i

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ

CENTRO REGIONAL DE CHIRIQUÍ

MAESTRÍA Y POSTGRADO EN AUDITORIA DE SISTEMAS Y EVALUACIÓN DE

CONTROLES INFORMÁTICOS

Evaluación de Seguridad en la Comunicación y Telecomunicación

Mgter. Leandro Espinoza

Next Generation Firewall

INTEGRANTES:
CÉSAR ACOSTA 4-743-548
MANUEL ESTÉVEZ 4-705-1705
JANETH GONZÁLEZ 4-255-805
CARLOS SALDAÑA 4-731-705

FECHA: 28/07/18
 ii

Tabla de Contenido

Tabla de Contenido........................................................................................................... ii
Lista de Tablas.................................................................................................................iii
Lista de Figuras................................................................................................................iv
INTRODUCCIÓN................................................................................................................ v
FIREWALL......................................................................................................................... 6
Tipos de Firewall........................................................................................................... 6
Firewall de próxima generación (NGFW - Next Generation Firewall)...........................7
Ventajas......................................................................................................................... 8
UTM Vs NGFW............................................................................................................... 9
El Mercado................................................................................................................... 14
Donde se Utilizan los NGFW..........................................................................................19
CONCLUSIONES............................................................................................................. 22
REFERENCIAS................................................................................................................ 23
 iii

Lista de Tablas

Tabla 1. Diferencias entre UTM y NGFW. ………………………………………10

 iv

Lista de Figuras

Figura 1. Comparativo de Firewall tradicionales vs NGFW. ……………………… 10

Figura 2. Comparativos entre las mejores marcas de NGFW del Mercado. ……. 15
Figura3. Cuadrante de Gartner en NGFW. ………………………………………….. 16
Figura 4. Recomendaciones de NGFW según el uso. …………………………… 19
 v

INTRODUCCIÓN

Las organizaciones se enfrentan cada día al complejo reto de detectar y

entender todos los flujos de información que existen en ella y entre ella y el resto del
mundo; no sólo esto, también es mandatorio asignar un grado de riesgo a los eventos
más relevantes, de cara a evitar una interrupción de un proceso de negocio, la
alteración del bien más preciado, la información.

Las tecnologías de la información(TI) comprendieron hace unos años que se

debía realizar un gran esfuerzo para llegar a neutralizar estos riesgos, puesto que ni
siquiera estaban capacitadas entonces para reconocerlos.

La realidad TI es compleja, pero las tecnologías de seguridad están preparadas

para ver, identificar ataques, y crear controles sobre qué uso hacen de las aplicaciones
nuestros usuarios, todos ellos para asignar un riesgo, que nos permita alertar ante una
posible afectación de nuestro negocio.
 6

FIREWALL

Un Firewall es un dispositivo de seguridad de la red que monitorea el tráfico

de red -entrante y saliente- y decide si permite o bloquea tráfico específico en
función de un conjunto definido de reglas de seguridad con las que fue configurado.

Los Firewalls han constituido una primera línea de defensa en seguridad de

la red durante más de 25 años. Establecen una barrera entre las redes internas
protegidas y controladas en las que se puede confiar y redes externas que no son
de confianza, como Internet; pueden establecer parámetros de configuración segura
para regular líneas de comunicación cifrada entre dos puntos.

Un Firewall puede hacer referencia a un hardware (con componentes físicos

que brindan un desempeño específico a las cualidades del software que maneja),
software (cuando no importa tanto el equipo que controla el programa, sino que la
configuración del programa es lo importante para la correcta protección) o ambos
(cuando se mezclan los recursos de hardware junto con el programa para realizar
una integración efectiva y eficiente de la protección).

Tipos de Firewall
Firewall de inspección activa
Un Firewall de inspección activa, ahora considerado un Firewall “tradicional”,
permite o bloquea el tráfico en función del estado, el puerto y el protocolo. Este
Firewall monitorea toda la actividad, desde la apertura de una conexión hasta su
cierre. Las decisiones de filtrado se toman de acuerdo con las reglas definidas por el
administrador y con el contexto, lo que refiere a usar información de conexiones
anteriores y paquetes que pertenecen a la misma conexión.
 7

Firewall de administración unificada de amenazas (UTM - Unified Threat

Management)
Un dispositivo UTM suele combinar en forma flexible las funciones de un
Firewall de inspección activa con prevención de intrusiones y antivirus. Además,
puede incluir servicios adicionales y, a menudo, administración de la nube. Los UTM
se centran en la simplicidad y la facilidad de uso. En 2011 Gartner y Palo Alto
Networks dieron paso a este término.

