Firewall

Los Firewalls son muy importantes para bloquear las conexiones maliciosas y ataques externos, son muy importantes cuando se suscita un ataque de Ransomware para bloquear las comunicaciones de los atacantes para evitar que manden cambios en los procesos del ataque o que sustraigan información. Otras de las ventajas que nos otorga un firewall y que son de gran utilidad a la hora de enfrentar un ciberataque son las capacidades de segmentar la red, aplicar controles de acceso a la red y filtrados de contenido.


Segmentación de la red:

La segmentación de la red es un punto muy importante para la gestión del perímetro de la organización, ya que con esto podemos aislar de una manera segura equipos como los servidores que son de los recursos más importantes de una organización, ya que es ahí donde se encuentran recursos web, bases de datos, gestores de correo electrónico, etc.

Otro punto importante para considerar es que la mejor practica seria segmentar las rede de invitados dejándolos totalmente aislados de las redes internas para prevenir un ataque lateral a nivel de red.

Dentro de la segmentación de la Red hay un término que se conoce como “zona desmilitarizada” (DMZ) se sugiere altamente la implementación de la misma, esta consiste en dividir la LAN y la DMZ que será un segmento de la red donde se colocaran los servidores, todo el tráfico de la DMZ saldrá por la LAN, y solo se podrá acceder a este segmento mediante conexiones remotas, para un ejemplo de configurar validar en la sección de blog el archivo de guía de ejemplo SGSI.

La segmentación de la Red Local (LAN) es de suma importancia porque en caso de que se presentara algún incidente de Ransomware lo podemos aislar en un área específica para evitar su propagación a toda la red, por lo que es de vital importancia configurar VLANs que limiten la comunicación entre una y otra en la medida de lo posible.


NAC (Network Access Control)

A nivel perimetral es recomendable hacer uso de un Network Access Control (NAC) para poder evitar la conexión a la red de usuarios que no formen parte de la organización, ya que si un usuario logra ingresar a la red y no ponemos un filtro le seria extremadamente fácil el desplegar un ataque de Ransomware dentro de una organización.

Es por eso necesario la implementación de un control de acceso a los usuarios el cual puede ser a través de un portal captativo el cual se puede configurar a través de cualquier firewall y dentro los controles que se pueden habilitar se recomienda ampliamente la habilitación de lo siguiente:

  • Poner un límite de tiempo por sesión para que los usuarios validen s identidad constantemente.
  • Deshabilitar la opción de recordar o almacenar el inicio de sesión para evitar que algún usuario ajeno a la organización o algún usuario mal intencionado haga uso de los recursos de la organización con fácil impunidad
  • Limitar la creación de usuarios como filtro de seguridad, otorgándoselo solo a quien realmente lo requiera, o manejar inicios de sesión temporal

Una mejor solución sería la implementación de un NAC como el que se obtiene con la solución de Appgate que brinda la capacidad de realizar una segmentación en base al usuario, con un multi factor de autenticación ya que de esta manera se asegura que también la conexión sea a través de un recurso autorizado.


Filtrado de Contenido

Muchas amenazas de Malware (Ransomware) se encuentran en sitios web de ciertos tipos de contenido como páginas de descarga de software no oficial, páginas de apuestas, contenido para adultos, etc. Por lo que es importante analizar a nivel organización que contenidos se deben de poder acceder y otorgar acceso a estos recursos limitados.


PFsense

Se recomienda la implementación de un firewall Gratuito como Pfsense para organizaciones pequeñas, ya que cuenta con versiones de Firewall UTM (Unified Threat Management) para tener una gestión perimetral unificada para controlar la red y el contenido que se visualiza.

Pfsense es un sistema basado en FreeBSD, que es una versión gratuita de Linux lo que le fue de utilidad para la adaptación a firewall con opción de Nateo de Red para la segmentación de subredes, cuenta con características que ayudan a una correcta gestión de la seguridad para brindar inicio de sesión y conexiones remotas.

Link de descarga

Sonicwall

Se recomienda la implementación de cualquier Firewall de paga y de ellos se recomienda el uso de un firewall Sonicwall, ya que cuentan con una fácil gestión de la protección y el perímetro, al contar con una plataforma unificada para la gestión de soluciones de la marca que van desde switchs, Access point, antivirus, protección del email y gestión del perímetro. Sumado a esto se le agrega la fácil gestión que brinda Sonicwall al ser una solución más desarrollada y probada por compañías de diferentes tamaños alrededor del mundo contando con una amplia base de datos de información sobre ataques, malware y ciber amenazas.


Buenas prácticas en general:

• Segmentar la red (VLANS) para contener un posible ataque y contener en la medida de lo posible la afectación.

• Tener una zona desmilitarizada (DMZ) para separar los servidores en la Red y enviar el tráfico encubierto hacía otro segmento de red cómo la LAN.

• Hacer uso de Sistemas de prevención de intrusos (IPS) para limitar el contenido que se puede visualizar, bloqueando sitios con cierto tipo de contenido cómo pornografía, apuestas online, páginas de descarga de contenido ilegal y sitios de streaming ilegal.

• Hacer uso de un Sistema de detección de Intrusos (IDS) para identificar posibles amenazas a nivel de red interna, es importante no solo depender del IDS, pero es de gran utilidad para complementar la seguridad.

• En caso de detectar algún ataque y contenerlo, agregar reglas en el firewall para bloquear las IPs a las cuales se trate de comunicar el Ransomware.

• Si se tiene una red de invitados preferentemente mantenerla aislada para no comprometer equipos de la red interna.

• Implementar un portal captativo como mínima instancia, preferentemente se sugiere implementar un NAC (Network Access Control).

• Para conexiones remotas o acceso a proveedores de servicios de manera remota se debe implementar una VPN, se sugiere la implementación de un ZTNA (Zero Trust Network Access) para validar los dispositivos remotos de una manera más segura.

• Si se utiliza un firewall de Sonicwall se puede hacer una integración de soluciones (UTM) cómo antivirus, protección de email, gestión de switchs y access points de Sonicwall. Al igual que todas las características únicas de protección y cacería de amenazas.

• Implementar un control de red para el acceso de los usuarios y prevenir conexiones no autorizadas.