Cinco consejos para optimizar el diseño de un Firewall

Leave a Comment

Como todos sabéis, el diseño de un firewall implica mucho más que la simple configuración del firewall.  Debemos preguntarnos que características del firewall serán usadas, en que zona de nuestra red instalaremos el firewall y en última instancia, cómo estará configurado.

La tecnología de los Firewall ha evolucionado desde el simple cortafuegos de filtrado de paquetes hasta los firewalls de ultima generación de hoy en día. En cada etapa de la evolución de los firewalls, nuevos servicios y soluciones han surgido para abordar la complejidad creciente del paisaje cibernético, para proteger los recursos, y para bloquear y atrapar los intentos de los atacantes cibernéticos de saltarse la barrera con nefastos propósitos. Los firewalls sofisticados de hoy incorporan una serie de características y servicios que son la consecuencia de estas etapas de la evolución de los cortafuegos.
Este articulo abarca un conjunto de cinco pasos secuenciales a seguir en el diseño de un firewall, como se muestra en la Figura 1, y proporcionando una guía de buenas prácticas, en las que se resalta la planificación y el diseño del firewall. Estos pasos se aplican tanto si se va a desplegar un único firewall con funciones limitadas y en un único punto o uno con todas sus funciones aplicadas a todos los ámbitos de la empresa.

Paso 1. Identificación de los requisitos de seguridad para su organización
Paso 2. Definir una política de seguridad global
Paso 3. Definir una filosofía Firewall
Paso 4. Identificar Comunicaciones Permitidas
Paso 5. Identificar los Puntos de Aplicación del Firewall

FW-Figura1

Figura 1. Cinco consejos para optimizar el diseño de un FW

Paso 1. Identificación de los requisitos de seguridad para su organización

Cada empresa es un mundo, y  antes de empezar a asegurar la red, es necesario tener constancia de todos los recursos de los que dispone tu empresa, evaluar sus requisitos de seguridad, y analizar el nivel de seguridad actual.

La información que recojas en este paso será muy útil en los siguientes pasos para la configuración y el despliegue del firewall:

  1. Catalogar bienes y recursos de su entorno. Por ejemplo:
  2. Realizar un inventario para identificar qué es lo que necesitas proteger. Cada entorno es único.
  3. Identificar los recursos de la red y de la empresa, incluyendo el hardware y el software de toda la empresa, tanto en la sede principal como en las remotas.

    Figura 2. Equipamiento de la empresa

    Figura 2. Equipamiento de la empresa

  4. Caracterizar sus recursos. Por ejemplo, identificar las bases de datos y sistemas disponibles al público,  los recursos que tienen altas concentraciones de información sensible de cara al cliente y los dispositivos de seguridad actuales.
  5. Identificar sus datos. Las empresas tienen muchos tipos de datos que proteger, algunos de más valor y más sensibles que otros. Los datos de negocio pueden incluir registros de clientes, información de los empleados, registros de cuentas, información financiera, planes de marketing, de propiedad intelectual, e información fiscal. Especificar cómo se manejan y protegen esos datos.
  6. Identificar los flujos de transacciones. Los datos son de mayor riesgo cuando se mueven y se utilizan en toda la empresa. Si se mueven todos los datos a la vez se está expuesto a muchos más riesgos.
  7. Identificar las conexiones de acceso a la red de partners e invitados.
  8. Analizar sus rangos de direcciones de Internet.
  9. Asignar valor cuantificable y la importancia de cada uno de tus recursos. Por ejemplo: Considerar el grado de sensibilidad de cada tipo de datos y quién lo usará; también puedes identificar los sistemas utilizados por el departamento técnico para administrar la red corporativa. Las infracciones de seguridad podría desactivar toda la red y sus recursos.
  10. Identificar y evaluar las vulnerabilidades o amenazas potenciales para cada recurso. Una evaluación de las vulnerabilidades es el primer paso para mejorar la postura de tu compañía frete a la seguridad.
  11. Cámbiate el sombrero: Mira tu entorno como si fueses un ciber-atacante.
  12. Revisar los sistemas operativos y las aplicaciones utilizadas en tu empresa. Determinar si se han mantenido y actualizado con los últimos parches, especialmente cuando se utilizan en conjunción con los datos sensibles.
  13. Implicar a una tercera parte que realice una evaluación de vulnerabilidad. Pueden identificar vulnerabilidades críticas en la red.