Firewall de próxima generación (NGFW - Next Generation

Firewall)
Un Firewall NextGen o de siguiente generación es un sistema de seguridad
para redes dentro de un dispositivo de Hardware o en una versión basada en
software que es capaz de detectar y prevenir ataques sofisticados a través de forzar
políticas de seguridad a nivel de aplicación, así como a nivel de puertos o protocolos
de comunicación.

Los Firewalls han evolucionado más allá de la inspección activa y el filtrado

simple de paquetes. La mayoría de las empresas están implementando Firewalls de
próxima generación para bloquear las amenazas modernas, como los ataques de la
capa de aplicación y el malware avanzado.

Características
Según la definición de Gartner, Inc., un firewall de próxima generación debe
incluir las siguientes características:
● Funcionalidades de Firewall estándares
● Un sistema de prevención de intrusión (IPS)
● Reconocimiento y control de aplicaciones para ver y bloquear las
aplicaciones peligrosas (Control de aplicaciones.)
● Rutas de actualización para incluir fuentes de información futuras
● Técnicas para abordar las amenazas de seguridad en evolución
● Buscan reducir de manera importante el creciente número de ataques que
se llevan a cabo en las capas 4-7 del modelo OSI para redes. (Capa de
Transporte, Capa de Sesión, Capa de Presentación y Capa de Aplicación)
 8

● Inspección SSL y SSH

● Inspección profunda de paquetes de comunicación (DPI)
● Detección y prevención de malware basada en reputación
● Reconocimiento de apps

Next Generation Firewall Centrado en Amenazas

Si bien estas funcionalidades se están convirtiendo cada vez más en el
estándar para la mayoría de las empresas, los NGFW pueden ser enfocados a
amenazas de tal forma que incluyen todas las funcionalidades de un NGFW
tradicional y también brindan funciones de detección y corrección de amenazas
avanzadas.

Con un NGFW centrado en amenazas, puede hacer lo siguiente:

● Estar al tanto de cuáles son los activos que corren mayor riesgo con
reconocimiento del contexto completo
● Reaccionar rápidamente ante los ataques con automatización de seguridad
inteligente que establece políticas y fortalece las defensas en forma
dinámica
● Detectar mejor la actividad sospechosa o evasiva con correlación de
eventos de terminales y la red
● Reducir significativamente el tiempo necesario desde la detección hasta la
eliminación de la amenaza con seguridad retrospectiva que monitorea
continuamente la presencia de actividad y comportamiento sospechosos,
incluso después de la inspección inicial
● Facilitar la administración y reducir la complejidad con políticas unificadas
que brindan protección en toda la secuencia del ataque

Ventajas
Hoy en día se requieren Firewalls que proporcionen visibilidad de todo lo que
sucede en una red. Desde el tipo de aplicaciones que se emplean, la cantidad de
datos que se descargan, quienes ingresan, cómo y qué hacen. Justo como lo hacen
los Firewalls de próxima generación, Next Generation Firewalls (NGFW), que se han
convertido en los aliados de las organizaciones ya que estos dispositivos brindan los
siguientes beneficios:
● Capacidades Avanzadas contra Malware (AMC).
 9

● Nueva Generación de Prevención de Intrusos en el sistema (NGIPS).

● Visibilidad y automatización en el tráfico de la red.
● Control y conocimiento de las aplicaciones para bloquearlas en caso de
amenazas.
● Actualizaciones a partir del análisis de información.
● Mecanismos para actuar antes, durante y después de un incidente de
seguridad.
● Reducción de costos
● Integración con otras soluciones de terceros
● Facilidad en su administración y operación.

En adición al filtrado dinámico de paquetes (DPS) de los Firewalls de primera

generación, un NGFW provee contexto adicional a la toma de decisión del Firewall
al proveer la habilidad de entender los detalles del tráfico que está pasando a través
de la aplicación WEB y tomar acciones para bloquear el tráfico que pudiera conducir
a explotar una vulnerabilidad en la infraestructura de red.

