Subido por carlos.colquepisco29099

GS-GU-03 Guia Bastionado equipos de Red Edicion1

Anuncio
GUIA DE BASTIONADO
G U I A D E B AS T I O N A D O E Q U I P O S D E R E D
GS-GU-03
EDICIÓN 1
Junio de 2022
-
Aprobado por:
Revisado por: Freddy Puchuri
Elaborado por: Carlos Colquepisco
Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o
parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente
General.
Documento N.
GUIA
Edición 1
:
GS-GU-03
Jun-2022
:
Aprobado por
:
LMA
Página
:
1 de 9
Guía de Bastionado para Equipos de Red
PROPÓSITO
1
El objetivo de este documento es establecer lineamientos en materia de seguridad para equipos
de seguridad perimetral como firewall y routers de la red empresarial de Master Center Americas
SAC.
La correcta implementación de esta directiva minimizará los accesos no autorizados a la
infraestructura de red, fuga de informacion,etc.
2
ALCANCE
Esta guía de bastionado aplica a los equipos de seguridad como los Firewall y Routers de Máster
Center Americas SAC.
3
RESPONSABILIDADES
El Coordinador de Tecnología es el responsable ante el Gerente General de revisar este
documento, como mínimo una vez al año para asegurar su aplicabilidad.
4
DESCRIPCIÓN
4.1
LINEAMIENTOS GENERALES DE CONFIGURACION EQUIPOS DE REDES.

Contar con un procedimiento para aprobar y probar los cambios y las conexiones de red en
la configuración de los firewalls.

Contar con un diagrama actualizado de la red del firewall de Master Center Americas SAC,
en donde se identifique todas las conexiones de red, incluido redes inalámbricas, zonas
desmilitarizadas, zonas internas, entre otras. El diagrama debe ser actualizado cada vez
que haya una variación u modificación dentro de la topología.

Contar con una descripción de grupos, funciones y responsabilidades para la
administración de componentes de los firewalls.

Activar las configuraciones de: inspección completa (stateful inspection) y anti-suplantación
(antispooging) en los firewalls, de ser soportadas.

Realizar una revisión anual de las normas de configuración para Firewall, establecidas en
este documento.

Bloquear en el firewall perimetral los puntos comprometidos notificados por los boletines de
seguridad, como IP, URL, dominios.
Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o
parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente
General.
Documento N.
GUIA
Edición 1
:
GS-GU-03
Jun-2022
:
Aprobado por
:
LMA
Página
:
2 de 9
Guía de Bastionado para Equipos de Red

Toda regla implementada en firewalls debe tener un delimitado campo de acción a hosts
y/o rangos específicos de direcciones IP, es decir origen y destino. Si la regla cubre una
red completa o un grupo amplio de direcciones, revisar con el solicitante la necesidad y
justificarla.

Habilitar los registros para identificar posibles patrones que puedan indicar un ataque.
La forma de trabajo en los firewalls es negar todo y permitir el tráfico necesario, es decir, al final
de la configuración de reglas debe existir implícitamente una regla que deniegue todo el trafico
existente.
4.1.1
Consideraciones de módulos de Seguridad

Se deberá activar módulos de seguridad como IPS, antibot, antivirus y/o antimalware y
todo módulo de seguridad que soporte los firewalls. Las actualizaciones de firmas o
fuentes se dan de manera automática, desde los sitios brindados por la marca.

Periódicamente el administrador supervisa los eventos de seguridad que se presentan.

En el firewall se bloquearán las siguientes categorías para toda navegación interna.
 Botnets
 Pornography
 Phishing
 Spyware
 Anonymizer
 Games
 Nudity
 Sex
 P2P File Sharing
4.1.2
Actualizaciones

Coordinar con el proveedor para la instalación de parches y/o actualizaciones
relacionadas con su producto de firewall.

Contar con un proceso para actualizar las vulnerabilidades del firewall a las
vulnerabilidades más actuales.
Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o
parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente
General.
Documento N.
GUIA
Edición 1
:
GS-GU-03
Jun-2022
:
Aprobado por
:
LMA
Página
:
3 de 9
Guía de Bastionado para Equipos de Red

4.1.3
Se debe contar con un procedimiento para actualizar el software de firewalls.
Consideraciones para publicaciones y zonas desmilitarizadas

Se deberá generar una zona desmilitarizada (DMZ) para los servidores que brinden
aplicaciones o servicios a publicar.

El tráfico externo para los servicios publicados pasará a través de los firewalls
perimetrales, para el tráfico a los servicios publicados desde la red interna, pasará
adicionalmente a través de los firewalls internos para ser accedidos.

Los paquetes entrantes de la red externa ingresan dentro de zona DMZ. No se debe
permitir su ingreso directo a la red interna (trust).

Cada zona en los firewalls deberá contar con su propia puerta de enlace.

Validar que cualquier sistema que almacene Información confidencial debe residir en la
zona de red interna, no en la zona desmilitarizada o en otras redes que no son de
confianza.

