrido comenzara a ser más utilizado

en el mercado y en la academia.

En 1994 Checkpoint lanzó el Firewall-1 que tuvo una gran importancia para la

maduración y desarrollo del mercado de seguridad, introduciendo de forma pionera el

concepto de GUI (interfaz gráfica de usuario), además de otras tecnologías directamente

relacionadas con la seguridad.

En esta misma época surgieron otras empresas, y otros recursos de seguridad se

agregaron las soluciones, haciéndolas cada vez más híbridas. Se han presentado

características como VPN, filtros de URL, QoS, integración o incorporación de

soluciones de antivirus, WAF y otros, permitiendo mayor robustez en la construcción de

ambientes seguros para empresas.

 11

Firewall entre 2000 y 2015

Con la incorporación de soluciones complementarias de seguridad para los

firewalls, en 2004 apareció por primera vez, a través del IDC, el término UTM (Unified

Threat Management).

UTM (en inglés: Unified Threat Management) o Gestión Unificada de

Amenazas es un término que se refiere a un dispositivo de red único con múltiples

funciones, las funcionalidades básicas que debe tener son: Antivirus, Firewall

(cortafuegos), Sistema de detección/prevención de intrusos

 NAT

 VPN

 Antispam

 Antiphishing

 Antispyware

 Filtro de contenidos

 Detección/Prevención de Intrusos (IDS/IPS)

A través de la popularización de Internet, muchos servicios y aplicaciones

pasaron a centralizar su operación en la web. Este movimiento ha aumentado

considerablemente la necesidad de proteger sistemas específicos basados en el protocolo

HTTP. En 2006 aparecieron de forma más concreta los Web Application Firewalls

(WAF), como soluciones independientes, pero también incorporadas como recurso para

UTM.
 12

Aunque los UTMs estuvieran en gran destaque, al reunir varias funcionalidades

y recursos de seguridad en una única solución, había un lado negativo asociado a la

performance, teniendo en cuenta el monto de recursos. En 2008, Palo Alto Networks

trae al mercado el concepto de firewalls de próxima generación (NGFW), resolviendo

básicamente el problema de desempeño presentado por UTM, y añadiendo un recurso

importante que es la visibilidad y los controles basados en aplicaciones.

6. Última Generación

El Firewall de Próxima Generación o NGFW fue desarrollado con la

motivación de resolver la deficiencia de desempeño presentada en los UTM, entregando

recursos de control de aplicación e inspección profunda de paquetes en una arquitectura

altamente performática y cohesiva.

Recursos complementarios como proxy web, protección contra virus, malware y

otros, presentes en Firewall UTM, no forman parte de la arquitectura de un NGFW,

estas características fueron removidas y tercerizadas, garantizando altas tasas de

escalabilidad para grandes ambientes.

La principal contribución del NGFW está en los avances tecnológicos generados

a partir de la inspección profunda de paquetes y en la visibilidad de aplicaciones,

independientemente de protocolos y puertas. Estos recursos, en conjunto, no sólo

permiten evitar ataques, sino que principalmente crean políticas de control de acceso

más dinámicas y eficientes para los desafíos actuales de seguridad.

Las tecnologías detrás de las soluciones de firewall han cambiado mucho en los

últimos años, directamente impulsadas por la convergencia de información y

 13

conocimiento para el mundo electrónico, y el Internet ha sido un gran impulso para que

esto ocurra. En los próximos años veremos grandes transformaciones con IoT (Internet

of Things | Internet de las cosas) y tantos otros nuevos desafíos para dispositivos

móviles que ya tienen presencia significativa en el mundo corporativo. La historia no

deja de ser construida.

7. ¿Qué es el WAF?

Más del 75% de los ataques de piratas informáticos están dirigidos a

vulnerabilidades en aplicaciones y sitios web: tales ataques son generalmente invisibles

para la infraestructura de seguridad de la información y los servicios de seguridad de la

información. Las vulnerabilidades en las aplicaciones web conllevan, a su vez, los

riesgos de compromiso y fraude de cuentas de usuario y datos personales, contraseñas,

números de tarjetas de crédito. Además, las vulnerabilidades en el sitio web sirven

como punto de entrada para los ciberdelincuentes en la red corporativa.

Es costumbre distinguir tres generaciones de sistemas WAF que han

evolucionado a medida que la tecnología se desarrolla.

