Ocho mejores prácticas de firewall para proteger la red
Contar con una guía firewall de mejores prácticas de seguridad para proteger el red puede comunicar a los interesados en seguridad los objetivos de política de seguridad de tu compañía, garantizar el cumplimiento de las normativas del sector y mejorar la postura general de seguridad de tu compañía.
A continuación, profundizamos en algunos recursos y ocho mejores prácticas de seguridad para firewall para comenzar tu camino hacia una mejor postura de seguridad.
#1. Reforzar y configurar correctamente el firewall
La mayoría de los sistemas operativos de soluciones de firewall todo en uno son reforzados por el fabricante. Si vas a desplegar una solución de software firewall , cerciórate de que el SO esté primero parcheado y reforzado.
Además de empezar con un SO reforzado, los administradores de seguridad querrán cerciorar de que el firewall esté configurado de forma segura. Las guías están disponibles de proveedores y terceros como el Center for Internet Security (CIS), que publica el dispositivo rojo CIS Benchmarks. Además, consulta la lista de comprobación del firewall de SANS.
#2. Planea la implementación de tu firewall
Los firewall son una herramienta vital para aplicar los principios de seguridad confiable cero . Monitorizan y controlan el acceso entrante y saliente a través de los límites de la red en una red segmentada por macros. Esto se aplica tanto a la implementación de firewall enrutada de capa 3 (donde el firewall actúa como puerta de enlace conectando múltiples rojos) como a la implementación de firewall puente de capa 2 (donde el firewall conecta y aísla el dispositivo dentro de un único rojo).
Al desplegar un firewall, las interfaces rojas de la firewall se conectan a estas zonas rojas. Estas zonas pueden usar para simplificar la política del firewall. Por ejemplo, una firewall perimetral tendrá una zona externa conectada a Internet, una o más interfaces internas conectadas a la red interna y quizá una conexión DMZ roja . La política de firewall puede personalizar según sea necesario para agregar un control más granular.
El firewall tendrá que ser gestionado. Una pregunta importante es: "¿El firewall también necesitará una interfaz de gestión dedicada?" La gestión de luces apagada y el acceso a la consola serial solo deberían ser accesibles desde un red dedicado y seguro.
Por último, un firewall es un punto único de fallo (SPOF). Desplegar dos o más en un clúster de Alta Disponibilidad (HA) garantiza que la seguridad continúe si uno falla. Una opción mejor que emplea continuamente los recursos de cada miembro del clúster es una solución de seguridad Hiperescala Red . Esto también debería considerar para el rojo, donde la carga de tráfico experimenta picos estacionales.
#3. Cerciora el firewall
Un firewall es un componente vital de la infraestructura de seguridad de una organización y debe proteger contra la explotación. Para proteger tu firewall, sigue los siguientes pasos:
- Desactiva protocolos inseguros como telnet y SNMP o emplea una configuración SNMP segura.
- Programa copias de seguridad periódicas de la configuración y la base de datos.
- Habilitar la auditoría de cambios del sistema y enviar registros mediante syslog seguro u otro método a una solución externa de servidor SIEM central o gestión de firewall para forense e reportes.
- Agrega una regla de sigilo en la política de firewall para ocultar el firewall de los escaneos de red.
- Limita el acceso de gestión a hosts específicos.
- Los firewall no están exentos a la vulnerabilidad. Consulta con el proveedor si existen vulnerabilidades conocidas y parches de seguridad que solucionen la vulnerabilidad.
#4. Cuentas de usuario seguras
La toma de control de cuentas es una técnica común empleada por los actores de ciberamenazas. Para proteger las cuentas de usuario en tu firewall, haz lo siguiente:
- Renombra o cambia cuentas y contraseñas predeterminadas
- Exigir MFA y/o establecer una política de contraseñas fuerte (contraseñas complejas con mayúsculas y minúsculas, caracteres especiales y números, de 12 caracteres o más, evitar la reutilización de contraseñas)
- Emplea el control de acceso basado en roles (RBAC) para los administradores de firewall. Delegar y limitar el acceso para adaptar a la necesidad de acceso del usuario (es decir, permitir solo acceso de solo lectura para contralor y crear roles y cuentas dedicados para los equipos de DevSecOps)
#5. Cerrar el acceso a la zona de bloqueo al tráfico aprobado
La función principal de un firewall es hacer cumplir y monitorizar el acceso para la segmentación de red.
Los firewall pueden inspeccionar y controlar el tráfico norte/sur a través de un límite de red. En este caso de macrosegmentación, las zonas son grupos amplios como externa, interna, DMZ y wifi de invitados. También pueden ser grupos empresariales en rojo interno separado como centro de datos, recursos humanos y finanzas, o una planta de producción en una planta que emplea el Sistema de control industrial (ICS).
El firewall desplegado en Nube privado o público virtualizado puede inspeccionar el tráfico entre servidores individuales o aplicaciones que cambian dinámicamente a medida que se generan instancias. En este caso de microsegmentación , las zonas pueden definir mediante aplicaciones como aplicaciones sitio web o bases de datos. La función del servidor virtual puede establecer mediante una etiqueta y emplear dinámicamente en una política de firewall sin intervención humana, reduciendo las posibilidades de errores manuales de configuración.
Tanto en implementación, macro como micro, el firewall controla el acceso estableciendo una regla de política firewall , que define el acceso en términos generales según la fuente y el destino del tráfico. También se puede definir el servicio o puerto empleado por la aplicación. Por ejemplo, los puertos 80 y 443 son puertos predeterminados para el tráfico sitio web. En un servidor sitio web, solo se debe permitir el acceso a estos puertos y bloquear todos los demás puertos. Este es un caso en el que es posible poner en lista blanca el tráfico permitido.
