Seguridad perimetral 7min de Leitura - 21 de junio de 2016

Implementación de firewalls: echa un vistazo a las buenas prácticas

Mãos sobre teclado de notebook

This post is also available in: Português English Español

Los términos y conceptos asociados al firewall han sufrido grandes transformaciones a lo largo de los últimos años, de forma que un simple filtro de paquetes en las primeras generaciones, pasó en la actualidad a una compleja arquitectura de seguridad, compuesta por varias otras características, como detección y prevención de intrusión, antivirus, DLP, control de aplicación, administración web basada en categorías, y tantas otras.

Debido a estas evoluciones, la complejidad de implementación de firewalls ha cambiado considerablemente y requiere un conocimiento mucho más amplio de las tecnologías que antes. La buena noticia es que, a pesar de ello, las buenas prácticas siguen atendiendo de forma plena, independientemente de la especificidad de las tecnologías aplicadas.

En este post vamos a abordar buenas prácticas para la implementación de firewalls, ya sea utilizando una arquitectura abierta, de menor complejidad, o estructuras cerradas de alta complejidad. Lo que va a cambiar, por supuesto, será la profundidad que usted puede dar en cada uno de los temas, de acuerdo con la exigencia y madurez de su negocio en seguridad de la información.

Aunque nuestro objetivo es abordar las buenas prácticas de implantación, antes de eso no olvide que hay en muchos casos el proceso de adquisición o cambio de la tecnología actual, para ello, recomendamos fuertemente nuestro e-book 10 consejos esenciales para la adquisición de firewalls, al que usted puede tener acceso haciendo clic aquí.

Ítems asociados al proceso de implementación de firewalls

Política o directiva de seguridad

Por más cliché que esto pueda parecer, la implementación de un activo de seguridad sin una definición previa de su parametrización es un aspecto que más frustra a quien está involucrado en proyectos de esta naturaleza.

Por lo tanto, por simple que sea su negocio o su necesidad de seguridad, establezca los criterios mínimos para implementar la solución. Si usted tiene alguna duda en este sentido, creamos un checklist que puede ayudar bastante en este proceso, simplemente haga clic aquí.

Con base en el resultado de esta etapa, habrá definido lo que desea de la solución y cómo debe comportarse para proteger el entorno. Algunos de los aspectos abordados por el checklist también estarán en ese post.

Establezca una directiva predeterminada

La política predeterminada no es más que la acción que se tomará si un determinado paquete o tráfico cruza el firewall sin tener una regla que prevea su comportamiento. En este caso, aunque con algunas variantes, de manera general el tráfico puede ser liberado o bloqueado.

Una política predeterminada restrictiva asume como regla que todo se bloqueará, excepto lo que esté contemplado en las reglas de permiso. De manera contraria, una política permisiva, libera absolutamente todo, excepto lo que se configura en las reglas de bloqueo.

Obviamente, lo ideal es trabajar con una política restrictiva, pero eso suele lamentablemente ser un dolor de cabeza, con muchos accesos legítimos siendo bloqueados, en función de no haber un mapeo correcto de las aplicaciones que deben ser permitidas para el negocio.

Por eso, muchos acaban optando por trabajar con una política permisiva, bloqueando los accesos según sea necesario. Esto para algunos casos puede parecer interesante, sin embargo, es importante registrar que no hay como bloquear lo desconocido. En este sentido, esta política es mucho más propensa a problemas y bypass en la estructura.

Sugerencia: La complejidad de la administración de acceso a algunas aplicaciones en Internet es un desafío para ambas políticas, y en cualquier producto. Por lo tanto, antes que nada, haga una lista de lo que debe funcionar siempre en su estructura, valide todo con el proveedor, pruébelo, y luego replique a la producción, afectando a todos los usuarios.

No exponga servicios privados sin VPN

Es muy común que el perímetro de las empresas hoy sea totalmente móvil, pues incluso usuarios fuera de su estructura necesitan estar conectados y utilizando sistemas internos para realizar sus actividades.

Esta movilidad es un elemento fantástico, pero necesita ser muy bien pensado para no exponer a la empresa de manera innecesaria para Internet. Por la facilidad, es tentador que haya redirecciones de puerto público para servicios privados, o de acceso limitado, como es el caso de servicios de terminal, como el RDS/WTS de Microsoft.

Antes de ofrecer de todos modos los accesos externos de la empresa, ya sea para empleados en tránsito, o incluso para proveedores que necesitan realizar algún mantenimiento remoto, no lo haga sin ninguna consideración de seguridad.

Aquí definimos claramente para que el uso sea con VPN, y eso es una buena práctica si usted necesita ofrecer servicios privados internos con seguridad para quien está en Internet. Con eso, usted garantiza no sólo seguridad en el acceso, pero también control de quien está conectando, entre otras facilidades.

Garantice el no repudio en los accesos internos o externos

No repudio es un elemento fundamental en una estructura de seguridad y, básicamente, significa crear mecanismos por los cuales un usuario puede ser identificado únicamente de forma segura, sin que el mismo pueda alegar que no hizo determinada acción o acceso.

Al traducir esto a una buena práctica de implementación de firewalls queremos resaltar la importancia de trabajar con autenticación o identificación única de usuarios, abstrayendo el control de accesos por equipo.

Cree una estructura de autenticación, preferentemente centralizada, e integre la solución de firewall para garantizar que los accesos a Internet, tanto desde adentro como desde afuera, sean debidamente autenticados.

Esto garantizará más seguridad, trazabilidad ante siniestros, entre otras facilidades importantes de seguimiento de uso y cumplimiento con la política de seguridad de su negocio.