Paso 2. Definir una política de seguridad global

Una política de seguridad eficaz debe cumplir las siguientes características:

  • Identifica todos los recursos de la red que pertenecen a la empresa y la seguridad requerida para cada recurso. (Vea el Paso 1)
  • Incluye un mapa de la infraestructura de red que será revisado si se añaden o eliminan sistemas de la topología. (Vea el Paso 1)
  • Abarca la filosofía del firewall de la organización. (Vea el Paso 3)
  • Incluye la cobertura de las comunicaciones y los accesos permitidos de las políticas de la organización, definiendo los derechos y niveles de acceso basándose en las funciones y roles de los empleados. (Consulte el paso 4)
  • Identifica la postura de la empresa en materia de seguridad. Se define la posición de la empresa con respecto a la seguridad y cómo se aplican sus políticas.
  • Identifica los controles de autenticación y autorización establecidos, como el uso de ID de usuario y contraseñas, generadores de contraseñas de única instancia, y certificados.
  • Define las amenazas de seguridad y las medidas que deben adoptarse para impedir esas amenazas y para responder a los ataques exitosos.
  • Contiene un glosario que define los términos utilizados en la documentación para evitar malas interpretaciones.
  • Es fácilmente localizable en la Intranet por los empleados y otras partes responsables.

Muchas empresas confían en las herramientas que mantienen esta información y registran todos los cambios. El uso de estas herramientas ayuda a garantizar una aplicación coherente de las políticas y los procesos.

Además de otras ventajas, la definición de una política de seguridad desde el principio, hace que sea más fácil configurar el firewall y asegura que te ocupes de todos los detalles necesarios para la seguridad de tu empresa. Una política de seguridad proporciona la lógica que se aplica en la configuración del firewall – piensa en ello como un esbozo de lo que implementará en el firewall.

Aunque estos procedimientos parecen que solo deben de ser aplicados a grandes empresas, nada más lejos de la realidad, las empresas pequeñas deberían definir y documentar las políticas de seguridad, para que sus administradores puedan escalar los recursos de una manera eficiente, integrar de manera efectiva nuevas aplicaciones o incluir futuras mejoras en la seguridad de los firewalls.

Una política de seguridad bien documentada puede guiar a los administradores de red en el mantenimiento y gestión del firewall.

Paso 3. Definir una filosofía Firewall

La filosofía firewall es la parte de la política de seguridad de la organización que corresponde exclusivamente al firewall, y define tus objetivos generales para el cortafuegos. Establecer y documentar una filosofía firewall proporciona pautas escritas que cualquier administrador puede seguir en la implementación del cortafuegos. Si identificas como se van a proteger los recursos, aplicaciones, y los servicios, es mucho más fácil definir y configurar el firewall.
Una filosofía firewall también es esencial, en caso que se añadan nuevos equipos y software en la red. Documentar la filosofía firewall puede servir como un medio de comunicación para el despliegue del firewall actual, y para despliegues futuros con nuevos administradores de redes de tu empresa.

Incluso los firewalls simples necesitan una filosofía firewall bien documentada para hacer de guía durante su diseño, implementación y mantenimiento. Sin una filosofía que guíe su implementación y administración, podría convertir al propio firewall en un problema de seguridad. La tabla 1 identifica algunos componentes de la filosofía firewall que puede incluir en su propio documento de revisión de la filosofía

Tabla 1

Tabla 1. Directrices Filosofía Firewall

Puedes establecer un nivel de restricción de privilegios dependiendo de los requisitos de la red:
Menor privilegio: Bloquear la red. Se bloquean todas las conexiones y se van dando permisos según sea necesario. Esta es la configuración más común en la mayoría de sistemas.
Mayor privilegio: Confía en todo dentro de la red. Los bloqueos en este caso son selectivos, según proceda. Esta configuración se toma a veces cuando el firewall se despliega en línea, mientras que la actividad en la red continúa. En este caso, el funcionamiento cotidiano de la red no se ve afectado

Paso 4. Identificar Comunicaciones Permitidas

Definir una política de uso aceptable pasa por especificar los tipos de actividades de la red que serán permitidos y los que se negaran. Una política de uso aceptable declara explícitamente los servicios y aplicaciones para utilizar en la LAN o los servicios y aplicaciones que salen a Internet.

