Llegamos a ustedes gracias a:



Reportajes y análisis

La evolución del firewall

Las preguntas abundan sobre su futuro papel

firewall

[09/09/2014] Han pasado 20 años desde que Check Point Software Technologies embarcó su primer firewall de red empresarial, marcando el inicio de un mercado masivo para firewalls que ha protegido millones de redes en todo el mundo.

El FireWall-1 de Check Point, develado en el NetWorld+Interop en 1994, no fue el primer firewall, por supuesto. El firewall había comenzado a tomar forma con el surgimiento de Internet. Las empresas y universidades entre los 80 y los 90 vieron la necesidad de bloquear el tráfico IP no deseado, creando una barrera de ingreso perimétrica. En esa época, a veces ellos mismos implementaban sus propios routers u otros equipos, hasta que los fabricantes finalmente llegaron al rescate con productos de firewall que les facilitaran esta labor.

Marcus Ranum, ahora director de seguridad en Tenable Network Security, es considerado el más prominente de los primeros innovadores de firewalls comerciales, porque diseñó el firewall DEC SEAL en 1990, y trabajó con el firewall Gauntlet y el juego de herramientas TIS en Trusted Information Systems. TIS, fundada en 1983 por el ex empleado de la NSA Steve Walker, se enfocó en clientes gubernamentales de alta seguridad; la compañía fue vendida a Network Associates (que después se convertiría en McAfee) en 1998. Otros esfuerzos tempranos, como el firewall Raptor, también existían. Pero fue el lanzamiento del FireWall-1 de Check Point lo que terminó creando una especie de mercado masivo al que pronto se unieron no solo los grandes proveedores de redes, como Cisco y Juniper, sino un grupo de otros jugadores, como WatchGuard.

Fue Check Point el que ganó impulso mientras que TIS no lo hizo. Ranum analiza por qué pudo ser así: Los firewall de proxy que lideraban la tecnología en ese tiempo requerían algún análisis del protocolo de la aplicación, y el diseño de un sistema de gateway para analizar, procesar y filtrar el tráfico de capa 7 que circulaba, señala Ranum. Esto tomaba tiempo -tiempo de desarrollo para producir un proxy, y tiempo de procesador en la CPU del firewall para hacer el análisis. Cuando comenzó la burbuja de Internet, Check Point realmente despegó porque no hacía ningún análisis de capa 7 y era fácil escribir una regla para permitir el tráfico.

Las nuevas aplicaciones aparecían por doquier y la capacidad de Check Point de responder (y su historia de rendimiento -es fácil de que sea rápido si no hace mucho) hicieron que la venta sea mucho más fácil. También tenían a Sun y al canal de resellers de Sun detrás de ellos; así que aplastaron a todos con una combinación de estar en el lugar preciso y de tener la tecnología que era rápida y ofrecía una seguridad básica y adecuada.

La inspección del estado era rápida y sencilla, anota Scott Montgomery, CTO en Intel Security, quien recuerda esos días, mencionando que el firewall Gauntlet fue relegado solo a las redes de más alta seguridad.

Los años iniciales con el Toolkit TIS como el firewallproxy no ganó una amplia adopción porque era muy difícil mantener un firewall proxy, anota Matt Howard, quien ahora está en Norwest Venture Partners, quien ayudó a desarrollar el firewall PIX de Network Translation, adquirida más tarde por Cisco.

En aquel entonces, todos pensaban que el firewall debería ser eliminado -el router debería subsumir el firewall, señala Howard. Pero eso no sucedió. Los proveedores de infraestructura Cisco y Juniper ciertamente venden firewalls en routers y switches.

Pero Gartner estima que las empresas tienden a no depender de ese enfoque para sus compras de firewalls core. A pesar de que enfrenta competidores fuertes, Check Point continúa sosteniendo el puesto superior con el 22% del mercado de equipos de firewall, según estimaciones de Gartner. De acuerdo a una consultoría de IDC, Cisco podría estar ligeramente cerca con una participación de 21%.

Check Point es uno de los incondicionales del grupo firewall y los dos han sido rivales por largo tiempo, anota Scott Harrell, vicepresidente de gestión de producto de seguridad en Cisco. Son un formidable competidor y los vemos en muchas cuentas.

Gil Shwed es cofundador y CEO de Check Point, el cual comenzó con ayuda del inversionista israelí Sholomo Kramer y el vicepresidente Marius Nacht. Shwed señala que está de acuerdo con muchos de los puntos de Ranum acerca de esa época. Shwed anota que el fuerte de Check Point fue su motor de inspección de estado y su interfaz gráfica sencilla. Check Point FireWall-1 marcó el comienzo de un punto de inflexión que convirtió un nicho en una tendencia principal, anota. Añade que tiene a Ranum, un reconocido pionero en el campo, en gran estima.

Shewd señala que sus propias ideas para el firewall comenzaron a juntarse mucho antes de la fundación de Check Point, mientras hacía servicio militar en Israel y estaba ocupado conectando redes.

