Cuando cambia la configuración de un firewall, es importante considerar los posibles riesgos de seguridad para evitar problemas futuros. La seguridad es un tema complejo y puede variar de un caso a otro, pero este artículo describe las mejores prácticas para configurar las reglas del firewall perimetral.
Bloquear por defecto
Bloquee todo el tráfico de forma predeterminada y habilite explícitamente solo el tráfico específico a los servicios conocidos. Esta estrategia brinda un buen control sobre el tráfico y reduce la posibilidad de una infracción debido a una mala configuración del servicio.
Este comportamiento se logra configurando la última regla en una lista de control de acceso para denegar todo el tráfico. Puede hacerlo de forma explícita o implícita, según la plataforma.
Permitir tráfico específico
Las reglas que utilice para definir el acceso a la red deben ser lo más específicas posible. Esta estrategia es el principio del mínimo privilegio , y fuerza el control sobre el tráfico de red. Especifique tantos parámetros como sea posible en las reglas.
Un cortafuegos de capa 4 utiliza los siguientes parámetros para una regla de acceso:
- Dirección IP de origen (o rango de direcciones IP)
- Dirección IP de destino (o rango de direcciones IP)
- Puerto de destino (o rango de puertos)
- Protocolo del tráfico (TCP, ICMP o UDP)
Especifique tantos parámetros como sea posible en la regla utilizada para definir el acceso a la red. Hay escenarios limitados donde any se utiliza en cualquiera de estos campos.
Especifique las direcciones IP de origen
Si el servicio debe ser accesible para todos en Internet, entonces cualquiera la dirección IP de origen es la opción correcta. En todos los demás casos, debe especificar la dirección de origen.
Es aceptable permitir que todas las direcciones de origen accedan a su servidor HTTP. No es aceptable permitir que todas las direcciones de origen accedan a los puertos de administración del servidor o a los puertos de la base de datos. La siguiente es una lista de puertos comunes de administración de servidores y puertos de bases de datos:
Puertos de administración del servidor:
- Linux®SSH:puerto 22
- Windows® RDP:Puerto 3389
Puertos de base de datos:
- Servidor SQL®:Puerto 1433
- Oracle®:Puerto 1521
- MySQL®:Puerto 2206
Sea específico sobre quién puede llegar a estos puertos. Cuando no sea práctico definir las direcciones IP de origen para la administración de la red, puede considerar otra solución como una VPN de acceso remoto como control de compensación para permitir el acceso requerido y proteger su red.
Especifique la dirección IP de destino
La dirección IP de destino es la dirección IP del servidor que ejecuta el servicio al que desea habilitar el acceso. Siempre especifique qué servidor o servidores son accesibles. Configurar un valor de destino de any podría conducir a una violación de la seguridad o comprometer el servidor de un protocolo no utilizado al que podría accederse de forma predeterminada. Sin embargo, las direcciones IP de destino con un valor de destino de any se puede usar si solo hay una IP asignada al firewall. El valor any también se puede usar si desea tanto público como servicenet acceder a su configuración.
Especifique el puerto de destino
El puerto de destino corresponde al servicio accesible. Este valor de este campo nunca debe ser any . Se define el servicio que se ejecuta en el servidor y al que se debe acceder, y solo se debe permitir este puerto. Permitir todos los puertos afecta la seguridad del servidor al permitir ataques de diccionario, así como explotaciones de cualquier puerto y protocolo que esté configurado en el servidor.
Evite utilizar un rango demasiado amplio de puertos. Si se utilizan puertos dinámicos, los cortafuegos a veces ofrecen políticas de inspección para permitirles el paso de forma segura.
Ejemplos de configuraciones peligrosas
Esta sección describe ejemplos peligrosos de reglas de firewall, pero también muestra algunas buenas reglas alternativas a seguir cuando se configuran reglas de firewall.
permit ip any any - Permite todo el tráfico desde cualquier origen en cualquier puerto a cualquier destino. Este es el peor tipo de regla de control de acceso. Contradice tanto los conceptos de seguridad de denegar el tráfico de forma predeterminada como el principio de privilegio mínimo. El puerto de destino debe especificarse siempre y la dirección IP de destino debe especificarse cuando sea práctico. La dirección IP de origen debe especificarse a menos que la aplicación esté diseñada para recibir clientes de Internet, como un servidor web. Una buena regla sería permit tcp any WEB-SERVER1 http .
permit ip any any WEB-SERVER1 - Permite todo el tráfico desde cualquier fuente a un servidor web. Solo se deben permitir puertos específicos; en el caso de un servidor web, los puertos 80 (HTTP) y 443 (HTTPS). De lo contrario, la gestión del servidor es vulnerable. Una buena regla sería permit ip any WEB-SERVER1 http .
permit tcp any WEB-SERVER1 3389 - Permite el acceso RDP desde cualquier fuente al servidor web. Es una práctica peligrosa permitir que todos accedan a sus puertos de administración. Sea específico sobre quién puede acceder a la administración del servidor. Una buena regla sería permit tcp 12.34.56.78 3389 WEB-SERVER1 (donde 12.34.56.78 es la dirección IP de la computadora del administrador en Internet).
permit tcp any DB-SERVER1 3306 - Permite el acceso MySQL desde cualquier fuente a la base de datos. Los servidores de bases de datos nunca deben estar expuestos a todo Internet. Si necesita que las consultas de la base de datos se ejecuten en la Internet pública, especifique la dirección IP de origen exacta. Una buena regla sería permit tcp 23.45.67.89 DB-SERVER1 3306 (donde 23.45.67.89 es la dirección IP del host en Internet que necesita acceso a la base de datos). Una mejor práctica sería permitir el tráfico de la base de datos a través de una VPN y no en texto claro a través de la Internet pública.
Si necesita ayuda para implementar estas mejores prácticas, comuníquese con su equipo de soporte de Rackspace.