Antes de definir las políticas para el firewall, es necesario comprender el entorno de red, incluyendo las aplicaciones que se utilizan actualmente en la misma. En algunos casos, los administradores de red no son tienen constancia de ciertas aplicaciones usadas por los empleados. Por ejemplo, los jefes podrían no saber si los empleados están utilizando servicios de mensajería instantánea o aplicaciones similares, y los empleados podrían no ser conscientes de que este tipo de aplicaciones son puntos de entrada a la red que proporcionan fácil acceso para los atacantes.

El mantenimiento de una lista de aplicaciones y servicios autorizados, junto con los riesgos de seguridad conocidos asociados a ellos, y los medios utilizados para asegurar la aplicación es una práctica recomendada. Este tipo de información puede ser mantenida en su Intranet corporativa y puesto a disposición de los empleados.

También es importante entender y documentar el flujo de trabajo en su organización basándose ​​en los roles de los empleados y las aplicaciones permitidas y necesarias para cada función.

La recopilación de esta información puede ayudar a definir su firewall. La mayor parte del trabajo esta hecho, lo que convierte la configuración del cortafuegos en una tarea de configuración de software.

Al definir las comunicaciones permitidas y los permisos de acceso, debéis tener en cuenta el tipo de firewall que va a instalar para hacer cumplir estos requisitos. Aunque existen firewalls de filtrado de paquetes que operan hasta la capa 3 (transporte) y firewalls que operar hasta a Capa 4 (de red) pueden no proporcionar una protección adecuada y necesaria para defenderse de los ataques basados ​​en la web.

Los ataques basados ​​en Web pueden pasar fácilmente a través de puertos conocidos – HTTP (puerto 80), HTTPS (puerto 443), y el correo electrónico (puerto 25). los firewall de filtrado de paquetes que se basan en los protocolos y los puertos son incapaces de distinguir aplicaciones legítimas de aplicaciones ilegítimas y ataques. Estos son incapaces de distinguir que tipo de tráfico Web utiliza un puerto u otro.

La aparición de cortafuegos de aplicaciones dio a los equipos de administración un control granular sobre el acceso a las mismas. Los cortafuegos de aplicaciones examinan cada una de ellas, controlando el protocolo con el que un paquete se asocia y verificando los puertos utilizados por las aplicaciones. Pudiendo así inspeccionar contenidos de tráfico y contenido específico de bloques como los servicios Web y de virus conocidos.

Figura 3. Firewall de aplicaciones

Figura 3. Firewall de aplicaciones

Los firewalls de aplicaciones pueden controlar y bloquear el tráfico de las aplicaciones así como los servicios solicitados por el sistema. Estos firewalls permiten a los administradores conceder o restringir el acceso a determinados servicios y aplicaciones que anteriormente accedían libremente a la organización. Por ejemplo:

  • FTP se puede utilizar para realizar un inventario de los sistemas de su red y de los servicios que se ejecutan a través de los puertos abiertos. Pero en las manos de intrusos, FTP podría ser usado para encontrar hosts en la red y extraer información acerca de ellos, tales como el sistema operativo y su versión, explotando posibles exploits o agujeros.
  • SSH puede ser una herramienta valiosa para los administradores de TI. Pero en las manos de un usuario malicioso podría ser utilizado para violar la política corporativa eludiendo el análisis de contenido, además de exponer los servicios internos a los ataques externos a causa de un túnel hacia otras aplicaciones IP.

Paso 5. Identificar los Puntos de aplicación del Firewall

Muchas empresas implementan diferentes tipos de firewalls a lo largo de su entorno basado en los activos y los puntos de acceso que desean proteger.
Independientemente de dónde se aplica el firewall, los diseños más simples son propensos a ser más seguros y son más fáciles de manejar. Mientras que los requisitos especiales pueden justificar cierta complejidad del diseño de la infraestructura firewall lo que se presta a errores de configuración.

Por ejemplo, algunos consejos podrían ser:

  • Creación de zonas específicas para los requisitos funcionales. Por ejemplo, una zona podría consistir en empleados que comparten las mismas funciones de trabajo y el mismo derechos de acceso a las aplicaciones y recursos.
  • La separación de los grupos de usuarios en los servidores. Puedes asignar grupos de usuarios a un zona basándote en la subred del grupo.
  • Diseñar políticas específicas y no generales,colocando las políticas generales en la parte inferior de la lista de políticas.

Consejo: Asegúrate que una zona que contiene servidores no incluye usuarios.

