¿Se le ha encargado mantener el firewall de red de su organización? Esta puede ser una tarea desalentadora, especialmente si la red protegida por el firewall tiene una comunidad diversa de clientes, servidores y otros dispositivos de red con requisitos de comunicaciones únicos.
Los firewalls proporcionan una capa de defensa clave para su red y son una parte integral de su estrategia global de seguridad de la red de defensa en profundidad. Si no se administra e implementa correctamente, un firewall de red puede dejar vacíos en su seguridad, permitiendo que los hackers y delincuentes entren y salgan de su red.
Conozca su red
Entonces, ¿dónde empiezas en tu intento de domesticar a esta bestia?
Si simplemente se sumerge y comienza a jugar con las Listas de control de acceso (ACL), podría aislar inadvertidamente algún servidor de misión crítica que podría enojar a su jefe y despedirlo.
La red de cada uno es diferente. No existe una panacea ni una solución definitiva para crear una configuración de firewall de red a prueba de piratas informáticos, pero existen algunas prácticas recomendadas para administrar el firewall de su red. Como cada organización es única, la siguiente guía puede no ser la "mejor" para cada situación, pero al menos le proporcionará un punto de partida para ayudarlo a controlar su firewall para que no se queme.
Formar un Tablero de Control de Cambio de Firewall
La formación de un panel de control de cambios de firewall formado por representantes de usuarios, administradores de sistemas, gerentes y personal de seguridad puede ayudar a facilitar el diálogo entre los diferentes grupos y puede ayudar a evitar conflictos, especialmente si los cambios propuestos se discuten y coordinan con todos los que pueden verse afectados por ellos antes del cambio.
La aprobación de cada cambio también ayuda a garantizar la responsabilidad cuando se producen problemas relacionados con un cambio de firewall específico.
Alertar a los usuarios y administradores antes de los cambios de la regla de Firewall
Los usuarios, administradores y comunicaciones del servidor pueden verse afectados por cambios en su firewall. Incluso los cambios aparentemente menores en las reglas de firewall y las ACL pueden tener un gran impacto en la conectividad. Por esta razón, es mejor alertar a los usuarios sobre los cambios propuestos a las reglas de firewall. Se debe informar a los administradores del sistema qué cambios se proponen y cuándo entrarán en vigencia.
Si los usuarios o administradores tienen problemas con los cambios propuestos en las reglas de firewall, se debe dar un tiempo amplio (si es posible) para que expresen sus preocupaciones antes de que se realicen los cambios, a menos que se produzca una situación de emergencia que requiera cambios inmediatos.
Documentar todas las reglas y los comentarios de uso para explicar el propósito de las reglas especiales
Tratar de averiguar el propósito de una regla de firewall puede ser difícil, especialmente cuando la persona que originalmente escribió la regla dejó la organización y usted se queda tratando de averiguar quién podría verse afectado por la eliminación de la regla.
Todas las reglas deben estar bien documentadas para que otros administradores puedan entender cada regla y determinar si es necesaria o si debería eliminarse. Los comentarios en las reglas deben explicar:
- El propósito de la regla.
- El servicio para el que está la regla.
- Los usuarios / servidores / dispositivos afectados por la regla (¿Para quién es?).
- La fecha en que se agregó la regla y el período de tiempo en que se necesita la regla (es decir, ¿es una regla temporal?).
- El nombre del administrador de firewall que agregó la regla.
Evite el uso de "Cualquiera" en las reglas "Permitir" del Firewall
En el artículo de Cyberoam sobre las mejores prácticas de reglas de firewall, abogan por evitar el uso de "Cualquiera" en las reglas de firewall "Permitir", debido a posibles problemas de control de flujo y tráfico. Señalan que el uso de "Cualquiera" puede tener la consecuencia involuntaria de permitir que cada protocolo pase por el firewall.
"Denegar todo" Primero y luego agregar excepciones
La mayoría de los firewalls procesan sus reglas secuencialmente desde la parte superior de la lista de reglas hasta la parte inferior. El orden de las reglas es muy importante. Lo más probable es que desee tener una regla de "Denegar todo" como su primera regla de firewall. Esta es la más importante de las reglas y su ubicación también es crucial. Poner la regla de "Denegar todo" en la posición # 1 es básicamente decir "Mantengan a todos y todo fuera primero y luego decidiremos a quién y qué queremos dejar entrar".
Nunca querrás tener una regla de "Permitir todo" como tu primera regla, ya que eso anularía el propósito de tener un firewall, ya que dejaste entrar a todos.
Una vez que tenga su regla de "Denegar todo" en su lugar # 1, puede comenzar a agregar sus reglas de permiso debajo para permitir el tráfico específico dentro y fuera de su red (asumiendo que su firewall procesa las reglas de arriba a abajo).
Revise las reglas con regularidad y elimine las reglas no utilizadas de forma regular
Tanto por razones de rendimiento como de seguridad, querrá que su cortafuegos se descargue de forma periódica. Cuanto más complejas y numerosas sean sus reglas, mayor será el rendimiento que se verá afectado. Si tiene reglas creadas para estaciones de trabajo y servidores que ya ni siquiera están en su organización, es posible que desee eliminarlas para ayudar a reducir la sobrecarga de procesamiento de sus reglas y para ayudar a reducir el número total de vectores de amenazas.
Organizar reglas de firewall para el rendimiento
El orden de las reglas de su firewall puede tener un gran impacto en el rendimiento del tráfico de su red. eWEEk tiene un excelente artículo sobre las mejores prácticas para organizar las reglas de su firewall para maximizar la velocidad del tráfico. Una de sus sugerencias incluye eliminar algunas de las cargas de su firewall filtrando el tráfico no deseado a través de sus enrutadores de borde.