UTM Vs NGFW
Se trata de dos conceptos cuya diferencia puede que radique únicamente en la
semántica, pero es interesante que podamos analizar estas diferencias y dejar claro
qué ofrece cada una de estas soluciones.

Figura 1. Comparativo de Firewall tradicionales vs NGFW

 10

Tabla 1.
Diferencias entre UTM y NGFW

UTM NGFW

Filtrado de tráfico (Puertos, IP y Filtrado de tráfico (Puertos, IP y

Protocolos) Protocolos)

Visibilidad de aplicaciones y control de Visibilidad de aplicaciones y control de

aplicaciones aplicaciones

Servicios de OPEX y CAPEX de alto Considerablemente bueno OPEX y

rendimiento pero normalmente se CAPEX y viene incluido en el bundled
deben adquirir por separado. adquirido

IPS Nativo

NAT Nativo NAT Nativo

VPN VPN

Identificación del nivel de aplicación que

transmite paquetes a través de la red

Identificación de servicios y la
reputación de los mismos.

Trabaja en las capas 2 - 4 Trabaja en las capas 2 - 7

Rendimiento aceptable, menor a NGFW Muy alto en relación a los UTM y sin
pero reduce significativamente cuando variación aparente al introducir nuevos
otros servicios son activados. servicios en el bundle.

Reportería estándar y sin muchas A la medida.

capacidades de modificaciones.

Filtrado estático de paquetes que Filtrado estático de paquetes que

bloquea paquetes en el punto de bloquea paquetes en el punto de
interfaz a una red, basado en interfaz a una red, basado en
 11

protocolos, puertos o direcciones protocolos, puertos o direcciones

Inspección con estado o filtrado Inspección con estado o filtrado

dinámico de paquetes, que verifica cada dinámico de paquetes, que verifica cada
conexión en cada interfaz de un Firewall conexión en cada interfaz de un Firewall
para verificar su validez para verificar su validez

Traducción de direcciones de red para Traducción de direcciones de red para

reasignar las direcciones IP incluidas en reasignar las direcciones IP incluidas en
los encabezados de los paquetes los encabezados de los paquetes

Traducción de direcciones de puertos Traducción de direcciones de puertos

que facilita la asignación de múltiples que facilita la asignación de múltiples
dispositivos en una LAN a una sola dispositivos en una LAN a una sola
dirección IP dirección IP

Soporte de red privada virtual (VPN), Soporte de red privada virtual (VPN),
que mantiene las mismas que mantiene las mismas
características de seguridad y características de seguridad y
protección de una red privada sobre la protección de una red privada sobre la
parte de una conexión que atraviesa parte de una conexión que atraviesa
Internet u otra red pública Internet u otra red pública

DPI (Inspección de Paquetes

Profundos) que va más allá de la
inspección y el bloqueo de puertos /
protocolos para agregar inspección a
nivel de aplicación, prevención de
intrusiones y brindar inteligencia desde
fuera del Firewall

Configuración no disruptiva, en línea, de

tope en el hilo (BITW), en la que reside
un cortafuegos "sigiloso" dentro de la
subred para que pueda filtrar el tráfico
 12

entre los hosts

Sistema integrado de prevención de

intrusión (IPS) basado en firmas, que
especifica qué tipos de ataques
escanear e informar

Identificación de aplicaciones que

utilizan firmas de aplicaciones
predefinidas, análisis de carga útil e
inspección de encabezado, más
aplicación de políticas de seguridad de
red a nivel de aplicación, porque las
aplicaciones (en lugar de servicios y
componentes de red) se han convertido
en la mayor área de explotación
actualmente por malware y otros
ataques

Visibilidad completa de la pila, que va

de la mano con el control de las
aplicaciones

Control granular o control

extremadamente detallado de las
aplicaciones

Descifrado de la capa de sockets

seguros (SSL) para permitir la
identificación de aplicaciones
encriptadas indeseables

control de tráfico en capa 7

Esas placas base dedicadas a realizar tareas básicas de Firewall estático y

decidir si un paquete pasaba o no pasaba de repente tenían que reinventarse para
 13

llevar a cabo todas estas nuevas funcionalidades. Como es lógico no en todos los
escenarios esa convergencia era posible. La plataforma hardware necesaria para
realizar todas estas tareas en un entorno de alta exigencia supondría un sobrecoste
enorme y que rara vez el cliente estaría dispuesto a pagar.

