Firewall tradicional vs NGFW (Next Generation Firewall) vs UTM (Unified Threat Management)
Como bien sabemos, el objetivo principal de cualquier dispositivo de protección perimetral es crear una barrera de aislamiento que realiza un filtrado en la transmisión de tráfico y de esta forma impedir comunicaciones no deseadas entre la red que protegemos y otras redes internas o externas.
Para llevar a cabo este propósito, existen multitud de dispositivos con diferentes nomenclaturas (Firewall, NGFW, UTM) y de multitud de fabricantes, cada uno con unas características y cualidades que pueden ser en algunos casos bastante diferenciadoras.
Ante esta cantidad de fabricantes y dispositivos es complicado diferenciar que tipo de producto es el apropiado para cada organización cuando es necesario implementar un sistema de protección perimetral.
Antes de continuar con la definición y características de estos tres tipos de protección es importante comentar que las diferencias entre los Firewalls de Nueva Generación (NGFW) y los Sistemas Unificados de Amenazas (UTM) son bastante difusas, depende mucho de la nomenclatura que cada fabricante quiera dar a su producto, en algunos casos es difícil diferenciar entre ellos.
En general, se suele decir que los NGFW al completar sus características con diferentes appliances o componentes están más indicados para para grandes empresas en las que es necesario disponer de diferentes escalabilidades para cada uno de los módulos, mientras que los UTM, al encontrarse todas las características en el mismo sistema, en principio, no se suelen implantar en empresas de gran tamaño. En cualquier caso, siempre hay excepciones basadas en el tráfico que hay que gestionar, o características de cada infraestructura.
Para intentar despejar algunas de estas dudas vamos a explicar de una forma breve que son los firewalls tradicionales, los NGFW y los UTM.
Firewalls tradicionales
Un firewall tradicional está diseñado para controlar el flujo de tráfico entrante y saliente de la red corporativa basándose en su puerto de origen/destino, protocolo y dirección IP.
Las funciones principales de los firewalls tradicionales son:
- Filtrar los paquetes de forma que solo garantiza la entrada y salida de los paquetes que no coincidan con firmas de ataques conocidos.
- Dar soporte a conexiones VPN para garantizar conexiones cifradas y seguras a través de internet.
- Inspección de estado (stateless o statefull): De forma sencilla, la inspección de estado de tipo stateless es cuando el firewall solo es capaz de analizar paquetes de forma individual y no es capaz de analizarlos viéndolos como conjunto. Actualmente todos los firewalls son statefull, por lo que si son capaces de ver todos los paquetes como un conjunto y analizarlos.
Este tipo de sistemas de protección ya son poco efectivos ante las nuevas amenazas y no están indicados para la protección empresarial. Prácticamente cualquier router doméstico dispone de características de firewall tradicional
Next Generation Firewalls (NGFW)
Esta gama de firewalls va un poco más allá de las funciones que tienen los firewall tradicionales, añadiendo funcionalidades como detección de aplicaciones (en capa de aplicación), antivirus de red, detección de intrusos (IDS), prevención de intrusos (IPS) y una de las funciones más importantes que es inspección en profundidad de paquetes (DPI) junto con inspección en profundidad de paquetes SSL (DPI SSL). Esta última es muy importante ya que le permitiría al NGFW analizar el tráfico de conexiones cifradas con SSL en busca de firmas de ataques conocidos.
Aparte de estas nuevas funcionalidades, los NGFW también permiten crear políticas de control de acceso de forma más dinámica y eficiente.
Vistas las funcionalidades en general, entendemos que los NGFWs son firewalls especializados en el análisis en profundidad de paquetes, inspección de protocolos y puertos.
Muchos de los fabricantes de sistemas de protección actuales encajan en este tipo de sistema y en la mayoría de los casos, para completar las funcionalidades de estos firewalls, estos fabricantes suelen disponer de diferentes módulos, normalmente licenciados aparte, que amplían sus funcionalidades (Protección de correo electrónico, WAF, DLP, etc).
Unified Threat Management (UTM)
Estos elementos de protección perimetral que seguirían clasificándose con la “etiqueta” de firewall de nueva generación, se caracterizan en que converge en un solo dispositivo muchas funcionalidades distintas con una consola de gestión centralizada.
Por lo tanto, un UTM tendría prácticamente las mismas funcionalidades que tiene un NGFW pero con funciones adicionales, pudiendo así cubrir todas las necesidades en cuanto a protección perimetral.
Dependiendo de cada fabricante, algunas de las características que completan un NGFW y lo convierten en un UTM completo son:
- Protección de correo electrónico
- Firewall de aplicaciones WEB (WAF)
- Controlador de redes Wifi
- Ejecución de malware en Sandbox
- Reglas basadas en el estado del Endpoint.
