Un cortafuegos es una estructura de seguridad de red que puede ayudar a proteger su red mediante la supervisión del tráfico de red y el bloqueo de personas ajenas para que no adquieran acceso no autorizado a los datos privados de su sistema informático basándose en reglas premeditadas. Un cortafuegos de red establece una barrera entre una red de confianza y una red no fiable.

Además, un cortafuegos de red no sólo bloquea el tráfico no fiable, sino que también bloquea el software malicioso que puede infectar su ordenador, mientras que permite el paso del tráfico legítimo. Los cortafuegos de red suelen ser la primera línea de defensa en la seguridad de su red doméstica.

8 Tipos de cortafuegos

Hay diferentes tipos de cortafuegos; sin embargo, normalmente se clasifican como un sistema basado en el host o un sistema basado en la red. Asimismo, los dispositivos de seguridad de cortafuegos de red pueden ofrecer funciones no relacionadas con el cortafuegos, como la red privada virtual (VPN) o el protocolo de configuración dinámica de host (DHCP). Los siguientes son los tipos más comunes de cortafuegos.

Cortafuegos de filtrado de paquetes

Este es el tipo más antiguo y básico
que crea un punto de control para los paquetes transferidos entre ordenadores. Los paquetes se filtran por el protocolo de origen y destino, la dirección IP, los puertos de destino y otra información de nivel superficial sin abrir el paquete para inspeccionar su contenido.

Si el paquete de información no cumple con el estándar de inspección, se descarta. Estos tipos de cortafuegos no consumen muchos recursos. Sin embargo, son relativamente fáciles de eludir en comparación con los cortafuegos con una competencia de inspección más robusta.

Pasarelas a nivel de circuito

A diferencia de los cortafuegos de filtrado de paquetes, las pasarelas a nivel de circuito son extremadamente intensivas en recursos. Este tipo de cortafuegos funciona verificando el handshake TCP (Transmission Control Protocol). El handshake TCP es una comprobación diseñada para asegurar que el paquete de sesión proviene de una fuente auténtica.

Las pasarelas a nivel de circuito son tipos simplistas de cortafuegos destinados a denegar o aprobar el tráfico de forma rápida y sencilla sin consumir recursos informáticos significativos. Sin embargo, este tipo de cortafuegos no inspecciona el paquete en sí. Si un paquete tiene malware pero incluye el apretón de manos TCP correcto, pasaría.

Pasarelas a nivel de aplicación/capa 7

Los cortafuegos proxy se ejecutan en la capa a nivel de aplicación para filtrar el tráfico entrante entre la fuente de la red y su red. Estos tipos de cortafuegos se suministran a través de una solución basada en la nube u otros sistemas proxy. Los cortafuegos proxy examinan tanto el paquete como el protocolo TCP handshake. Aunque también puede realizar inspecciones de paquetes de capa profunda para validar que no tiene ningún malware.

La mayor ventaja del filtrado de capa de aplicación es que puede entender aplicaciones y protocolos específicos, incluyendo el Protocolo de Transferencia de Hiper-Texto (HTTP), el Sistema de Nombres de Dominio (DNS) o el Protocolo de Transferencia de Archivos (FTP).

Fuegos de inspección total

Los fuegos de inspección total combinan la autenticación del apretón de manos TCP y la inspección de paquetes para establecer la seguridad de la red más allá de lo que los fuegos de filtrado de paquetes o las pasarelas a nivel de circuito pueden garantizar por sí solos. Aunque, este tipo de cortafuegos ralentiza la transferencia de paquetes auténticos, a diferencia de las otras dos arquitecturas.

Cortafuegos en la nube

La ventaja clave de los cortafuegos basados en la nube es que es sorprendentemente fácil de escalar con su organización. Los cortafuegos en la nube también se denominan cortafuegos como servicio (FaaS). Los cortafuegos en la nube se consideran similares a los cortafuegos proxy porque los servidores en la nube suelen desplegarse en una configuración de cortafuegos.