La elección de los puntos de aplicación es fundamental para el diseño de los cortafuegos. Como regla general, el uso principal del cortafuegos debe dictar en gran medida sus puntos de aplicación y configuración. Los cortafuegos se despliegan habitualmente en el borde o frontera, entre la LAN privada y la red pública (Internet). Sin embargo, existen otros puntos de aplicación, o posibles entornos, a tener en cuenta.

Por ejemplo, una red empresarial generalmente comprende dos zonas: el núcleo (o red interna) y la frontera, pero la red también se puede extenderse para incluir una área llamada la Zona Desmilitarizada (DMZ), también conocido como un perímetro o bastión de la red. Los firewalls están diseñados y configurados de manera diferente en estas áreas de la red debido a que cada área tiene unos requisitos específicos de seguridad, tal como se detalla a continuación teniendo en cuenta la red y el tipo de firewall:

Edge: Firewall abierto a Internet: Protege la frontera de la red contra el acceso no autorizado desde Internet. Defiende tus equipos contra todas las formas de ataque desde fuera de la LAN, impidiendo los ataques DoS (Denial of Service) y otras formas de ataques de interrupción del proceso lanzados desde fuera de la LAN.
Protege los puntos de entrada a la LAN mediante la comprobación de cada paquete para determinar si esta permitido su acceso.

Figura 4. FW Edge

Figura 4. FW Edge

Core: Firewall con orientación corporativa: Protege los recursos corporativos de ataques oportunistas, accidentales o maliciosos internos, como el robo de datos o ataques DoS instigados a causa de un virus. Proporciona políticas de gestión del tráfico saliente. Asegura que los empleados tienen acceso sólo a los servicios de Internet que necesitan. Protege contra la posibilidad de que los empleados puedan lanzar ataques externos.

Cortafuegos en la DMZ: Proporciona seguridad adicional mediante la creación de una zona menos segura situada entre la red privada y la publica para proporcionar una primera línea de defensa protegiendo los equipos de la red interna.
Por lo general, se sitúan los servidores de acceso público  Si son atacados estos servidores,la LAN no se verá comprometida.

Figura 5.FW DMZ-CORE

Figura 5.FW DMZ-CORE

El mantenimiento de un entorno seguro

Uno de los elementos clave en el mantenimiento de la eficacia de un firewall es la comprensión de los patrones de tráfico de red. Saber lo que es normal para tu red y el establecimiento de un  linea base permite medir lo que piensas que es un comportamiento irregular y así luego poder configurar umbrales para proteger contra los ataques.

Para desarrollar un perfil de red que refleje con precisión el estado de la red y que permita establecer los umbrales de tráfico eficaces eficaces y otras medidas de protección, debes establecer los patrones normales para el tráfico de la red.

Para definir la línea base para su red, debes utilizar un analizador en tiempo real de red bajo condiciones normales de funcionamiento y analizar la red durante al menos una semana. Hay muchas herramientas comerciales y de código abierto que puede utilizar para este propósito, tales como MRTG, netmgr y OpenNMS. También puedes utilizar SNMP.

Estas son algunas de las tareas necesarias para crear un perfil detallado del comportamiento normal de la red:

  • Crear un perfil de red sobre el perfil base del tráfico.
  • Crear un perfil para limitar el numero de sesiones por direcciones ip de la red evitando el desborde de la tabla de sesiones.
  • Determinar el tipo de mensajes ICMP permitidos, por ejemplo, ping frente mensajes timestamp.
  • Determinar el flujo normal del tráfico ICMP. (Puede utilizar esta información para configurar los límites en el tráfico ICMP para evitar barridos ICMP).
  • Muchos sistemas utilizan ICMP para los informes de errores. Es importante entender que flujo de tráfico ICMP es normal para que no impida los informes genuinos de errores por establecer umbrales demasiado bajos.
  • Determinar el flujo normal del tráfico de paquetes TCP. Muchos de los ataques de la red utilizan el secuestro de paquetes TCP para llevar a cabo sus misiones maliciosas.

A continuación os sugiero algunos de los métodos que puedes utilizar para obtener información para definir la línea base del tráfico de red.

¿Cómo puedes definir al detalle el trafico de red de capa 3 a capa 7?

  1.  Establece sesiones para medir y recoger el flujo y las estadísticas del tráfico de paquetes a tiempo real.
  2. A partir de estas estadísticas, crea un modelo que describa tanto la media del comportamiento total y del individual en la red.

