Cómo funciona el firewall de inspección de paquetes con estado
El firewall original eran sistemas sin estado que determinaban si permitir o no el paso de un paquete entrante en función de los encabezados del paquete. Podrían bloquear el tráfico hacia/desde ciertas direcciones IP o usar ciertos protocolos de red para que no entren o salgan de la red.
Sin embargo, estos primeros firewall carecían de la capacidad de determinar si un paquete era válido en el contexto de una conexión activa existente. Por ejemplo, la denegación de servicio distribuido (DDoS) envía una solicitud con una dirección IP de origen falsificada a un servicio legítimo, que envía la respuesta a la dirección indicada, enviándola spam con tráfico entrante no deseado. Si bien el contenido de esta respuesta es válido y no puede infringir ninguna regla de firewall, es una respuesta sin una solicitud correspondiente.
Sin embargo, solo es posible determinar esto con el conocimiento de los paquetes anteriores.
El firewall SPI rastrea internamente el estado de las conexiones rojas en función de las direcciones IP de origen y destino y los números de puerto. Esta información identifica de forma única una conexión y permite que el firewall registre su estado actual.
Cuando el firewall ve un nuevo paquete, busca el estado actual de la conexión de red y determina si el paquete es válido o no en el contexto de esa conexión. Esta comprobación adicional, más allá de las reglas firewall empleadas por el firewall sin estado, le permite identificar y bloquear diferentes tipos de ataques, como ataques de amplificación DDoS, análisis ACK y otro tráfico malicioso que no es válido en contexto.
Características clave de un firewall SPI
El crecimiento de SaaS aplicaciones significa que un porcentaje significativo de aplicaciones se comunican a través de HTTPS, lo que limita la efectividad del filtrado de tráfico basado en puertos y protocolos.
El firewall SPI ofrece ciertas características y funciones cruciales para una organización, que incluyen:
- Filtrado dinámico de paquetes: La principal característica diferenciadora entre el firewall con estado y sin estado es el filtrado dinámico de paquetes. La capacidad de rastrear el estado de una conexión roja y permitir o bloquear paquetes basados en ella permite a estos firewalls identificar el tráfico malicioso que un firewall sin estado pasaría por alto.
- Inspección de capas: Algunos firewalls SPI tienen la capacidad de realizar una inspección limitada del tráfico en la capa de aplicación (OSI Layer 7) para reforzar sus capacidades de seguimiento de estado. Esto les permite determinar si un paquete es legítimo en el contexto de una sesión de HTTP, DNS u otra capa de aplicación.
- escalabilidad y rendimiento: La realización de una inspección con estado del tráfico rojo requiere más recursos que una inspección sin estado firewall. El firewall SPI debe tener los recursos necesarios para analizar y proteger el tráfico rojo corporativo a escala, al tiempo que minimiza la latencia y los impactos en el rendimiento.
- Registro y monitoreo: los firewalls tienen una visibilidad vital del tráfico que intenta ingresar o salir del rojo de una organización. El firewall SPI debe proporcionar capacidades de registro y monitoreo para permitir que los equipos de seguridad detecten intentos de intrusiones.
- Integración de seguridad: los firewalls son un componente de una arquitectura de seguridad corporativa. Deben integrar con otras soluciones de seguridad para mejorar las capacidades de prevención de amenazas y simplificar la gestión de la seguridad.
Implementación del firewall SPI en la infraestructura roja
Los firewall se despliegan comúnmente en el perímetro de la red corporativa, dividiendo los entornos corporativos internos de la Internet pública. En algunos casos, un firewall SPI puede incorporar funcionalidad de enrutamiento y actuar como una solución multifunción.
Al seleccionar e implementar el firewall rojo, es importante tener en cuenta las necesidades empresariales de su organización y las características requeridas. Algunas cosas a tener en cuenta incluyen:
- Cortafuegos de última generación (NGFWs): Todos los NGFW ofrecen capacidades de inspección con estado, pero no todos los firewalls SPI tienen la funcionalidad de un NGFW. La mayor gama de capacidades de seguridad integradas de los NGFW los hace más adecuados para identificar amenazas cibernéticas más modernas y sofisticadas.
- Firewall con tecnología IA: La inteligencia artificial y el aprendizaje automático (IA/ML) son adecuados para analizar montones de datos de red y seguridad para identificar posibles amenazas a la red. A medida que la tecnología madure, los NGFW que incorporen IA y ML superarán a sus pares en términos de prevención de amenazas y capacidades de respuesta y eficiencia.
- Capacidades de la nube: A medida que la nube corporativa se expande, las compañías necesitan un firewall capaz de escalar para satisfacer las necesidades de estos entornos que cambian rápidamente. Además, el firewall nativo de la nube puede aprovechar la escalabilidad de la nube para minimizar los impactos en el rendimiento y la latencia de la inspección de seguridad tanto para soluciones locales como basadas en la nube.
Quantum Force - Firewall y seguridad con tecnología IA puerta de enlace
Los NGFW de Check Point Quantum Force ofrecen capacidades de prevención de amenazas impulsadas por IA para identificar y bloquear de manera más rápida y precisa los intentos de ataques contra los activos de TI de una organización. Obtenga más información sobre lo que debe buscar en un NGFW descargando esta guía del comprador.
Con seguridad mejorada por IA e inteligencia sobre amenazas integrada, Quantum Force ofrece prevención de amenazas líder en la industria para el centro de datos, el núcleo empresarial, el perímetro y las sucursales. Para explorar los beneficios de Quantum Force para la ciberseguridad de su organización, aplicar una demostración gratis hoy mismo.
Para proteger sus entornos nube red, aplicar una demostración de Check Point CloudGuard red firewall.
Comentarios