Los NGFWs y sus limitaciones: la evolución de la evolución

La aparición de los NGFW en el mercado ha supuesto una gran revolución en el mundo de la seguridad. Los antiguos firewalls solo podían llegar a la capa 4, pudiendo filtrar por destino y puerto, supervisar la red y mapear IPs; pero sin poder analizar el contenido de los paquetes, cosa que deja una gran brecha de seguridad que los hackers no dudan en aprovechar para introducir malware en archivos o realizar otro tipo de ataques. Dada esta gran debilidad, pocas empresas utilizan ya este tipo de firewalls: todas han evolucionado al NGFW.

El NGFW permite analizar los paquetes hasta la capa más alta, la 7. Gracias a esto se puede aplicar filtrado por direcciones, tal y como se haría con un firewall antiguo, además de usar elementos inspectores de paquetes para asegurar que estos no contienen ningún malware. Esta tecnología ofrece también la posibilidad de implementar sistemas de prevención de intrusos y visibilidad a través de toda la superficie de ataque. Se puede deducir a partir de todas estas prestaciones que este tipo de firewall será bastante más costoso en comparación con uno convencional, pero cabe recordar que el precio extra que se paga va destinado a un aumento exponencial de la seguridad y a un poder más grande de procesamiento.

Sin embargo, los NGFW no evitan al 100% los ataques a la red, pues todo dispositivo tiene sus limitaciones. Por una parte, se han realizado estudios que demuestran que el rendimiento de dichos dispositivos disminuye drásticamente al tener que procesar el tráfico SSL, hasta el punto de añadir un tiempo de inactividad de la red considerable. Este hecho pone a las organizaciones en un cierto compromiso a la hora de tomar una decisión en el empleo del NGFW únicamente: o se permite que el tráfico SSL eluda el firewall considerando los riesgos de seguridad que esto conlleva o se lidia con una menor disponibilidad de la red llegando a poder interferir con tareas de misión crítica. Por otra parte, el NGFW muestra carencias en cuanto al seguimiento de los usuarios a sus dispositivos se refiere puesto que son incapaces de tomar todos los protocolos específicos de la red y la configuración del proxy en consideración. Así pues, ¿qué alternativas existen hoy en el mercado para que las empresas puedan poner remedio a problemas como los vistos anteriormente? Una posibilidad podrían ser los Secure Web Gateways.

En un primer instante, la diferencia entre los NGFWs y los SWGs puede parecer más bien poca: ambos analizan el contenido entrante y saliente de la red, evalúan la procedencia y el motivo de dicho contenido o trabajan para la seguridad perimetral entre otras. Pero incluso con las funcionalidades adicionales con las que un NGFW cuenta, estos todavía manifiestan limitaciones en su rendimiento como las vistas anteriormente. Muchos SWGs se adaptan para aplicar las características faltantes a las capacidades del gateway sin entorpecer el rendimiento o aumentar la complejidad de la red. Retomando el anterior ejemplo del tráfico SSL, la Plataforma de Gateway Distribuida ofrece la posibilidad de examinar este tipo de datos mientras se identifica el tráfico de prioridad y lo regula según sea necesario, evitando así impactos en la red sobre todo durante las horas de pico de trabajo. Así pues, los SWGs no solo superan a los NGFWs cuando se trata de actuar como portero de la red, sino también ayudan a complementarlos llenando los huecos que siguen existiendo aún después de esta última evolución respecto a los firewalls clásicos, garantizando un enfoque revolucionario por capas para la ciberseguridad de las organizaciones que lo están adoptando.

De cara a la elaboración del proyecto que se debe efectuar en la asignatura de “Gestión y planificación de redes”, se investigará más a fondo sobre la inclusión de los dispositivos vistos valorando cuáles podrían ser los aspectos a tener en cuenta y se os mantendrá informados sobre los avances realizados en posteriores entradas. ¡Muchas gracias por vuestro tiempo empleado en leernos!

Arturo Moseguí y Enric Sasselli