Muchos se preguntarán ¿qué tiene eso de novedoso frente a las soluciones

UTM que conocemos hoy en día? La respuesta es sencilla, a día de hoy nada. El
objetivo inicial de los NGFW era por un lado añadir una visibilidad sin precedentes
sobre el tráfico de red y por otro ofrecer un rendimiento superior al que un UTM
podía ofrecer de cara a atacar un segmento de mercado diferente.

En relación con la visibilidad del tráfico gracias a los avances que los nuevos
chipsets y desarrollos software han sufrido no existe en la actualidad ninguna
solución UTM que no facilite la inspección del tráfico en capa 7 permitiendo
identificar las aplicaciones generadoras de dicho tráfico, con lo que los términos se
equiparan en este aspecto.

Por otro la evolución natural de la capacidad de procesamiento y los métodos

de procesamiento paralelo han permitido optimizar notablemente el rendimiento de
las soluciones UTM dejando el argumento del rendimiento muy tocado.

Para seguir avanzando en el análisis si uno da un repaso por el portfolio de

soluciones de los principales fabricantes del sector de la ciberseguridad se dará
cuenta de que todos y cada uno de ellos independientemente de cómo bauticen a
sus soluciones ofrecen plataformas de seguridad de red en las que engloban todas
las funcionalidades de seguridad requeridas en un entorno empresarial.

El Mercado
Para identificarla, podemos analizar la estrategia de producto de los principales
líderes del sector:
 14

● Fortinet emplea el término Next-Generation Firewall para sus soluciones

enterprise y UTM para el segmento pyme.
● Checkpoint ha borrado cualquier referencia al término UTM de su catálogo
de soluciones. Sus soluciones se definen como Next Generation Firewall
independientemente del sector de mercado al que apliquen.
● Palo Alto como abanderado principal de los NGFW sólo hace referencia al
término UTM para comparar sus soluciones con las "antiguas" soluciones
unificadas de amenazas.
● Forcepoint (antiguo Stonesoft) también ha adoptado el término Next
Generation Firewall para sus soluciones de seguridad de red dejando a un
lado cualquier referencia a UTM.
● Sonicwall ha llevado a cabo una estrategia similar a la de Fortinet, dejando
el término UTM para sus equipos para pyme y Next Generation Firewall para
el segmento enterprise.
● Watchguard también distingue dentro de su portfolio las soluciones para
pyme (UTM) y gran empresa (Next Generation Firewall).
● Sophos ofrece en su portfolio soluciones tanto de UTM como de NGFW,
pero se trata de un caso especial en el que la distinción de las mismas
responde a la adquisición de Astaro hace unos años. Con dicha adquisición
Sophos decidió diferenciar sus soluciones UTM existentes (SG UTM) de las
nuevas soluciones integradas tras la adquisición (XG Firewall).

Como se puede apreciar no existe ningún fabricante que se dedique únicamente

a la comercialización de soluciones UTM, todos en mayor o menor medida han
adoptado el término Next Generation Firewall.

Aquellos que ofrecen en su portfolio ambas soluciones sí que clasifican de forma

clara las soluciones UTM como opción para pyme o sedes remotas y los NGFW
como soluciones para entornos más exigentes

Tras analizar el planteamiento de los diferentes líderes del mercado se puede

decir que todos han decidido, por cuenta propia o por la propia presión del mercado,
dejar el término NGFW como un concepto asociado a un mayor rendimiento o
 15

posicionamiento en cliente más exigentes y UTM como una opción más asociada a
entornos pequeños o poco exigentes.

Pero no nos engañemos las funcionalidades de ambas plataformas son

idénticas. Es más, en muchas ocasiones los mismos equipos que se identificaban
como soluciones UTM se han rebautizado como Next Generation Firewall, con lo
que queda claro que sólo se trata de un cambio en la etiqueta o envoltorio de la
solución.

