Muchos administradores de red piensan sólo en proteger los recursos privados de ataques externos en la evaluación de amenazas de seguridad. El panorama de hoy está lleno de amenazas que emanan de los equipos dispositivos infectados con malware. Los atacantes pueden utilizar éstos para recoger y transmitir información sensible de su red, para atacar o para enviar spam a otras redes. Las organizaciones están mejor protegidas cuando los administradores de red están también preocupados por las amenazas que están asociadas con las conexiones de salida. En esta columna, se discuten alternativas que pueden mejorar su perfil de riesgo mediante “la aplicación de filtrado de tráfico de salida”.
Protéjase: Filtre el tráfico de egreso
Si ustedes no restringen los servicios que los equipos en su red pueden usar, es posible que un pirata informático pueda usar malware para exfiltrar dato a un equipo que los controla; por ejemplo, vía equipos infectados con una amenaza persistente y avanzada (APT). La filtración de datos puede ser involuntaria; por ejemplo, un usuario puede transmitir información sensible en un adjunto de correo electrónico, o puede ser un error de configuración que causa la fuga de NetBIOS, DNS, u otro tráfico de servicio. La misma, también puede ser maliciosa.
Independientemente de la causa, Usted no puede mitigar la exfiltración de datos si no usa filtros de egreso para distinguir tráfico malicioso del válido. Y usted no podrá uedan detectar ataques si no graban eventos o no examinan trafico.
Filtrar el tráfico egreso y no hacer daño
En las configuraciones mas laxas (y tristemente, en las configuraciones por defecto), un firewall puede tratar el tráfico de salida como válido sin controlar la dirección IP de orígen. Fred Avolio llama a esto "The Nefarious Any". Estas configuraciones son posibles campos de ataques de IP forjadas (IP spoofing). Equipos comprometidos o equipos no autorizados que tienen acceso a sus redes locales pueden utilizar IP spoofing para atacar otras redes (DDoS), para almacenar abuso infantil u otro material ilegal, o para llevar a cabo campañas de spam o phishing. Es un problema serio para cualquier red, pero es especialmente malo si su red tiene múltiples conexiones de acceso a Internet, su red puede ser utilizada como una red de tránsito para el tráfico malicioso que sale desde otras organizaciones.
Un pirata informático pueda usar equipos comprometidos o equipos no autorizados que tienen direcciones válidas también, para transmitir spam, para ejecutar malware, o para alojar sitios de phishing. En un DNS comprometido, un pirata puede alojar "zone data" de nombres de dominios maliciosos. Es posible que un pirata puede usar equipos comprometidos para alojar cualquier servicio que usa UDP (chargen, NTP, SNMP) para acciones criminales.
Los filtros de egreso protejen a nuestras redes y pueden protejer el mundo de ataques que salen desde nuestras propias redes.
Paso # 1: Crear una política de tráfico de egreso
Empiecen por consultar su Política de Seguridad o su Política de Uso Aceptable. Si no tienen estas políticas, ustedes deben invitar a las partes interesadas a crearlas inmediatamente. ¿Quién es responsable de la redacción de estas políticas? Cualquier persona que tiene responsabilidades de seguridad de la red, administración de riesgos o asuntos legales. Si no tienen políticas, la configuración del firewall será ad hoc, un conjunto de reglas para satisfacer cualquier deseo de los usuarios: no es una política, es un caos. Empiecen por hacer una lista de los servicios necesarios, y la lista de políticas que lo permitan. Típicamente este lista incluye DNS, POP/IMAP, SMTP, NTP, and HTTP/HTTPS. Piensan en los destinos maliciosos y direcciones de Internet, y cómo se puede bloquear estos.
Si su organización opera DNS, correo electrónico, o otros servicios en sus propios servidores, creen una lista de los servicios, direcciones Internet y nombres de dominio de estos servicios internos. Hagan una lista de cada sitio Internet que los servidores internos necesiten contactar. Por ejemplo, si opera "split-DNS" incluya cualquier servidor DNS públicos que su servidor interno deba comunicarse para transferencia de zona. Si opera SMTP, incluya cualquier servidor que su servidor deba comunicarse para transferir correo electrónico (típicamente su ISP). Si usted tiene la intención de bloquear contenido web en un proxy o firewall, haga una lista de los tipos de contenido a permitir o bloquear. Puede ser necesario crear diferentes grupos de usuarios si usted tiene varias políticas de contenido web.
Paso # 2 : Matar al nefasto CUALQUIERA
El mejor método para configurar filtros de egreso empieza con una regla firewall: bloquear o negar todo trafico egreso. A partir de "ningún tráfico puede salir sin mi permiso explícito”, crear reglas para permitir cada tráfico autorizado según indique la política de seguridad. Si la política permite, añada reglas en forma granular y restrictiva. Reglas que permitan comunicaciones entre los servidores internos y servidores Internet que figuren en la lista de su política.
