Nuestra red es segura
Hace muchos años hablábamos de seguridad perimetral y nos referíamos como ese espacio lógico entre nuestra red local considerada como «segura» e Internet «no segura». La llegada del IoT con ausencia de actualizaciones trajo como resultado serios problemas de seguridad, por lo tanto considerar su red local como un área segura es cosa del pasado.
El perímetro se ha extendido…
Nuestro perímetro se movió a miles de kilómetros de nuestro centro de datos o incluso de nuestras oficinas debido al creciente uso de infraestructura o servicios de nube, lo que aumenta la necesidad de controlar el tráfico que entra y sale de nuestra red.
Zero Trust Security
Este modelo nos muestra que todo debe ser verificado y que no debemos de confiar en nada, llevándolo al punto de vista del uso de firewall, es común escuchar gente decir que solo filtra los puertos entrantes debido a que confían en todo el tráfico saliente y mantienen al enemigo lejos y no hay nada más FALSO que eso.
Firewalls o Corta Fuego
Su trabajo principal consiste en monitorear y controlar el tráfico entrante y saliente basado en un determinado número de reglas. Un firewall es su primera barrera de defensa por lo que su correcta implementación es crucial para mantener a los ciberdelincuentes fuera de su perímetro.
Viéndolo desde un punto de vista sencillo es aquel policía o guardia de seguridad que vemos en los edificios solicitando credenciales a cada persona que desea acceder, para luego proceder a buscarlo en su lista de autorizados, si tu nombre esta en esta lista pasarás, de lo contrario serás rechazado, puesto justo así funciona un firewall.
Errores Comunes durante la implementación de Firewalls
- Solo filtrar trafico entrante y permitir todo el tráfico saliente:
- Debido a que esta estrategia se volvió una moda, los atacantes hacen uso de llamados a casa, de tal forma que es la víctima quien realiza la conexión inversa al atacante dándole acceso a la red.
- No hacen uso de filtrado web:
- Permiten a los usuarios navegación libre sin restricciones, generando consigo riesgos de infección con cada clic que dan.
- No realizan monitoreo de las URL o dominios que visitan:
- Al desconocer los sitios que los clientes visitan intencional o no intencionalmente, da como resultado tener computadoras pertenecientes a diversas botnets o ser víctimas de filtración de información involuntaria.
- Confían en tráfico DNS:
- Técnicas avanzadas de hacking permiten hacer uso de este protocolo para enviar instrucciones a los dispositivos bots o zombi o incluso para extraer información del dispositivo comprometido.
- Falta de Actualización:
- Es crucial que durante la implementación de cualquier solución ya sea comercial u Open Source, se realice la actualización tanto de sistema operativo, como de firmas de IDS en el caso que este módulo se encuentre activo.
- Permitir el tráfico libre entre las diversas redes:
- Esta mala práctica facilita el trabajo del malware, ya que al estar en una red sin restricciones de paso pueden desplegarse por todo su entorno.
A lo que vinimos…
Firewalls OpenSource
Con 14 años de estar en el mercado, merece ser llamado Líder en el campo de Firewalls Open Source basado originalmente en monowall aunque en la actualidad gran parte de su código ha sido reescrito su sistema operativo es FreeBSD.
PfSense incluye las mismas características que las soluciones de firewall comerciales más costosas. Proporcionando un mejor valor por su dinero.
Permite ser desplegado en casi cualquier hardware, aunque en la actualidad existe Hardware especializado para su uso. También está disponible en los Marketplaces de Amazon y Microsoft Azure. Además de poseer soporte comercial. En @GudixSecurity somos especialistas en PfSense contamos con profesionales de más de 10 años de experiencia manejando la tecnología.
Por si fuera poco, pfsense cuenta con una cantidad módulos que pueden ser habilitados desde el gestor de paquetes web, entre estos están:
- Acme: entorno de gestión de certificados automatizado, para el uso automatizado de certificados LetsEncrypt.
- BIND: versión gráfica de BIND DNS
- Haproxy: balanceador de carga TCP / HTTP (S) confiable y de alto rendimiento.
