Un firewall de aplicación es un tipo de firewall que controla la entrada/salida o las llamadas del sistema de una aplicación o servicio. Funciona mediante la supervisión y el bloqueo de las comunicaciones en función de una política configurada, generalmente con conjuntos de reglas predefinidos entre los que elegir. Las dos categorías principales de firewalls de aplicación son los basados en red y los basados en host .
Gene Spafford de la Universidad de Purdue , Bill Cheswick de los Laboratorios AT&T y Marcus Ranum describieron un cortafuegos de tercera generación conocido como cortafuegos de capa de aplicación. El trabajo de Marcus Ranum, basado en el cortafuegos creado por Paul Vixie , Brian Reid y Jeff Mogul, encabezó la creación del primer producto comercial. El producto fue lanzado por DEC, llamado DEC SEAL por Geoff Mulligan - Secure External Access Link. La primera venta importante de DEC fue el 13 de junio de 1991 a Dupont.
En virtud de un contrato más amplio de DARPA en TIS, Marcus Ranum, Wei Xu y Peter Churchyard desarrollaron el Firewall Toolkit (FWTK) y lo pusieron a disposición de forma gratuita bajo licencia en octubre de 1993. [1] Los propósitos de la liberación del FWTK, disponible de forma gratuita y no para uso comercial, fueron: demostrar, a través del software, la documentación y los métodos utilizados, cómo una empresa con (en ese momento) 11 años de experiencia en métodos de seguridad formales, y personas con experiencia en firewalls, desarrollaron software de firewall; crear una base común de software de firewall muy bueno para que otros pudieran construir sobre ella (para que la gente no tuviera que seguir "haciendo su propio software" desde cero); "elevar el nivel" del software de firewall que se utilizaba. Sin embargo, FWTK era un proxy de aplicación básico que requería la interacción del usuario.
En 1994, Wei Xu amplió el FWTK con la mejora del kernel del filtro de estado de IP y la transparencia de sockets. Este fue el primer firewall transparente, conocido como el inicio del firewall de tercera generación , más allá de un proxy de aplicación tradicional ( el firewall de segunda generación ), lanzado como el producto comercial conocido como firewall Gauntlet. El firewall Gauntlet fue calificado como uno de los mejores firewalls de aplicación desde 1995 hasta 1998, año en que fue adquirido por Network Associates Inc. (NAI). Network Associates continuó afirmando que Gauntlet era el "firewall más seguro del mundo", pero en mayo de 2000, el investigador de seguridad Jim Stickley descubrió una gran vulnerabilidad en el firewall, que permitía el acceso remoto al sistema operativo y eludir los controles de seguridad. [2] Stickley descubrió una segunda vulnerabilidad un año después, poniendo fin de manera efectiva al dominio de seguridad de los firewalls Gauntlet. [3]
El filtrado de la capa de aplicación funciona a un nivel superior al de los dispositivos de seguridad tradicionales. Esto permite tomar decisiones sobre los paquetes basándose en algo más que la dirección IP de origen o destino o los puertos, y también puede utilizar información que abarca varias conexiones para un host determinado.
Los cortafuegos de aplicaciones basados en red funcionan en la capa de aplicación de una pila TCP/IP [4] y pueden comprender ciertas aplicaciones y protocolos, como el Protocolo de transferencia de archivos (FTP), el Sistema de nombres de dominio (DNS) o el Protocolo de transferencia de hipertexto (HTTP). Esto le permite identificar aplicaciones o servicios no deseados que utilizan un puerto no estándar o detectar si se está abusando de un protocolo permitido. [5]
Las versiones modernas de firewalls de aplicaciones basadas en red pueden incluir las siguientes tecnologías:
Los firewalls de aplicaciones web (WAF) son una versión especializada de un dispositivo basado en red que actúa como un proxy inverso e inspecciona el tráfico antes de reenviarlo a un servidor asociado.
Un cortafuegos de aplicación basado en host supervisa las llamadas del sistema de aplicación u otras comunicaciones generales del sistema. Esto proporciona más granularidad y control, pero se limita a proteger únicamente el host en el que se ejecuta. El control se aplica mediante el filtrado por proceso. Generalmente, se utilizan indicaciones para definir reglas para procesos que aún no han recibido una conexión. Se puede realizar un filtrado adicional examinando el ID del proceso del propietario de los paquetes de datos. Muchos cortafuegos de aplicación basados en host se combinan o se utilizan junto con un filtro de paquetes. [6]
Debido a limitaciones tecnológicas, se están utilizando soluciones modernas como el sandboxing como reemplazo de los firewalls de aplicaciones basados en host para proteger los procesos del sistema. [7]
Hay varios firewalls de aplicaciones disponibles, incluidos software gratuito y de código abierto y productos comerciales.
A partir de Mac OS X Leopard, se incluyó una implementación del marco MAC de TrustedBSD (tomado de FreeBSD). [8] El marco MAC de TrustedBSD se utiliza para aislar servicios y proporciona una capa de firewall, dada la configuración de los servicios de uso compartido en Mac OS X Leopard y Snow Leopard. Las aplicaciones de terceros pueden proporcionar una funcionalidad extendida, incluido el filtrado de conexiones salientes por aplicación.
Esta es una lista de paquetes de software de seguridad para Linux que permiten filtrar la comunicación entre aplicaciones y sistemas operativos, posiblemente por usuario:
Estos dispositivos pueden venderse como hardware, software o dispositivos de red virtualizados.
Cortafuegos de próxima generación:
Firewalls/balanceadores de carga para aplicaciones web:
Otros: