GUIA DE BASTIONADO G U I A D E B AS T I O N A D O E Q U I P O S D E R E D GS-GU-03 EDICIÓN 1 Junio de 2022 - Aprobado por: Revisado por: Freddy Puchuri Elaborado por: Carlos Colquepisco Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente General. Documento N. GUIA Edición 1 : GS-GU-03 Jun-2022 : Aprobado por : LMA Página : 1 de 9 Guía de Bastionado para Equipos de Red PROPÓSITO 1 El objetivo de este documento es establecer lineamientos en materia de seguridad para equipos de seguridad perimetral como firewall y routers de la red empresarial de Master Center Americas SAC. La correcta implementación de esta directiva minimizará los accesos no autorizados a la infraestructura de red, fuga de informacion,etc. 2 ALCANCE Esta guía de bastionado aplica a los equipos de seguridad como los Firewall y Routers de Máster Center Americas SAC. 3 RESPONSABILIDADES El Coordinador de Tecnología es el responsable ante el Gerente General de revisar este documento, como mínimo una vez al año para asegurar su aplicabilidad. 4 DESCRIPCIÓN 4.1 LINEAMIENTOS GENERALES DE CONFIGURACION EQUIPOS DE REDES. Contar con un procedimiento para aprobar y probar los cambios y las conexiones de red en la configuración de los firewalls. Contar con un diagrama actualizado de la red del firewall de Master Center Americas SAC, en donde se identifique todas las conexiones de red, incluido redes inalámbricas, zonas desmilitarizadas, zonas internas, entre otras. El diagrama debe ser actualizado cada vez que haya una variación u modificación dentro de la topología. Contar con una descripción de grupos, funciones y responsabilidades para la administración de componentes de los firewalls. Activar las configuraciones de: inspección completa (stateful inspection) y anti-suplantación (antispooging) en los firewalls, de ser soportadas. Realizar una revisión anual de las normas de configuración para Firewall, establecidas en este documento. Bloquear en el firewall perimetral los puntos comprometidos notificados por los boletines de seguridad, como IP, URL, dominios. Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente General. Documento N. GUIA Edición 1 : GS-GU-03 Jun-2022 : Aprobado por : LMA Página : 2 de 9 Guía de Bastionado para Equipos de Red Toda regla implementada en firewalls debe tener un delimitado campo de acción a hosts y/o rangos específicos de direcciones IP, es decir origen y destino. Si la regla cubre una red completa o un grupo amplio de direcciones, revisar con el solicitante la necesidad y justificarla. Habilitar los registros para identificar posibles patrones que puedan indicar un ataque. La forma de trabajo en los firewalls es negar todo y permitir el tráfico necesario, es decir, al final de la configuración de reglas debe existir implícitamente una regla que deniegue todo el trafico existente. 4.1.1 Consideraciones de módulos de Seguridad Se deberá activar módulos de seguridad como IPS, antibot, antivirus y/o antimalware y todo módulo de seguridad que soporte los firewalls. Las actualizaciones de firmas o fuentes se dan de manera automática, desde los sitios brindados por la marca. Periódicamente el administrador supervisa los eventos de seguridad que se presentan. En el firewall se bloquearán las siguientes categorías para toda navegación interna. Botnets Pornography Phishing Spyware Anonymizer Games Nudity Sex P2P File Sharing 4.1.2 Actualizaciones Coordinar con el proveedor para la instalación de parches y/o actualizaciones relacionadas con su producto de firewall. Contar con un proceso para actualizar las vulnerabilidades del firewall a las vulnerabilidades más actuales. Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente General. Documento N. GUIA Edición 1 : GS-GU-03 Jun-2022 : Aprobado por : LMA Página : 3 de 9 Guía de Bastionado para Equipos de Red 4.1.3 Se debe contar con un procedimiento para actualizar el software de firewalls. Consideraciones para publicaciones y zonas desmilitarizadas Se deberá generar una zona desmilitarizada (DMZ) para los servidores que brinden aplicaciones o servicios a publicar. El tráfico externo para los servicios publicados pasará a través de los firewalls perimetrales, para el tráfico a los servicios publicados desde la red interna, pasará adicionalmente a través de los firewalls internos para ser accedidos. Los paquetes entrantes de la red externa ingresan dentro de zona DMZ. No se debe permitir su ingreso directo a la red interna (trust). Cada zona en los firewalls deberá contar con su propia puerta de enlace. Validar que cualquier sistema que almacene Información confidencial debe residir en la zona de red interna, no en la zona desmilitarizada o en otras redes que no son de confianza. Las Bases de Datos