Corey Nachreiner, director de investigación y estrategia en WatchGard, está de acuerdo en que el FireWall-1 de Check Point puede ser considerado como la primera ejecución real de un firewall. Anota que Check Point estuvo basado en software mientras que WatchGuard diferenciaba sus primeros Firebox como un appliance de hardware. (En una especie de volver al futuro, WatchGuard está reviviendo la marca Firebox que abandonó al inicio).

A lo que hoy se le llama firewall, típicamente hace más que un simple filtrado y control de puertos. También puede incluir detección de intrusos y un sistema de protección (IPS), un antivirus, filtrado de URL, actuar como dispositivo de prevención de pérdida de datos y mucho más, incluyendo detección de amenazas de día cero al estilo sandbox. Los analistas de seguridad en consultoras tecnológicas han dejado su marca criticando todas las cosas que los fabricantes de seguridad han estado haciendo por años, y urgiéndolos a hacer más, como tener mayores velocidades de salida o mejor administración.

En la firma de investigación IDC, el director de investigación de productos de seguridad, Charles Kolodgy acuñó el término gestión unificada de amenazas para una clase de dispositivos con capacidad de firewall, generalmente vistos como adecuados para pequeñas y medianas empresas. Y en Gartner, los analistas Greg Young y Neil MacDonald en años recientes comenzaron a urgir a los proveedores de firewall para redes a producir la clase de dispositivo consciente de las aplicaciones que pudiera ser capaz de establecer el acceso y los controles de identificación del usuario a través de conocimiento granular de las aplicaciones, además de capacidades como las de IPS.

Firewall 1 de Check Point
La consola del firewall Firewall 1 de Check Point, allá por 1994, cuando fue lanzada.

Palo Alto Networks, fundada en el 2005 por su CTO Nir Zuk, ha marcado el ritmo con su Next Generation Firewall (NGFW) lanzado en el 2007. Esto obligó a los fabricantes -incluyendo a Cisco, Check Point, la división de seguridad de Intel (McAfee), Barracuda Networks, y recientemente a HP- a unirse a la carga con NGFW.

En el camino, Zuk, quien estuvo en Check Point desarrollando los primeros firewalls, ha dado un paso en el escenario como un claro -pero controvertido- líder e innovador. Después de una pelea inicial con la gerencia de Check Point, inició OneSecure en 1999, la cual fue adquirida por NetScreen en el 2002, más tarde adquirida por Juniper en cuatro mil millones de dólares.

Después de que Zuk dejó Juniper para establecerse en Palo Alto, Juniper realizó demandas de infracción de patentes relacionadas al firewall. Las dos partes se batieron en duelo por las patentes del firewall, hasta que finalmente en mayo de este año todo se calmó con un arreglo de licencia cruzada que incluía el acuerdo de Palo Alto de pagar 175 millones de dólares en efectivo y equitativamente.

Aunque algunos de sus ex empleados hacen una mueca al escuchar su nombre, Zuk -sin embargo- consigue el visto bueno de los demás.

Nir es el cerebro, comenta Ranun. Él realizó muchos de los diseños en Check Point, Netscreen (ahora Juniper) y en Palo Alto. Él tomó un equipo de programadores a su alrededor, quienes -ahora- pueden codificar firewalls con los ojos cerrados.

El mundo se ha movido más allá de lo que era posible a inicios de los 90, añade Ranum. Ahora que puedes comprar procesadores switch on a chip como el Cavium Octeon, es posible hacer el análisis de capa 7 a la velocidad de los paquetes, lo cual no se podía hacer en 1991. Veo la tendencia de una clase de reivindicación de la idea de que el juego siempre estuvo en la capa 7 para comenzar, y que la inspección del estado estaba a 15 años de larga digresión, señala.

En todo este tiempo, el mercado de firewalls se ha multiplicado y Gartner piensa que superará los nueve mil millones de dólares este año. Los firewalls han sido usados por largo tiempo no solo en el perímetro, sino también dentro de las redes empresariales para acordonar segmentos. Pero independientemente de todo esto, la ironía es que el rol del firewall de red está en duda más que nunca antes, debido al crecimiento del uso de servicios basados en la nube y de dispositivos móviles.

Los gerentes de seguridad de TI siempre han tenido sus dudas sobre los firewalls, especialmente cuando el tráfico web tenía que pasar por ellos. Esas dudas alcanzaron un punto cumbre en el 2005, cuando un grupo profesional de seguridad de varias grandes empresas globales se juntaron bajo la bandera del Foro Jericó para alzar sus voces de protesta contra los firewalls.

Sus quejas se centraron en la idea de que el crecimiento de los servicios de nube, el comercio electrónico y la movilidad estaban actuando para eliminar cualquier perímetro discernible en sus redes. El Foro Jericó señaló los límites percibidos de los firewalls y el profundo deseo de nuevos enfoques que estuvieran centrados en los datos.