Construya una política de acceso seguro para los visitantes

Ofrecer acceso a Internet para visitantes en su empresa es algo muy común, pero que si se realiza de manera inadecuada puede traer grandes problemas. Los clientes, proveedores y visitantes de todo tipo, inevitablemente, solicitarán acceso a Internet, durante el paso por su empresa, por lo que es mejor crear un ambiente adecuado para ello.

Esta estructura debe quedar lógica o físicamente separada de la estructura de producción de su empresa. Los motivos son diversos, pero el principal es que usted no tiene control sobre el dispositivo y, por lo tanto, no tiene como medir la seguridad del mismo.

Un dispositivo externo puede traer amenazas intencionales o oportunistas adentro de su estructura, por lo que es tan importante hacer esa separación para evitar posibles problemas, pues a diferencia de los colaboradores, la relación y responsabilidad en caso de un siniestro es muy diferente.

Otro punto importante para estas redes es garantizar la trazabilidad de los usuarios. Esto significa que usted necesita algún mecanismo, como un portal cautivo, que garantizará que en caso de alguna necesidad sea posible asociar un acceso inadecuado a un visitante.

Conozca un poco más sobre el Portal Cautivo; tenemos un conjunto de posts publicados respecto a: Beneficios del portal cautivo para gestión de autenticación.

Cree políticas de acceso por grupos de interés

Construir una política única que atienda el interés de todos en una empresa puede ser muy complejo y no satisfacer, o incluso perjudicar, la productividad de determinados colaboradores.

Por eso, a la hora de definir su política e implementar su firewall, verifique la posibilidad de crear políticas de acceso basado en grupos, que pueden ser departamentos, cargos o aquello que sea más conveniente para que usted pueda combinar seguridad con productividad.

Las políticas de acceso muy restringidas pueden traer problemas, en especial de productividad para empleados, además de también acabar afectando la motivación.

Desgraciadamente no todo sector puede tener acceso flexibilizado, en muchos casos la política necesita ser muy rígida y aplicada de forma horizontal. Y eso es bastante aceptable en ciertos sectores, donde la gestión de excepciones puede ser un riesgo muy grande para cualquier negocio.

Utilice una DMZ o una red privada para servicios públicos

Si su empresa ofrece algún tipo de servicio público a Internet, como un portal de vendedores, socios, servicio de correo electrónico y sitio web, cree una red separada para ellos y haga que el firewall regule los accesos entre sus redes internas.

Esto es una medida básica y extremadamente funcional para seguridad, pues una vez que algún servicio de una DMZ está comprometido, el atacante no está en sus redes administrativas, ni tampoco conseguirá acceso por que el firewall no permitirá que esta red genere conexiones para los segmentos internos.

Una vez que la DMZ esté comprometida, el atacante sólo podrá escalar para otros servicios o equipos de la DMZ, lo que termina garantizando que los servicios internos, como la base de datos y otras aplicaciones sensibles, no se vean afectados.

Cree un proceso de administración de cambio en el firewall

Uno de los puntos más complicados de una buena gestión de seguridad de la información es garantizar la calidad y la conformidad de lo que se ha implementado a lo largo del tiempo. Por lo tanto, cree un proceso básico de administración de cambios.

Esto garantizará que cualquier necesidad de cambio en la política deberá pasar por un análisis básico de viabilidad y riesgo, y con base en ello se generará una petición de cambio que deberá actualizar su documentación o política.

Créalo: en el tiempo, eso hace una diferencia fundamental, especialmente porque el conocimiento queda en la empresa, y no necesariamente en las personas o proveedores que están, en aquel momento, involucrados en estas actividades.

Observe el comportamiento de la red y actualice las políticas de acceso

Una política no debe ser algo inmutable, especialmente al principio de su implementación y alineación con el firewall, ya que mucha información llegará a partir de eso. En este caso, en negocios donde no hay un recurso tecnológico aplicado, es común colocar el firewall con política permisiva en los primeros días o semanas, justamente para recoger informaciones y perfiles de acceso que puedan auxiliar en la construcción de las propias directrices.

Lo importante es tener un proceso definido de seguimiento del uso de la red, de los incidentes de seguridad y actualizar las políticas de acceso de acuerdo con la necesidad, equilibrando el propósito de seguridad con la funcionalidad de todo el requisito del negocio.

Si su empresa tiene un equipo dedicado de seguridad, excelente; esto debe ser un proceso diario a través de un SOC/SIEM. Si no lo tiene, un seguimiento regular es interesante. O, si la solución así lo permite, recibir los informes por correo electrónico es suficiente para el seguimiento del ambiente.

Auditoría

De forma más incisiva que el seguimiento del comportamiento de la red, un proceso de auditoría no es necesariamente una buena práctica de implementación, pero es un procedimiento recurrente que usted debe utilizar en su estructura de seguridad.

La auditoría garantizará la conformidad de su política con sus activos de seguridad a lo largo del tiempo, en caso de estar en desacuerdo o los procedimientos deben ser actualizados, o incluso los elementos insertados deben ser debidamente removidos.

El trabajo de auditoría puede realizarse internamente, pero dependiendo del tipo de negocio, se puede requerir auditoría externa. En estos casos, en mercados regulados o que tienen mayor exigencia, el cumplimiento termina siendo, naturalmente, mucho más adherente.

Independiente del tamaño y la madurez de su negocio en seguridad, estas buenas prácticas son esenciales para un gran éxito en la gestión de seguridad en dispositivos de firewall, y que en algunos casos también se pueden extender a otros activos.

En conjunto con nuestro checklist para la construcción de políticas/directrices de uso de Internet, estamos seguros de que su proyecto será un gran éxito. No dude en añadir comentarios o incluso contactar con nuestro equipo comercial.

[rev_slider hor-post-especialista]

This post is also available in: Português English Español