miércoles, 13 de mayo de 2015

UTM o FIREWALL? Crecimiento horizontal o vertical?

Estimados amigos de Inseguros.

En el episodio de hoy vamos a debatir sobre estos dos equipos de seguridad, sobre sus ventajas, inconvenientes, tendencias, etc.

Todos los que estáis en esta página sin ser un fallo de Google sabéis que es un firewall. Un equipo software o sobre un hardware dedicado que se encarga de establecer reglas de conexión entre dos sistemas o redes. Por ejemplo, la red local de tu empresa e Internet.

La gestión de reglas básicas de entrada y salida proporciona configuración a nivel de capa física-red.

Si queremos ampliar el nivel de detalle de esa configuración tenemos los firewall´s de segunda generación o de estado. Por ejemplo, sin tenemos un paquete ACK del hanshake TCP sin tener previamente un SYN, podemos detectarlo.


Por último tenemos los firewall´s a nivel de aplicación. En ellos podemos configurar acciones en base al paylod del paquete.

1 generación.-   PORT 80 open.
2 generación,- PORT 80 open tcp max connecions=5/seg.
3 generación-. PORT 80 open, DROP "union" in url.

Vale bien, y con esto estamos protegidos? Ahora vamos a describir por encima que sería una solución UTM o Unified Threat Management. Como su traducción nos podría hacer entender, se trata de un sistema de gestión de amenazas unificado.

Por lo general se presentan bajo un appliance, físico o virtual, y un único software de control para todos los servicio que nos permite. Cuales son estos servicios, pues suelen ser:
  • Firewall de última generación.
  • Acceso a redes remotas-VPN. Hoy en día el perímetro de nuestras empresas se extiende más allá de las barreras geográficas de la empresa, por lo que debemos contar con un mecanismo sólido que gestione las conexiones desde fuera de la empresa. Podemos hacerlo mediante un UTM o con servicios dedicados.
  • AntiSpam. Soluciones de este tipo obligatorias en empresas en las que se cuente con un servicio de correo propio. Bajo mi punto de vista, prefiero un software/hardware dedicado, mejor en el mismo servidor de correo.
  • Antiphising.
  • Content Filtering. Evitar el acceso a página que contiene la palabra "gatitas" .
  • IDS-IPS
  • Antivirus.
  • Servicios externos blacklist.
  • Monitorización de ancho de banda/disponibilidad.
  • Frontal File Server.
  • Data Lost Prevention. Suele basar su funcionamiento en el análisis del tráfico de salida, detectado ficheros PDF, DOC, y similares, los ficheros que podrían usarse para extraer información confidencial. 
  • Etc.
Todo muy interesante. Seguramente no tengas todos los servicios que nos ofrece un UTM, en un equipo hardware o software, por el precio de un servidor pequeño. Yo he trabajado desde equipos de 1500€ en adelante.

Seguramente estarás pensando en que con estos servicios y el precio, no tiene sentido invertir el mismo precio para un único aparato que hace de Firewall.

Como todas las novedades, el UTM está de moda. Como con todas las modas, debemos elegir bien en que "camino" posicionarnos. 

Debemos evaluar nuestra solución actual e intentar definir la estrategia a 5 años. Por ejemplo, durante muchos años se usó el crecimiento horizontal. Teníamos un equipo, necesitábamos más potencia, añadíamos otro y montabamos un cluster activo-activo, un balanceador, el famoso grid computing que tanto proclamó Oracle hace unas versiones.

Se huía del entorno antiguo mainframe en el que teníamos un mega-equipo, y cuando se nos quedaba pequeño comprábamos otro mega-equipo, y el obsoleto se vendía como chatarra...

Vamos a poner un ejemplo en el que contamos con un firewall de segunda generación ( no el router del ISP) que compramos hace 5 años, y que tiene suficiente throughput para mantener las conexiones. Realiza filtrado de capa 3 y poco más. Estás contento con el? necesitas más servicios? seguro que si, por lo que un equipo dedicado, por ejemplo, a la detección de intrusos, que "reenvíe" las acciones de bloqueo a nuestro firewall también sería una buena solución. Tendremos sin duda un IPS más potente que el ofrecido por el mismo precio en el UTM. Si tenemos un hardware reusable como todos esos servidores que desechamos cuando nos embarcamos en la virtualización de servidores... podemos implementarlo por software, con lo que reducimos el coste a la licencia, si no usamos Software libre...


Como es normal, tenemos un punto más de fallo posible, porque tenemos otro sistema. Agregamos complejidad a las operaciones IT, al tener que administrar dos sistemas, en vez de uno. La cuestión es esa, estudiar todas estas cosas, los recursos humanos/técnicos con los que cuenta nuestra organización, y adaptar la compra a nuestras necesidades, no a las del vendedor o la tendencia del mercado...Justin Bieber es tendencia siempre y a mi no me gusta :-)

Si estás pensando en adquirir una solución de seguridad perimetral, tipo firewall/utm, te aconsejo que midas todas las conexiones, el rendimiento que necesitas, no siempre es interesante comprar un equipo TODO EN UNO.

Gracias por leerme, espero que te sirva de ayuda.

Quieres saber qué UTM están mejor valorados por las revistas especializadas?

Barracuda for Barracuda Firewall
Check Point Software Technologies for Check Point 600 Appliance
Dell for Dell SonicWALL Unified Threat Management
Fortinet for FortiGate/FortiWiFi-60D-POE
Juniper Networks for SRX Series Services Gateways