1. Denación implícita: Esta es la configuración * más crucial *. La política predeterminada siempre debe ser negar todo el tráfico que no esté explícitamente permitido. Esto evita que el tráfico desconocido o no deseado llegue a redes internas. Cualquier regla que permita el tráfico específico debe considerarse y justificarse cuidadosamente.
2. Listas de control de acceso (ACLS): Estos son el núcleo del filtrado de paquetes. Las ACL definen reglas que especifican qué paquetes están permitidos o denegados en función de varios criterios:
* Dirección IP de origen: Bloquee el tráfico de direcciones o rangos IP maliciosas conocidas (por ejemplo, botnets conocidos).
* Dirección IP de destino: Restringir el acceso a servidores o redes internos de fuentes externas no autorizadas. Solo permita el acceso a servicios específicos en servidores que enfrentan públicamente.
* Puertos de origen y destino: Control a qué servicios de red son accesibles. Por ejemplo, bloquee todas las conexiones entrantes al puerto 23 (Telnet) o el puerto 3389 (RDP) a menos que sea absolutamente necesario.
* Protocolos: Filtrar basado en el protocolo de red (TCP, UDP, ICMP). Por ejemplo, puede bloquear todo el tráfico ICMP (ping), excepto para el diagnóstico esencial de la red.
* Contenido de paquetes (inspección de paquetes profundos - DPI): Si bien no se filtran estrictamente en el sentido tradicional, algunos enrutadores avanzados ofrecen DPI. Esto permite la inspección de la carga útil del paquete para contenido malicioso (por ejemplo, palabras clave, tipos de archivos específicos). Esto es computacionalmente intensivo y puede afectar el rendimiento.
3. Estado: Emplee la inspección de paquetes con estado (SPI). Esto va más allá del simple filtrado de paquetes al rastrear el estado de las conexiones de red. Permite el tráfico de retorno (por ejemplo, respuestas a solicitudes legítimas) mientras bloquea las conexiones entrantes no solicitadas. Esto evita muchas formas de ataques como inundaciones SYN.
4. Defensa en profundidad: El filtrado de paquetes en un enrutador es solo una capa de seguridad. Debe complementarse con otras medidas de seguridad como:
* firewalls: Coloque los firewalls tanto en el perímetro como potencialmente internamente para proporcionar filtrado y protección adicionales.
* Sistemas de detección/prevención de intrusos (IDS/IPS): Estos sistemas monitorean el tráfico de red para actividades maliciosas y pueden tomar medidas para bloquear o alertar sobre eventos sospechosos.
* redes privadas virtuales (VPN): Use VPN para cifrar el tráfico entre usuarios remotos y la red de la organización.
* Actualizaciones y parches regulares: Mantenga el firmware del enrutador y el software actualizados para abordar las vulnerabilidades de seguridad.
5. Revisión y actualizaciones regulares: Las ACL no son configuradas. Necesitan revisiones y actualizaciones regulares para reflejar cambios en la infraestructura de red de la organización, las amenazas de seguridad y las mejores prácticas. Las ACL anticuadas o mal configuradas pueden dejar vulnerabilidades.
Ejemplo de regla ACL (simplificada):
`Permitir TCP cualquier anfitrión 192.168.1.100 EQ 80`
Esta regla permite el tráfico TCP desde cualquier dirección IP de origen a la dirección IP de destino 192.168.1.100 en el puerto 80 (HTTP). Este es un ejemplo muy simple y necesita una consideración cuidadosa de sus implicaciones en el contexto de un plan de seguridad completo.
Nota importante: Las ACL configuradas incorrectamente pueden interrumpir el tráfico de red legítimo. Las pruebas y la planificación cuidadosa son cruciales antes de implementar cualquier cambio en ACL. Considere usar un entorno de estadificación para probar los cambios antes de implementarlos en producción.