- El Centro Criptológico Nacional publica la Guía CCN-STIC 652 en colaboración con el fabricante de firewalls.
- El objeto del documento es servir como guía para realizar una instalación y configuración adecuada de los cortafuegos de Palo Alto Networks, siguiendo como criterio fundamental la securización del entorno en el que se despliegue.
- Los responsables TIC se enfrentan a una problemática creciente, con usuarios –tanto externos como internos-que utilizan una nueva generación de aplicaciones, capaces de evadir la detección que ofrecen los cortafuegos tradicionales.
Para poder ofrecer una prevención eficiente frente a las amenazas, las soluciones de seguridad necesitan comprender y gestionar todas las fases de la cadena de un ataque. Hasta hace no mucho, lo normal era que por el puerto 80 pasara sólo la navegación web y por el puerto 443, el tráfico SSL. Sin embargo, algunas de las nuevas aplicaciones utilizadas tanto en ámbitos privados como profesionales, utilizan técnicas evasivas para evitar las reglas de los cortafuegos tradicionales, incluso emplean tráfico cifrado para ocultar su identidad.
Por este motivo, los responsables TIC necesitan identificar con precisión las aplicaciones actuales, y no solamente los puertos que usan, a través de una inspección completa del tráfico. Precisamente, esta visibilidad y control es la que ofrecen las nuevas generaciones de cortafuegos, entre otros el de Palo Alto Networks.
La Guía CCN-STIC 652, ahora publicada por el Centro Criptológico Nacional, detalla cómo realizar adecuadamente un despliegue de un NGFW de Palo Alto con el fin de ayudar a los usuarios a reducir los tiempos de despliegue y minimizar los errores humanos en la configuración del mismo. Ofrece, además, información recomendada de configuración y casos de uso respecto al despliegue de políticas y perfiles de seguridad, con el fin de maximizar el beneficio de una aproximación integral y multidisciplinar a la prevención de amenazas.
El documento incluye también un anexo con los servicios y funcionalidades que pueden emplearse como requisitos para el cumplimiento del Esquema Nacional de Seguridad.
El CCN tiene previsto seguir trabajando en el documento e ir incorporando nuevos apartados relativos a la generación de alertas y avisos para la monitorización de eventos, la solución de VPN Global Protect, la diferenciación entre el descifrado con rotura de túnel SSL y sin ella y la consola de gestión Panorama. Todo ello abierto a cualquier sugerencia o petición por parte de los usuarios.
CCN-CERT (24/10/2017)
