Los cortafuegos o firewall se entendieron como necesarios cuando los administradores de sistemas de Internet se dieron cuenta de que eran atacados con frecuencia. Entonces se vio que era inevitable algún tipo de proceso que analizara el tráfico de la red en busca de señales de atacantes.

Se atribuye a Steven M. Bellovin de AT & T el uso del término firewall para describir el proceso de filtrado del tráfico de red no deseado, aproximadamente en 1987. El nombre era una metáfora, comparando el dispositivo con particiones que mantienen un fuego que migra de una parte de una estructura física a otra. En el caso de las redes, la idea era insertar un filtro entre la red interna aparentemente segura y cualquier tráfico que ingrese o salga de la conexión de esa red a Internet en general.

cortafuegos informaticos

El firewall ha evolucionado de varias maneras para producir diferentes tipos. Hay cinco tipos de firewalls clave, pero el número exacto de opciones no es tan importante como la idea de que diferentes tipos de productos de firewall realizan cosas bastante diferentes.

Una cosa a tener en cuenta es que todos los firewalls, independientemente de los tipos particulares de firewalls que existen, están para hacer algo que es discutiblemente imposible. Se insertan online a través de una conexión de red y examinan  todo el tráfico que pasa por ese punto. Mientras lo hacen, tienen la tarea de decir qué tráfico es benigno y qué tráfico es parte de un ataque.

Un programa de ordenador que generalmente puede ver una serie de instrucciones informáticas y determinar su intención se ejecuta en una tesis fundamental de la informática, es decir, que no puede existir un programa de ordenador que pueda predecir perfectamente el resultado de otro  sin ejecutarlo para ver que hace. Por extensión, no es posible generalmente observar el tráfico de la red y discernir su intención.

Sin embargo, es completamente posible buscar patrones conocidos en los paquetes de datos de red que señalan ataques que se han visto anteriormente, y esto es precisamente lo que hicieron los primeros cortafuegos de red de filtro de paquetes, y aún lo hacen. Generalmente, cualquiera que sea el tipo de firewall implementado en una red, se implementa con un conjunto constantemente actualizado de reglas de firewall que definen los criterios bajo los cuales un paquete determinado (o un conjunto de paquetes en una transacción) puede enrutarse de manera segura al dispositivo destinatario previsto.

Tipos de firewall

Existen cinco tipos de firewalls que han jugado roles significativos a medida que la categoría de firewall ha evolucionado:

Cortafuegos de filtrado de paquetes

Este, el tipo de firewall original, opera en línea en puntos de unión donde los dispositivos como enrutadores e interruptores hacen su trabajo.

Sin embargo, este firewall no enruta paquetes, sino que compara cada paquete recibido con un conjunto de criterios establecidos, como las direcciones IP permitidas, el tipo de paquete, el número de puerto, etc. Los paquetes marcados como problemáticos son, en términos generales, desechados, es decir, no se reenvían y, por lo tanto, dejan de existir.

Pasarelas de nivel de circuito

Utilizando otra forma relativamente rápida de identificar contenido malicioso, estos dispositivos monitorean los protocolos de enlace TCP en la red, ya que se establecen entre los hosts locales y remotos para determinar si la sesión que se inicia es legítima, independientemente de si el sistema remoto se considera de confianza. Sin embargo, no inspeccionan los paquetes.

Cortafuegos de inspección de estado

Los dispositivos con reconocimiento de estado, por otro lado, no solo examinan cada paquete, sino que también hacen un seguimiento de si ese paquete es parte de una sesión TCP (Protocolo de Control de Transmisión) establecida. Esto ofrece más seguridad que el filtrado de paquetes o la simple monitorización de circuitos, pero genera un mayor impacto en el rendimiento de la red.

Otra variante de la inspección con estado es el firewall de inspección multicapa, que considera el flujo de transacciones en proceso a través de múltiples capas del modelo de siete capas de interconexión de sistemas abiertos ISO.

Pasarelas de nivel de aplicación

Este tipo de dispositivo, técnicamente un proxy, y a veces denominado firewall proxy, combina algunos de los atributos de los firewalls de filtrado de paquetes con los de las pasarelas de nivel de circuito. Filtran los paquetes no solo de acuerdo con el servicio para el que están destinados, como lo especifica el puerto de destino, sino también por otras características, como la cadena de solicitud HTTP.

Si bien las puertas de enlace que se filtran en la capa de aplicación proporcionan una seguridad de datos considerable, pueden afectar de forma importante al rendimiento de la red.

Firewalls de próxima generación

Un producto típico de próxima generación combina la inspección de paquetes con la inspección de estado, pero también incluye una variedad de inspección de paquetes más a fondo.

Lo que se entiende por inspección a fondo de paquetes depende en gran medida del proveedor en cuestión, pero el meollo del asunto es que, mientras que la inspección de paquetes en firewalls tradicionales se centra exclusivamente en el encabezado del paquete, la inspección profunda de los mismos analiza los datos reales que el paquete contiene. Por lo tanto, dicho cortafuegos podría rastrear el progreso de una sesión de exploración web y observar que la carga útil de un paquete, cuando se ensambla con otros paquetes en una respuesta del servidor HTTP, no constituye una respuesta formateada HTML legítima.

Cualquiera que sea el tipo de firewall que elija, tenga en cuenta que un firewall mal configurado puede, de alguna manera, ser peor que no disponer de firewall, ya que ofrece una impresión de seguridad peligrosa, y no proporciona prácticamente nada.