NGFW: ¿Que es y como funciona?
Llevamos varios años escuchando y leyendo mucho sobre NGFW, y conceptualmente tenemos la idea de que se refieren a un Firewall Supervitaminado, si me permitís la expresión 😉
En este post me gustaría contar, ¿ Que es y como funciona un NGFW?
¿ Que es un NGFW ?
NGFW (de sus siglas en inglés: Next Generation Firewall) es, de forma muy resumida, un firewall que es capaz de aplicar control de acceso a nivel 7 (capa de aplicación). Esto significa que estos firewalls entienden las diferentes aplicaciones que generan el tráfico que pasa por ellos, y no se limitan exclusivamente a dejar pasarlo porque tienen una regla de permitir el puerto tcp/80, si no que son capaces de distinguir el tráfico de ese puerto 80 y ver que se tratan de conexiones de Facebook, de Gmail, de Youtube, por poner algunos ejemplos.
Pero un NGFW hace más que eso. De hecho, se trata de un conjunto de funcionalidades de seguridad que en su día estaban en diferentes equipos, y que con el concepto de NGFW se han ido unificando en el mismo equipo: el Firewall. Esto ha sido posible gracias al avance tecnológico de los procesadores y hardware en general, conforme se iba avanzando, se iba dotando de mayor potencia a los firewalls y éstos podían hacer cada vez más cosas.
Si pensamos el motivo sobre porqué se han juntado en el firewall todas esas funcionalidades, resulta casi obvio. El firewall está situado en el punto estratégico de la red: todo el tráfico desde nuestras redes hacia fuera y viceversa, pasa por él. Del mismo modo, el tráfico entre nuestras redes internas, también podrían pasar por él. Es un punto de control ideal para todo el tráfico de nuestra organización, y es lógico que en este punto apliquemos todas las medidas de seguridad necesarias.
Un poco de historia
A nivel personal, la primera vez que escuché lo de Next Generation fue con Checkpoint. Ya en la versión NG R55 AI (que venía a ser Next Generation R55 with Application Intelligence) era una primera y primitiva aproximación hacia lo que es hoy el NGFW. Estamos hablando de que era una versión liberada en 2004 y cuyo Application Intelligence se refería a la implementación de nivel 7 de algunos protocolos, para realizar protocol enforcement. En la siguiente versión, le cambiaron el nombre a NGX R60, y en esta versión se introdujo la funcionalidad Smart Defense, lo que más tarde se renombró a IPS. Creo que hay que reconocerle a CheckPoint el merito de haber innovado y apuntado en esa dirección ya en el lejano 2005.
Porque no fue hasta el 2009, cuando Gartner definió el Next Generation Firewall junto con las características que debería tener, para la gran mayoría de empresas. Esas caracteristicas son tal las conocemos hoy en día.
 |
Esto último me hace pensar el sentido que tiene llamar NGFW a los firewalls hoy en día (2017) cuando prácticamente todos son NGFW. Ya no es un factor diferenciador. Hey Fabricantes !! Creo que ya se ha explotado bastante el término y habría que ir innovando ! |
¿ Qué módulos lo componen ?