Cortafuegos de hardware

Este tipo de cortafuegos implementa un dispositivo físico que se comporta de forma similar a un enrutador de tráfico para comprobar las solicitudes de tráfico y los paquetes de datos antes de ser conectados al servidor de la red.

Cortafuegos de software

Incluye cualquier cortafuegos instalado en un sistema local en lugar de una pieza de hardware distinta o una solución basada en la nube. Los cortafuegos de software son extremadamente beneficiosos a la hora de establecer una defensa en profundidad al separar distintos puntos finales de la red entre sí.

Cortafuegos de próxima generación

Los cortafuegos de «próxima generación» incluyen la mayoría de los productos de cortafuegos lanzados recientemente. Aunque no hay mucho consenso sobre lo que caracteriza a un cortafuegos de nueva generación, algunas características comunes incluyen la inspección del apretón de manos TCP, la inspección profunda de paquetes y la inspección a nivel de superficie de paquetes.

¿Cómo configurar y gestionar un cortafuegos seguro?

Hay varios estándares de cortafuegos apropiados que puede implementar para garantizar la defensa de la red informática. No obstante, los siguientes pasos son cruciales independientemente de la plataforma de cortafuegos que seleccione.

1. Asegúrese de que su cortafuegos es seguro

Asegurar su cortafuegos es el primer paso para configurar y gestionar un cortafuegos seguro. Nunca permita que su cortafuegos realice acciones que no estén debidamente aseguradas, en su lugar:

  • Desactive el protocolo simple de gestión de red (SNMP)
  • Nombre, desactive o elimine cualquier cuenta de usuario predeterminada y modifique todas sus contraseñas predeterminadas
  • Establezca cuentas de administrador adicionales en función de las responsabilidades, especialmente si varios administradores van a gestionar su cortafuegos.

2. Cree sus zonas de cortafuegos y sus correspondientes direcciones IP

Cuantas más zonas establezca, más segura será su red. Antes de proceder a defender sus activos valiosos, debe identificar cuáles son estos activos y, a continuación, planificar la estructura de su red para posicionar las redes en función de su funcionalidad y sensibilidad.

Una vez que haya diseñado una estructura segura y haya creado la estructura de direcciones IP equivalente, estará totalmente preparado para arquitecturar sus zonas de cortafuegos y asignarlas a las interfaces y/o subinterfaces del cortafuegos.

3. Tener configurada una lista de control de acceso (ACLs)

Después de establecer sus zonas de red y asignarlas a sus interfaces de firewall, el siguiente paso es determinar qué tráfico debe fluir dentro y fuera de cada zona. Esto sería posible a través de las listas de control de acceso (ACL). Utilice ACL salientes y entrantes en cada interfaz y subinterfaz de su cortafuegos de red para permitir sólo el tráfico aprobado que entra y sale de cada zona.

4. Configure otros servicios del cortafuegos según los estándares requeridos

En función de la capacidad de su cortafuegos para actuar como sistema de prevención de intrusiones (IPS), protocolo de tiempo de red (NTP), DHCP, etc., puede configurar los servicios que necesite y desactivar todos los servicios adicionales que no sean relevantes para usted.

Debe consultar los requisitos de la DSS de la PCI y satisfacer los requisitos de los puntos 10.2 a 10.3 de la DSS de la PCI para configurar su cortafuegos para que informe a su servidor de registro correctamente.

5. Realice pruebas de configuración del cortafuegos de la red

Debe probar su cortafuegos para verificar que éste funciona como se espera. Debe incluir tanto pruebas de penetración como escaneos de vulnerabilidad para probar la configuración de su firewall. Recuerde siempre hacer una copia de seguridad de la configuración de su cortafuegos.

