[18/02/2020] Para proteger adecuadamente su red, necesita saber quién y qué tiene acceso a ella, y dónde se encuentra toda la información confidencial. Para controlar mejor el acceso, comience por limitar los dispositivos que se encuentran en la misma subred, solo a los que son requeridos para las necesidades comerciales principales.
El Center for Internet Security informa: "Segmente la red según la etiqueta o el nivel de clasificación de la información almacenada en los servidores. Localice toda la información confidencial en VLANS separados con filtro de firewall para garantizar que solo las personas autorizadas puedan únicamente comunicarse con los sistemas necesarios para cumplir con sus responsabilidades específicas”.
Rapid7 sugiere que clasifique los datos en su red en base a su confidencialidad. Puede establecer varios niveles según las necesidades de su empresa.
- Nivel 1: Datos para consumo público. Datos que pueden divulgarse libremente.
- Nivel 2: Datos internos que no son para divulgación pública.
- Nivel 3: Datos internos confidenciales que, si se divulgan, podrían afectar a la empresa.
- Nivel 4: Datos corporativos, de empleados y de clientes muy confidenciales.
Dado que el Nivel 1 está configurado deliberadamente para el acceso público, querrá asegurarse de que los datos públicos no se almacenen en los mismos servidores que los datos muy confidenciales.
Configure reglas de Windows Firewall
Incluso en el nivel de la estación de trabajo, los firewalls basados en host deben establecerse y aplicarse para permitir solo el acceso mínimo requerido. Si ya lo está haciendo, habilite Windows Firewall en las estaciones de trabajo en su red, y use Group Policy para establecer las reglas apropiadas del firewall. Windows Firewall puede ayudar a evitar que los atacantes se muevan lateralmente dentro de una organización. Por ejemplo, los atacantes suelen utilizar herramientas estándar como PsExec, utilidades de línea de comandos o exploits Eternal Blue. El bloqueo de Server Message Block (SMB) y Remote Procedure Call (RPC), entre terminales que usan Windows Firewall, obstaculiza el impacto de un atacante.
Configuración avanzada de Windows Firewall.
Asegúrese de que Windows Firewall esté activado de forma predeterminada y que las conexiones entrantes estén bloqueadas de forma predeterminada. Revise periódicamente las reglas que se han establecido en las estaciones de trabajo para asegurarse de que no se haya alterado nada.
Configure una directiva de grupo para bloquear las conexiones salientes al puerto RCP (puerto TCP 135) y SMB (puerto TCP 445) si puede. Nota: Bloquear el puerto 445 con aplicaciones más antiguas que requieren SMB puede ser difícil, así que pruebe el impacto en su red.
Tenga cuidado con el uso del Remote Desktop Protocol
Si utiliza el Remote Desktop Protocol (RDP) (puerto TCP 3389) para acceder a servidores y estaciones de trabajo, reconsidere también esa política. Los atacantes de ransomware usan nombres de usuario y contraseñas recopilados de sitios de credenciales violados para atacar redes. Una vez que se utilizan las credenciales obtenidas para ganar acceso a la red a través de RDP, los atacantes se moverán lateralmente dentro de la red. A menudo permanecen ocultos y no realizan acciones durante unos días o semanas para garantizar que tengan acceso completo a la red. Luego lanzan el ataque de ransomware. Si debe tener acceso para ciertos procesos, asegúrese de que solo las fuentes confiables tengan acceso a los puertos que usted pone a su disposición.
Para controlar el Windows Firewall con la configuración de Group Policy, acceda a la configuración de la Group Policy ubicada en Equipo > Políticas > Configuración de Windows > Configuración de seguridad > Windows Firewall con Advanced Security. También puede establecer las políticas de firewall con el comando PowerShell Get-NetFirewallProfile para revisar la configuración. También puede usar la instrucción de línea de comando netsh advfirewall show allprofiles.
Al establecer políticas de firewall, piense en términos de las unidades organizativas que tiene en su red y considere usarlas como límites de las políticas. El uso de estos límites naturales de la unidad organizativa proporciona límites para el movimiento lateral en su organización.
Puede establecer reglas de Windows Firewall para permitir solo usuarios autorizados de computadoras autorizadas. Primero, configure la conexión para permitir solo conexiones seguras:
Una vez que lo haya hecho, puede restringir el acceso a computadoras o usuarios específicos.
Izq.: Restrinja el acceso a conexiones seguras. Der.: Pruebe las políticas de Windows Firewall que muestran la sección para usuarios autorizados.
Puede configurar las pestañas en Windows Firewall para directores locales, usuarios y computadoras remotos con el fin de permitir la comunicación de usuarios o computadoras específicos.
IPsec ha existido durante muchos años y se puede utilizar para configurar una comunicación segura entre estaciones de trabajo y servidores. Las conexiones pueden ser para el tráfico entrante y saliente.
Susan Bradley, CSO (EE.UU.)