Aviso importante: |
Zyxel Firewall seriea partir de la versión de firmware 5.35
Un firewall es la primera línea de defensa contra los atacantes de Internet. Protege la red local de accesos no autorizados y es una parte esencial de un concepto de seguridad. Pero, ¿qué ocurre si el propio cortafuegos se convierte en objetivo de ataques de piratas informáticos y, por tanto, puede convertirse en una amenaza potencial? La siguiente guía pretende ofrecer información sobre cómo atacar las posibilidades que se pueden restringir.
1. Control de políticas
2. Detección y prevención de anomalías
3. Gestión remota a través de HTTPS
4. Autenticación de dos factores
5. Registros de alertas
6. Actualizaciones automáticas de firmware
7. Protección de datos confidenciales
1. Control de políticas
El menor número posible de usuarios debe tener acceso al cortafuegos. Para garantizarlo, es aconsejable restringir al máximo los derechos de acceso.
Configuración > Política de seguridad > Control de políticas
La zona ZyWALL desempeña un papel particular. Contiene todas las direcciones de interfaz del cortafuegos. Sólo se pueden crear reglas para esta zona.
Por ejemplo, la dirección por defecto 192.168.1.1 no pertenece a la zona LAN1 sino a la zona ZyWALL.
Con la configuración predeterminada, el acceso al cortafuegos está principalmente abierto. Por lo tanto, deberían restringirse más.
Restricción de reglas de control de políticas
Las reglas del cortafuegos se pueden restringir en función de varios criterios. Principalmente tres criterios son útiles para el acceso al cortafuegos:
1. 1. origen IPv4 (objetos de dirección)
2. servicio
3. usuario
Estos elementos se crean como objetos.
Objetos-dirección
Existen básicamente tres tipos de objetos de dirección. Estos son:
1. 1. Direcciones IP
2. Direcciones FQDN
3. Direcciones GeoIP
Los objetos de dirección pueden agruparse. Sin embargo, no es posible mezclar diferentes tipos de direcciones.
Configuración > Objeto > Dirección/Geo IP > Dirección
1.1 Direcciones IP
Las direcciones IP deben utilizarse siempre que sea posible, ya que son únicas. Existen varios tipos de direcciones IP:
1. host > describe una única dirección IP
2. rango > puede ser cualquier rango definido por la dirección inicial y final
3. subred > puede crearse introduciendo una máscara de subred o CIDR (por ejemplo, /24)
4. interface IP > toma la dirección IP de una interfaz y se adapta dinámicamente.
5. subred de interfaz > toma dinámicamente la subred de una interfaz.
6. interface gateway > toma el gateway de una interfaz de tipo WAN o general.
Host, Rango, Subred
Los tipos de dirección Host, Range y Subnet son especialmente adecuados como fuentes IPv4. Si el acceso se realiza desde la WAN, se especifica la dirección IP pública de la estación remota.
Desde una LAN, estos objetos pueden utilizarse para crear grupos con diferentes autorizaciones.
Interfaz IP
Este objeto se puede utilizar si el acceso sólo es posible en una dirección IP específica. Por ejemplo, si hay 2 interfaces WAN, pero un servicio sólo debe estar disponible en una interfaz, la IP de la interfaz puede introducirse en la regla de control de políticas como destino IPv4.
Subred de interfaz
Este tipo de dirección es adecuado si se van a crear reglas uniformes para una interfaz local (por ejemplo, LAN1).
Puerta de enlace de interfaz
Este tipo de dirección no es relevante para el acceso al cortafuegos.
2. Objetos FQDN
Con los objetos FQDN se puede introducir un nombre en lugar de una dirección IP, por ejemplo www,midominio.com. Este tipo de entrada es especialmente adecuado si el acceso se realiza desde la WAN y la estación remota no dispone de una dirección IP pública estática. En este caso, se puede utilizar un nombre DynDNS en lugar de la dirección IP. Para los objetos FQDN, se requiere un servidor DNS rápido. También es posible utilizar comodines como *.midominio.com. Sin embargo, no pueden utilizarse para este fin.
1.2 Objetos FQDN
Con los objetos FQDN se puede introducir un nombre en lugar de una dirección IP, por ejemplo www,midominio.com. Este tipo de entrada es especialmente adecuado si el acceso se realiza desde la WAN y la estación remota no dispone de una dirección IP pública estática. En este caso, se puede utilizar un nombre DynDNS en lugar de la dirección IP. Para los objetos FQDN, se requiere un servidor DNS rápido. También es posible utilizar comodines como *.midominio.com. Sin embargo, no pueden utilizarse para este fin.
