Firewall por hardware: el sistema externo de seguridad

Los cortafuegos o firewall están interiorizados dentro del vocabulario de los adeptos a la informática y son, también, un concepto clave de seguridad, pero ¿qué es exactamente un cortafuegos? La primera respuesta surge rápidamente: un firewall es un sistema de defensa que protege a un ordenador o a la totalidad de una red informática de accesos externos indeseados.

Naturalmente, si se quiere describir y entender en profundidad las características de estos sistemas de seguridad no vale quedarse aquí. Los sistemas de cortafuegos están basados en un componente de software, cuyo lugar de instalación revela si se trata de un firewall personal o de hardware. El primero, también conocido como cortafuegos de escritorio, es la herramienta de defensa más conocida en los ordenadores privados, mientras que el segundo es el encargado de la seguridad de las redes informáticas. A continuación, te explicamos cuáles son sus diferencias y cuáles son los métodos de seguridad utilizados para la protección de los sistemas informáticos.

La principal diferencia entre las dos opciones de firewall son los componentes utilizados: un cortafuegos personal es una solución de software que se instala en el equipo al que tiene que proteger y se encarga de controlar el tráfico entre el ordenador y su red. En algunos sistemas operativos, como Windows, están incluidos por defecto.

Por el contrario, el hardware para firewall o cortafuegos externo hace referencia a una combinación de componentes de software y hardware localizada entre diferentes redes de ordenadores y que supervisa el tráfico de datos entre estas (por esto se suele hablar de firewall por hardware o de red). En otras palabras, un cortafuegos por hardware es un dispositivo autónomo que conecta diferentes redes gracias a una interfaz de red integrada. Este dispositivo tiene instalado un software que le permite controlar el tráfico y, en algunos casos, un sistema operativo.

Los firewall por hardware son mucho más complejos que los cortafuegos personales. Esto los convierte en una solución de seguridad más cara, pero también, mucho más estable. Debido a que el software no se ejecuta dentro del sistema que protege, no puede ser manipulado fácilmente. Cuando un cortafuegos personal es inhabilitado o desactivado, el sistema queda indefenso, muy a menudo sin que el usuario se dé cuenta. Un ataque similar a un cortafuegos por hardware produce automáticamente una caída total en el dispositivo, lo que bloquea automáticamente el tráfico entrante y saliente hasta que sea reiniciado.

El aumento en la seguridad es la razón principal por la que los firewall por hardware son la solución preferida e idónea para grandes centros de datos y sistemas informáticos que requieren una protección integral. Como consecuencia, no es raro que el tráfico de datos sensibles de, por ejemplo, bancos y redes corporativas (con o sin servidor) sea supervisado por robustos y profesionales cortafuegos por hardware. Por otro lado, instalar un cortafuegos de escritorio en cada uno de los ordenadores de una red aumentaría el riesgo de accesos y manipulaciones externas, y tendría además, un coste más elevado, requiriendo la instalación, configuración y adquisición de licencias individuales para cada equipo.

Los cortafuegos personales son ideales para el uso privado en el ordenador de casa, pues pueden instalarse económica y rápidamente y ser configurados por usuarios sin experiencia en general. Las necesidades de las empresas más pequeñas con redes de computadoras en un número manejable pueden ser cubiertas con la implementación de cortafuegos de escritorio siempre y cuando sean configurados correctamente. Lógicamente nunca está de más prevenir. Los cortafuegos personales son un complemento adicional muy útil para los firewall por hardware, por lo que si se cuenta con el presupuesto y el capital necesarios, deberían ser igualmente implementados.

Los cortafuegos por hardware resultan de gran utilidad en aquellos entornos de intercambio de datos sensibles. Por lo general, protegen una red conectada a Internet o una red privada cuya manipulación por parte de terceros sea potencialmente peligrosa. La configuración personal de un firewall por hardware solo requiere instalar el software correspondiente en el dispositivo, con lo que se reforzará la protección del sistema operativo haciéndolo casi invulnerable a ataques externos. La invulnerabilidad del sistema se logra en la medida en que solo se utilizan los programas estrictamente necesarios para el sistema operativo. Sin embargo, resulta más sencillo utilizar un sistema combinado de hardware, un sistema operativo reforzado y un software de cortafuegos. Entre estas combinaciones se distinguen los siguientes tres tipos:

• Bridging firewall: en este modelo, dos segmentos de red físicamente separados se conectan entre sí en la capa de enlace de datos (capa 2) del modelo OSI, lo que hace que el cortafuegos sea casi invisible e intocable. Los datos entrantes y salientes solo se trasmiten cuando se encuentran en esta misma capa. A diferencia del típico modelo de puente, el bridging firewall puede acceder a capas superiores del protocolo para filtrar direcciones IP y puertos.

• Routing firewall: los cortafuegos del enrutador son el tipo más común de cortafuegos de hardware y se utilizan en casi todos los dispositivos para el uso privado, como por ejemplo routers DSL. En comparación con el bridging, este modelo de cortafuegos trabaja directamente en la capa de red (capa 3) o en alguna superior, por lo que filtra las direcciones IP y los puertos directamente. Como consecuencia, es más visible dentro de la red, lo que facilita posibles ataques externos.

• Proxy firewall: aquí, el firewall actúa como un proxy entre la red de origen y de destino. Los sistemas no se conectan directamente entre sí y, por lo tanto, no reciben ningún paquete creado desde el sistema de destino. Con este tipo de modelo es muy difícil que un atacante encuentre, por ejemplo, la red corporativa protegida. Debido a que los cortafuegos de aplicación, como también son conocidos, operan en la capa de aplicación (capa 7), pueden tomar decisiones de seguridad mucho más específicas que los modelos anteriores. Sin embargo, su uso implica sacrificar el rendimiento y su configuración requiere mucha experiencia.

El filtrado de paquetes juega un papel fundamental dentro de la operación de cada uno de los cortafuegos de hardware. Para ello, el firewall se configura manualmente de acuerdo a unas normas para saber qué paquetes debe dejar pasar y cuáles no. El filtrado tiene lugar en las capas OSI 3 y 4, es decir, la capa de red y la capa de transporte, donde comprueba las propiedades de los paquetes al tomar el encabezado de cada protocolo. Dependiendo de las normas, las direcciones IP o los puertos exactos, por ejemplo, serán permitidos o bloqueados.

Con el modelo de puente anteriormente mencionado o con un conmutador, que representa una extensión del primero, el filtrado de paquetes se puede realizar en la capa de enlace de datos, es decir, la segunda capa del modelo OSI. Con este, el filtrado de paquetes no se basa en direcciones IP, sino en direcciones MAC, que se utilizan para el direccionamiento del hardware.

Por extensión, los cortafuegos también pueden realizar filtrado de paquetes con métodos de verificación basados en seguimiento de estado (Stateful Packet Inspection, SPI). Para ello, el proceso de filtrado tiene lugar en la capa 3 y 4, así como en la capa de aplicación (capa 7), incluyendo los datos intercambiados. A diferencia de los proxy firewall, que también tienen acceso a la séptima capa de aplicación, la técnica SPI no permite modificar estos datos.