6. Gestión constante del cortafuegos

Después de completar la configuración de su cortafuegos, debe garantizar una gestión segura del mismo. Para hacer esto con eficacia, debe

  • Realizar escaneos de vulnerabilidad
  • Monitorear los registros
  • Revisar regularmente las reglas del firewall
  • Mantener el firmware actualizado
  • Documentar los avances

Consejos adicionales para configurar un firewall de forma segura

  1. Cumplir con los mandatos normativos estándar como NIST, PCI DSS, ISO, y NERC
  2. Realice cambios frecuentes en la configuración del cortafuegos
  3. Bloquee el tráfico por defecto y supervise el acceso de los usuarios
  4. Establezca y utilice sólo una conexión segura
  5. Agilice los cambios de configuración y elimine las lagunas de configuración
  6. Pruebe constantemente la configuración de su cortafuegos
  7. Registre todos los cambios de configuración en tiempo real

    8. .tiempo real

Consejos adicionales para gestionar un cortafuegos de forma segura

  1. Tenga un plan de gestión de cambios del cortafuegos claramente definido
  2. Pruebe el impacto del cambio de política del cortafuegos
  3. Limpie y optimice la base de reglas del cortafuegos
  4. Actualice regularmente el software del cortafuegos
  5. Centralice la gestión del cortafuegos de variosproveedores

Aprenda más sobre la creación de un cortafuegos de red seguro

El Certified Network Defender (CND) es un programa de certificación que crea administradores de red expertos que están bien formados para identificar, defender, responder y mitigar todas las vulnerabilidades y ataques relacionados con la red. El programa de certificación CND incluye laboratorios prácticos construidos a través de software, herramientas y técnicas de seguridad de red notables que proporcionarán al administrador de red certificado competencias reales y actualizadas sobre las tecnologías y operaciones de seguridad de red. Haga clic aquí para obtener más información sobre el programa CND de EC-Council.

FAQS

¿Cómo se organizan las reglas del firewall?
Las siguientes son las mejores prácticas para las reglas del cortafuegos:

  • Cada regla de cortafuegos debe registrarse para reconocer qué acción debe realizar la regla
  • Antes de añadir o cambiar cualquier regla de cortafuegos, debe crear un procedimiento de cambio formal
  • Bloquee todo el tráfico por defecto y permita sólo el tráfico específico a los servicios reconocidos
  • Establezca reglas de firewall precisas y claras
  • Establezca regla de caída explícita (regla de limpieza)
  • Auditar los registros
  • Asegurarse de que las antiguas reglas del cortafuegos se revisan y se eliminan cuando es necesario

¿Cómo puedo reforzar mi cortafuegos?
Las siguientes son las formas en las que puede abordar los retos de seguridad dentro de las redes y reforzar su cortafuegos:

  1. Asegúrese de asegurar los recursos críticos antes que cualquier otra cosa
  2. Recuerde siempre que hay una diferencia entre la seguridad del perímetro y la seguridad interna
  3. No dé a cada usuario de VPN rienda suelta a toda la red interna.
  4. Establezca perímetros de estilo Internetestilo Internet para las extranets de los socios
  5. Crear perímetros virtuales
  6. Supervisar automáticamente la política de seguridad
  7. Justificar las decisiones de seguridad
  8. Apagar los servicios de red ociosos servicios
  9. Elimine los puntos de acceso inalámbricos fraudulentos y establezca un acceso inalámbrico seguro
  10. Construya un acceso seguro para los visitantes

¿Cómo utiliza la revisión de las reglas del cortafuegos?
Hay evaluaciones de vulnerabilidad que garantizan que el cortafuegos no es vulnerable a los exploits modernos y auditorías oficiales que comprueban las vulnerabilidades y garantizan que se instalan los últimos parches para el software del cortafuegos y el sistema operativo, como una política de seguridad y la configuración del software del cortafuegos.

Sin embargo, es necesario realizar una revisión de las reglas del cortafuegos para evaluar su política de seguridad y eliminar los servicios obsoletos, las reglas, el cumplimiento de las políticas y la reposición para el rendimiento. Es necesario revisar las reglas del cortafuegos una tras otra para asegurarse de que están en el orden correcto. El responsable de seguridad de la red o del cortafuegos suele realizar la revisión de las reglas del cortafuegos.

By: adminPosted on

Deja una respuesta

Tu dirección de correo electrónico no será publicada.