Direcciones Geo IP
Las direcciones IP geográficas pueden utilizarse para crear objetos basados en países o regiones. El servicio utiliza una base de datos externa y debe actualizarse regularmente. Geo IP no ofrece una protección fiable, ya que la dirección de origen se puede manipular muy fácilmente utilizando servicios VPN de libre acceso.
Objetos de servicio
Los objetos de servicio se utilizan para definir a qué servicios se les concede o deniega el acceso en la configuración de control de políticas. Los servicios pueden agruparse. Los servicios también se pueden utilizar en otros lugares, por ejemplo, en rutas de políticas y entradas NAT.
Además de los objetos de servicio estándar, existen algunos objetos particulares. Se trata de los objetos "Wiz_2FA, Wiz_HTTP, Wiz_HTTPS y Wiz_SSLVPN". El puerto de estos servicios se adapta automáticamente cuando se redefine en el menú correspondiente.
Configuración > Objeto > Servicio
Usuario
Configuración > Objeto > Usuario
Existen diferentes tipos de usuarios.
Admin - puede realizar cambios en la configuración
Limited-admin - puede acceder a la configuración pero no puede realizar cambios
Usuario - puede autenticarse usando 2FA
Invitado: puede iniciar sesión en el cortafuegos
Ext-user/ext-group-user - puede autenticarse en un servidor externo.
Los usuarios incorporados son usuarios predefinidos que no se pueden eliminar y están destinados a fines específicos.
Los usuarios deben definirse de forma que sólo tengan los permisos necesarios.
Normalmente, los usuarios VPN o 802.1x se definen como Usuarios de tipo usuario.
Seguridad de inicio de sesión
Define si las contraseñas deben cambiarse y en qué periodo, y si se requiere la complejidad de la contraseña.
Configuración de inicio de sesión de usuario
Define cuántas veces puede iniciar sesión un usuario al mismo tiempo. Si el límite se establece en "1", un administrador puede bloquearse a sí mismo.
Configuración de bloqueo de IP de usuario
Define la frecuencia con la que se permite la introducción de una contraseña errónea hasta que se bloquea al usuario durante un periodo determinado. Esta configuración protege contra ataques de fuerza bruta.
Reglas de control de políticas recomendadas
De: WAN A: ZyWALL
Se recomienda encarecidamente cerrar todos los servicios que no se necesiten específicamente.
Servicios que se necesitan con frecuencia:
IPSec VPN (IKEv1, IKEv2, L2TP):
ESP, IKE, NATT, (L2TP-UDP).
VPN SSL:
Wiz_SSLVPN
Autenticación de 2 factores para VPN:
Wiz_2FA
Acceso remoto a través de HTTP/HTTPS:
Wiz_HTTP, Wiz_HTTPS
Para evitar en la medida de lo posible los riesgos de seguridad, lo ideal es que la gestión remota se realice a través de una VPN IPSec. Las direcciones de origen deben restringirse si es posible. No se recomienda la VPN SSL, ya que ofrece un posible vector de ataque a través de SSL.
Acceso remoto a través de HTTPS:
Si se requiere acceso remoto a través de HTTP/HTTPS, la dirección de origen debe restringirse siempre a una dirección IP o FQDN. GeoIP como dirección de origen no es segura y ofrece un importante potencial de ataque. Para la gestión HTTPS, se recomienda utilizar un puerto alternativo.
De: Zona VPN Para: ZyWALL (cliente-a-sitio)
Por defecto, todos los puertos están abiertos. En la mayoría de los casos, sólo se necesitan unos pocos servicios. Estos son, por ejemplo, DNS y L2TP-UDP. Para otros servicios, el acceso debe estar bloqueado. Si se desea la gestión remota a través de VPN cliente-sitio, el acceso al cortafuegos puede restringirse a un usuario. Sin embargo, esto sólo funciona si el usuario ya ha iniciado sesión en el cortafuegos cuando se configuró el túnel.
Desde: LAN A: ZyWALL
Aquí también se deben limitar los derechos de acceso. El acceso completo al cortafuegos sólo debe concederse a una LAN de gestión especial o a direcciones IP de administradores individuales. Para que algunos servicios funcionen correctamente, debe concederse acceso al cortafuegos. Esto incluye DNS, multidifusión, Radius-Auth, NetBIOS, SNMT, SSO, etc. Qué accesos son efectivamente necesarios depende en gran medida de la topología de la red y de las tecnologías utilizadas.
2. Detección y prevención de anomalías (ADP)
Configuración > Política de seguridad > ADP
ADP proporciona protección contra escaneos de puertos y comportamientos inusuales en la red. Se recomienda activar ADP con el perfil predeterminado de la zona WAN. Se pueden realizar ajustes individuales en el perfil si surgen problemas.
