Llevar el mantenimiento del firewall de una red puede ser una tarea desalentadora, especialmente si la red protegida por el firewall tiene una comunidad diversa de equipos, servidores y otros dispositivos de red con requisitos de comunicaciones únicas.
Un firewall proporciona la capa de defensa clave para la red, y es una parte integral de defensa dentro de la estrategia de seguridad de la red.
Si no se administra e implementa correctamente, un firewall de red puede dejar brechas de seguridad que pueden permitir a los hackers y otros criminales entrar y salir de tu red.
¿Pero por dónde empezar? Si simplemente empiezas a jugar con las listas de control de acceso, podrías aislar inadvertidamente algún servidor crítico que podría quedar sin acceso desde parte de tu red. Todas las redes son diferentes. No hay ninguna solución para crear una configuración de firewall de red a prueba de hackers, pero hay algunas recomendaciones o mejores prácticas para administrar un firewall de red. Veamos algunas de ellas.
Crear un comité de control de cambios en el firewall
La creación de un grupo de control de cambios en el firewall compuesto por representantes de los usuarios, administradores de sistemas, dirección y personal de seguridad, puede ayudar a facilitar el diálogo entre los diferentes grupos y puede ayudar a evitar conflictos, especialmente si los cambios propuestos son discutidos y coordinados con todos los afectados. Tener cada cambio consensuado, ayuda a garantizar las responsabilidades cuando se producen problemas relacionados con un cambio específico en el firewall.
Alerta a usuarios y administradores de sistemas antes de realizar cambios en las reglas del firewall
Los usuarios, administradores y los servidores de comunicación, pueden verse afectados por los cambios en el firewall. Incluso cambios aparentemente menores en las reglas del firewall, pueden tener impactos importantes en la conectividad. Por esta razón es mejor alertar a los usuarios de los cambios propuestos en esas reglas del firewall. A los administradores de sistema se les debe decir qué cambios se proponen y cuándo surtirán efecto. Si los usuarios tienen algún problema con los cambios propuestos en las reglas del firewall, debe de dar tiempo suficiente (si es posible) para que expresen sus preocupaciones antes de que se realicen los cambios, a menos que ocurra una situación de emergencia que requiera cambios inmediatos.
Documentar todas las reglas y utilizar los comentarios para explicar el propósito de las reglas especiales
Tratar de averiguar el propósito de una regla de firewall puede ser difícil, especialmente cuando la persona que originalmente escribió la regla ha dejado organización y estás tratando de averiguar quién podría verse afectado por la eliminación de la regla.
Todas las reglas deben estar documentadas para que otros administradores puedan entender cada regla y determinar si todavía es necesaria o debe ser eliminada. Los comentarios en las reglas deben explicar:
- El propósito de la regla
- El servicio para el que es la regla
- Los usuarios, servidores y dispositivos afectados por la regla
- Fecha en la que se agrega la regla
- Marco de tiempo durante el cual se necesita
- Nombre del administrador de firewall que agregó la regla
Evitar el uso “Any” en reglas de firewall “Allow”
Muchos especialistas abogan por evitar el uso de “Any” en reglas de firewall “Allow” debido a problemas de tráfico potencial y control de flujos. El uso de “Any” puede tener consecuencias no intencionales de permitir a todos los protocolos atravesar el firewall.
Primero “Deny all” y después añadir excepciones
La mayoría de firewalls procesan sus reglas secuencialmente desde la parte superior de la lista de reglas hasta la parte inferior. El orden de las reglas es muy importante. Lo más probable es que desees tener una regla “Deny All” como tú primera regla de firewall. Esta es la más importante de las reglas y su colocación también es crucial. Poner la regla “Deny all” en la posición número uno, básicamente dice “Mantener todo y a todos fuera en primer lugar, y luego decidiremos quién y qué queremos dejar entrar”
Nunca querrás tener una regla “Alow All” como tu primera regla porque eso derrotaría el propósito de tener un firewall, ya que acabas de dejar entrar a todos.
Una vez tengas tu regla “Deny All” en primer lugar, puedes comenzar agregar reglas de permiso debajo de ella para permitir tráfico específico de entrada y de salida de la red.
Revisa las reglas con regularidad y elimina las reglas no utilizadas regularmente
Por razones de rendimiento y seguridad, necesitas limpiar las reglas de firewall periódicamente. Cuanto más complejas y numerosas sean las reglas, más afectará al rendimiento. Si tienes reglas integradas para estaciones de trabajo y servidores que no están ya en tu organización, es posible que desees eliminarlas con el fin de ayudar a reducir el procesamiento de reglas y para ayudar a reducir el número total de vectores de amenaza.