Primera generación Funciona con expresiones regulares (o gramáticas). Esto

incluye ModSecurity. El proveedor del sistema examina los tipos de ataques a las

aplicaciones y genera patrones que describen solicitudes legítimas y potencialmente

maliciosas. WAF revisa estas listas y decide qué hacer en una situación particular:

bloquear el tráfico o no.

Un ejemplo de descubrimiento de expresiones regulares es el proyecto de

conjunto de reglas básicas de código abierto ya mencionado. Otro ejemplo es Naxsi ,

 14

que también es de código abierto. Los sistemas con expresiones regulares tienen varios

inconvenientes, en particular, cuando se descubre una nueva vulnerabilidad, el

administrador tiene que crear reglas adicionales manualmente. En el caso de una

infraestructura de TI a gran escala, puede haber varios miles de reglas. Administrar

tantas expresiones regulares es bastante difícil, sin mencionar que verificarlas puede

reducir el rendimiento de la red.

Segunda generación.

Para evitar problemas de rendimiento y precisión con WAF, se han desarrollado

firewalls de aplicaciones de segunda generación. Aparecieron analizadores en ellos que

son responsables de identificar tipos de ataques estrictamente definidos (HTML, JS,

etc.). Estos analizadores funcionan con tokens especiales que describen solicitudes (por

ejemplo, variable, cadena, desconocido, número). Las secuencias de tokens

potencialmente maliciosas se colocan en una lista separada con la que se verifica

regularmente el sistema WAF. Este enfoque se mostró por primera vez en la conferencia
 15

Black Hat 2012 en forma de biblioteca de libinjection C / C ++, que permite detectar

inyecciones SQL.

Tercera generación

La evolución en la lógica de detección de tercera generación consiste en la

aplicación de métodos de aprendizaje automático que permiten acercar la gramática de

detección a la gramática de SQL / HTML / JS real de los sistemas protegidos. Esta

lógica de detección puede adaptar la máquina de Turing para cubrir gramáticas

enumeradas recursivamente. Además, antes la tarea de crear una máquina de Turing

adaptable era insoluble hasta que se publicaron los primeros estudios de máquinas de

Turing neurales.

El aprendizaje automático ofrece una oportunidad única para adaptar cualquier

gramática para cubrir cualquier tipo de ataque sin crear listas de firmas manualmente,

según sea necesario al detectar la primera generación, y sin desarrollar nuevos

tokenizadores / analizadores para nuevos tipos de ataques, como despliegues de

Memcached, Redis, Cassandra, SSRF, como lo requiere la metodología de segunda

generación.
 16

Hierro, software o nube: ¿qué elegir?

1ra opción de las opciones para implementar firewalls de aplicaciones es una

solución de hardware. Dichos sistemas son dispositivos informáticos especializados que

la empresa instala localmente en su centro de datos. Pero en este caso, debe comprar su

propio equipo y pagar dinero a los integradores para su configuración y depuración (si

la empresa no tiene su propio departamento de TI).

2da opción de implementación de WAF es una implementación de software. La

solución se instala como un complemento para cualquier software (por ejemplo,

ModSecurity está configurado encima de Apache) y se ejecuta en el mismo servidor con

él. Por lo general, estas soluciones se pueden implementar tanto en un servidor físico

como en la nube. Su desventaja es la escalabilidad limitada y el soporte del proveedor.

 17

La tercera opción es configurar WAF desde la nube. Dichas soluciones son

proporcionadas por proveedores de la nube como un servicio de suscripción. La

empresa no necesita comprar y configurar hardware especializado; estas tareas recaen

sobre los hombros del proveedor de servicios.

 18

Conclusión

En este trabajo de investigación hemos hablado sobre lo que es la evolución que

ha tenido el firewall desde sus inicios, su historia, para que sirve y porque es

importante.

El firewall como ya vimos es una dispositivo y herramienta de seguridad muy

importante a nivel global ya que gracias a este podemos navegar de forma segura en la

internet o mucho más aun tener toda la información inimaginable de una empresa

asegurada.

El firewall de hoy en día nos permite cumplir muchas funciones en un solo

dispositivo como: antivirus, filtrado de acceso, prevención de intrusos, bloqueo a acceso

a páginas web mediante URL filtering, filtro de paquetes y análisis profundo de cada

paquete y su canal de comunicación, así como diferentes protocolos, A estos firewalls

que antes solían ser llamados hibrido ahora lo llamamos UTM o NGFW.