con información sensible siempre debe estar ubicadas en la red interna, en caso de base de datos en la DMZ, están deben ser intermedias para procesamientos específicos, es decir solo contener información propia de algún programa o software que lo requiera para su correcto funcionamiento. Se deben tener las siguientes consideraciones para el tráfico perimetral: Las publicaciones de aplicaciones o servicios deben estar públicas a través de un puerto o conjunto de puertos establecidos y relacionados a la aplicación o servicio a publicar, no se debe abrirá puertos adicionales por ningún motivo. Restringir el tráfico de salida no autorizado de las aplicaciones que procesen, almacenen o transmitan Información a las direcciones IP dentro de la DMZ e Internet. Previamente a exponer un servicio a producción, este debe pasar por un proceso de hardening y debe realizarse un Ethical Hacking sobre el mismo para revisar vulnerabilidad. Toda salida de publicación es a través de un servicio NAT. Las reglas del firewall tendrán la opción de re-direccionamiento habilitada, de modo que las direcciones IP internas no se muestren en las redes externas que no son de confianza. Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente General. Documento N. GUIA Edición 1 : GS-GU-03 Jun-2022 : Aprobado por : LMA Página : 4 de 9 Guía de Bastionado para Equipos de Red Usar el protocolo HTTPS de modo obligatorio para las aplicaciones web y web servicies a publicar, sobre todo si estas utilizan algún tipo de autenticación (Loggin), en el caso la aplicación misma no lo permita, el uso de certificado pasará a implementarse en el balanceador perimetral, esta comunicación debe ser inspeccionada de manera obligatoria por un web application firewalls. El protocolo TLS configurado en los servidores debe ser la última versión soportada. En caso de que los servicios expuestos en la versión TLS 1.0 no soporten las versiones de protocolo a 1.1. y 1.2, esto deberá ser acotado a través de los servicios del web application firewall (WAF) o del balanceador perimetral según corresponda, para la exposición del servicio. Los paquetes entrantes que pasan a la red local deben originarse únicamente dentro de la DMZ. Se deberá utilizar una lista de acceso de entrada en todas las interfaces para prevenir el spoofing. Los equipos en la red interna consultan a servidores DNS internos. En el firewall solo se permite las consultas de DNS es exclusivamente a servidores con dicha función. En caso de publicar los siguientes servicios se deben tener las siguientes consideraciones: FTP, la publicación estará restringida a un solo host, es decir, una conexión punto a punto. Por ningún motivo se publicará el servicio a nivel de acceso ANY. SSH, la publicación estará restringida a un solo host, es decir, una conexión punto a punto y de forma temporal. Por ningún motivo se publicará el servicio a nivel de acceso ANY. En acceso utilizar un servidor intermedio ubicado en la DMZ, y solo se activa en caso de ser necesario. HTTP, en caso de que una aplicación no soporte el uso del HTTPS, se publicará con HTTP temporalmente hasta la adecuación del software, esta comunicación debe ser inspeccionada de manera obligatoria por un web application firewalls. Se debe contar con una lista documentada de los protocolos inseguros permitidos en servicios publicados, de acuerdo a lo mencionado en el párrafo anterior, en donde se indique además las medidas de seguridad adicionales aplicadas y una justificación de su uso. Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente General. Documento N. Edición 1 GUIA : GS-GU-03 Jun-2022 : Aprobado por : LMA Página : 5 de 9 Guía de Bastionado para Equipos de Red No publicar a nivel externo los siguientes puertos(servicios), debido a que son inseguros; de ser necesario se utilizará solo ser a nivel interno y con una delimitación establecida (origen – destino). Servicio DNS Zone Transfers Except from external Link SUN RPC BSD UNIX LPD UUCPD Open Windows NFS X Windows Small services Small services Telnet NTP Finger POP NNTP NTP NetBIOS in Windows NT NetBIOS in Windows NT NetBIOS IMAP SNMP SNMP BGP LDAP NetBIOS in Win2k Syslog SOCKS Cisco AUX port Cisco AUX port (stream) Lockd (Linux DoS Vulnerability) Cisco AUX port (binary) SNMPv2C Tipo de Puerto (TCP/IP) Número de Puerto TCP UDP TCP TCP & UDP TCP TCP TCP TCP & UDP TCP & UDP TCP & UDP TCP & UDP TCP & UDP TCP TCP & UDP TCP TCP TCP TCP TCP & UDP 53 69 87 111 512 – 514 515 540 2000 5049 6000 – 6255 20 and below 20 and below 23 37 79 109 & 110 119 123 135 UDP 137 & 138 TCP TCP TCP UDP TCP TCP & UDP TCP & UDP UDP TCP TCP TCP 139 143 161 & 162 161 & 162 179 389 445 514 1080 2001 4001 TCP & UDP 4045 TCP 6001 UDP 161, 162 Contar con un listado de puertos permitidos correspondientes. Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente General. Documento N. GUIA Edición 1 : GS-GU-03 Jun-2022 : Aprobado por : LMA Página : 6 de 9 Guía de Bastionado para Equipos de Red 4.1.4 Consideraciones de configuraciones de administración de los firewalls No se deben utilizar las contraseñas por defecto, las mismas deben cumplir con la política de seguridad de la organización. 4.1.5 Consideración de direccionamiento IP Asegurarse que las siguientes direcciones falsificadas, privadas (RFC 1918) e ilegales se encuentren por defecto bloqueadas (funcionalidades innatas del firewall). Estándar no enrutables o 255.255.255.255 o 127.0.0.0 Direcciones privadas (RFC 1918) o 10.0.0.0 - 10.255.255.255 o 172.16.0.0 - 172.31.255.255 o 192.168.0.0 - 192.168.255.255 Direcciones reservadas: 240.0.0.0 Direcciones ilegales o 0.0.0.0 o Transmisión ICMP (RFC 2644) Asegurarse de que no se autorice la divulgación de ninguna dirección IP privada ni de información de enrutamiento a entidades externas. 4.1.6 Consideración para acceso remoto Se deberá configurar el acceso vía VPN (Web) con un doble factor autenticación. En caso de conexiones site to site utilizar el protocolo IPSEC, se recomienda utilizar NAT para los segmentos privados. Nota: al interno se podrá habilitar las siguientes aplicaciones como team Viewer, anydesk para un acceso determinado y temporal, previa autorización de Seguridad de información. 4.1.7 Consideraciones para uso ICMP Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente General. Documento N. GUIA Edición 1 : GS-GU-03 Jun-2022 : Aprobado por : LMA Página : 7 de 9 Guía de Bastionado para Equipos de Red No habilitar las solicitudes ICMP a las IP públicas, solo en caso de troubleshooting. Hay que considerar que el equipo firewall tenga como función inherente bloque comunicaciones en caso de tener un tiempo de vida excedido, o que se tenga mensajes unreachable. 4.1.8 Consideraciones para el tráfico Permitir solamente el tráfico que se origina desde las IP dentro de la red interna. Rechazar el tráfico con direcciones IP que no sean de la red interna, es decir, usar filtros anti-spoofing (direcciones privadas bloqueadas, direcciones internas que aparecen desde el exterior) Registrar cualquier tráfico que se origine en direcciones IP que no sean de la red interna. El tráfico saliente solamente está autorizado a los rangos de direcciones IP del entorno. Asegurarse de que los firewalls permiten solo conexiones establecidas en la red interna y que niegan cualquier conexión entrante que no está asociada con una sesión previamente establecida. Asegurarse de que se hayan implementado métodos para prevenir la divulgación de direcciones IP privadas e información de enrutamiento desde redes internas a Internet. Asegurarse de que no se autorice la divulgación de ninguna dirección IP privada ni de información de enrutamiento a entidades externas. Asegurar de restringir el tráfico entrante o saliente a los protocolos o puertos necesarios según los aplicativos utilizados. 4.2 Normas de Configuración de Equipos de Networking (Routers) Normas Generales de equipos de Networking (Routers, Switchs, Balanceadores, Controlador Inalámbrico) Contar con un diagrama actualizado de la red de Master Center Americas SAC, lo cual implica que el diagrama será actualizado cada vez que haya una variación u modificación dentro de la red. Realizar una revisión anual (de este documento) de las normas establecidas. Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente General. Documento N. GUIA Edición 1 : GS-GU-03 Jun-2022 : Aprobado por : LMA Página : 8 de 9 Guía de Bastionado para Equipos de Red Asegurarse de que el administrador tiene forma de visualizar los cambios realizados en la configuración de los Routers (Logs). Crear reglas de control de acceso que permitan filtrar el tráfico de la red, no permitiendo protocolos inseguros o que generen vulnerabilidades Realizar un hardening semestral o anual de la configuración de los equipos para verificar que la plantilla haya sido ejecutada. Revisión anual de la versión de IOS del equipo para evaluar si es la última versión estable según modelo y según sea recomendada por la marca 5 DOCUMENTOS Este procedimiento hace referencia a los siguientes documentos: 6 CONTROL DE CAMBIOS En relación con la versión anterior, este procedimiento tiene los siguientes cambios: No existen por ser la primera versión. Este documento es propiedad intelectual de Master Center Américas S.A.C., por lo que está prohibida la reproducción total o parcial de este documento por cualquier medio o procedimiento, sin la autorización previa, expresa y por escrito del Gerente General.