A nivel de usuario, también se puede utilizar un firewall en PC y Mac para proteger ese terminal específico. Estos firewalls basados en host a menudo están integrados en el propio sistema operativo de una computadora. Por ejemplo, las PC con Windows están protegidas por el firewall de Windows, que forma parte del conjunto de herramientas de seguridad de Windows Defender integradas en el sistema operativo por Microsoft.
Estos firewalls de terminal complementan el firewall rojo que implementan las empresas para evitar que contenido malicioso ingrese a sus redes internas. Si bien un firewall de red puede ser más poderoso, puede carecer de información sobre las necesidades de un sistema en particular o sobre los flujos de tráfico internos dentro de la red. Un firewall de escritorio se puede ajustar para brindar protección específica a una computadora en particular y filtrar todo el tráfico que ingresa y sale de la máquina. Esto puede permitirle protegerse contra amenazas internas como el malware que se mueve lateralmente a través de la red de una organización.
Cortafuegos de escritorio 101
En realidad, un firewall personal o de escritorio funciona de manera similar a uno a nivel de red. Dos conceptos importantes que se deben comprender con respecto al firewall de escritorio son las diferencias entre el tráfico entrante y saliente y las distintas zonas de confianza.
Conexiones de red entrantes y salientes
El nivel más básico de filtrado que puede realizar un firewall es bloquear la entrada o salida de ciertos puertos o protocolos a la computadora. Al igual que un sistema de correo electrónico corporativo, una computadora puede tener varias direcciones de comunicación o puertos diferentes. Algunos pueden estar destinados solo al acceso interno, mientras que otros están diseñados para ser de cara al público (como el soporte de una empresa y las direcciones de correo electrónico de contacto).
Un firewall de escritorio solo puede hacer que un pequeño conjunto de sus puertos esté disponible para sistemas externos para dar servicio a la aplicación que escucha en un puerto en particular. Por ejemplo, es común permitir la comunicación en los puertos 80 (HTTP) y 443 (HTTPS) en un servidor web porque estos son los puertos estándar para el tráfico web.
La decisión de qué puertos permitir el paso o bloqueo depende en gran medida de la dirección en la que fluye el tráfico:
- Tráfico entrante: El tráfico entrante es el tráfico que ingresa a la computadora. Para el tráfico entrante, los firewalls generalmente tienen una política DEFAULT_DENY, lo que significa que el tráfico se bloquea a menos que las políticas firewall estén configuradas de otra manera (como permitir el tráfico del puerto 80 o 443 para un servidor web).
- Tráfico saliente: El tráfico saliente es el tráfico que sale de la computadora. Para este tráfico, el valor predeterminado es DEFAULT_ALLOW, lo que significa que todo el tráfico puede pasar a través del firewall a menos que las políticas indiquen lo contrario. Por ejemplo, se puede configurar una política de firewall para permitir solo el tráfico SSH a direcciones particulares.
Si bien un firewall de escritorio tiene políticas predeterminadas, se pueden cambiar para reflejar las necesidades únicas de la computadora y su usuario.
Zonas de confianza frente a zonas no confiables
Otro concepto importante respecto al firewall personal es el de zonas de confianza. El firewall del terminal se puede configurar para que tenga diferentes políticas dependiendo de la red a la que estén conectados. Esto es una ventaja con dispositivos móviles y portátiles, que pueden moverse con frecuencia entre diferentes redes wifi.
Si conectó una computadora a una nueva red wifi, probablemente ya haya tomado una decisión sobre las zonas de confianza. Cuando Windows pregunta si una red debe tratarse como pública o privada, esto es lo que quiere decir. En una red doméstica privada, las reglas de política de firewall serán más permisivas que en una red pública, por ejemplo, una red wifi en una cafetería local. Esto hace posible acceder a archivos compartidos y otros recursos en redes privadas confiables, pero bloquear estas conexiones potencialmente peligrosas en las públicas.
Gestión de reglas de políticas de firewall
Las políticas predeterminadas de un firewall están diseñadas para adaptarse a la mayoría de los casos, pero no son perfectas para todos los escenarios. Es posible que un individuo u organización necesite modificar las políticas de un firewall de escritorio para mejorar su seguridad o usabilidad.
Se puede configurar un firewall de terminal para que sus reglas de política se administren de manera centralizada o desde el dispositivo. En el primer caso, una organización puede establecer la configuración de la política de firewall para que se ajuste a la política de seguridad corporativa y hacer imposible que los usuarios la modifiquen.
En este último, los usuarios tienen control total sobre cómo se configura su firewall personal. En general, es mejor dejar la configuración predeterminada a menos que exista una necesidad legítima de no hacerlo (como ejecutar un servidor web en un dispositivo). Cada puerto abierto en una computadora crea otro vector de ataque potencial.
Cinco protecciones imprescindibles para terminales
Un firewall es una parte esencial de la estrategia de protección de red de una organización; sin embargo, un firewall por sí solo no es suficiente para proteger contra las amenazas a la ciberseguridad. Cinco capacidades imprescindibles para una solución de seguridad de terminales incluyen:
- capacidades contra el phishing
- Protecciones anti-ransomware
- Content Disarm and Reconstruction (CDR)
- Protecciones Anti-Bot
- Detección y respuesta automatizadas después de la violación
La solución de seguridad de terminales Check Point SandBlast Agent puede ayudar a proteger el terminal de una organización contra amenazas de ciberseguridad. Para obtener más información sobre SandBlast Agent, contáctenos. También puede solicitar una demostración para ver SandBlast Agent en acción.
Comentarios