Las Bases de Datos con información sensible siempre debe estar ubicadas en la red
interna, en caso de base de datos en la DMZ, están deben ser intermedias para
procesamientos específicos, es decir solo contener información propia de algún
programa o software que lo requiera para su correcto funcionamiento.

Se deben tener las siguientes consideraciones para el tráfico perimetral:
 Las publicaciones de aplicaciones o servicios deben estar públicas a través de un puerto
o conjunto de puertos establecidos y relacionados a la aplicación o servicio a publicar, no
se debe abrirá puertos adicionales por ningún motivo.
 Restringir el tráfico de salida no autorizado de las aplicaciones que procesen, almacenen
o transmitan Información a las direcciones IP dentro de la DMZ e Internet.
 Previamente a exponer un servicio a producción, este debe pasar por un proceso de
hardening y debe realizarse un Ethical Hacking sobre el mismo para revisar
vulnerabilidad.
 Toda salida de publicación es a través de un servicio NAT. Las reglas del firewall tendrán
la opción de re-direccionamiento habilitada, de modo que las direcciones IP internas no
se muestren en las redes externas que no son de confianza.
Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o
parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente
General.
Documento N.
GUIA
Edición 1
:
GS-GU-03
Jun-2022
:
Aprobado por
:
LMA
Página
:
4 de 9
Guía de Bastionado para Equipos de Red
 Usar el protocolo HTTPS de modo obligatorio para las aplicaciones web y web servicies
a publicar, sobre todo si estas utilizan algún tipo de autenticación (Loggin), en el caso la
aplicación misma no lo permita, el uso de certificado pasará a implementarse en el
balanceador perimetral, esta comunicación debe ser inspeccionada de manera
obligatoria por un web application firewalls.
 El protocolo TLS configurado en los servidores debe ser la última versión soportada.
 En caso de que los servicios expuestos en la versión TLS 1.0 no soporten las versiones
de protocolo a 1.1. y 1.2, esto deberá ser acotado a través de los servicios del web
application firewall (WAF) o del balanceador perimetral según corresponda, para la
exposición del servicio.
 Los paquetes entrantes que pasan a la red local deben originarse únicamente dentro de
la DMZ.
 Se deberá utilizar una lista de acceso de entrada en todas las interfaces para prevenir el
spoofing.
 Los equipos en la red interna consultan a servidores DNS internos. En el firewall solo se
permite las consultas de DNS es exclusivamente a servidores con dicha función.

En caso de publicar los siguientes servicios se deben tener las siguientes
consideraciones:
 FTP, la publicación estará restringida a un solo host, es decir, una conexión punto a
punto. Por ningún motivo se publicará el servicio a nivel de acceso ANY.
 SSH, la publicación estará restringida a un solo host, es decir, una conexión punto a
punto y de forma temporal. Por ningún motivo se publicará el servicio a nivel de acceso
ANY. En acceso utilizar un servidor intermedio ubicado en la DMZ, y solo se activa en
caso de ser necesario.
 HTTP, en caso de que una aplicación no soporte el uso del HTTPS, se publicará con
HTTP temporalmente hasta la adecuación del software, esta comunicación debe ser
inspeccionada de manera obligatoria por un web application firewalls.

Se debe contar con una lista documentada de los protocolos inseguros permitidos en
servicios publicados, de acuerdo a lo mencionado en el párrafo anterior, en donde se
indique además las medidas de seguridad adicionales aplicadas y una justificación de su
uso.
Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o
parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente
General.
Documento N.
Edición 1
GUIA
:
GS-GU-03
Jun-2022
:
Aprobado por
:
LMA
Página
:
5 de 9
Guía de Bastionado para Equipos de Red

No publicar a nivel externo los siguientes puertos(servicios), debido a que son inseguros;
de ser necesario se utilizará solo ser a nivel interno y con una delimitación establecida
(origen – destino).
Servicio
DNS Zone Transfers
Except from external
Link
SUN RPC
BSD UNIX
LPD
UUCPD
Open Windows
NFS
X Windows
Small services
Small services
Telnet
NTP
Finger
POP
NNTP
NTP
NetBIOS in Windows
NT
NetBIOS in Windows
NT
NetBIOS
IMAP
SNMP
SNMP
BGP
LDAP
NetBIOS in Win2k
Syslog
SOCKS
Cisco AUX port
Cisco
AUX
port
(stream)
Lockd (Linux DoS
Vulnerability)
Cisco
AUX
port
(binary)
SNMPv2C

