Siguiendo las mejores prácticas usted podrá tener un mejor rendimiento, desempeño y facilidad de gestión de cualquier Firewall Checkpoint NGX-RXX que administre, aquí publico algunas de las mejores prácticas generales que deben seguirse para crear un rulebase efectivo para el control de seguridad de nuestro firewall:
-
El rulebase de nuestro firewall deberá ser tan simple como sea posible, es decir el menor número de reglas concretas y específicas dará un mayor desempeño al equipo. Busque permitir el acceso sólo a lo que sea necesario.
-
Evite el uso arbitrario de «Any» para el campo de servicio; dichos servicios deberán ser específicos por cada regla.
-
Utilice “objetos de red” en lugar de muchos “objetos” individuales.
-
Utilice grupos de objetos donde sea posible y combinar reglas similares en una sola regla. Esto ayudará a mantener la base de reglas corta y simple, por lo tanto se reducirá la carga en el firewall.
-
Configure la funcionalidad de “Anti spoofing” en cada interfaz del Firewall.
-
Ponga las reglas más utilizadas o accedidas en las primeras posiciones de la base de reglas. Cuando un paquete llega al firewall, se verifica contra las reglas del firewall en orden de arriba hacia abajo (top down). Una vez que encuentra una coincidencia puede ser aceptado, negado, o se toma la acción definida en la regla. Por esta razón es mejor poner al principio de la base de reglas las que tienen más coincidencias con el tráfico en la red. Esto sirve para que no tenga que recorrer una gran cantidad de reglas hasta encontrar una coincidencia; hacerlo decrementará la carga de trabajo en el firewall.
-
Utilice nombres concretos para sus objetos (hostname, dirección IP, etc.).
-
Implemente la regla «stealth» o “furtiva”, la cual bloquea los intentos de conexión hacia el módulo del firewall directamente (src=any dst= firewall action= drop).
-
Utilice «drop» en lugar de «reject» para algunos servicios, esto mejora el desempeño del equipo.
-
Implemente la regla ‘clean up’ o una regla de ANY a ANY, acción DENY. Se recomienda habilitar el log para esta regla. Esto nos permitirá analizar los paquetes que sean descartados por no coincidir con ninguna regla de la base. Lo anterior es útil para detectar ataques o para la resolución de problemas.
-
No utilice el “objeto de dominio” en el rulebase. Dichos objetos pueden causar conflictos y problemas de desempeño como cuellos de botella.
-
Deshabilite el campo “decrypt on accept” si no se utiliza VPN.
-
Si la red está utilizando VPN, utilizar de preferencia AES128 como algoritmo de cifrado. Este tipo de cifrado genera menor carga y menos problemas de rendimientos a firewalls como Checkpoint.
-
Mantenga las bitácoras («logs«) al mínimo necesario. Ejemplo: Si la organización cuenta con dos servidores Web con mucho tráfico, entonces si el firewall tiene que registrar cada conexión de http, esto puede ocasionar una carga adicional al firewall y llenar el espacio del servidor de bitácoras rápidamente. Evalúe, sin embargo, si deshabilitar las bitácoras no conlleva ningún riesgo de perder información importante para una investigación digital.
-
Trate de implementar un esquema de alta disponibilidad o ‘high availability’ si el presupuesto lo permite. Esto reducirá los tiempos de interrupción al servicio de red considerablemente. Si un firewall se cae, eso implica que la mayoría de las operaciones en ese segmento se detendrán. En cambio, si se tiene implementado ‘high availability’, el firewall secundario puede salir al rescate. También existe la opción de ‘firewall clustering’ que proporcionará redundancia y balanceo de cargas.
Espero que les sea de utilidad.
Saludos
Saludos a todos, pues me fue de utilidad el articulo para unas guías de seguridad que estoy haciendo para los firewalls. Un abrazo.
José Ramírez