Mejores Prácticas para Administradores de Seguridad.

Recientemente leí un artículo muy interesante sobre Mejores Prácticas para Administradores de Seguridad. Acá les dejo la traducción del artículo.

No es fácil lidiar con la responsabilidad de la gestión de dispositivos. Después de todo, usted es el responsable de mantener las cosas funcionando sin problemas. Hoy en día, los diseños de red no sólo se centran en proporcionar acceso, velocidad de conexión o plataformas de apoyo, sino que también se ocupan de la seguridad de red.

Esta es una lista de 10 buenas prácticas que todos los administradores de seguridad deben tener en cuenta al tratar con este rol.

1. No asuma, es mejor preguntar!

Mientras que algunos administradores de red piensan que hacer muchas preguntas a los usuarios finales es molesto para ellos, asumir los requisitos o requerimientos técnicos puede ser un arma peligrosa para usted mismo. Recuerde que todo el equipo de seguridad debe estar configurado para permitir sólo los puertos y los servicios requeridos. Abrir puertos innecesarios en su equipo, expone a otros dispositivos o aplicaciones a posibles intrusos.

Por lo tanto, los buenos administradores de la red siempre solicitan información explícita de los usuarios finales. Por ejemplo, las direcciones específicas de TCP / UDP, IP de origen y destino, entre otros. En caso de que un usuario o cliente final no tenga esta información, puede ponerse en contacto con el proveedor de la aplicación o el administrador del servidor donde se aloja la aplicación.

2. Ser riguroso! Siempre entender los requisitos para cualquier configuración

Es una práctica común tomar peticiones de los usuarios y procesarlas inmediatamente, pero esto no siempre es bueno. Muchas solicitudes de servicio se pueden resolver sin cambiar nada en la configuración del firewall/cortafuegos.

Algunos usuarios, la mayoría de ellos, usuarios no técnicos, tienden a crear solicitudes sin requisitos de doble control. Como ejemplo, piense en los usuarios que revisan los requisitos de conectividad de aplicación en la página web del proveedor, y luego abren una solicitud de ciertos puertos de esa aplicación a su computadora. En la mayoría de los casos con las aplicaciones alojadas en Internet, la conexión se inicia siempre desde la red interna a Internet, por lo que en este caso la capacidad de estado de los servidores de seguridad es suficiente para que las cosas funcionen, por lo que no se requieren cambios en este caso.

3. Evite el uso de rangos de IP y rango de puertos

Se han visto algunos casos donde se utilizan listas de acceso para permitir completo acceso a la red, en lugar de accesos individuales para evitar una configuración adicional si el destino de IPs cambia. Esto ayuda al administrador para minimizar su trabajo, pero no es una buena práctica en absoluto. ¿Por qué permitimos el acceso a toda la red DMZ desde internet si sólo uno o dos IPs destino es necesarias? En tales casos, es mejor crear objetos y cambiar sus IPs si es necesario, en lugar de añadir toda la red a una lista de acceso.

Esta misma situación ocurre con los puertos TCP y UDP. Trate de evitar todo el permiso del protocolo IP cuando sólo puertos TCP o UDP específico son necesarios. Usted puede incluso permitir rangos de puertos o crear un grupo si hay varios puertos en la solicitud.

Recuerde siempre que un acceso mínimo, para garantizar un perímetro seguro.

4. Evitar el acceso al medio interno de las redes no seguras

La segmentación de la red es un principio básico de la seguridad de la red. Los cortafuegos permiten configurar zonas de seguridad para segregar la red, pero esto también depende de la plataforma que está utilizando. Cisco, por ejemplo, permite asignar un nivel de seguridad a las interfaces, el tráfico de mayor nivel de seguridad hasta de bajo nivel de seguridad está permitido por el cortafuegos, pero el tráfico de nivel inferior de seguridad al superior debe ser explícitamente permitido con una lista de acceso.

Cuando se requiere el acceso desde Internet a un recurso interno, ese recurso no debe ser instalado en la red interna. Pensemos en un servidor web que debe ser accesible por los clientes desde sus oficinas. Si ese servidor está comprometido puede ser utilizado para atacar a otras aplicaciones y / o para extraer información de la red interna. Si se requiere el acceso a este servidor debe estar instalado en una DMZ, sin acceso a la red interna.

5. Añadir el tráfico de salida a sus controles diarios

Los cortafuegos son esenciales para la seguridad de la red, pero no son todo lo necesario. Otros actores como NIPS, HIPS, DLP, Antivirus son parte de una solución de seguridad completa. Entonces, firewalls no pueden detener a todos los intrusos y no son eficaces contra la pesca (fishing), el malware, documentos adjuntos a mensajes de correos electrónicos o troyanos.

