Recomendaciones

Recomendaciones para la configuración de un cortafuegos

Es posible trabajar con dos paradigmas de seguridad en los dispositivos cortafuegos:

• Se permite cualquier servicio, excepto aquellos que expresamente se hayan prohibido. 
• Se prohíbe cualquier servicio, excepto aquellos que expresamente hayan sido permitidos. 

El segundo paradigma es la más recomendable, aunque resulte más incómodo para los usuarios de la red. En este caso, solo se abren determinados puertos en el cortafuegos a medida que algunos servicios autorizados así lo requieran.

Podemos presentar una serie de recomendaciones de aplicación general para la definición de las reglas de filtrado de paquetes en un cortafuegos:

• Bloquear los paquetes que incluyan direcciones de difusión (“broadcast”), ya que estas pueden ser empleadas por los atacantes que traten de llevar a cabo diversos ataques de denegación del servicio (DoS) como “smurf”. 
• Bloquear los paquetes de entrada con dirección fuente correspondiente a las direcciones internas de la red de la organización, ya que constituyen una prueba evidente de un intento de suplantación de identidad (“Spoofing”) que puede ser utilizado en los ataques de denegación de servicio (DoS), de reenvió masivo de mensajes de correo (“mail relaying”) o para la obtención del acceso a otros servicios de la red. 
• Bloquear los paquetes con encaminamiento fuente, donde la ruta que deben seguir es fijada previamente por el remitente. 
• Bloquear los paquetes del protocolo de control ICMP que, en respuesta a peticiones como “ping” o “traceroute”, pueden facilitar información sobre la estructura de la red de la organización. 
• Bloquear los paquetes ICMP “Redirect”, que permiten modificar las tablas de enrutamiento de los routers.