Los principales fabricantes de cortafuegos como Cisco, Sophos, Fortinet, SonicWall o Check Point se han centrado en el desarrollo de los llamados Next-Generation Firewalls, unos cortafuegos que no solo se limitan a la capa de red y transporte, sino que también funcionan en la capa de aplicación, e incluso realiza tareas de un sistema de detección y prevención de intrusiones. Un informe ha puesto en duda la efectividad de estos Next-Generation Firewalls de los principales fabricantes.

¿Son realmente efectivos los Next-Generation Firewalls?

El grupo de NSS Labs ha analizado la efectividad de un total de once productos Next-Generation Firewalls de los principales líderes del mercado, hay un total de 10 marcas analizadas, y el resultado del informe indica que más del 80% de los productos Next-Generation Firewalls no evitaron los ataques de evasión, y por tanto, pasaron de una calificación de “recomendado” a “precaución”.

Todos estos productos se probaron en áreas clave para comprobar la seguridad de los equipos, y por supuesto, también tuvieron en cuenta el coste del producto. De los principales fabricantes de Next-Generation Firewalls, siete de sus productos tienen categoría de “recomendado” y los otros cuatro productos restantes tuvieron una calificación insuficiente, mostrando como “warning”.

En las pruebas realizadas más del 80% de los productos no fueron capaces de detectar una o más evasiones, por lo que este comportamiento ha pesado mucho en la calificación final, ya que es fundamental que un Next-Generation Firewalls sea capaz de detectar este tipo de ataques y mitigarlos. La calificación media obtenida fue de un 6,7.

El director técnico de NSS Labs ha dicho que el mercado de Next-Generation Firewalls es uno de los mayores y más maduros en el mercado de la seguridad informática, sin embargo, las amenazas están en constante evolución, y en la prueba que han llevado a cabo este año únicamente dos productos probados fueron capaces de mitigar los ataques de evasión. También ha declarado que, aunque los resultados de los diferentes productos se vieron afectados, varios fabricantes lanzaron un parche vía software después de las pruebas, con la finalidad de mejorar la seguridad de sus productos.

Productos Next-Generation Firewalls analizados por NSS Labs

Los productos que se probaron en estos tests fueron los siguientes:

• Barracuda NextGen Firewall F600.E20 versión de firmware 7.0.2
• Check Point Software Technologies 15600
• Cisco Firepower 4110 v6.1.0.1
• Forcepoint NGFW 3301 Appliance v6.1.2
• Fortinet FortiGate 600D FortiOS v5.4.4 GA Build 1117
• Fortinet FortiGate 3200D FortiOS v5.4.4 GA Build 1117
• Juniper Networks SRX 4200 v15.1X49-D75.5
• Palo Alto Networks PA-5250 PAN-OS 8.0.0
• SonicWall NSA 6600 SonicOS 6.2
• Sophos XG-750 Firewall v16.01
• WatchGuard Firebox M4600 v11.10.7

Teniendo en cuenta que los Next-Generation Firewalls son actualmente un componente crítico en la seguridad perimetral de las empresas, es necesario que los fabricantes tomen buena nota de estas pruebas realizadas por NSS Labs para solucionar todos y cada uno de los fallos de seguridad. La efectividad de la seguridad global estuvo entre el 25,8% y el 99,99%, además, es importante detallar que siete de los once productos analizados casi llegaron al 80% de valoración.

Os recomendamos acceder a la página web oficial de NSS Labs donde encontraréis el informe completo y detalles de sus pruebas realizadas.