PDA

Ver la versión completa : Firewalls: ¿La seguridad del pasado?



LUK
15-04-2008, 14:25
A raíz de un hilo generado en varias listas de correo especializadas como FW (http://seclists.org/firewall-wizards/2008/Mar/index.html#44) y WebSecurity (http://www.webappsec.org/lists/websecurity/archive/2008-03/index.html#00032), títulado, "Provocative Query: Are firewalls obsolete in a world involving enterprise WebService SOA" se generó una interesante discusión acerca del papel de los firewall de red de toda la vida (capa 3 de OSI (http://es.wikipedia.org/wiki/Modelo_OSI)) en un mundo de aplicaciones web (capa 7 de OSI).
Algo así como, "qué hace un dispositivo como tú en un entorno como este".

Salieron argumentos a favor y en contra, con razones de peso en algunos casos, ligerezas en otros, y obviedades. Lo interesante fue el debate que se generó, merece la pena resaltar algunas de las afirmaciones que se vieron reflejadas:


Si todo se diseña con buenas prácticas de seguridad en mente, no hay necesidad de firewalls. (Vivir sin Firewalls (http://www.usenix.org/publications/login/2003-12/pdfs/singer.pdf))
Un firewall de red es redundante si tienes control completo sobre los hosts de la red.
Son vulnerables al encapsulamiento de protocolos a través de los puertos 80 y 443.
Los firewalls seguirán siendo útiles mientras haya gente que comprende algo sobre la seguridad.
El perimetro de seguridad ya no existe tal y como nos habían contado antes. Los negocios tecnológicos actuales nos llevan a eliminar esas barreras en favor de la productividad y usabilidad (con un cierto sentido común).
Nadie ha demostrado un valor significativo de un firewall que no puedas conseguir a través de tu host o software.
¿No te pondrías el cinturón de seguridad porque tu coche ya tiene airbag?. El Firewall de red y el de aplicación no son dispositivos suplementarios, son complementarios y un ejemplo claro de seguridad en capas.
Un WAF (http://en.wikipedia.org/wiki/Application_layer_firewall) implementado apropiadamente junto con unas sanas prácticas de programación son la mejor defensa en la capa de aplicación.


También se lanzó una llamada a los vendedores de WAFs (http://www.webappsec.org/projects/wafec/) para que ocupen el hueco que actualmente existe en el mercado frente a los nuevas amenazas y desafíos de la capa de aplicación. A modo de conclusión, podemos pensar en adaptarnos a los cambios de los nuevos entornos de riesgo. Mostrar una predisposición activa. Nuestro objetivo debiera ser actuar proactivamente y no reactivamente. No temamos esa curva de aprendizaje que supone adaptarse a lo nuevo y evitemos mantenernos ciegos a nuestro entorno con lo que siempre ha funcionado hasta ahora. Y vosotros, ¿qué opinais de los firewall de red en el mundo web?

Emilio Casbas
S21sec labs
Fuente: http://blog.s21sec.com/2008/04/firewalls-la-seguridad-del-pasado.html