Firewalls: ¿La seguridad del pasado?
A raíz de un hilo generado en varias listas de correo especializadas como FW y WebSecurity, títulado, "Provocative Query: Are firewalls obsolete in a world involving enterprise WebService SOA" se generó una interesante discusión acerca del papel de los firewall de red de toda la vida (capa 3 de OSI) en un mundo de aplicaciones web (capa 7 de OSI).
Algo así como, "qué hace un dispositivo como tú en un entorno como este".
Salieron argumentos a favor y en contra, con razones de peso en algunos casos, ligerezas en otros, y obviedades. Lo interesante fue el debate que se generó, merece la pena resaltar algunas de las afirmaciones que se vieron reflejadas:
* Si todo se diseña con buenas prácticas de seguridad en mente, no hay necesidad de firewalls. (Vivir sin Firewalls)
* Un firewall de red es redundante si tienes control completo sobre los hosts de la red.
* Son vulnerables al encapsulamiento de protocolos a través de los puertos 80 y 443.
* Los firewalls seguirán siendo útiles mientras haya gente que comprende algo sobre la seguridad.
* El perimetro de seguridad ya no existe tal y como nos habían contado antes. Los negocios tecnológicos actuales nos llevan a eliminar esas barreras en favor de la productividad y usabilidad (con un cierto sentido común).
* Nadie ha demostrado un valor significativo de un firewall que no puedas conseguir a través de tu host o software.
* ¿No te pondrías el cinturón de seguridad porque tu coche ya tiene airbag?. El Firewall de red y el de aplicación no son dispositivos suplementarios, son complementarios y un ejemplo claro de seguridad en capas.
* Un WAF implementado apropiadamente junto con unas sanas prácticas de programación son la mejor defensa en la capa de aplicación.
También se lanzó una llamada a los vendedores de WAFs para que ocupen el hueco que actualmente existe en el mercado frente a los nuevas amenazas y desafíos de la capa de aplicación. A modo de conclusión, podemos pensar en adaptarnos a los cambios de los nuevos entornos de riesgo. Mostrar una predisposición activa. Nuestro objetivo debiera ser actuar proactivamente y no reactivamente. No temamos esa curva de aprendizaje que supone adaptarse a lo nuevo y evitemos mantenernos ciegos a nuestro entorno con lo que siempre ha funcionado hasta ahora. Y vosotros, ¿qué opinais de los firewall de red en el mundo web?
Emilio Casbas
S21sec labs
Fuente: http://blog.s21sec.com/2008/04/firewalls-la-seguridad-del-pasado.html
Algo así como, "qué hace un dispositivo como tú en un entorno como este".
Salieron argumentos a favor y en contra, con razones de peso en algunos casos, ligerezas en otros, y obviedades. Lo interesante fue el debate que se generó, merece la pena resaltar algunas de las afirmaciones que se vieron reflejadas:
* Si todo se diseña con buenas prácticas de seguridad en mente, no hay necesidad de firewalls. (Vivir sin Firewalls)
* Un firewall de red es redundante si tienes control completo sobre los hosts de la red.
* Son vulnerables al encapsulamiento de protocolos a través de los puertos 80 y 443.
* Los firewalls seguirán siendo útiles mientras haya gente que comprende algo sobre la seguridad.
* El perimetro de seguridad ya no existe tal y como nos habían contado antes. Los negocios tecnológicos actuales nos llevan a eliminar esas barreras en favor de la productividad y usabilidad (con un cierto sentido común).
* Nadie ha demostrado un valor significativo de un firewall que no puedas conseguir a través de tu host o software.
* ¿No te pondrías el cinturón de seguridad porque tu coche ya tiene airbag?. El Firewall de red y el de aplicación no son dispositivos suplementarios, son complementarios y un ejemplo claro de seguridad en capas.
* Un WAF implementado apropiadamente junto con unas sanas prácticas de programación son la mejor defensa en la capa de aplicación.
También se lanzó una llamada a los vendedores de WAFs para que ocupen el hueco que actualmente existe en el mercado frente a los nuevas amenazas y desafíos de la capa de aplicación. A modo de conclusión, podemos pensar en adaptarnos a los cambios de los nuevos entornos de riesgo. Mostrar una predisposición activa. Nuestro objetivo debiera ser actuar proactivamente y no reactivamente. No temamos esa curva de aprendizaje que supone adaptarse a lo nuevo y evitemos mantenernos ciegos a nuestro entorno con lo que siempre ha funcionado hasta ahora. Y vosotros, ¿qué opinais de los firewall de red en el mundo web?
Emilio Casbas
S21sec labs
Fuente: http://blog.s21sec.com/2008/04/firewalls-la-seguridad-del-pasado.html
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!