Muchos firewalls tienen un regla predeterminada que permiten tráfico de cualquier dirección origen en las redes internas. Esta política es peligrosa.
Entonces restrinja el tráfico a destinos de Internet con estas reglas:
- Enumere los direcciones válidas (o mascaras de subred) para sus redes y cree una regla en el firewall de acuerdo a ella.
- Bloquear IP spoofing. Solamente permita tráfico de salida desde direcciones internas válidas. Aplique esta regla a todas sus subredes.
- Solamente permita tráfico desde el espacio de direcciones que usted utiliza. Aplica máscaras de subred adecuadas a las redes internas; por ejemplo, máscaras que son suficientemente largas para identificar sólo ese fragmento del número de red IP que está utilizando .
- Bloquear tráfico de salida desde direcciones reservadas para redes privadas (RFC 1918/6761 o RFC 4193).
- Bloquear tráfico de salida desde grupos VLAN.
- Bloquear tráfico de salida desde redes internas que no tienen ninguna razón para comunicarse a Internet.
- Si su firewall no opera capa tres, es necesario bloquear el tráfico de difusión (capa dos firewall).
- Bloquear tráfico de salida desde servidores internos que intentan establecer conexiones a equipos externos. Por ejemplo, si tiene un servidor intranet que solamente usa DNS, correo electrónico, o otros servicios internos, este servidor no debe comunicarse con servicios externo.
- Bloquear tráfico de salida a destinos que son enumerados en DROP (Don't Route Or Peer) o listas de filtros BGP. Por ejemplo, Spamhaus, mantiene listas de red secuestradas por spammers, phishers, o botnets. Los centros de datos, de universidades y redes empresariales deben bloquear DROP cuando sus ISPs no bloquean.
Paso #3: Crear reglas para restringir servicios o destinos Internet
Muchos firewalls tienen un regla predeterminada que permiten tráfico de salida a cualquier servicio de Internet. Esta política es peligrosa, es necesario matar "el nefasto cualquiera" otra vez:
- Enumere los servicios Internet que son permitidos y cree unas reglas de firewall que solamente permite el tráfico a estos servicios externos.
- Si es posible, solamente permitan usuarios conectar a servicios válidos desde servidores externos autorizados. Por ejemplo, si sus usuarios usan su ISP para correo electrónico, cree unas reglas de firewall que solamente permitan conexiones a los servidores POP y SMTP de su ISP.
- Solamente permitan usuarios consultar a servidores DNS ("resolvers") que usted opera o servidores DNS externos autorizadas. Si permite a sus usuarios consultar servidores DNS externos, solamente autoricen servidores "abierto" y seguro. Es muy importante proteger y actualizar sus servidores DNS contra ataques como DDoS.
- Si opera proxies HTTP o usted opera cualquier sistema proxy que filtra contenido, solamente permita conexiones a Internet desde estos proxies.
- Si sus servidores internos se comunican con servidores externos, cree reglas que solamente permitan acceso a servicios necesarios y bloquee todo otro servicio. Si opera servidores de correo electrónico, cree reglas que permita conexiones de salida pero bloquee conexiones de ingreso.
- Si usan servidores DNS internos o usan "split-DNS", debe usar DNS resolver internos para reenviar consultas DNS desde su red interna. Si usan nombres de dominios privados, tome medidas para realizar consultas a sus DNS privados dentro su red interna.
- Si su firewall no participa en el enrutamiento, es importante que cree reglas para bloquear los protocolos de enrutamiento de Internet desde todas direcciones (ingreso y egreso) a su firewall. Si su firewall participa en enrutamiento, cree las reglas que permita solamente los protocolos que se usan.
- Si su organización utiliza aplicaciones Internet para escritorio remoto, administración remoto, parches de software, etc., cree reglas que permitan acceso a estos puertos únicamente.
Paso #4 (final): Comprobar sus reglas, monitorear agresivamente
Habilitar el registro del tráfico de salida en el firewall, a continuación, analizar su red interna para comprobar que sus normas de tráfico de egreso satisfacen sus políticas. (Considere nmap, Nessus, o algunos de los programas informáticos comerciales que aparece en Security Wizardy.) El resultado del registro/escaneo revelará si sus “permitir / denegar” es lo que se desea.
Registrar de forma rigurosa las conexiones de salida denegadas para ayudar a identificar anomalías en el tráfico, que puede ser el tráfico de una nueva aplicación o una advertencia de las actividades maliciosas o no autorizados.
Gracias a Graciella Martinez por su ayuda en la traducción de este artículo.