Figura 2. Comparativos entre las mejores marcas de NGFW del Mercado

Cuadrante Mágico de Gartner

Gartner, Inc., es una compañía líder mundial en investigación y asesoría,
miembro del S&P 500. Un cuadrante mágico de Gartner es la culminación de la
investigación en un mercado específico, ofreciendo una amplia vista de las
posiciones relativas de los competidores del Mercado. El cuadrante se entiendo
como un “Posicionamiento de los Jugadores de Tecnología dentro de un Mercado
Específico”.
 16

Figura3. Cuadrante de Gartner en NGFW

Líderes
Los líderes son aquellos que se ejecutan contra su visión actual y están bien
posicionados a futuro.
El cuadrante de Líderes contiene proveedores que crean productos que
cumplen con los requisitos de la empresa. Estos requisitos incluyen una amplia
gama de modelos, soporte para virtualización y LAN virtuales, y una capacidad de
gestión e informes diseñada para entornos complejos y de gran volumen, como la
administración multinivel y la minimización de reglas / políticas. Una capacidad
sólida de NGFW es un elemento importante, ya que las empresas continúan
alejándose de tener dispositivos IPS dedicados en su perímetro y ubicaciones
remotas. Los proveedores en este cuadrante lideran el mercado al ofrecer nuevas
características que protegen a los clientes de las amenazas emergentes,
proporcionan una capacidad experta en lugar de tratar el Firewall como un producto
básico y tienen un buen historial de evitar vulnerabilidades en sus productos de
 17

seguridad. Las características comunes incluyen el manejo del más alto rendimiento
con una pérdida mínima de rendimiento, ofreciendo opciones para la aceleración de
hardware y ofreciendo factores de forma que protegen a las empresas a medida que
se mueven a nuevos factores de forma de infraestructura.

Retadores
Los Challengers o Retadores son aquellos que ejecutan bien su visión actual
o dominan un gran segmento del mercado, pero no tiene una visión clara a futuro.
El cuadrante Challengers contiene proveedores que han logrado una sólida
base de clientes, pero no lideran consistentemente con capacidades de próxima
generación diferenciadas. No han madurado completamente su capacidad NGFW,
o tienen otros productos de seguridad que tienen éxito en la empresa y cuentan con
la relación, en lugar del producto, para obtener ofertas. Los productos Retadores a
menudo tienen un buen precio y, debido a su fortaleza en la ejecución, estos
proveedores pueden ofrecer paquetes de productos de seguridad económica que
otros no pueden ofrecer. Muchos Retadores se retraen de convertirse en líderes
porque eligen colocar productos de seguridad o cortafuegos con una prioridad
menor en sus conjuntos de productos en general.

Visionarios
Los visionarios entienden adonde el mercado se dirigen o tienen la visión de
los cambios de las reglas del mercado, pero no ejecutan bien su visión.
Los visionarios tienen los diseños y características correctos para la empresa,
pero carecen de la base de ventas, la estrategia o los medios financieros para
competir de manera consistente con los Líderes y los Desafíos. La mayoría de los
productos de Visionarios tienen buenas capacidades NGFW, pero carecen de
capacidades de rendimiento y redes de soporte. Se puede lograr un ahorro y un alto
nivel de soporte técnico para las organizaciones que desean actualizar los
productos con mayor frecuencia y cambiar de proveedor si es necesario. Si el
cortafuego es un elemento competitivo para una empresa, los Visionarios son
buenos candidatos para la preselección. Los proveedores que no tienen
capacidades sólidas de NGFW los complementan en un movimiento defensivo,
mientras que los proveedores que tienen ofertas fuertes de NGFW se centran en la
 18

capacidad de administración y la facilidad de uso. Gartner espera que la próxima ola

de innovación en este mercado se centre en una mejor y más automatizada
microsegmentación este / oeste en entornos de nube pública y SDN.

