A raíz de un hilo generado en varias listas de correo especializadas como FW y WebSecurity, títulado, "Provocative Query: Are firewalls obsolete in a world involving enterprise WebService SOA" se generó una interesante discusión acerca del papel de los firewall de red de toda la vida (capa 3 de OSI) en un mundo de aplicaciones web (capa 7 de OSI).
Algo así como, "qué hace un dispositivo como tú en un entorno como este".

Salieron argumentos a favor y en contra, con razones de peso en algunos casos, ligerezas en otros, y obviedades. Lo interesante fue el debate que se generó, merece la pena resaltar algunas de las afirmaciones que se vieron reflejadas:

  • Si todo se diseña con buenas prácticas de seguridad en mente, no hay necesidad de firewalls. (Vivir sin Firewalls)
  • Un firewall de red es redundante si tienes control completo sobre los hosts de la red.
  • Son vulnerables al encapsulamiento de protocolos a través de los puertos 80 y 443.
  • Los firewalls seguirán siendo útiles mientras haya gente que comprende algo sobre la seguridad.
  • El perimetro de seguridad ya no existe tal y como nos habían contado antes. Los negocios tecnológicos actuales nos llevan a eliminar esas barreras en favor de la productividad y usabilidad (con un cierto sentido común).
  • Nadie ha demostrado un valor significativo de un firewall que no puedas conseguir a través de tu host o software.
  • ¿No te pondrías el cinturón de seguridad porque tu coche ya tiene airbag?. El Firewall de red y el de aplicación no son dispositivos suplementarios, son complementarios y un ejemplo claro de seguridad en capas.
  • Un WAF implementado apropiadamente junto con unas sanas prácticas de programación son la mejor defensa en la capa de aplicación.


También se lanzó una llamada a los vendedores de WAFs para que ocupen el hueco que actualmente existe en el mercado frente a los nuevas amenazas y desafíos de la capa de aplicación. A modo de conclusión, podemos pensar en adaptarnos a los cambios de los nuevos entornos de riesgo. Mostrar una predisposición activa. Nuestro objetivo debiera ser actuar proactivamente y no reactivamente. No temamos esa curva de aprendizaje que supone adaptarse a lo nuevo y evitemos mantenernos ciegos a nuestro entorno con lo que siempre ha funcionado hasta ahora. Y vosotros, ¿qué opinais de los firewall de red en el mundo web?

Emilio Casbas
S21sec labs
Fuente: http://blog.s21sec.com/2008/04/firew...el-pasado.html