Y ha llegado el turno de hablar de la silenciosa revolución que está ocurriendo en el mundo de los firewalls y, más concretamente, en el apartado de la inspección profunda.
La inspección profunda, un paso más allá que el simple firewall
Un firewall básico observa las cabeceras de los paquetes buscando el “match” con unas reglas definidas en su filtro, y verificando que los servicios/protocolos lleven el camino adecuado.
Un ejemplo simplificado:
El firewall observa tráfico entrante desde internet hacia un PC por un protocolo/puerto permitido > Le da el “OK, adelante”.
De este modo, un trabajador de la oficina puede estar descargando en su PC un email con un virus. Dado que el servicio y la ruta son correctos, el firewall básico le permitirá el paso. Ídem con cualquier otra amenaza.
La inspección profunda (deep packet inspection – DPI), inspecciona el contenido completo del paquete (no solo las cabeceras) y analiza el rendimiento en función del protocolo con el que estemos trabajando. De este modo, podemos encontrar, identificar, clasificar, redirigir o bloquear paquetes con contenido no adecuado.
Existen dos modos de implementar esta inspección profunda: por flujo/stream o por proxy/cache. Cada modo con sus pros y contras. Y fruto de ello es la “guerra/debate” entre los fabricantes: algunos de ellos lo implementan de un modo, otros del otro modo… y otros realizan un mixto (según el tipo de tráfico le aplican un modo u otro).
Esta inspección profunda esta siendo uno de los temas estrella durante casi todo el año pasado y lo que llevamos de este.
Bienvenida a la popularización de la inspección profunda
En años previos, la inspección profunda era menos viable por la relación directa potencia/precio que tenían la mayor parte de los fabricantes, que provocaba precios elevados. Esto hacía que la inspección profunda se justificara como necesaria en la mediana-gran empresa, pero no era tan atractivo/prioritario/preocupante en la pequeña-mediana empresa.
La modernización que se ha realizado del hardware y su arquitectura de los firewalls ha provocado una renovación de las gamas de productos, aunque solo de algunos fabricantes. Esto nuevos equipos permiten DPI (deep packet inspection), un aumento considerable del troughtput capaz de procesar y análisis de sesiones concurrentes completas. Y, como consecuencia, se han popularizado estos dispositivos, siendo ya también atractivos para la pequeña-mediana empresa.
Retos y problemática en esta evolución
Esta evolución que puede parecer, explicado así, algo sencillo, no solo se ha tenido que enfrentar al reto de mejorar “suficientemente” el hardware, sino que han surgido dos piedras en el camino que ha tenido que salvar:
1. Cantidad de tráfico: Incremento notable de los caudales a procesar:
La tecnología que dotaba de acceso a Internet a la gran mayoría de empresas (pequeñas-medianas empresas) era la familia de los xdsl, que con sus hasta 20-30Mbps de velocidad de bajada, no suponía previamente un gran reto de capacidad de procesamiento para los firewalls.
Estamos viviendo un cambio de las tecnologías que proporcionan acceso a Internet. Y, fruto de ello, es que actualmente aportan, vía fibra o vía radio, velocidades típicas de 100 o 300Mbps, no garantizados, de caudal de bajada (o simétricas). Un aumento enorme.
Este incremento de velocidades comenzó a dejar en evidencia a algunas arquitecturas/gamas de firewall, que pasaron a suponer un cuello de botella por su menor velocidad/capacidad de procesamiento/inspección (frente a la velocidad de Internet).
Las nuevas hornadas de firewalls han sido ampliamente capaces de afrontar este reto de incremento x10 de velocidades, incluso con todas las funciones UTM activas, y trabajando en entornos reales.
En contraste con este crecimiento tremendo de las velocidades de Internet en el mercado pequeña-mediana empresa, el crecimiento de caudal de Internet en la gran empresa ha sido más continuista y menos explosivo. Este mercado está caracterizado por servicios garantizados y/o a medida, lo que no ha supuesto tanta necesidad de aumento de rendimiento en los firewalls.
2. Tipo de tráfico
Se ha producido un disparo de las conexiones seguras, motivado por dos causas:
A) La apuesta firme de grandes agentes dinamizadores de Internet por conexiones seguras de alta robustez: Whatsapp, Google/Gmail, Dropbox…
Estos proveedores defienden en gran medida estas conexiones seguras como protección de la privacidad de sus usuarios. Lo cual ha generado malestar y conflictos por parte de algunos órganos de distintos gobiernos. Algunos de ellos, incluso en gobiernos democráticos, han decidido bloquear/prohibir estas aplicaciones por no estar bajo su control, al no ser accesibles, amparándose en que pueden ser una vía de comunicación de asuntos ilegales. Otros han intentado acceder a las comunicaciones de alguna de estas aplicaciones, sea por la vía legal, o sea por la vía de ruptura del método/algoritmo en el que se basa su seguridad telemática. Este tema de la privacidad de las comunicaciones, y de que agentes o entes públicos deben tener acceso a las comunicaciones seguras de un usuario, es tan extenso y debatible que invita a dedicarle un post.