- NRPE: GUI para Nagios NRPE se usa para ejecutar complementos de Nagios en hosts remotos e informar los resultados al servidor principal de Nagios.
- pfBlockerNG: agrega característica de Firewalls de próxima generación, administrando listas blancas y negras, bloqueo por geolocalización, Integración avanzada para fuentes de amenazas de reputación de IP de Proofpoint ET IQRis y bloqueo de nombre de dominio (DNSBL) a través del solucionador de DNS independiente.
- Suricata: Motor de monitoreo de seguridad, IPS e IDS de red de alto rendimiento de OISF.
- Y muchos paquetes más.
Alguna de las funcionalidades principales de pfsense son:
- VPN Server (IPSec y OpenVPN)
- Proxy
- Filtrado de contenido
- DNS y DHCP Server
- Portal Cautivo
- Balanceador de Carga
- Traffic Shapping
- UTM
- Mucho más.
Para información adicional pueden dirigirse a Netgate
IPFIRE
Es un firewall de código abierto reforzado, versátil y de última generación basado en Linux. Su facilidad de uso, alto rendimiento en cualquier escenario y extensibilidad lo hacen utilizable para todos.
IPFire emplea un cortafuegos Stateful Packet Inspection (SPI), que se basa en Netfilter, el marco de filtrado de paquetes de Linux. Filtra paquetes rápidamente y alcanza rendimientos de hasta varias decenas de Gigabit por segundo.
Su intuitiva interfaz de usuario web permite crear grupos de hosts y redes que se pueden utilizar para mantener un gran conjunto de reglas breves y ordenadas, algo muy importante en entornos complejos con un estricto control de acceso. Los informes gráficos y de registro ofrecen una gran comprensión.
IPFire puede ser desplegado en casi cualquier hardware aunque recuerden tomar en cuenta los requerimientos de su entorno. En cuanto a nube podemos encontrarlo en el marketplace de AWS únicamente.
Al igual que PfSense posee una gran cantidad de módulos que pueden ser agregados desde su paquetería tales como:
- Guardian transforma el sistema de detección de intrusiones en la red (IDS) Snort predeterminado en un sistema de prevención de intrusiones en la red (IPS).
- Lynis es una herramienta de auditoría de línea de comandos para el escaneo local del sistema y el software.
- Sarg es una herramienta de análisis gráfico para informes de proxy, que se puede utilizar a través de la interfaz web.
- Squid-Accounting es una interfaz web gráfica para medir el tráfico por host / usuario y la capacidad de generar facturas.
Algunas de las características principales son:
- VPN Server (IPSec y OpenVPN)
- Proxy
- Filtrado de contenido
- DNS y DHCP Server
- Portal Cautivo
- Balanceador de Carga
- Traffic Shapping
- UTM
- Mucho más.
Conclusiones
No es cuestión de solo colocar un firewall, es importante tomar en cuenta buenas prácticas de seguridad, segmentación de la red, monitorear todo lo que ocurre en la red, implementar soluciones IPS/IDS, controlar el tráfico entrante y saliente y sobre todo mantener sus sistemas actualizados.
Para mejorar la seguridad de su empresa no necesita invertir cientos de miles de dólares, solo necesita contar con un equipo capacitado que lo guíe durante todo el proceso de implementación. Por otro lado el firewall no es el único que hace la magia, es cuestión de desarrollar una estrategia de seguridad que se adapte al objetivo del negocio.
Ya no hay excusas para que su red no sea segura, en este artículo solo hemos mencionado 2 de los firewalls más utilizados sin embargo existen muchos más, además de otras soluciones OpenSources como los SIEM que les mencione en el artículo anterior
En @gudixsecurity contamos con un equipo de Ingeniería altamente calificado que estará dispuesto a ayudarlo a mejorar la seguridad de su organización.
Implementar seguridad nunca fue tan fácil.
¿Tienes algún consejo? Si es así, no dude en hacérnoslo saber a continuación en los comentarios.