El tráfico de emisión de una organización a Internet es más problemático para una política de seguridad de lista blanca porque es casi imposible decir qué puertos son necesarios para el acceso a Internet. Un enfoque más común para una política de seguridad de salida es la inclusión en listas negras, donde se bloquea tráfico malo conocido y todo lo demás se permite mediante una política de "aceptar todo" para firewall.
Para detectar sitios defectuosos conocidos, se pueden habilitar funciones de seguridad adicionales en el Firewall de última generación (NGFW) además de controles de IP y puertos. Estos incluyen el filtrado de URL y el control de aplicaciones. Por ejemplo, esto puede usar para permitir el acceso a Facebook pero bloquear los juegos de Facebook.
#6. Cerciorar que la política y el uso del firewall cumplan con los estándares
Las normativas tienen requisitos específicos para los firewall. Cualquier mejor práctica de seguridad debe cumplir con estos requisitos y puede requerir agregar controles de seguridad adicionales a cualquier firewall desplegado. Requisitos de ejemplo incluyen el uso de red privado virtual (VPN) para cifrar datos en tránsito, antivirus para prevenir malwareconocidos y sistemas de detección y prevención de intrusiones (IDS/IPS) para detectar cualquier intento de intrusión roja.
Por ejemplo, PCI DSS requiere controles basados en zonas de firewall entre zonas confiables y no confiables. Esto incluye el uso de una DMZ y un firewall perimetral entre todos los entornos inalámbricos rojos y los datos del titular de la tarjeta. Algunos requisitos adicionales de PCI DSS incluyen:
- Emplea métodos antisuplantación para detectar y bloquear la entrada de direcciones IP de origen falsificadas en la red. Por ejemplo, bloquear el tráfico entrante en la interfaz externa con una dirección de origen de uno de los rojos internos.
- No divulgar direcciones IP privadas ni información de enrutamiento a partes no autorizadas usando la traducción de direcciones rojas (NAT) y eliminar los anuncios de ruta para red privado.
- Cada medio año, elimina cualquier norma innecesaria, desactualizada o errónea, y cerciórate de que todos los conjuntos de normas permitan únicamente servicios y puertos autorizados.
- Cifrar la transmisión de los datos del titular de la tarjeta a través de la zona pública y abierta.
- Instala los parches de seguridad suministrados por el proveedor correspondientes. Instala los parches de seguridad críticos en un mes desde el lanzamiento. (Dado lo rápido que los actores amenazantes aprovechan vulnerabilidades conocidas, las compañías podrían querer cambiar esto para actualizar cuando haya un parche disponible. Un NGFW que actualice automáticamente IPS firmas puede proteger todo el rojo contra vulnerabilidades recién anunciadas.)
- Deben existir procesos para limitar el acceso según la necesidad de saber y según las responsabilidades del puesto.
- Rastrea y monitoriza todos los accesos a los recursos de red y a los datos del titular de la tarjeta.
- Empleando tecnología de sincronización horaria, sincroniza todos los relojes y horarios críticos del sistema.
- Prueba de manera regular sistemas y procesos de seguridad.
#7. Prueba para verificar la póliza e identificar riesgos
Con una política de seguridad más amplia, puede ser difícil visualizar cómo procesaría una nueva conexión. Existen herramientas para realizar análisis de rutas y pueden existir en el sistema de gestión de seguridad para buscar y encontrar reglas.
Además, algunos sistemas de gestión de seguridad advierten cuando se crea un objeto duplicado o no instalan una política que tenga una regla que oculte otro. Prueba de manera regular tu política para verificar que funciona según el diseño para encontrar objetos no usados y duplicados.
Las políticas de firewall se aplican típicamente en orden de arriba hacia abajo y pueden optimizar desplazando las reglas de tophit más arriba en la orden de inspección. Inspecciona de manera regular la política para optimizar el rendimiento de tu firewall.
Por último, realiza pruebas de penetración periódicas para identificar posibles riesgos, además de medidas de seguridad adicionales que puedan ser necesarias además del firewall para proteger tu organización.
#8. Software o firmware de auditoría y registros
Las auditorías regulares son esenciales para garantizar que el software y el firmware estén correctos y actualizados, y que los registros estén correctamente configurados y funcionen. Algunas buenas prácticas para estas auditorías incluyen:
- Establece un plan formal de control de cambios para modificar la política de seguridad y así garantizar que la seguridad no se vea comprometida.
- Las reglas con Cualquier conjunto en el origen, destino o puerto pueden ser fallos en la política de seguridad. Cuando sea posible, cambia estos para agregar la fuente, destino o servicio específico que es el propósito de la regla.
- Crea secciones o capas para agregar una jerarquía a la política de seguridad, facilitando su revisión.
- Agrega reglas de limpieza al final de la sección o capa que coincidan con la intención de la capa (es decir, permitir todo o negarlo todo).
- Agrega comentarios y nombres a las reglas para ayudar a identificar el propósito original de cada regla.
- Habilitar el registro para seguir mejor los flujos de red y agregar visibilidad para investigaciones y reportes forenses.
- Revisa de manera regular los registros de auditoría e reportes para ver quién cambió la política del firewall.
Recomendaciones para la optimización de políticas Check Point
Check Point ofrece varios recursos para ayudar a configurar tu NGFW de Check Point. Para una discusión preliminar sobre la política de Check Point firewall , revisa este artículo de apoyo sobre Construcción y Optimización de Bases de Reglas. Además, si eres nuevo en Check Point, echa un vistazo al Check Point de la Comunidad CheckMates para Principiantes.
Para profundizar en cómo gestionar mejor tu solución Check Point, haz uno de nuestros cursos gratis de eLearning. También puedes pedir una demostración de NGFW o Gestión de Seguridad.
