En este documento se describen cinco reglas estándar del sector para servidores de seguridad que ayudan a protegerse frente a los ataques más comunes que pretenden obtener acceso no autorizado a la red y a los datos.

 

Estas reglas se deben aplicar junto con las tareas generales de configuración de la red y del servidor de seguridad. Probablemente, sólo constituyen una parte de secuencias de comandos más completas y de mayor tamaño, y no garantizan por sí mismas que la red sea totalmente inmune ante cualquier ataque. Examine la documentación facilitada por el proveedor de servicios o el fabricante del servidor de seguridad y consulte al profesional competente de configuración e instalación de TI para completar la configuración de su servidor de seguridad. La configuración exacta requerida dependerá de los servicios que se ejecuten en la red y del nivel de acceso externo que sea necesario.

Protección frente a ataques comunes

Bloquear todo el tráfico entrante cuyas direcciones de origen estén dentro del propio intervalo de direcciones
No hay prácticamente ninguna razón válida para que el tráfico procedente de su misma red aparezca en Internet e intente volver a la misma. Esto puede ser un claro signo de que alguien está intentando "imitar su personalidad". Por "imitación de personalidad" se entiende el acto de hacer que parezca que los datos se han enviado desde un equipo concreto cuando en realidad no ha sido así. Esta técnica se debe considerar sospechosa ya que a menudo es la utilizada por los ataques de troyanos y de denegación del servicio (DoS) para obtener acceso no autorizado a la red.

Bloquear todo el tráfico saliente cuyas direcciones de origen no estén dentro del propio intervalo de direcciones
Esta regla equivale a la número 1. No hay prácticamente ninguna razón válida para que el tráfico procedente de otra red abandone su propia red. Esto es un claro signo de que alguien está utilizando su red para "imitar su personalidad" o atacar a otro usuario. Mientras que la regla número 1 le protege a usted, la número 2 protege a otros usuarios. Es importante disponer de las dos.

Bloquear todo el tráfico entrante y saliente cuando las direcciones de origen y de destino estén en intervalos de direcciones privadas
Bloquee todo el tráfico entrante y saliente cuando las direcciones de origen o de destino estén en intervalos de direcciones privadas (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 y 169.254.0.0/16). Según se ha establecido, estas direcciones no deberían estar presentes en la Internet pública. Se reservan para el uso de redes locales internas. No deje que este tráfico salga de la red y bloquee el tráfico entrante (lo que podría constituir una prueba de que alguien no ha establecido la configuración de enrutamiento correcta).

Bloquear todo el tráfico entrante y saliente con ruta de origen
El protocolo de Internet (IP) permite una opción específica denominada "ruta de origen" que se utiliza para especificar la ruta que un paquete debería seguir para alcanzar su destino y, a continuación, volver a su lugar de origen. Con frecuencia, la ruta especificada emplea enrutadores o hosts que normalmente no se utilizarían para enviar paquetes a su destino. Hace muchos años, esta opción se utilizaba con bastante asiduidad. Sin embargo, como la infraestructura actual de Internet ha demostrado ser muy segura, los paquetes se deberían entregar únicamente siguiendo las rutas de enrutamiento estándar internas y externas de Internet. El tráfico de ruta de origen es un claro signo de que un atacante está intentando burlar su propia infraestructura de enrutamiento al designar un falso cliente de confianza del servidor.

Bloquear todos los fragmentos entrantes y salientes
El protocolo IP permite que un paquete se divida en varios paquetes IP denominados fragmentos. A los fragmentos les faltan los encabezados del protocolo de control de transporte (TCP) o del protocolo de datagrama de usuario (UDP) que forman parte de los paquetes normales y que, por lo tanto, pasarán de forma inadvertida algunos tipos de dispositivos de "filtrado de paquetes" (por ejemplo, un gran número de dispositivos de servidor de seguridad). Los fragmentos de paquetes son casi siempre un claro síntoma de que se ha producido un ataque: un atacante emplea elaborados fragmentos para intentar burlar los dispositivos de seguridad.

 

 


Fuente: Microsoft.com