En casos individuales, ADP puede afectar a determinados servicios. Esto se aplica en particular a la detección de inundaciones. Por esta razón, la protección contra inundaciones puede desactivarse para servicios individuales, por ejemplo NATT. Esta configuración sólo es útil si se producen problemas.
3. Gestión remota a través de HTTPS
Algunos ajustes específicos en la configuración WWW tienen un impacto directo en la seguridad del sistema.
Configuración > Sistema > WWW
Puerto del servidor
El puerto estándar 443 no debe utilizarse para la gestión remota, ya que siempre se escanea durante los ataques automatizados. Los puertos alternativos de uso frecuente (por ejemplo, 8443) tampoco son ideales.
Redirigir HTTP a HTTPS
Todas las llamadas HTTP a la GUI se redirigen a HTTPS. Atención. Esta opción no debe activarse si se utiliza la autenticación web. En todos los demás casos, esta opción debe estar activada.
Control del servicio de administración
Aquí puede establecer quién puede tener acceso de administrador al cortafuegos. Lo mejor es que restrinja el acceso a direcciones IP individuales. Sólo se permiten direcciones IP como objetos de dirección. Como última regla (aquí, la regla 5), se debe crear una regla ALL/ALL/deny. Hay que tener cuidado al crear la regla para no bloquearse. Por lo tanto, las reglas de aceptación deben crearse antes de crear la regla de denegación en último lugar.
Control de servicio de usuario
El control de servicio de usuario define qué clientes pueden autenticarse en el cortafuegos.
La regla es relevante para SSL-VPN, 2-FA, Aprovisionamiento de configuración VPN y Autenticación WEB.
Si no se utiliza, también se puede establecer una regla de denegación.
Autenticar certificados de cliente
Si la opción Autenticar certificado de cliente está activada, el cliente debe autorizarse con un certificado válido. De lo contrario, se denegará la conexión. Esto se aplica al acceso a través de HTTPS y VPN SSL. VPN Configuration_Profisioning with SecuExtender no funciona si esta opción está activada. Sin embargo, todavía es posible llamar a la ventana 2FA sin un certificado.
Para que el cortafuegos confíe en un certificado, debe instalarse la cadena de confianza de la autoridad de certificación. Esto suele incluir un certificado raíz y otro intermedio. El cortafuegos confía en todos los certificados con una cadena de certificados válida, así como en sus propios certificados autofirmados. Hay que tener en cuenta que algunos navegadores rechazan por principio los certificados autofirmados (actualmente los navegadores basados en Firefox). No es necesario que el certificado del cliente esté instalado en el cortafuegos.
Configuración > Objeto > Certificado > Certificados de confianza
4. Servicios de gestión remota
Configuración> Sistema
Hay varios servicios en el cortafuegos que rara vez o nunca se necesitan. Estos servicios pueden deshabilitarse por completo.
SSH
Por ejemplo, este servicio puede utilizarse cuando los cambios de configuración se realizan con un script automático. Si SSH no se utiliza regularmente para la administración, el servicio puede desactivarse. También se puede utilizar la Consola Web en lugar de SSH para la entrada CLI.
TELNET
No es necesario en la mayoría de los casos y se puede desactivar.
FTP
A través de FTP se puede, por ejemplo, actualizar el firmware o descargar archivos de configuración. FTP debe estar activado si se está utilizando HA-Pro. En caso contrario, el FTP puede desactivarse. Si el servicio se necesita esporádicamente, se puede activar temporalmente.
SNMPElservicio es necesario para la monitorización de la red y es necesario para soluciones como PRTG. Sino se monitoriza la red, el servicio puede desactivarse.
ZON
Permite el intercambio de información con dispositivos vecinos (modelo, nombre, firmware, dirección MAC, dirección IP) a través de LLDP, así como con el software ZON de Zyxel en la misma LAN. El servicio no es necesario para el funcionamiento normal.
VPN
VPN IPSec de sitio a sitio
Cuando se utilizan túneles de sitio a sitio, se debe introducir una dirección de puerta de enlace par siempre que sea posible. Si el sitio remoto tiene una dirección IP dinámica, también se puede utilizar un nombre DynDNS. También se puede utilizar un nombre DynDNS si el sitio remoto está detrás de un NAT/CG-NAT. En este caso, es importante que la conexión se establezca desde el lado remoto y que el servicio DynDNS sincronice la dirección IP pública.
Para la autenticación, un certificado es mejor que un PSK. Hay que tener en cuenta lo siguiente
1. El certificado utilizado puede ser un Certificado Autofirmado pero debe ser almacenado en el lado remoto bajo "Certificados de Confianza".
2. En ambos lados se crea un certificado propio
3. El tipo de ID local se toma del certificado y debe introducirse de forma idéntica al ID de par en el otro lado.
4. La recomendación para la duración máxima de SA es de 86400 segundos en la pasarela VPN y de 14400 segundos en la conexión VPN.
