Llegamos a ustedes gracias a:



Reportajes y análisis

¿Está en su futuro un firewall de próxima generación?

El lento camino hacia los firewall/VPN con conciencia de aplicaciones, prevención de intrusiones y filtrado.

[07/12/2010] El firewall tradicional basado en puerto, parece más una parada de descanso que un guardia para la entrada de las aplicaciones de Internet; aquellas que ingresan a menudo por los puertos 80 y 443. Pero, éstas a su vez, están perdiendo terreno poco a poco frente a una nueva generación de firewalls musculosos, rápidos e inteligentes.

Los así llamados firewalls de próxima generación (NGFW) describen un firewall/VPN empresarial que tiene la fuerza para llevar a cabo -de manera eficiente- barridos de prevención de intrusiones de tráfico, así como tener conciencia sobre de las aplicaciones que se mueven a través de él, con el fin de hacer cumplir las políticas basadas en el uso de aplicaciones de identidad autorizada. Se supone que tiene la capacidad para usar la información, como el análisis de reputación de Internet, para ayudar a filtrar malware o integrarse con Active Directory.
Pero ¿cuánto tiempo tomará para que la transición a NGFW llegue realmente?
La firma emprendedora Palo Alto Networks es considerada como el primer proveedor que se ha puesto el manto de NGFW con su línea de appliances de seguridad de aplicaciones múltiples en el 2007 y hoy cuenta con más de 2.200 clientes. Los vendedores Fortinet, Cisco, Check Point, McAfee y Barracuda Networks, entre otros, han ampliado o mejorado sus productos de firewall, para que se ajusten a esa imagen. Además, el proveedor de IPS, Sourcefire, ha dicho que tendrá un firewall con conciencia de aplicaciones con IPS para el próximo año. Pero a pesar de todo esto, el uso efectivo de estos servidores de seguridad avanzados hoy en día sigue siendo muy bajo, de acuerdo con Gartner, que ha promocionado el NGFW en los últimos años.
"Hoy en día creemos que menos del 1% de las interconexiones aseguradas estén utilizando NGFW", señala el analista de Gartner, Greg Young. Pero él predice que el número llegará a 35% en el 2014.
Pero NGFW -que no es un término científico sino puro márketing- sigue sin resolverse. Aún no se han hecho pruebas de laboratorio independientes por parte de terceros sobre los productos llamados NGFW, señalan varios fabricantes. ICSA Labs está discutiendo una posible prueba NGFW de diversos productos, señala Fortinet, pero parte del reto es acuñar una definición clara de lo que es un NGFW. Gartner, que tiene su propia definición al respecto, reconoce que "algunos proveedores tienen el control de las aplicaciones, y algunos están más entrenados en lo que es IPS", señala Young, añadiendo: "La mayoría de las empresas fabricantes de firewall están en las primeras etapas de esto. Palo Alto está arrastrando a los fabricantes establecidos a este tema".
La cuestión de la terminología se hace más confusa gracias al término Gestión Unificada de Amenazas (UTM), una frase acuñada por el analista de IDC, Charles Kolodgy, quien dice que UTM tiene aproximadamente el mismo significado que NGFW. Pero Gartner afirma que UTM debe aplicarse a los equipos de seguridad empleados por las pequeñas y medianas empresas, mientras que NGFW se supone que es para la empresa, definida, con mil empleados a más.
Pero a pesar de este choque de idiomas y la existencia de solo una pequeña base instalada con un presunto NGFW, los proveedores de seguridad parecen reconocer que la demanda de dispositivos de seguridad consolidada de usos múltiples de la empresa podría aumentar.
"Las tendencias del mercado se están moviendo en esa dirección", señala Patrick Bedwell, vicepresidente de márketing de producto de Fortinet, que la semana pasada anunció la hoja de seguridad FortiGate-5001B para su familia de dispositivos serie 5000 que puede alcanzar hasta 40 Gbps, un gran salto sobre los productos anteriores de 8Gbps. "Los firewall legacy no pueden mantener el ritmo. El foco debe estar en el control de aplicaciones, ya que las amenazas son cada vez más complejas".
La lista de seguridad firewall/VPN de FortiGate es consciente de cerca de 1.300 aplicaciones, y puede establecer controles granulares sobre el comportamiento del usuario con las aplicaciones, junto con limitaciones de calendario y gestión de ancho de banda.
Otros proveedores también están en el régimen de NGFW. McAfee considera que los cambios que hizo en junio pasado a su Enterprise Firewall v. 8 lo ha convertido en un NGFW.
