Cómo configurar el firewall en 6 pasos

Ya aprendió a configurar su nuevo router inalámbrico y está listo para la próxima aventura: configurar un firewall. ¡Ay! Lo sabemos, parece realmente intimidante. Pero puede quedarse tranquilo, porque hemos dividido el proceso en 6 simples pasos que deberían ayudarle a alcanzar el máximo estado de seguridad de red. Comencemos…

Paso 1: proteja el firewall (suena redundante, ya sabemos).

El acceso administrativo al firewall solo debe concederse a las personas de confianza. Para evitar el acceso de posibles atacantes, asegúrese de que el firewall esté protegido con al menos una de las siguientes acciones de configuración:

• Actualice su firewall con el último firmware recomendado por el proveedor.
• Elimine, deshabilite o cambie el nombre de las cuentas de usuario predeterminadas y cambie todas las contraseñas predeterminadas. Asegúrese de usar solo contraseñas complejas y seguras.
• Si varias personas administrarán el firewall, cree cuentas adicionales con privilegios limitados basados en las responsabilidades. Nunca use cuentas de usuario compartidas. Haga un seguimiento de quién hizo cada cambio y por qué. Un buen registro promueve la diligencia debida al hacer cambios.
• Limite los puntos desde los cuales las personas puedan hacer cambios para reducir la superficie de ataque, es decir, que los cambios solo pueden hacerse desde subredes de confianza dentro de la corporación.

Paso 2: diseñe zonas de firewall y direcciones IP (No requiere tareas pesadas de programación).

Para proteger mejor los activos de la red, primero debe identificarlos. Planifique una estructura en la que los activos se agrupen en función de las necesidades empresariales y de las aplicaciones, por nivel de sensibilidad y funciones, y se combinen en redes (o zonas). No tome la salida fácil de hacer una sola red plana. Si le resulta simple a usted, le resultará fácil a los atacantes.

Todos los servidores que proporcionan servicios basados en la web (por ejemplo, correo electrónico, VPN) deben organizarse en una zona dedicada que limite el tráfico entrante de Internet, lo que suele conocerse como zona desmilitarizada o DMZ. Como alternativa, los servidores a los que no se accede directamente desde Internet deben colocarse en zonas de servidores internas. Estas zonas suelen incluir servidores de bases de datos, estaciones de trabajo y todos los dispositivos de punto de venta (POS) o de voz por protocolo de Internet (VoIP).

Si usa IP versión 4, las direcciones IP internas deben usarse para todas las redes internas. La traducción de direcciones de red (NAT) debe configurarse para permitir que los dispositivos internos se comuniquen con Internet de ser necesario.

Una vez que haya diseñado la estructura de la zona de red y establecido el esquema de direcciones IP correspondiente, estará listo para crear las zonas de firewall y asignarlas a las interfaces o subinterfaces del firewall. A medida que elabora su infraestuctura de red, deben usarse switches que respaldan las LAN virtuales (VLAN) para mantener una separación de nivel 2 entre las redes.

Paso 3: configure las listas de control de acceso (usted es el anfitrión, puede invitar a quien quiera)

Una vez que se establecen zonas de red y se asignan a las interfaces, empezará a crear reglas de firewall llamadas listas de control de acceso (ACL). Las ACL determinan el tráfico que necesita permisos para circular entre las zonas. Las ACL son los componentes básicos que determinan quiénes pueden hablar con qué y bloquean el resto. Aplicadas a cada interfaz o subinterfaz de firewall, las ACL deben ser lo más fieles posible a las direcciones IP exactas de origen o destino y a los números de puerto, siempre que sea posible. Para eliminar con un filtro el tráfico no aprobado, cree una regla de “denegar todo” al final de cada ACL. A continuación, aplique ACL entrantes y salientes a cada interfaz. De ser posible, desactive el acceso público a las interfaces de administración del firewall. Recuerde ser lo más detallado posible en esta etapa; no se limite a comprobar que las aplicaciones estén funcionando según lo esperado, sino que también debe asegurarse de probar lo que no debe permitirse. Asegúrese de analizar la capacidad del firewall de controlar los flujos de nivel de próxima generación; ¿puede bloquear el tráfico según las categorías web? ¿Se puede activar el análisis avanzado de los archivos? Contiene cierto nivel de funcionalidad IPS. Ya pagó por estas funciones avanzadas, por lo que no debe olvidarse de dar estos “pasos siguientes”.

Paso 4: configure los demás servicios y registros de firewall (su colección de registros)

Si lo desea, active el firewall para que actúe como servidor de protocolo de configuración dinámica de hosts (DHCP), servidor de protocolo de tiempo de red (NTP), sistema de prevención de intrusiones (IPS), etc. Desactive los servicios que no piensa usar.

Para satisfacer los requisitos de PCI DSS (Estándar de seguridad de datos para tarjetas de pago), configure el firewall para que informe al servidor de registro, y asegúrese de que se incluya una cantidad suficiente de detalles para satisfacer los requisitos 10.2 y 10.3 de PCI DSS.

Paso 5: pruebe la configuración del firewall (no se preocupe, es una prueba a libro abierto).

En primer lugar, verifique que el firewall bloquee el tráfico que debería bloquear según las configuraciones de ACL. Esto debe incluir el escaneo de vulnerabilidades y las pruebas de penetración. Asegúrese de guardar una copia de respaldo segura de la configuración del firewall para usar en caso de falla. Si todas las pruebas salen bien, el firewall estará listo para la producción. PRUEBE el proceso de reversión a una configuración anterior. Antes de hacer algún cambio, documente y pruebe el procedimiento de recuperación.

Paso 6: administración de firewall (todos los fuegos necesitan que los alimenten).

Una vez que el firewall esté configurado y en funcionamiento, deberá hacerle mantenimiento para que su funcionamiento sea óptimo. Asegúrese de actualizar el firmware, monitorear los registros, realizar análisis de vulnerabilidad y revisar las reglas de configuración cada seis meses.

Pasos siguientes

Eso es todo. Si llegó hasta aquí, ya es casi un experto en seguridad de red. Sin embargo, si desea recibir más asistencia, visite nuestra comunidad de pequeñas empresas. Allí encontrará respuestas a las preguntas comunes y se podrá conectar con gente que tiene empresas similares y que se enfrenta a desafíos de TI parecidos.