Firewall: Tres pasos para comprobar su funcionamiento

Una de las cosas que he aprendido de mis pruebas con la última generación de cortafuegos es ésta: no se crea nada de lo que le digan los proveedores a menos que los pruebe usted mismo. Lo que significa que prestaciones que “deberían funcionar” o “solían funcionar”, quizás no funcionen o no lo hagan como usted espera.

“No pruebe miles de escenarios porque su red sólo tiene un escenario: la realidad. Trate de recrear el pequeño marco de escenarios en los que se desenvuelve su red y sus usos”.

En este artículo me ocupo de la cuestión de cómo probar un cortafuegos, incluyendo los tres tipos de pruebas de cortafuegos que se deben hacer y los tipos que, sorprendentemente, no son necesarios para garantizar que usted disponga del mejor firewall para su organización.

El proceso a seguir para probar los cortafuegos puede desglosarse en tres fases bien diferenciadas: evaluación subjetiva, eficacia (efectividad) de la mitigación de la amenaza y prueba del rendimiento.

Prueba de cortafuegos: evaluación subjetiva

Su evaluación subjetiva debería basarse en un listado de criterios, no de prestaciones. Examine cada parte del cortafuegos: cómo se definen sus reglas, cómo están construidas las VPNs, cómo funciona el acceso remoto, y cómo se articula la mitigación de las amenazas en el conjunto del producto. Documente sus conclusiones y acompañe sus notas con instantáneas o screenshots abundantes. De lo contrario, lo que a usted le parece evidente tras probar el Cortafuegos A no estará tan claro cuando vuelva a revisar dichas conclusiones en el Cortafuegos G seis semanas más tarde. Tome buenas notas de cada criterio que examine.

Una vez haya evaluado todos los cortafuegos, haga un “barrido horizontal” que resuma todos los productos para cada criterio. Esto facilitará la asignación de valores a la evaluación y la obtención de conclusiones objetivas.

Prueba de cortafuegos: comprobando la eficacia

No es fácil comprobar la eficacia sin herramientas especializadas, e incluso con ellas puede que no obtenga buenos resultados. Las pruebas de eficacia deberían centrarse en tres áreas: prevención de intrusos, antimalware e identificación de aplicaciones.

MÁS RECURSOS SOBRE FIREWALLS

Las nuevas amenazas a la seguridad requieren estrategias para la implantación de cortafuegos.
Protéjase contra las amenazas de la Web 2.0 con cortafuegos de última generación.
Entienda el valor de un cortafuegos de empresa sensible a las aplicaciones.
Prevenga las vulnerabilidades y amenazas XML con esta guía de seguridad de cortafuegos XML.

Para la prueba de los sistemas de prevención de intrusos (IPS), mi compañía usa productos de Mu Dynamics Inc., aunque otros proveedores como Spirent Communications plc y IXIA Inc. tienen productos similares. Estas herramientas pueden comprarse o alquilarse, pero usted debería tener la posibilidad de que sus proveedores hagan las pruebas que usted especifique, ya que ellos normalmente tienen acceso a las mismas herramientas.

Respecto a las pruebas antimalware y de identificación de aplicaciones, no es posible hace un test de eficacia. En lugar de eso, puede hacer una serie de chequeos puntuales de posible escenarios utilizando clientes reales, por ejemplo descargándose virus reales o comunicándose con aplicaciones reales. Un medio interesante para descubrir virus recientes es a través del sistema de cuarentena en la pasarela de su correo electrónico. Otro buen test consiste en comprobar el lugar donde se aíslan los virus detectados por el software antivirus que tiene instalado usted en sus terminales. Cuando verifique la eficacia de los antivirus, pruebe a realizar su propia evasión: HTTP y HTTPS en puertos no estándares, SMTP e IMAP encriptados, y proxy tunneling son buenas opciones de evasión que se pueden añadir a las pruebas habituales de HTTP/HTTPs.

Para hacer una prueba de identificación de aplicaciones, seleccione las aplicaciones que más le importan y pruébelas en los servidores reales. Si desea bloquear la función de compartir archivos entre pares (peer-to-peer) ejecute unos pocos clientes torrent diferentes y vea qué sucede. Haga lo mismo con otras aplicaciones como webmail o Facebook, ambos buenos candidatos para herramientas de identificación y control de aplicaciones. No use herramientas automatizadas de prueba, ya que los resultados nunca son tan precisos como cuando la aplicación real habla con servidores reales. Esto es especialmente cierto con las aplicaciones más evasivas, como BitTorrent y Skype, que nunca pueden ser simuladas perfectamente con una herramienta de prueba.

REPORTE ESPECIAL: FIREWALLS PARA APLICACIONES

Michael Cobb indaga en los inconvenientes de los cortafuegos de aplicaciones y comparte algunos consejos y trucos expertos.

Mike Chapple ofrece una estrategia detallada para elaborar e implantar unas reglas básicas para los cortafuegos de aplicaciones en una organización.

Prueba de cortafuegos: evaluación de rendimiento

La prueba del rendimiento normalmente requiere herramientas especializadas, pero se ha convertido en algo tan común que ya existen alternativas de código abierto. Cuando haga la prueba de rendimiento, recuerde chequear su banco de pruebas contra un dispositivo nulo; un enrutador o un cable de parcheo (patch cable) pueden valer. Esto le indicará la velocidad máxima de su banco de pruebas. A partir de aquí, tenga presente las Leyes de la Prueba enumeradas por el reputado analista de redes David Newman: el test debe ser repetible, estresante (para el aparato, ¡no para usted!), y significativo. Lleve el dispositivo que está probando hasta el límite, incluso si no tiene previsto llegar hasta ese punto cuando lo use. Así sabrá hasta dónde puede llegar en un futuro, cuando tenga suficiente capacidad para crecer.

No pruebe miles de escenarios porque su red sólo tiene un escenario: la realidad. Trate de recrear el pequeño marco de escenarios en los que se desenvuelve su red y sus usos. De la misma manera, compruebe el funcionamiento de un reducido número de configuraciones de sus cortafuegos. Dado que la mayoría de los firewalls realizan la mayor parte de su trabajo con tráfico HTTP y HTTPs, éste puede ser un buen objetivo. Añadir ese 3% más o menos de DNS complica mucho más las cosas y, normalmente, no le aportará ningún dato útil.

La prueba de rendimiento debe ir acompañada de indicadores “pass/fail”. Por ejemplo, el test debería darse por concluido tan pronto como el cortafuegos empieza a rechazar abrir sesiones nuevas, ya que ello señala que se ha superado el límite. Asimismo, usted debería establecer otros criterios, como el tiempo máximo de latencia, para definir si el cortafuegos se comporta de manera aceptable o no.

Los resultados de estos tres tipos de pruebas le reportarán una información suficientemente sólida como para decidir qué cortafuegos es el más adecuado para su organización.

Acerca del autor: Joel Snyder es socio principal de la firma de consultoría Opus One, con sede en Tucson, Arizona.