Next Generation Firewalls: Eligiendo el futuro

Hace ya un tiempo ví un artículo de Gartner haciendo referencia de los next generation firewalls y al principio pensé que era otro recurso marketiniano para denominar nuevas funcionalidades o roles de los Paloalto Networks. No obstante, el mercado ha reaccionado sacando producto al mercado confirmando la apuesta de Nir Zuk, el producto se llama Checkpoint Application Control Software Blade. Sí, podemos considerar que es la amenaza más seria de los PAN. En este sentido, y debido a la arquitectura distribuida y la política de precios de CP es caro y de momento poco madura.


 Pero, volviendo a lo que nos ocupa, podríamos establecer una ruta evolutiva de los firewalls, teniendo el primer gran salto que hubo. Sistemas multipropósito vs sistemas monopropósito Firewalls,  ¿qué es lo diferencia un firewall convencional de uno considerado de nueva generación?
Para conocer la respuesta, voy a contestar con otra pregunta: Que diferencia un linux con IPTABLES de un firewall? Las respuestas pueden ser múltiples, pero algunas serías:

1. Iptables filtra tráfico de una dirección ip o red a otras IPs o redes en función del puerto(Capa 4). 
2. Las reglas son unidireccionales, por lo que aquellas aplicaciones que aunque conocido el comportamiento, no funcionarían de no habilitar la regla que permita la respuesta del otro sistema.
3. Solo aporta filtrado de conexiones hasta capa 4 (IP y puerto), no inspecciona el tráfico en búsqueda de virus, de malformaciones de paquetes, de utilización errónea del protocolo, no permite filtrar en función de categorización de URLS.
4. Muchas veces los procesos de NAT no están soportados o están limitados en utilización.
5. No implementa servicios adicionales perimetrales, como VPNs o QoS...etc

Y habría una larga lista de otras diferencias pero el resumen sería que es IPTABLES es una solución básica, no escalable e insuficiente en funcionalidades, teniendo en cuenta la evolución de las comunicaciones. Así que hasta ahora, se consideraba aceptable que:

• Los firewalls actuales, requieren de un conocimiento previo de la red y luego se pueden personalizar para cumplir con su cometido.
• Los firewalls actuales, han simplificado las reglas haciéndolas bidireccionales con la tecnología statefull. Algunos se basan el el puerto habilitado y otros inspeccionan los primeros bytes para identificar la aplicación, por ejemplo http.
• Casi todos los firewalls actuales, incorporan algunas o todas estas funcionalidades auxiliares: firmas de IPS, control de uso de los protocolos mediante ALG, antivirus, categorización de URLs, protocolos de enrutamiento dinámico, antispam, VPNs IPSEc y SSL, QoS. En este caso se denominan Unified Thread Management.
• Los UTM que han incorporado una serie de funcionalidades que permiten inspeccionar, filtrar, modificar los paquetes pero con un rendimiento pobre y lo que es peor, con limitaciones debido a los flujos de procesos que atraviesa el paquete para poder ser tratado. 
• Si un UTM, tiene una regla que permite el tráfico http por el puerto 80 contra un servidor que tenemos en la DMZ. El flujo que tiene que seguir el paquete seria, primero entra en el proceso de ACLS, luego pasa al proceso de detección de aplicación, luego al proceso enforcement de protocolo, luego pasa al proceso de NAT con el que ha sido publicado el servidor, después se le aplica la limitación por cliente de QoS, y finalmente al de enrutado a la DMZ y switching para entregarlo al servidor.
• Todo esto, debe ser procesasado, y el paquete reserva un espacio en memoria, por lo que los recursos del firewall UTM se ven rapidamente comprometidos y la latencia de entrega del paquete suele ser alta.

Bien, ahora ya hemos repasado todas las bondades de los cortafuegos actuales, pero entonces ¿qué más necesitamos en la securización de nuestras infraestructuras?

1. Identificar las aplicaciones de forma fiable, de forma que no se puedan aplicar técnicas de ofuscación de IPs, de tunneling o enmascaramiento. Este es el principal problema de los actuales firewalls. Y por otra parte, que las reglas se creen en función de la aplicación, no en función de puertos como hasta ahora.
2. Identificación de las personas detrás de las conexiones. De forma que podamos crear reglas inteligentes para un usuario móvil,o un usuario con múltiples dispositivos.
3. Disponer de la foto en tiempo real de que tráfico tenemos en la red. Eso quiere decir disponer de un cuadro de mandos que nos diga, que aplicaciones se reparten el ancho de banda, que usuarios son los que están detrás, si mi red esta bajo ataque, que documentos están siendo intercambiados, tengo fuga de información sensible????
4. A partir de información real del comportamiento de la red, filtrar por usuarios, por aplicaciones o por partes de las mismas. No solo por IP o puertos.
5. Tener todas las respuestas, y un único punto donde mirar cuándo algo raro pasa. 
6. Poder registrar y controlar la fuga de información para cualquier aplicación que pueda extraer estos datos. No solo web y correo. Por ejemplo, post en el Facebook, un tweet o un fichero intercambiado por skype.
7. Poder tener activados todos los filtros del tráfico, sea antivirus, ALG o firmas de ataques.
8. Poder hacer cumplir la utilización de los recursos de la empresa mediante filtrado en función de categorización de contenidos.
9. Y hacer todo esto sin latencia, ni colapsos del sistema, y sin tener en cuenta las posibles incompatibilidades entre funcionalidades debidos a los flujos.

En resumen, los firewalls actuales tratan de controlar algo que no entienden. Vamos que sería como ponerse en una frontera y fiarte únicamente de los pasaportes que te entregan ya que no entiendes ni una palabra de las personas que cruzan. Por lo que los firewalls de nueva generación, primero entienden el porqué y el quien, lo analizan y después lo dejan pasar.
HTH
RobClav