Dentro de NGFW se engloban varias funcionalidades, las más importantes son:
 |
Firewall/VPN
Funcionalidad Básica del Firewall (statefull inspection, NAT, ACL, Antispoofing, etc). Normalmente viene asociada con la capacidad de montar túneles VPN (IPSEC, GRE) Site to Site o para permitir el acceso remoto mediante cliente vpn. |
 |
Application Control
Esta funcionalidad permite reconocer las aplicaciones que usan los usuarios. En lugar de permitir o bloquear el puerto HTTP o HTTPS, podríamos permitir todo el tráfico excepto Youtube, Spotify y DropBox (por poner 3 ejemplos). También es muy útil para monitorización ya que se pueden sacar informes de tipo Top Application Usage, Top Category Applications, etc. |
 |
IPS
De sus siglas en inglés Intrusion Prevention System, es una funcionalidad que proporciona al Firewall la capacidad de detectar ataques (tanto de infraestructura como de aplicación), usos indebidos del protocolo de red (violación del protocolo), monitorizar tráfico sospechoso, etc. Esta detección se basa en firmas, son patrones de ataques que el fabricante va liberando según van detectando nuevos ataques. Generalmente estas firmas se actualizan de forma automática, con lo que el equipo suele estar siempre actualizado con las últimas versiones. Hay IPS más avanzados, que a parte de las firmas, detectan escaneos, tiene rate control de conexiones por segundo por IP, blacklisting, etc. Que tenga unas funcionalidades u otras, ya depende del fabricante y su capacidad de implementarlas de forma óptima y eficaz. |
 |
WebFilter
Aunque parezca lo mismo que el AppControl, el concepto es diferente. El WebFilter está orientado a controlar las URLs a los que acceden los usuarios (es una protección de cliente). El fabricante del firewall mantendrá una BBDD (que puede estar en cloud o en local) donde ha categorizado todas las URL en diferentes categorías: Social, Noticias, Bancos, Adultos, etc. Estas categorías pueden usarse para pemitir o dengar el tráfico a las páginas que pertenecen a esa categoría, además de monitorizar y proporcionar al administrador información como cuales son los dominios más visitados, si ha habido tráfico bloqueado por categorías prohibidas, etc. Viene a ser la sustitución del Proxy tradicional. De hecho muchos NGFW traen un servicio de Proxy para ser utilizado como tal. |
 |
Identity Awareness
Esta funcionalidad, la he llamado como CheckPoint, implica que el firewall sea capaz de identificar al usuario que se encuentra detrás de la IP que ha generado la conexión que está analizando. Normalmente, se hace integrándolo con un directorio de usuarios (Active Directory, LDAP, Radius) desde donde leerá la información del usuario y la IP desde la que ha hecho login. También permite hacer reglas de acceso más complejas, en lugar de permitir determinada IP o red, puedes hacer una regla para que el “Departamento de RRHH” pueda acceder a Fecebook o que “Sistemas” pueda usar Torrent. |
Estos serían los más importantes, pero hay muchos más que listo a continuación:
- Antivirus / Antimalware: El Firewall analiza todos los ficheros que pasan por él mediante protocolos como HTTP/HTTPS, FTP, SMTP o POP3. Y los pasa por un motor de antivirus que tiene instalado en local, de forma que si detecta que es un virus, bloquearía el fichero y no lo entregaría al usuario. Adicionalmente puede ofrecer función de antimalware, basado en reputación de ficheros con hash, donde conectado a la nube de seguridad del fabricante, consulta si el hash del fichero es malicioso o no. Incluso, podría conectarse con una SandBox para ser analizado en profundidad en caso de duda.
- AntiSpam: Si se dispone de un servidor de correo tras el firewall, sería interesante tener la protección de Antispam integrada en el propio firewall. Tiene las mismas funcionalidades que los antispam tradicionales.
- QoS: El firewall puede aplicar reglas de QoS: Máx BW, BW garantizado, burstable, rate control, etc al tráfico que pasa por él.
- SSL Inspection: Con esta funcionalidad, se puede romper el túnel SSL de protocolos como HTTPS, e inspeccionar el tráfico cifrado. Se trata de una funcionalidad que carga bastante el equipo, con lo que hay que dimensionar bien el Firewall si se desea usar.
- WAN HA: Algunos fabricantes incluyen esta interesante funcionalidad, que es la posibilidad de que el firewall te balancee entre diferentes líneas de Internet para tener HA de la conexión. Son capaces también de que este balanceo aplique a las VPN o incluso al tráfico entrante.
- Y otras funcionalidades que pueden cubrir aspectos muy concretos: API, Load Balancer, Virtualización, etc.
¿ Que vendrá después ?
Esta es la pregunta del millón: ¿hacia donde apuntan los nuevos Next Generation Firewall ? Como mínimo a éstos sí que tendría sentido llamarlos así 😉
Pues parece que las funcionalidades nuevas se van…a la nube. Y es que el Cloud está cambiando el paradigma de los sistemas de la información. Y los firewalls y la seguridad tienen que estar ahí. Así que preparaos para empezar a escuchar nuevos conceptos como cloud, SDN, automatización, API, etc.
