CIS Control #11: Configuración segura para dispositivos de red, como firewalls, routers y switches

Establezca, implemente y administre activamente (rastree, informe, corrija) la configuración de seguridad de los dispositivos de infraestructura de red utilizando una administración de configuración rigurosa y un proceso de control de cambios para evitar que los atacantes exploten los servicios y configuraciones vulnerables.

Las configuraciones predeterminadas con las que los proveedores envían dispositivos de infraestructura de red están destinadas a implementaciones simples y facilidad de uso, no a la seguridad: servicios y puertos abiertos, cuentas o contraseñas predeterminadas, soporte para protocolos más antiguos (vulnerables), preinstalación de software innecesario.

Una vez implementados, estos dispositivos a menudo se vuelven menos seguros a medida que los usuarios solicitan excepciones de configuración. Cuando los atacantes aprovechan las fallas en estos dispositivos, obtienen acceso a las redes, redireccionan el tráfico en una red e interceptan información. Critical Security Control 11 establece pautas para proteger estos dispositivos.

Recomendaciones:

  • Compare las configuraciones del firewall, routers y switches con las configuraciones seguras estándar definidas para cada tipo de dispositivo de red en uso en la organización. La configuración de seguridad de los dispositivos debe ser documentada, revisada y aprobada por una junta de control de cambios de la organización. Cualquier desviación de la configuración estándar, o actualizaciones de la configuración estándar, debe documentarse y aprobarse en un sistema de control de cambios.
  • Todas las nuevas reglas de configuración más allá de una configuración reforzada de línea base que permiten que el tráfico fluya a través de los dispositivos de seguridad de la red, como firewalls e IP basadas en la red, deben documentarse y registrarse en un sistema de administración de la configuración, con una razón comercial específica para cada cambio, un el nombre específico de la persona responsable de esa necesidad comercial y la duración prevista de la necesidad.
  • Utilice herramientas automatizadas para verificar las configuraciones estándar de los dispositivos y detectar cambios. Todas las alteraciones de dichos archivos deben registrarse e informarse automáticamente al personal de seguridad.

Herramientas que pueden ayudar

  1. Sophos

Sophos Firewall/UTM: gestiona las políticas en forma unificada para web, IPS, control de aplicaciones, modelado de tráfico, WAF, VPN con plantillas de políticas predefinidas asignadas a las mejores prácticas.

  1. Security scorecard

Security scorecard, permite dar una visión general desde fuera para corregir posibles problemas de configuración, en los siguiente puntos:

  • Open Remote Desktop Protocol (RDP) ports found on the Network
  • Open Virtual Network Computing ports found on the Network
  • Redis Database Ports Found on the Network
  • Open rsync Ports Found on the Network
  • Exposed TCP Ports Discovered
  • Open FTP Data Ports Found on the Network
  • Open Telnet Ports Found on the Network