"Hemos rediseñado el motor de aplicación para poder detectar e inspeccionar totalmente más de mil aplicaciones", señaló Greg Brown, director de márketing de producto de McAfee. "Hicimos extensible el motor, y hay actualizaciones para la aplicación cada semana".
McAfee Enterprise Firewall v. 8 llega a 10 Gbps. Pero para alcanzar velocidades más altas, McAfee se asoció con Crossbeam Systems para poder llegar a 40 Gbps en su plataforma. McAfee está trabajando para conseguir mayor velocidad en sus propios dispositivos.
¿Y el firewall que sabe y hace todo, realmente tiene una función IPS tan eficaz como un IPS independiente? Brown reconoce que es difícil saberlo, y que no se han hecho pruebas independientes para comprobarlo, pero "la intención es hacer que el trabajo sea tan eficaz como con un IPS independiente".
En comparación con un "firewall convencional", que principalmente ve los rangos de red IP, señala Brown, la forma de hacer las cosas del NGFW en el control de la aplicación no representa una nueva tecnología para la mayoría de los clientes.
Es atractivo el uso de capacidades como la integración con Microsoft Active Directory, por ejemplo, la creación de grupos de usuarios en términos de aplicaciones autorizadas. Hasta ahora, sin embargo, la mayoría de los clientes de McAfee están probando las características avanzadas de firewall cautelosamente con algunas aplicaciones, no todas, para ver qué políticas de control de impacto deben tener.
La cadena de gimnasios 24 Hour Fitness, que mantiene más de 400 clubes en los EE.UU. y en el extranjero, está dándole una sesión de ejercicios al firewall conciente de aplicaciones que Palo Alto Networks implementó el verano pasado.
Justin Kwong, director senior de operaciones de seguridad y TI del gimnasio, dice que no solo hay una justificación de costos en el cambio a la arquitectura consolidada de Palo Alto, sino que su personal esta obteniendo una imagen más clara de lo que está sucediendo, utilizando características como el filtrado basado en la reputación.
La compañía está haciendo uso de la integración de Palo Alto con Active Directory para establecer políticas de control sobre las solicitudes de los empleados, pero su uso "no es tan granular, aun," señala Kwong, señalando que hay una curva de aprendizaje en materia de control de la aplicación. Además, Kwong no cree que su organización aún tenga que migrar completamente al modelo NGFW, ya que la necesidad de controles concientes de las aplicaciones puede no existir en todas las partes de la red o del centro de datos.
El analista de IDC, Kolodgy, señala que esa opinión acerca de los controles basados en aplicaciones es de esperar, advirtiendo, "úselos ilimitadamente hasta que se sienta cómodo con ellos y luego extienda su uso, que es exactamente como fue la transición de IDS a IPS."
Además, aunque el NGFW representa la consolidación de la seguridad, Kwong mantiene algunas reservas al respecto. Kwong indica que también planea continuar con un IPS de código abierto como "un segundo par de ojos", adicionalmente a la funcionalidad IPS de Palo Alto. "Nunca voy a consolidar todo en una caja", dice Kwong, y agrega: "Nunca voy a depender exclusivamente de un solo proveedor".
Y ¿qué pasa con la cuestión de cómo cualquiera de los NGFW se aplica cuando los usuarios no están detrás de un firewall, como al viajar con una laptop o usando un dispositivo móvil?
"Podemos extendernos a la máquina del usuario que no está en la red", señala Chris King, director de márketing del producto de Palo Alto. Palo Alto ya tiene un cliente VPN que puede arrastrar el tráfico de los usuarios al punto NGFW del cliente, pero a principios del año próximo Palo Alto ofrecerá lo que llama su cliente inteligente VPN GlobalProtect, que sabe dónde se encuentra el usuario en el mundo y dirigirá al cliente hacia la puerta de enlace más cercana. "Hay una jerarquía de puertas de enlace que administra una lista de las mismas, así el cliente sabe dónde está la más cercana", agrega King. Esta capacidad permite un cierto nivel de prevención de pérdida de datos, añade.
Palo Alto también ve la posibilidad de hacer la inspección SSL como una gran ventaja para su paquete, lo que abre el tráfico entrante y saliente, con base en un ambiente de confianza donde se comparte un certificado de usuario de escritorio."Nos gustaría abrirla para asegurarnos de que se trata de una aplicación permitida, y luego, volverla a encriptar", explica King.
Ellen Messmer, Network World (US)