5. Se recomiendan las siguientes configuraciones como mínimo para el cifrado VPN: AES256 / SHA256 / DH15. Tanto en la pasarela VPN como en la conexión VPN.
El Protocolo de Autenticación Extendida también es posible para los túneles de sitio a sitio. Sin embargo, el usuario registrado no inicia sesión en el cortafuegos cuando se establece la conexión.
VPN cliente-sitio IPSec
Para VPN cliente-sitio, se recomienda IKEv2 con el certificado y el Protocolo de Autenticación Extendido.
La carga útil de configuración es obligatoria en la conexión VPN.
Una vez establecida la conexión, el cliente inicia sesión en el cortafuegos con el usuario. Para cualquier acceso de administrador al cortafuegos, el usuario administrador correspondiente puede almacenarse en el control de políticas.
VPN L2TP
No se recomienda el uso de una VPN L2TP. En su lugar, se puede utilizar IKEv2.
SSL VPN
Debido al rendimiento y a posibles problemas de seguridad, no se recomienda SSL VPN. Sin embargo, dado que es popular debido a la facilidad de configuración, se debe tener en cuenta lo siguiente:
Configuración > VPN > SSL VPN > Configuración Global
El uso de un puerto separado para SSL VPN es obligatorio. En ningún caso debe utilizarse el puerto 443.
La seguridad aumenta considerablemente si se utiliza un certificado para la autenticación. La configuración se describe en "Gestión remota a través de HTTPS > Autenticar certificado de cliente".
En el Control de Políticas, es aconsejable restringir la IP de origen para el acceso desde la WAN a ZyWALL para el servicio Wiz_SSLVPN. Al menos a una GeoIP, mejor a un FQDN o a una dirección IP.
Además, el acceso del administrador al cortafuegos desde la zona SSL-VPN se puede restringir al usuario admin. Esto es posible porque el usuario ya inicia sesión en el cortafuegos durante la configuración del túnel.
Los usuarios normales no necesitan acceder al cortafuegos desde la zona VPN SSL. Es suficiente con que aquí se permitan servicios típicos como DNS.
5. Autenticación de dos factores
Se recomienda la autenticación de dos factores para el acceso de administrador, preferiblemente con Google Authenticator.
La configuración de 2FA debe realizarse por separado para cada usuario. Se recomienda el método Google Authenticator. Tenga en cuenta que los usuarios que no tengan 2FA configurado pueden iniciar sesión sin autenticación adicional. Por esta razón, 2FA sólo ofrece una protección limitada.
2FA kann auch für VPN-Access aktiviert werden.
Para la autenticación se debe utilizar siempre un puerto propio (Objeto Wiz_2FA).
También existen varios métodos para establecer un enlace. Sin embargo, en todos los métodos se añadirá un enlace a la WEB-GUI.
Como la WEB-GUI para 2FA desde la WAN debe ser erreichbar, esto también representa un riesgo potencial.Poreste motivo, esta función debe crearse con autorización.
En nuestro otro artículo se describe cómo configurar la autenticación de doble factor:
Autenticación de dos factores con Google Authenticator para el acceso de administrador
6. Registros de alertas
Para algunas opciones, puede resultar útil configurar un registro de alertas. En este caso, una notificación por correo electrónico puede activarse inmediatamente cuando se produce un evento. Esto tiene sentido, por ejemplo, cuando un administrador inicia sesión, especialmente para cortafuegos que sólo se supervisan a intervalos irregulares.
Configuración > Registro e informe > Configuración de registro
7. Actualizaciones automáticas de firmware
Siempre hay que asegurarse de que el firmware del cortafuegos está actualizado. Para los sistemas que se mantienen activamente, las actualizaciones se pueden realizar manualmente. Sin embargo, en la realidad, suele ocurrir que esto se descuida y los cortafuegos con vulnerabilidades de seguridad conocidas no se actualizan durante un largo periodo.
Especialmente en entornos de este tipo, se recomienda activar las actualizaciones automáticas por motivos de seguridad.
Mantenimiento > Administrador de archivos > Gestión de firmware
8. Protección de datos sensibles
A partir de la versión 5.35 del firmware, las contraseñas se pueden cifrar con una clave personalizada en lugar del algoritmo predeterminado. El resto de contraseñas siguen utilizando el método por defecto. La función también protege contra la lectura de contraseñas de usuario de los archivos de configuración con la ayuda de herramientas de hacking.
Mantenimiento > Administrador de archivos > Archivo de configuración > Configuración > Protección de datos confidenciales
Supongamos que el archivo se reinstala en un cortafuegos. Esto sólo es posible con la clave.
Comentarios
0 comentariosInicie sesión para dejar un comentario.