Firewalls: ¿La seguridad del pasado?


Copio y pego artículo leído en http://blog.s21sec.com

A raíz de un hilo generado en varias listas de correo especializadas como FW y WebSecurity, títulado, "Provocative Query: Are firewalls obsolete in a world involving enterprise WebService SOA" se generó una interesante discusión acerca del papel de los firewall de red de toda la vida (capa 3 de OSI) en un mundo de aplicaciones web (capa 7 de OSI).
Algo así como, "qué hace un dispositivo como tú en un entorno como este".

Salieron argumentos a favor y en contra, con razones de peso en algunos casos, ligerezas en otros, y obviedades. Lo interesante fue el debate que se generó, merece la pena resaltar algunas de las afirmaciones que se vieron reflejadas:
  • Si todo se diseña con buenas prácticas de seguridad en mente, no hay necesidad de firewalls. (Vivir sin Firewalls.)
  • Un firewall de red es redundante si tienes control completo sobre los hosts de la red.
  • Son vulnerables al encapsulamiento de protocolos a través de los puertos 80 y 443.
  • Los firewalls seguirán siendo útiles mientras haya gente que comprende algo sobre la seguridad.
  • El perimetro de seguridad ya no existe tal y como nos habían contado antes. Los negocios tecnológicos actuales nos llevan a eliminar esas barreras en favor de la productividad y usabilidad (con un cierto sentido común).
  • Nadie ha demostrado un valor significativo de un firewall que no puedas conseguir a través de tu host o software.
  • ¿No te pondrías el cinturón de seguridad porque tu coche ya tiene airbag?. El Firewall de red y el de aplicación no son dispositivos suplementarios, son complementarios y un ejemplo claro de seguridad en capas.
  • Un WAF implementado apropiadamente junto con unas sanas prácticas de programación son la mejor defensa en la capa de aplicación.
También se lanzó una llamada a los vendedores de WAFs para que ocupen el hueco que actualmente existe en el mercado frente a los nuevas amenazas y desafíos de la capa de aplicación. A modo de conclusión, podemos pensar en adaptarnos a los cambios de los nuevos entornos de riesgo. Mostrar una predisposición activa. Nuestro objetivo debiera ser actuar proactivamente y no reactivamente. No temamos esa curva de aprendizaje que supone adaptarse a lo nuevo y evitemos mantenernos ciegos a nuestro entorno con lo que siempre ha funcionado hasta ahora. Y vosotros, ¿qué opinais de los firewall de red en el mundo web?

Emilio Casbas
S21sec labs


Guillermo: - De todas formas comparto lo que han comentado otros usuarios al respecto:

Chesco:
La clave está en adaptarse a los cambios antes que los cambios te adapten a la fuerza. Adelantarse al problema es lo ideal pero la mayoría de las veces es imposible o muy dificil, por tanto, si tu entorno evoluciona debes evolucionar tú con el. De todas formas, creo que, hoy por hoy y en un entorno empresarial en el que coexistan varias máquinas, no se puede prescindir de un firewall de red para la seguridad perimetral y si es combinado con firewall de aplicación en cada host de la red mejor que mejor. Eso, sin olvidar que en la zona del CPD debería haber otro protegiendo única y exclusivamente a los servidores.


Tork:
Los argumentos que se dan son del tipo

Si tengo una puerta en mi casa, ¿para que voy a poner caja fuerte?

La respuesta es sencilla. ¿Y si la puerta falla?

Por eso, unas medidas no anulan las otras. Un principio de la seguridad es, no permitas que se realicen operaciones que no necesitan hacerse solo porque supongas que no se van a hacer porque otras medidas lo impiden.
Esas otras medidas podrían fallar.

Por eso, tener un firewall es algo imprescindible, lo que por supuesto no significa que no deban tomarse otras medidas

Comentarios

Entradas más populares de este blog

Principios para una Cultura Permanente

3000 Megawatts al año ahorraría un Google Negro

Sobre el Movimiento Zeitgeist