Cuando se compromete un host interno, podría comenzar inundaciones de tráfico a Internet de su red. De este modo, mediante la supervisión del tráfico saliente de la red interna de Internet podría ser útil para detectar comportamientos inesperados.

6. Tenga cuidado! con Grant Access a terceros …

En algunas situaciones, los terceros tendrán que tener acceso a los recursos internos. Para resolver este requisito, un tercero puede ser asignado a una cuenta de VPN temporal para concederles acceso a la red interna. En otros casos, si necesitan acceso a una aplicación para proporcionar apoyo, la lista de acceso explícita se puede configurar. Estos dos escenarios no están nada mal.

El problema con este tipo de configuración es cuando se configuran de forma permanente. La mayoría de las veces no hay una justificación para mantener ese acceso permanente a los puertos de administración tales como SSH o Escritorio remoto. Es una buena práctica configurar entradas de control de acceso con rangos de tiempo para desactivar el acceso de forma automática, o hacerlo manualmente mediante la adición de “inactivo” al final de la línea (Cisco).

7. ¿Audita sus propios dispositivos?

A nadie le gusta tener los auditores comprobando la configuración de la red y de los equipos. Una solución que he encontrado para mantener a los auditores felices es auditar mi propio equipo para estar un paso adelante de ellos.

Hay algunas herramientas en la web que le permiten identificar piezas de configuración que podrían ser ajustadas. RAT, por ejemplo, es una buena herramienta para comprobar la configuración de su router y que informe si se puede hacer algo para mejorarlo. Nmap es buena herramienta de código abierto para escanear la red para encontrar hosts conectados inesperados e identificar los puertos abiertos que pueden ser cerradas.

8. ¿Está haciendo cambios sobre la marcha?

Una de las peores experiencias de ser un administrador de red es presionar la tecla enter y luego pérder la conectividad del dispositivo. Por supuesto, esto sucede cuando usted hizo algo mal en la configuración – los errores humanos.

Pero el verdadero problema es la falta de un proceso de gestión del cambio adecuada, para identificar los cambios de emergencia para ser aplicados inmediatamente después de la aprobación de la gerencia superior. Recuerde que todos los cambios hechos a la configuración deben estar justificadas. En la mayoría de las situaciones, los cambios se deben planificar, justificar y aplicar durante las ventanas de mantenimiento, para evitar un impacto alto en el negocio si algo sale mal.

Al hacer cambios sobre la marcha durante las horas de producción, usted se está exponiendo y a otros usuarios a problemas de conectividad si algo falla. Entonces, un buen proceso de gestión del cambio debe estar en su lugar para evitar el impacto negativo de negocio.

9. Entender siempre los requisitos de los usuarios primero

Uno conceptos erróneos acerca de la red y los administradores de seguridad es que su trabajo es sólo para entrar y eliminar la configuración de los dispositivos. Esto es absolutamente equivocado! Ellos son responsables de conocer la red, identificar el tráfico esperado e inesperado, y también, para justificar los cambios en los servidores de seguridad y otros equipos.

Por lo tanto, un buen administrador de la red comprende requisitos de las aplicaciones y hace preguntas si es necesario. Algunas preguntas que deben responderse antes de implementar cualquier cambio son:

a) ¿Quién va a acceder a la aplicación?
b) ¿Debe estar activo este acceso 24/7? o puede el plazo se reducirá a horas específicas?
c) ¿Por cuánto tiempo será necesario este acceso?
d) ¿Es este un acceso permanente o temporal?
f) ¿Hay alguna otra manera de permitir el acceso a la aplicación?

 10. Su jefe no siempre tiene la razón!

Algunas personas, incluyendo jefes, les gustan ser amable con los usuarios finales al decir “sí” a cualquier requisito, antes de pensar en las consecuencias de seguridad. Sé que es fácil decirlo, pero ser un buen ingeniero de seguridad debe siempre guardar su postura acerca de la seguridad, incluso en presencia de su jefe.

Usted siempre tiene que dar su retroalimentación sobre cualquier acceso, incluso si no se le pide. Incluso si él o ella es su jefe, se requiere su colaboración, después de todo, esa es la razón por la que fueron contratados, ¿verdad? Usted es el experto!

En algunas situaciones, debe redactar un correo electrónico informativo con observaciones de un cambio que podría exponer nuestro medio ambiente, y pregunte por la aprobación para su ejecución. Después de todo, si su jefe aprueba el cambio usted tiene una prueba escrita de que ya ha proporcionado sus comentarios y que su jefe aprobó el cambio.

Referencia: http://bestitsource.com/2014/11/25/best-practices-for-security-administrators/