Bajo los auspicios del Open Group, el Foro Jericó comenzó a emitir documentos de posición, entre los que destacan los Mandamientos del Foro Jericó para una buena seguridad para entregar una visión fuera del perímetro. Esto lanzó más de un disparo sobre el firewall.

Aunque que los firewalls de perímetro puedan continuar ofreciendo protección básica de red, los sistemas individuales y los datos deberán ser capaces de protegerse a sí mismos, enunció el grupo. Otros lineamientos fueron: en general, es más fácil proteger un activo en tanto se provea una protección más cercana.

En este debate, que generó muchas conferencias tecnológicas, Gartner, entre otros, tendió a impulsar de vuelta la noción de que el firewall de perímetro debería desaparecer. Las empresas se mantuvieron comprando más firewalls, pero los conceptos básicos del Foro Jericó acerca de cómo usar los servicios de nube y los dispositivos móviles, especialmente los del esquema Bring-Your-Own-Device (equipos propiedad de los empleados), que ocasionaban dificultades para los firewalls de perímetro, llegaron a las puertas de muchas compañías. Y el surgimiento de las redes virtualizadas y el inminente panorama de las Redes Definidas por Software para el switching, desafía a los fabricantes de firewall a adaptarse.

Algunos fabricantes, incluyendo a Check Point, han diseñado firewalls basados en software para operar en el servicio de nube Amazon Web Services EC2, por ejemplo, aunque Amazon en sí ofrece un servicio de firewall. Cisco no lo hace aún, pero Harrel señala que están trabajando en ello junto con otros servicios de nube. Reconoce que un problema es que cada uno representa una plataforma que necesita un firewall específico, y una forma de cargo para el firewall en el modelo pague lo que consume de servicios en la nube. Añade que Cisco también tiene servicios de hospedaje de firewall para las empresas que van a ser expandidas en el futuro.

Gartner cree que la adopción de firewalls virtuales ha sido bastante lenta, prediciendo que menos del 5% de empresas desplegará firewalls virtualizados en sus data centers para el 2016. Shwed, de Check Point, reconoce que desde lo que él ve, la adopción de firewalls virtuales parece no haber despegado.

Pero los firewalls difícilmente han muerto como señaló el analista de Gartner, Greg Young, en su reciente presentación en el Gartner Security and Risk Management Summit. Señaló que el mercado de firewall empresarial de 8,7 mil millones de dólares sigue siendo el segmento más grande del total del mercado de seguridad de TI. Y se espera que crezca a 9,4 mil millones de dólares para fin de año. Pero hay descontentos respecto a cosas específicas.

El filtrado de A/V Web, en particular, causa un significativo impacto en el rendimiento de un firewall, indicó, y es probable que esta funcionalidad sea desplegada de mejor manera en un gateway de seguridad. Los contendores del firewall aún tienen que dejar su huella en la virtualización, el data center y el SDN, la próxima batalla a ser peleada, señala Young.

Harrell, de Cisco, afirma que Cisco se está posicionando para participar en esa batalla eficazmente con su infraestructura y controlador centrado en aplicaciones, con una forma de configurar firewalls y balanceadores con reglas sencillas. Sin embargo, todo esto es muy nuevo.

Algunos analistas de Gartner están viendo más allá del firewall de red para ayudar en el futuro. Un analista de Gartner, Joseph Feiman, incluso argumenta que una tecnología de dos años de antigüedad llamada Rutime Application Self-Protection (RASP) podría hacerse cargo de la mayoría de tareas del firewall de red.

En un debate entre Young y Feiman en la conferencia, Feiman argumentó ardientemente que el RASP -descrito como un instrumento de ejecución en servidores o clientes para proteger aplicaciones contra una variedad de ataques- es básicamente un mejor concepto que el firewall tradicional, porque el perímetro se está disolviendo debido a los servicios de nube y móviles. Estamos fallando con la seguridad del perímetro, dijo, estoy pidiendo que cambiemos nuestra visión.

Feiman señala que los fabricantes con productos RASP incluyen a HP, Prevoty, Shape Segurity, Waratek, Bluebol y Lacoon Mobile Security. Sin embargo, Young se burló de la idea de que el RASP pudiera ser la siguiente gran cosa para sacar a los firewall de perímetro, señalando que los productos RASP deben ser añadidos a cada sistema operativo o teléfono que se quiera proteger.

¿Y cómo se siente Shwed, de Check Point respecto al RASP? Reconoce que no está familiarizado con el mismo, y no es algo que le preocupe. Lo que le preocupa es cómo los firewalls modernos necesitan evolucionar para ganar información acerca de las amenazas de seguridad aún más silenciosas para bloquearlas. Piensa que la compartición de información entre los fabricantes de seguridad de diversos tipos es el camino hacia adelante, y eso es lo que Check Point está persiguiendo.
Ellen Messmer, NetworkWorld (EE.UU.)