¿Qué información aporta el análisis de tráfico de esas capas?

  1.  El número de usuarios de la red
  2. Cuantas aplicaciones están usando esos usuarios
  3. Que porcentajes de sesiones son de un cierto tipo de protocolo
  4. El ancho de banda media consumida por usuario
  5. El número medio de sesiones por usuario
  6. El tamaño medio de paquetes en la red
  7. La tasa de error normal en la red
  8. La tasa normal de la fragmentación de la red

¿Qué medidas necesitas obtener para calcular las estadísticas de la capa de transporte?

  1. 1. Ancho de banda: Puedes obtener estos datos a partir de SNMP utilizando herramientas como MRTG, netmgr y OpenNMS, o puedes controlarlo utilizando el CLI de un dispositivo instalado en ese momento.
  2. Recuento de sesiones
  3. Ratio por sesión
  4. Recuento de usuarios

¿Cómo calculo el modelo medio total?

  1. Tiempo de sesión = recuento de sesión / tasa sesión
  2. Ancho de banda por sesión = ancho de banda por usuario / sesiones por usuario
  3. Los datos por sesión = ancho de banda por sesión tiempo x sesión

¿Cómo se calcula el modelo medio individual ?

  1. Tasa Sesión por usuario = tasa sesión / cuenta de usuario
  2. El ancho de banda por usuario= ancho de banda / cuenta de usuario
  3. Sesión por usuario = recuento de sesión / usuario
Figura 6. Firewall

Figura 6. Firewall

Resumen 

Implementar un firewall de manera eficaz para cualquier área de su red implica mucho más que una simple configuración. Este articulo ha intentado mostrarte procesos y unas directrices de buenas maneras que contribuyen a la creación de una política de seguridad para tu empresa y el diseño del firewall. Estas directrices intentan mejorar el proceso de diseño y configuración del cortafuegos y permitirte implementar el firewall cumpliendo con los requisitos de seguridad para todas las áreas de tu entorno.

Es fundamental para el diseño y la instalación de un firewall fuerte el mantener actualizada toda la documentación que define su entorno y sus recursos, así como los requisitos de seguridad. Esta documentación debe cubrir la filosofía firewall, reflejando la postura de seguridad actual de tu organización y del estado actual de la red, la dirección de las comunicaciones permitidas, e incluyendo la documentación del flujo de trabajo basada en roles. Es un documento “viviente”, que debe ser actualizada dinámicamente para reflejar los cambios en curso. Si el entorno descrito en ella se encuentra desfasado, dejará brechas en la configuración del cortafuegos y debilitará su eficacia.

Las directrices recomiendan que al recoger los datos de la red, documentes el estado actual de seguridad, y determines los objetivos de tu empresa en lo que respecta a seguridad.

  • Identificando todos los recursos de la red, sus requisitos de seguridad, y el posicionamiento de su organización en relación con sus políticas de seguridad.
  • Crear un mapa de la red y mantenerlo actualizado con las altas y bajas de dispositivos.
  • Identificando las amenazas conocidas y cómo va a hacer frente a los ataques.
  • Redactando un documento que registre la filosofía de su empresa con respecto al firewall y compartiendo la información con sus empleados.
  • Documentando los Sistemas Operativos y aplicaciones incluyendo versiones y parches.
  • Definiendo el flujo de trabajo de su organización con respecto a las comunicaciones permitidas, los derechos de acceso basado en los roles de los empleados, y según necesidades de los usuarios individuales y sus responsabilidades.

Es vital para la seguridad de tu entorno que hagas que esta información esté disponible para los empleados.

Debes elegir los puntos de aplicación del firewall teniendo en cuenta que pretende asegurar: La intranet, sus servidores Web, la DMZ o todos ellos a la vez.

Diseña tu cortafuegos de una manera simple, en la medida de lo posible, sin sacrificar una cobertura completa de la seguridad.

Como medidas permanentes de protección:

  • Desarrolla un perfil base del tráfico de red que identifique el patrón de tráfico normal de su red, para establecer el umbral de irregularidades.
  • Tomar estadísticas para crear el modelo de tráfico, y a continuación, utilizar el modelo para validar el perfil base. No se puede establecer umbrales efectivos para protegerse de ataques sin el.

Saludos.

J.Fabello

Fuente: TechPubs de Juniper

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *