Un firewall es la primera línea de defensa contra amenazas a la seguridad; no obstante, el simple hecho de agregar dispositivos de firewall a su red, de ninguna forma garantiza su seguridad.
Un ciberataque puede penetrar todo tipo de sistemas de protección sobre todo si son débiles, tal y como sucedió en mayo pasado, cuando casi 500 servidores y más de 9 mil estaciones de trabajo dejaron de funcionar en las sucursales del Banco de Chile en todo el país. Ese ataque iba dirigido contra el sistema internacional de mensajería interbancario SWIFT del Banco de Chile y dio lugar a la transferencia de activos por un valor de 10 millones de dólares a cuentas en Hong Kong.
Para evitar situaciones de esta magnitud, las empresas en América Latina necesitan analizar con regularidad el syslog y la configuración de sus firewalls además de optimizar su rendimiento y proteger sus redes.
El punto central del desempeño de cualquier firewall son sus reglas y políticas, las cuales en caso de no administrarse adecuadamente, pueden dejar a cualquier red vulnerable ante ataques. En septiembre de 2017, Taringa, una popular plataforma social en América Latina, tuvo un incidente de filtración que dejó expuesta la información de 28 millones de sus miembros. De cualquier forma, dichas situaciones de filtración de redes pueden prevenirse.
De hecho, la firma analista Gartner ha compartido que el 99% de las vulnerabilidades identificadas son y seguirán siendo las que los profesionales tecnológicos, de seguridad y sistemas ya conocen desde un año atrás. Gartner concluye que la forma más económica y eficiente de mitigar los ataques cibernéticos provocados por vulnerabilidades conocidas es eliminarlas completamente con parcheos regulares.
Para muchos administradores de seguridad, mantener el desempeño óptimo de reglas es una tarea de enormes proporciones. Las empresas exigen que las redes funcionen con mayor rapidez, y esto deja a los administradores en la vulnerable situación de tener que distinguir el tema de velocidad del de seguridad.
Con estos desafíos en mente, a continuación repasaremos las cinco mejores prácticas asociadas a firewalls que ayudarán a los administradores de sistemas a lidiar con la disyuntiva de velocidad vs. seguridad.
1. Documentar las reglas aplicadas a firewalls y agregar comentarios para detallar reglas especiales
Para cualquier integrante de un equipo de TI, es fundamental tener visibilidad de todas las reglas que se han escrito. Aparte de la lista de reglas en sí, vale la pena detallar:
- El propósito de una regla.
- El nombre del administrador que la desarrolló y la fecha en que fue creada.
- Los usuarios / servicios impactados por esta regla.
- Los dispositivos / interfaces impactados por esta regla.
Toda esta información se puede registrar como comentario al crear una regla nueva o modificar una existente. Lo primero que se debe hacer, sino se ha hecho aún, es revisar todas las reglas que tienen vigencia actual y documentar donde se pueda los datos antes mencionados.
Aunque esta sea una tarea que lleve tiempo realizar, basta hacerla una sola vez para que luego ahorre tiempo a cualquier administrador que tenga bajo su mando una auditoría o que esté agregando reglas nuevas a largo plazo.
2. Reducir aquellas reglas que sean demasiado permisivas e incluir la opción de rechazarlo todo desde un principio
Una excelente práctica consiste en empezar a desarrollar reglas de firewalls con la posibilidad de rechazar a todos, o lo que se conoce en inglés como un “deny all”, lo que servirá para proteger a la red de cualquier error manual. Otro punto que vale la pena considerar es evitar la implementación de cualquier regla demasiado permisiva, como aquellas que permiten a todos ejecutar todo – “allow any”— ya que esto también puede convertirse en un punto de riesgo para la red.
Las reglas permisivas le dan al usuario mayor libertad, lo que a su vez genera que los usuarios tengan acceso a más recursos de los que necesitan para ejecutar funciones relativas al negocio. Esto genera dos tipos de problemas:
- El ancho de banda de red es subutilizado o sobre utilizado.
- Existe mayor exposición a sitios potencialmente maliciosos. Al restringir estas reglas excesivamente permisivas, se pueden evitar por completo estas cuestiones.
3. Verificar las reglas del firewall regularmente y buscar optimizar su desempeño
Conforme van pasando los años y distintos administradores de seguridad van definiendo nuevas políticas, la tendencia es que se va incrementando la cantidad de reglas.
Al definir nuevas reglas sin contemplar las pasadas, estas se pueden volver redundantes y llegar a contradecirse, lo que podría provocar anomalías que impacten negativamente el desempeño del firewall.
La práctica de limpiar de forma regular aquellas reglas que se han quedado en desuso sirve para evitar el congestionamiento del procesador de su firewall, motivo por el cual resulta importante auditarlas periódicamente, e ir eliminando cualquier duplicado, anomalía o política indeseada.
4. Organizar las reglas del firewall para maximizar la velocidad
Colocar las reglas de mayor uso al principio y las menos utilizadas hacia el final, mejorará la capacidad de procesamiento de un firewall. Esta es una actividad que debe ejecutarse periódicamente, dado que diferentes reglas se utilizan en distintos momentos.
5. Ejecutar pruebas de penetración para comprobar las condiciones de las reglas
Las pruebas de penetración son ataques cibernéticos simulados al sistema que se utilizan para verificar en qué puntos existen vulnerabilidades. De la misma forma en que a los automóviles se los somete a pruebas de colisión para identificar los puntos de vulnerabilidad en el diseño, las pruebas periódicas de penetración a los firewalls sirven para identificar aquellas áreas en la seguridad de la red que resultan vulnerables.
6. Automatizar auditorías de seguridad con regularidad
Las auditorías de seguridad son evaluaciones técnicas medibles, sistemáticas o manuales, de un firewall. Al estar conformadas por una combinación de tareas manuales y automatizadas, resulta fundamental ir auditando y registrando los resultados de dichas tareas.
Es necesario contar con una herramienta que automatice las tareas y registre los resultados de tareas manuales. Con ello se puede dar seguimiento a cómo los cambios en configuración impactan un firewall.
7. Contar con una herramienta de gestión de cambios de extremo a extremo
La clave en la gestión eficiente de políticas radica en poseer una herramienta de gestión de cambios de extremo a extremo que permita rastrear y registrar peticiones de principio a fin.
Un procedimiento típico de cambio puede involucrar los siguientes pasos:
- El usuario presenta una solicitud para un cambio en particular.
- La solicitud queda aprobada por el equipo de seguridad de firewall/red y todos los detalles de quien aprueba la solicitud se registran para referencia futura.
- Luego de su aprobación, la configuración es puesta a prueba para verificar si los cambios del firewall tendrán el efecto deseado sin detonar amenazas a la estructura actual.
- Una vez probados los cambios, la nueva regla se designa para producción.
- Se ejecuta un proceso de validación a fin de garantizar que los nuevos ajustes del firewall estén operando como se debe.
- Todos los cambios, los motivos del cambio, las marcas horarias y el personal involucrado también se registran.
- Un sistema de monitoreo de extremo a extremo ayuda a garantizar cohesión total en cuanto al manejo de cambios a la red.
8. Plantear un plan de gestión de alertas extenso y en tiempo real
Un sistema de gestión de alertas en tiempo real es fundamental para la gestión eficaz del firewall:
- Monitorear la disponibilidad del firewall en tiempo real. Si este se cae, uno alterno debe subir inmediatamente para que todo el tráfico sea momentáneamente desviado a través de dicho firewall.
- Activar alarmas cuando el sistema se encuentra ante un ataque para que el problema se rectifique rápidamente.
- Establecer notificaciones de alerta para todos los cambios que se realicen. Esto ayudará a los administradores de seguridad a vigilar de cerca todos los cambios que se produzcan.
9. Conservar logs según la norma
Se deben conservar los logs durante un período de tiempo estipulado en función de las regulaciones que se necesitan cumplir. Diferentes países tienen diferentes reglas sobre cuánto tiempo deben almacenarse los logs para fines legales, así que será importante consultar con el equipo legal cuáles son las que debe acatar su negocio.
10. Verificar periódicamente el cumplimiento de seguridad
Las auditorías internas regulares, combinadas con controles de cumplimiento de las diferentes reglas de seguridad, son aspectos importantes para mantener una red en buenas condiciones. Cada compañía debe seguir diferentes estándares de cumplimiento basados en la industria en la cual opera el negocio; se pueden automatizar los controles de cumplimiento y las auditorías a fin de que se ejecuten de forma regular y se asegure de estar cumpliendo con los estándares de la industria.
11. Actualizar el software y firmware del firewall
Ninguna red o firewall es perfecta, y los hackers trabajan día y noche para ver por dónde pueden lograr penetrar. Así, no es de extrañar que la ciberseguridad sea una de las principales preocupaciones de las empresas en América Latina. Incluso el Banco Interamericano de
Desarrollo ha calificado a la región como una de las más vulnerables del mundo debido a las
distintas amenazas cibernéticas. Actualizaciones regulares al software y firmware de su firewall ayudarán a eliminar las vulnerabilidades conocidas de su sistema.
Afortunadamente, con la implementación de un plan de seguridad proactivo, actualizaciones regulares de sistemas y comprobaciones de que todo está al día, cumpliendo y optimizando las reglas de los firewalls para maximizar velocidades, las empresas de la región pueden sentirse más protegidas de las amenazas y la delincuencia cibernética.
Fuente: Mouli Srinivasan