Buenas prácticas de Seguridad Perimetral de redes corporativas



Algo que muchas veces es difícil de realizar es la administración de los equipos de seguridad, ya que por lo general uno se dedica mas que nada a realizar requerimientos o incidentes. La idea de administrar un equipo de seguridad es poder gestionar todos los recursos y poder minimizar los riesgos que la operación trae consigo.

 Acá dejo una lista de consideraciones que se deben tener a la hora de administrar y disminuir los riesgos operacionales


  • Generar respaldos de los equipos: tener respaldos ante catástrofes es fundamental para volver a la operación en caso de falla. La periodicidad de estos respaldos dependen directamente de la cantidad de modificaciones que se realicen a la plataforma. Se recomienda generar un respaldo completo(configuraciones y sistema operativo) cuando se hagan actualizaciones de sistema operativo del equipo, y respaldos parciales (solo configuraciones ) cada vez que se ejecute un cambio en el equipo.
  • Disponer de alta disponibilidad: la redundancia de equipos nos permitirá en caso de falla poder proveer de otro equipo que nos preste servicios mientras el equipo dañado o con falla este indisponible. En lo ideal esta alta disponibilidad deberá ser por medio de dos datacenter ubicados geográficamente alejados y por medio de dos isp diferentes.
  • Syslogs: es completamente necesario poder tener registro de todas las actividades que pasan por el firewall o dispositivo de seguridad, ya que necesitaremos auditar el uso de la red que se utiliza, poder identificar algún ataque en la red o determinar si un equipo interno esta infectado o no.
  • Actualizaciones al dia: es bueno poder mantener la plataforma de seguridad al dia ya que los firewall de ayer no son lo mismos que lo de hoy. Muchas veces las capacidades de procesamiento o las características técnicas van cambiando, se van añadiendo mas funcionalidades que ayudan a poder proteger tu red.
  • Mantener el soporte con fabrica al dia: si no dispones de un servicio de administración con un tercero deberás preocuparte de mantener el soporte de fábrica al dia, ya que con el podrás generar casos en caso de falla o requerimiento complejo, ademas de gestionar el odioso proceso de rma.
  • Monitoreo: siempre es bueno poder adelantarse a las fallas para que estas no ocurran h a su vez no se pierda el servicio hacia tus usuarios. El monitoreo debe ser por snmp como base asi podras tener avisos de alta de cpu o de memoria o de disco.
  • Depurar las reglas: el orden de las reglas es fundamental para poder tener una visión clara para determinar que recursos estas compartiendo y que recursos estas restringiendo.
  • Restringir la administración: Nunca pero nunca dejes abierto desde cualquier origen la administración de los equipos y ademas nunca dejes las mismas contraseñas por defecto para la administración de estas. En lo ideal deberas resgringir el acceso de estas máquinas desde el departamento de ti-telco y así evitaremos el ingreso indeseado a estas. Si estas desde una red remota utiliza vpn para acceder a tu equipo y desde ahí saltar al firewall o dispositivo de seguridad.
  • AAA: el disponer de un aaa te dará la posibilidad de poder determinar que modificacion genero un comportamiento no deseado quien lo realizo y a que hora lo realizó. Este puede ser tacacs o radius.
  • Ethical hacking: es prudente cada 3 meses realizar análisis de vulnerabilidad a los equipos que administres para poder ir parchando los bugs de los aplicativos de seguridad. Con esto nos evitaremos problemas como defaces, sql injection y demases. Hay que tener presente que uno nunca esta seguro ante ataques de día cero.
  • Reportería: Un sistema de seguridad sin reportes, no aporta mucho. Cuando uno debe tomar decisiones al respecto de las políticas técnicas de seguridad en un Firewall, es completamente necesario poder tener información adecuada que permita al encargado de la administración, el poder tomar decisiones, como puede ser por ejemplo el bloqueo de ciertos puertos, habilitación de ciertas características UTM en los firewall o la deshabilitación de accesos entre zonas del mismo FW.

Bueno eso. Cualquier comentario es bien recibido