Los procesos de actualización tecnológica hacen que en nuestro medio progresivamente se realicen cada vez más implementaciones de firewalls de última generación (NGFW).
Muchas de estas implementaciones son sencillamente el reemplazo de los firewalls statefull ya presentes, que al momento de ser actualizados se reemplazan por NGFW. Esta actualización genera un punto que requiere una consideración especial.
Los NGFW son herramientas mucho más potentes que sus predecesores. No solo hablamos de potencia de hardware sino de capacidades y granularidad. Ahora podemos inspeccionar aplicaciones, inspeccionar tráfico, incorporar información de security intelligence, etc. Todas capacidades que no estaban presentes en los firewalls statefull y que por lo tanto no podían ser consideradas al momento de implementar aquellos dispositivos.
Esto hace que una simple migración de configuraciones sea una estrategia pobre.
Ahora contamos con nuevas herramientas, podemos hacer evaluaciones que antes no eran posibles, y por lo tanto tenemos que evaluar cuál es la mejor forma de lograr los objetivos que se plantean con las nuevas herramientas con que contamos.
Pero también es cierto que estos NGFW son herramientas complejas, con múltiples opciones diferentes para lograr un mismo objetivo y una gran granularidad.
Esto ha hecho que muchas veces me encuentre con el requerimiento de un procedimiento de toma de decisiones que nos pemita seleccionar la mejor herramienta para cada objetivo propuesto.
A este requerimiento pretendo dar respuesta en este post, tomando como base las herramientas y características de los sistemas Firepower de Cisco System.
Al momento de seleccionar la mejor manera de responder a un requerimiento de seguridad específico con las herramientas que nos proporcionan los sistemas Firepower, el proceso de toma de decisiones a considerar puede ser el siguiente:
- Si el requerimiento es el filtrado de tráfico tomando como base direccionamiento IP de origen y/o destino, y/o puertos de capa de transporte de origen y/o destino la herramienta a considerar es la implementación de una regla de prefiltrado en una política de prefiltrado.
Esta herramienta nos permite implementar acciones de alguna forma semejantes a las de las ACLs tradicionales pero con ventajas significativas: se ejecutan en la interfaz de ingreso del tráfico antes de que los paquetes accedan al motor de inspección Snort y por lo tanto con menor requerimiento de recursos de procesamiento con la consecuente reducción del delay. - Si en cambio el requerimiento es más específico y requiere del filtrado de tráfico en función de protocolos de capa de aplicación, y/o de aplicaciones y/o de usuarios, entonces la herramienta a considerar es la implementación de una regla de control de acceso en una política de control de acceso.
Esta herramienta requiere más procesamiento que la anterior pero a la vez permite un control más granular del tráfico que atraviesa el firewall en función de la potencia del motor de inspección Snort. - Si el requerimiento especifica la necesidad de realizar filtrado de archivos transportados por diferentes protocolos de aplicación según el tipo de archivo (documentos Word, archivos pdf o ejecutables, etc.) o la presencia de malware o código malicioso, en este caso la herramienta a implementar es una política de filtrado de archivos y malware asociada a una regla de control de acceso que especifique el tráfico que debe ser sometido a esta inspección.
- Finalmente, si se requiere de la implementación de inspección avanzada de tráfico para controlar los posibles intentos de explotar vulnerabilidades de alguno de los sistemas alojados en la red corporativa, la herramienta a aplicar es una política de prevención de intrusiones (IPS) ajustada a los requerimientos de seguridad y asociada a una regla de control de acceso que especifique el tráfico que se espera sea inspeccionado por esta política.
Para que la política se pueda adaptar a los sistemas alojados en la red corporativa es necesario verificar además que la política de descubrimiento de la red aplicada al FTD incluya a aquellos dispositivos que se desea proteger con esta política de prevención de intrusiones.
Un NGFW es una herramienta aún más variada y con muchas otras opciones disponibles. En este proceso he intentado incluir solamente las principales consideraciones y posibilidades a implementar.
Espero que resulte de utilidad.
https://www.facebook.com/groups/librosnetworking/
O si preferís redes sociales con mayor control de tu privacidad,
podés participar de nuestro grupo en VKontakte
https://vk.com/libros.networking
o seguir las principales novedades en el grupo de Telegram:
https://t.me/LibrosNetworking
Las abreviaturas y siglas utilizadas en este post puede encontrarlas desarrolladas en
que está disponible en la Librería en Línea de EduBooks.
No hay comentarios.:
Publicar un comentario
Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.