- DLP
Elegir la mejor opción para tu empresa
No cabe duda de que todas las empresas actualmente deben de tener una protección perimetral acorde a las amenazas que en estos momentos “rondan el ciberespacio”. Como se ha comentado con anterioridad, un firewall tradicional no cumple con esta protección básica por lo que es necesario que planteemos desde un principio que necesitamos de características más avanzadas.
¿Porque abordar un cambio?
Necesidad de protección:
Es posible que tras haber leído este artículo llegues a la conclusión de que necesitas un NGFW o un UTM ya que ya eres consciente de que tu empresa, como todas las demás, se ve amenazada a diario por hackers, malware, Phishing, SPAM, Scammers, empleados descontentos, etc… y un firewall tradicional no es suficiente.Pero… ¿Es mejor un NGFW o un UTM?, bueno, en realidad la clave aquí no es cual es mejor, si no cual se adapta mejor a las necesidades de tu compañía. ¿Ya dispones de otros sistemas de protección? ¿Tienes un alto volumen de tráfico que gestionar? ¿Qué escalabilidad necesitas? ¿Qué tipo de información queremos proteger? Estas y otras muchas preguntas son las que hay que hacerse para determinar que sistema se adapta mejor a nuestra empresa.
Es por ello por lo que, es necesario realizar un análisis para cada una de las situaciones y tomar la decisión más adecuada para cada una de ellas.
Nuevas Funcionalidades:
Según en qué fabricante confíes tu seguridad perimetral, te encontrarás más o menos características tanto en NGFW como con un UTM. Todas estas funcionalidades ya distan mucho de sistemas de protección de hace 7 u 8 años, la tecnología de protección a avanzado enormemente para poder hacer frente a las nuevas amenazas que han ido surgiendo. De nuevo, por ello, es conveniente buscar un producto que se adapte a las necesidades de tú negocio, de tú infraestructura y del tipo de información que queremos proteger.
Poder realizar políticas basadas en usuarios, aislar dispositivos que tenga una infección por malware, disponer de políticas dinámicas que cambian a lo largo del día, inspección de tráfico cifrado, análisis de correos electrónicos, portales cautivos de autenticación, políticas de IDS/IPS avanzadas, sistemas de generación de informes, filtrado de aplicaciones, y un largo etcétera son algunas de las funcionalidades que actualmente presentan estos sistemas.
Correcta y minuciosa parametrización:
Los sistemas de protección perimetral, aunque llevan en el mercado unos 30 años, son de los sistemas que se deben de implantar y configurar de forma más minuciosa y por equipos especialmente formados para ello. Uno de los escenarios que más nos encontramos cuando hacemos un pentesting o cuando vamos a configurar un NGFW/UTM es que el que está implantado en la compañía a la que vamos a dar a servicio, a pesar de ser de un fabricante reconocido y haber hecho una importante inversión económica, es que está con una configuración extremadamente laxa, en algunas ocasiones permitiendo todo el tráfico entre redes internas, con muchas características de seguridad deshabilitadas, sin generar ningún tipo de alertas en caso de incidente y otras muchas mal-configuraciones que hacen que a nivel práctico ese dispositivo sea equivalente a un firewall tradicional o en el mejor de los casos a un router “vitaminado” si tiene algo de parametrización.
Esto puede pasar por varios motivos tales como:
- El presupuesto para el cambio era limitado y se da más importancia a un fabricante en concreto que las manos y cabezas que realizan la implantación. Incluso haciendo que en algunos casos el sistema este sobredimensionado para nuestras necesidades.
- Evitar problemas de comunicación ya que la implantación de un NGFW/UTM implica “cerrar muchas puertas” y según como de compleja sea la infraestructura se deberán de dedicar muchas jornadas a su correcta parametrización.
- El equipo encargado de realizar la implantación no son expertos de ciberseguridad y por lo tanto no están tan familiarizados con gran parte de las amenazas y nuevas técnicas de intrusión y como la correcta parametrización de las diferentes características evitan que nuestra compañía sea víctima de estas.
En conclusión, le recomendamos que para elegir el dispositivo más acorde a su empresa cuente con la opinión de un experto que pueda orientarle en base a las cuestiones expuestas con anterioridad. Para ello desde Global Technology estaremos encantados de asesorarle en estas y en otras cuestiones relativas a la protección de la información de su compañía.
Somos una compañía especializada en Seguridad, Ciberseguridad e Inteligencia empresarial, que mediante los últimos avances tecnológicos, garantizamos la seguridad y confianza que nuestros clientes necesitan.