Jugadores
Los jugadores son aquellos que se enfocan con éxito en un segmento
pequeño del mercado, pero no superan en innovación ni superan a otros.
La mayoría de los vendedores en el cuadrante de jugadores de nicho son
vendedores más pequeños de cortafuegos empresariales, fabricantes de
cortafuegos multifunción para pequeñas y medianas empresas o fabricantes de
productos de sucursales que intentan introducirse en el mercado empresarial.
Muchos jugadores de nicho están haciendo versiones más grandes de productos
SMB con la errónea esperanza de que esto satisfará a las empresas. Algunas
empresas que tienen las necesidades de cortafuegos de una PYME (por ejemplo,
algunas empresas de riesgo tipo C y algunas distribuidas) pueden considerar
productos de Jugadores de nicho, aunque otros modelos de Líderes y Desafíos
pueden ser más adecuados. Si el apoyo geográfico local es un factor crítico,
entonces los jugadores de nicho pueden ser preseleccionados.

Donde se Utilizan los NGFW

Existen diversas opiniones sobre donde es recomendable utilizar un UTM o
un NGFW. Algunas de las más generalizadas indican que un un Firewall UTM sería
recomendable para el mercado de pequeñas y medianas empresas (SMB), donde el
flujo de datos es inferior. Los NGFW están indicados para entornos de gran
intensidad de tráfico, especialmente empresas complejas, telecomunicaciones y
 19

otras que centralizan una gran cantidad de tránsito de datos. En la figura 4 se

muestra un listado de NGFW y en dónde se utilizan.
20
 21

Figura 4. Recomendaciones de NGFW según el uso

 22

CONCLUSIONES

Hoy en día la información constituye un recurso valioso en toda organización.

Ésta ayuda en el proceso de toma de decisiones y le da a la empresa ventajas
competitivas frente a otras.
Debido a esto es importante contar con las herramientas y controles
apropiados que permitan cuidar quién tiene acceso a la información de forma que se
mantenga confiable, íntegra, válida y que además cuente con un buen nivel de
seguridad. Toda organización debe contar con una estrategia de seguridad que
permita proteger las redes de conexiones no autorizadas.
Los Firewall desempeñan un papel importante en esta estrategia de la
protección de las redes ya que ayudan a proteger las redes de conexiones no
autorizadas que pueden poner en riesgo la integridad de la información de la
organización.
 23

REFERENCIAS

Blog Cisco Latinoamérica (marzo 2017). La próxima generación de Firewalls y su

importancia para la seguridad digital. Recuperado de
https://gblogs.cisco.com/la/seguridad-la-proxima-generacion-de-Firewalls-y-su-
importancia-para-la-seguridad-digital/?
doing_wp_cron=1532398535.7747309207916259765625

Cisco(s.f).¿Qué es un Firewall? Recuperado de

https://www.cisco.com/c/es_mx/products/security/Firewalls/what-is-a-Firewall.html

Ostec blog(s.f). Firewall UTM y NGFW, conozca las principales diferencias.

Recuperado de https://ostec.blog/es/seguridad-perimetral/Firewall-utm-ngfw-
diferencia
 24

Hay que enumerarlas y establecerla con el formato adecuado.

https://www.youtube.com/watch?v=Uh1MeUaG_7s&feature=youtu.be
DIFERENCIAS BIEN EXPLICADO

https://www.gartner.com/doc/reprints?id=1-45UJESQ&ct=170711&st=sb este
articulo es la empresa que evalua los Firewall y dispone cual es el mejor en base a
lo parametros que ellos dicen.

Tres videos cortos lo único es que dos están en inglés..pero creo que se entienden

https://www.youtube.com/watch?v=pNmBQ9P6ZGU cisco next generation Firewall

en inglés

https://www.youtube.com/watch?v=m5BNJ9qvfXQ cisco FirePower NGFW centrado

en amenazas también en ingles

https://www.youtube.com/watch?v=v5ICdHsiNKU meraki UTM de cisco sin audio

pero se entiende

https://medium.com/@Meela349588204/traditional-Firewall-vs-next-generation-
Firewall-b7c982fd26a1

https://ipwithease.com/traditional-Firewall-vs-next-generation-Firewall/155-
traditional-Firewall-vs-next-generation-Firewall-02/

http://www.mydigitalshield.com/traditional-Firewalls-vs-next-generation-Firewalls/

https://youtu.be
 25

https://www.ey.com/Publication/vwLUAssets/EY_-
_Optimize_network_OPEX_and_CAPEX_while_enhancing_the_quality_of_service/
$FILE/EY-optimize-network-opex-and-capex.pdf