Índice de contenido
Errores al configurar un firewall
La función principal de un cortafuegos o firewall de red es controlar las comunicaciones entre dos redes. Comúnmente es la red interna de la empresa y el exterior, aunque también podemos controlar el tráfico entre dos redes que estén segmentadas dentro de una misma empresa (por ejemplo: red interna y DMZ)
“Es peor tener un firewall mal configurado que no tenerlo…”
Os sonará un poco rotunda esta afirmación, pero muy cierta desde nuestra humilde experiencia. Al no estar configurado de forma correcta, se ponen por defecto reglas que son mucho mas permisivas, por lo se deja pasar más tráfico que en el caso de no tenerlo.
Por ejemplo: la regla que no debe tener nunca un firewall, pero que a menudo nos encontramos es:
“desde cualquier origen -> cualquier destino” “Permitir”.
¿Qué hace eso? abrir todas las comunicaciones, en todos los protocolos, entre las dos redes.
La función de un firewall es, por defecto, restringir.
Lo correcto es bloquear todo el tráfico, e ir habilitando servicios de forma individual, según nuestras políticas.
Los errores más comunes que cometemos con los firewalls.
- Reglas demasiado genéricas: el primero de ellos, acabamos de indicarlo hace un momento. La definición de reglas muy generales, que permiten servicios que antes de tener el firewall no estaban habilitados.
- Falta de definición de los objetos. (Quién es cada usuario/PC y cuáles son los servicios incluidos en la red): Los usuarios podemos incluimos manualmente en el propio dispositivo, aunque siempre será más cómodo enlazarlo con el servidor de autenticación (Active Directory). P.e. Pudiendo establecer políticas según un usuario o un grupo para acceder a las aplicaciones, Internet y mensajería instantánea.
- No inclusión y no segmentación de las redes. Lo ideal es que aquellos equipos o servidores que tienen acceso a la red exterior (por tanto más vulnerables) estén en una red independiente (llamada DMZ) y que ésta tenga sus propias reglas. Así, es imprescindible que el tráfico que vaya desde la red interna a la DMZ pase por el firewall y que habilitemos sólo aquellos servicios estrictamente necesarios.

Otro error grave en un firewall: no revisar los logs.
El firewall bloquea y permite muchas cosas.
Tiene mucho tráfico de red y ésto genera gran cantidad de registros, pero hay que supervisarlos para conocer el estado de la red. Sino el firewall pierde bastante utilidad.
Es habitual que el firewall se configure al inicio (al hacer la instalación de la red) y no se revisen las reglas ni los registros. Si la red sufre algún intento de ataque no lo sabremos hasta meses después de haberse producido.
Tampoco podemos saber si hay incumplimiento de políticas, la actividad de los usuarios, etc.
Ver estos registros de forma manual es muy complicado, dada la gran cantidad de eventos que se generan, pero hay herramientas que nos permiten emitir informes personalizados.
Sophos iView
Así es el caso de Sophos iView. Esta completa herramienta que ya viene integrada en el propio dispositivo.
Nos permite administrar todos nuestros firewalls aunque estén dispersos en varias ubicaciones, obtener una completa visibilidad de usuarios y aplicaciones, y realizar copias de seguridad de registros para temas de auditoría y análisis forense.
Una de las funciones más importantes del administrador de red es el revisar los registros generados.
Haciéndolo de forma regular podremos detectar ataques DDoS, problemas de rendimiento en la red (usuarios sospechosos o un consumo inusual en el ancho de banda) o prevenir amenazas persistentes avanzadas (APT).
¿Te has identificado con alguna de estas situaciones? desde tecnozero podemos ayudarte a realizar una instalación inicial de tu dispositivo.
Si lo prefieres también podemos realizar la administración del firewall por ti, así no tendrás que preocuparte de nada.