Tipo de Puerto (TCP/IP)
Número de
Puerto
TCP
UDP
TCP
TCP & UDP
TCP
TCP
TCP
TCP & UDP
TCP & UDP
TCP & UDP
TCP & UDP
TCP & UDP
TCP
TCP & UDP
TCP
TCP
TCP
TCP
TCP & UDP
53
69
87
111
512 – 514
515
540
2000
5049
6000 – 6255
20 and below
20 and below
23
37
79
109 & 110
119
123
135
UDP
137 & 138
TCP
TCP
TCP
UDP
TCP
TCP & UDP
TCP & UDP
UDP
TCP
TCP
TCP
139
143
161 & 162
161 & 162
179
389
445
514
1080
2001
4001
TCP & UDP
4045
TCP
6001
UDP
161, 162
Contar con un listado de puertos permitidos correspondientes.
Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o
parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente
General.
Documento N.
GUIA
Edición 1
:
GS-GU-03
Jun-2022
:
Aprobado por
:
LMA
Página
:
6 de 9
Guía de Bastionado para Equipos de Red
4.1.4
Consideraciones de configuraciones de administración de los firewalls

No se deben utilizar las contraseñas por defecto, las mismas deben cumplir con la
política de seguridad de la organización.
4.1.5
Consideración de direccionamiento IP

Asegurarse que las siguientes direcciones falsificadas, privadas (RFC 1918) e ilegales
se encuentren por defecto bloqueadas (funcionalidades innatas del firewall).
 Estándar no enrutables
o
255.255.255.255
o
127.0.0.0
 Direcciones privadas (RFC 1918)
o
10.0.0.0 - 10.255.255.255
o
172.16.0.0 - 172.31.255.255
o
192.168.0.0 - 192.168.255.255
 Direcciones reservadas: 240.0.0.0
 Direcciones ilegales
o
0.0.0.0
o
Transmisión ICMP (RFC 2644)

Asegurarse de que no se autorice la divulgación de ninguna dirección IP privada ni de
información de enrutamiento a entidades externas.
4.1.6
Consideración para acceso remoto

Se deberá configurar el acceso vía VPN (Web) con un doble factor autenticación. En
caso de conexiones site to site utilizar el protocolo IPSEC, se recomienda utilizar NAT
para los segmentos privados.
Nota: al interno se podrá habilitar las siguientes aplicaciones como team Viewer, anydesk
para un acceso determinado y temporal, previa autorización de Seguridad de información.
4.1.7
Consideraciones para uso ICMP
Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o
parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente
General.
Documento N.
GUIA
Edición 1
:
GS-GU-03
Jun-2022
:
Aprobado por
:
LMA
Página
:
7 de 9
Guía de Bastionado para Equipos de Red

No habilitar las solicitudes ICMP a las IP públicas, solo en caso de troubleshooting.

Hay que considerar que el equipo firewall tenga como función inherente bloque
comunicaciones en caso de tener un tiempo de vida excedido, o que se tenga mensajes
unreachable.
4.1.8
Consideraciones para el tráfico

Permitir solamente el tráfico que se origina desde las IP dentro de la red interna.

Rechazar el tráfico con direcciones IP que no sean de la red interna, es decir, usar filtros
anti-spoofing (direcciones privadas bloqueadas, direcciones internas que aparecen
desde el exterior)

Registrar cualquier tráfico que se origine en direcciones IP que no sean de la red interna.

El tráfico saliente solamente está autorizado a los rangos de direcciones IP del entorno.

Asegurarse de que los firewalls permiten solo conexiones establecidas en la red interna
y que niegan cualquier conexión entrante que no está asociada con una sesión
previamente establecida.

Asegurarse de que se hayan implementado métodos para prevenir la divulgación de
direcciones IP privadas e información de enrutamiento desde redes internas a Internet.

Asegurarse de que no se autorice la divulgación de ninguna dirección IP privada ni de
información de enrutamiento a entidades externas.
Asegurar de restringir el tráfico entrante o saliente a los protocolos o puertos necesarios según
los aplicativos utilizados.
4.2
Normas de Configuración de Equipos de Networking (Routers)
Normas Generales de equipos de Networking (Routers, Switchs, Balanceadores,
Controlador Inalámbrico)

Contar con un diagrama actualizado de la red de Master Center Americas SAC, lo cual
implica que el diagrama será actualizado cada vez que haya una variación u
modificación dentro de la red.

Realizar una revisión anual (de este documento) de las normas establecidas.
Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o
parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente
General.
Documento N.
GUIA
Edición 1
:
GS-GU-03
Jun-2022
:
Aprobado por
:
LMA
Página
:
8 de 9
Guía de Bastionado para Equipos de Red

Asegurarse de que el administrador tiene forma de visualizar los cambios realizados en
la configuración de los Routers (Logs).

Crear reglas de control de acceso que permitan filtrar el tráfico de la red, no permitiendo
protocolos inseguros o que generen vulnerabilidades

Realizar un hardening semestral o anual de la configuración de los equipos para verificar
que la plantilla haya sido ejecutada.

Revisión anual de la versión de IOS del equipo para evaluar si es la última versión
estable según modelo y según sea recomendada por la marca
5
DOCUMENTOS
Este procedimiento hace referencia a los siguientes documentos:
6
CONTROL DE CAMBIOS
En relación con la versión anterior, este procedimiento tiene los siguientes cambios:
No existen por ser la primera versión.
Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o
parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente
General.
Descargar