No, esto no es un error de redacción, tampoco es un artículo del cuidado infantil por Internet. La palabra “suyos”, acá, viene a colación del idioma oficial que hablaban los antiguos peruanos, los creadores de Machu Picchu, el ombligo del Tahuantisuyo (hoy, una de las 7 Nuevas Maravillas del Mundo).
Suyo es una palabra del quechua, que significa zona o territorio. Como soñar no cuesta nada, (estimado compatriota): ¿se imagina qué palabra emplearía hoy un ingeniero de sistemas, hablando de DMZ | zonas | perímetros de red, si el quechua hubiese llegado a convertirse en el idioma predominamente de la Tierra? Es probable que en las conferencias de seguridad se hablarán más de SUYOS y PUCARÁS, que de DMZs y firewalls. Por esa razón, como peruano, oso preguntarle ¿cómo protejes los -suyos- de tu red?
Para aquel buen porcentaje de dueños de firewalls, que suelen no conformarse con adquirirlo, sino -además- configurarlo, es altamente probable, que la mejor configuración que le hayan propuesto los “expertos” el día de su instalación, fuese sólo la de filtrar el tráfico que ingresa, mas no el que sale. Si ese es su caso, continúe leyendo.
Si bien todo lo externo a la red es por definición hostíl y desconocido, lo cierto es, que aún las redes internas pueden ser un nido de zombis, botnets, y piratas. Por ello, filtrar el tráfico que sale, es tan o más útil que el filtro de entrada. ¿Por que puede ser “tan o más útil”? La razón es simple: el día que deje de tener servidores importantes en su red y las termine llevando a un proveedor de hosting, para lo único útil que servirá su firewall, es para pasar paquetes. En vez de eso, se debe aprovechar al máximo la tecnología. Es así que, son necesarios, los filtros salientes.
Un filtro saliente, asegura que nadie esté pasando tráfico (e información) hacia el exterior. Hoy, en los tiempos en donde casi las botnets han desplazado a los antiguos troyanos, es doblemente real la amenaza de tráfico saliente. Una red con PCs zombis, tiene de todas formas tráfico que sale, esto es, aquel tráfico que procura enganchar el PC zombi con el cuartel general de la “botnet” (A.K.A. “cc” o comando y control de zombies), para recibir nefastos comandos.
Por otro lado, un filtro saliente, no sólo protege el segmento de estaciones de su red, también protege a los servidores. Un filtro saliente, bien afinado (sin cometer errores de protocolos) con la red de servidores, ayudará a que éstos no sean usados por una varidad de formas de abuso, por ejemplo, los proxies (encapsulamientos), o por las conexiones provocadas por shells en servidores web (cmds, tftps, xp_cmd…) y otras estimulaciones generados a servidores de correo o aplicación web (típicamente para provocar la fuga de información), vía vulnerabilidades o facilidades de los sistemas.
Proteger de esta forma sus -suyos- hace que su red sea más segura, y no tenga que ser sorprendido un día con que sus servidores y estaciones se dedican a enviar SPAM, cuando los usuarios apenas si saben usar el Windows. Esto es todavía mejor, si en el supuesto que su red sea traspasado por intrusos, el bloquear todo (o casi todo) el tráfico saliente, eliminaría toda chance para que le retorne un prompt/shell al villano que la penetró. La cosa no para allí nada más, imagínese todo lo que puede hacer en términos de “análisis de detección de intrusos” con aquellos registros de negación de sesiones que son generados por sus servidores y estaciones detrás del firewall (si activa correctamente el filtro y registro). Si desea aprender más técnicas de detección de intrusos, lo invito a inscribirse al curso que dictaré para SANS Institute, ahora en octubre.
J.R.
SANS Local Mentor