Volviendo al tema del tráfico seguro, según datos de distintos fabricantes de equipamiento, se calcula que, de media, alrededor del 50% del tráfico son conexiones seguras. En alguno de estos informes se detalla el tráfico por meses del año, y alcanza en los últimos meses picos de hasta el 70% del total.
Cuanto más tráfico sea seguro, más capacidad debe de disponer el firewall para analizarlo.
B) Las empresas se van migrando hacia comunicaciones seguras, dotándose de una seguridad cada vez más sofisticada. Posiblemente debido a su preocupación por la privacidad y por la ruptura por parte de “piratas” de seguridades menos avanzadas.
Cuanta más seguridad tenga este tráfico, más capacidad debe de disponer el firewall para poder analizarlo “en tiempo real”.
¿Qué hace nuestro firewall con el tráfico seguro?
El trato que recibe este tipo de tráfico seguro según el fabricante del firewall es muy distinto.
A. Tráfico invisible
Este tráfico de conexiones seguras supone un problema/laguna de seguridad para algunos administradores de red, dado que este tráfico seguro es completamente invisible para ellos y para sus equipos de inspección y no pueden realizar la inspección de este tráfico ni asegurar que no es perjudicial para su organización, ni gestionarlo.
Dentro de esta categoría entrarían los equipos shadow it. Estos son equipos (dispositivos PCs, móviles,…) generalmente basados en trafico en la nube, que se utilizan en una organización pero que se encuentran fuera del control del departamento de informática, o bien se emplean sin su conocimiento o autorización.
Ejemplo: un trabajador usando dropbox o gmail para la subida o bajada de ficheros… no analizados… en su PC corporativo, que también esta conectado al servidor de la oficina.
Las sitios mas habituales en estos usos suelen ser: google drive, one drive, dropbox, wetransfer, sharefile, whatsapp, telegram, skype, vpn segura estilo dotvpn…
Según un estudio de IBM Security, un tercio de los trabajadores comparten y suben datos corporativos a aplicaciones cloud de terceros.
Varias de estas aplicaciones no requieren la instalación de una aplicación, sino que funcionan por medio del navegador web, lo cual salta la posible limitación de permisos “administrador de instalación” de una aplicación en su equipo.
El tema aún se complica más cuando el trabajador conecta su propio dispositivo (BYOD), también de uso personal, a la infraestructura informática corporativa, sin tener, por parte del departamento de informática, ningún control de este dispositivo y programas.
Aún en el escenario más simple (PC corporativo con trafico seguro “invisible” para el firewall), tenemos un escenario donde los administradores de esa red no pueden ni inspeccionar este tráfico, ni gestionarlo, ni controlar la puerta de entrada o salida de su organización.
B. Tráfico supuestamente inspeccionado
Casi siempre debido a su insuficiente capacidad de procesamiento, los firewalls se limitan a analizar solo ciertas partes o paquetes o ficheros o patrones de cada sesión establecida. Lo preocupante de estos equipos es que se califican/definen como capaces de inspeccionar este tipo de tráfico seguro.
C. Inspección profunda con altos caudales de Internet
Estos equipos sí realizan una inspección profunda y completa. Y, además, aportando troughput que no suponen cuellos de botella para los accesos a Internet de ultra velocidad. Y no suficiente con esto, han ampliado y perfeccionado el rango de aplicaciones bajo control de su administrador, de modo que hay mas potencia de identificación y análisis a nivel de aplicación.
Conclusión: La seguridad con inspección profunda, también de tráfico seguro, ya está disponible a precios muy razonables
Gracias a la enorme evolución tecnológica en los firewalls, la seguridad perimetral con inspección profunda de todo el tráfico, incluido el seguro, ya es una posibilidad factible en todos los rangos de mercado.
El mercado de la pequeña-mediana empresa, un mercado más sensible al precio, ahora tiene acceso a equipos capaces y con funciones previamente no accesibles. Equipos a precios viables, incluso de altas prestaciones, sin suponer un freno a sus nuevos accesos a Internet de ultravelocidad.
Las medianas-grandes empresas disponen de equipos (o cluster de ellos) mucho mas potentes, con control absoluto, incluso por capa de aplicación, a precios más asequibles que nunca.
En definitiva, la seguridad con inspección profunda y el control del tráfico por parte de las organizaciones han dado un paso de gigante.