Un firewall tradicional versus reenvío de puertos

Para tocar su segunda pregunta. Lo único que hacen los enrutadores de consumo es proporcionar una capa NAT a su red. La mayoría de ellos utilizan lo que se llama Stateful Packet Inspection para hacer esto. Lo cual es simplemente una forma elegante de decir que realizan un seguimiento de todas las conexiones que se han iniciado desde la LAN hasta que se destruyen por medios TCP/IP normales o se agotan después de un período de inactividad. Esto ofrece a la red cierto nivel de seguridad, ya que el único tráfico que se deja pasar es el que se inicia desde el interior de la red. Hay algunas excepciones a esto con UPNP y el reenvío de puertos que permiten reenviar tráfico no solicitado.

Lo que los dispositivos de consumo no ofrecen en comparación con un firewall empresarial en un nivel básico es la capacidad de tener reglas sobre el tráfico entrante y saliente. Por ejemplo, si desea bloquear el tráfico desde o hacia un determinado puerto o host. También puede tener cronogramas que definan cuándo se aplican las reglas. Pero como otros han mencionado, en algunos casos el hardware empresarial también puede tener funciones adicionales más allá de un firewall, pero eso realmente está más allá del alcance de la pregunta que hace aquí.

Reenvío de puertoses una de las muchas cosas que un firewall es capaz de hacer. En cuanto a tu segunda pregunta, depende del módem. Su pregunta pone el listón bastante bajo, es decir, ¿son mejores que nada? Yo diría que sí, la mayoría ofrece protección. ¿Serán tan robustos y con tantas funciones como un Cisco ASA 5505? No. ¿Eso significa que necesitas salir y gastar $400 en un ASA 5505? Eso también depende. Si es un usuario doméstico, el firewall integrado en el enrutador/módem ADSL probablemente sea lo suficientemente bueno, suponiendo que esté encendido y configurado correctamente. Si tiene una oficina en casa y desea un conjunto sólido de funciones de seguridad, además de soporte y confiabilidad, entonces gaste $400 dólares. De lo contrario, simplemente asegúrese de que el firewall esté activado y no completamente abierto.

Aparte, solo usé Cisco como ejemplo. Hay otras opciones que podrías considerar como Watchguard, Fortinet, etc. si estuvieras interesado en un verdadero firewall soho.

En mi experiencia, los enrutadores domésticos carecen de capacidad, registro, responsabilidad (soporte RADIUS o TACACS), complejidad del conjunto de reglas, redundancia, confiabilidad del hardware, cantidad de redes físicas admitidas, VLAN, concentradores VPN, sensores de detección de intrusiones y muchas otras cosas. No lo necesitas en una red doméstica.

Los enrutadores domésticos son difíciles de configurar mal y la complejidad es enemiga de la seguridad... así que diría que generalmente son mejores que los grandes... a menos que necesites algunas de las características que mencioné.

Sin entrar en una discusión sobre firewalls y protección, su mejor protección son parches de seguridad regulares y un firewall. Los cortafuegos integrados en los enrutadores domésticos funcionan como cortafuegos, pero no pueden detener muchos de los virus/exploits/troyanos autoinfligidos que pueden infectar una computadora con una simple navegación web. Lo mismo ocurre con el software antivirus, la mayoría es casi inútil para exploits más nuevos o exploits infligidos por el usuario (es decir, hacer clic o visitar donde no debería). En una configuración doméstica, un reenvío de puerto expondrá la computadora que es el receptor de ese puerto a cualquier ataque potencial a ese puerto.