馃敟 Las malas pr谩cticas m谩s comunes en reglas de firewall (y c贸mo evitar un desastre)

En el mundo de la administraci贸n de redes, pocas cosas son tan cr铆ticas —y tan subestimadas— como la correcta configuraci贸n de reglas de firewall. Muchos administradores (o entusiastas con permisos de m谩s) tienen la idea equivocada de que basta con poner las reglas de permitir arriba y las de bloquear abajo. Lamentablemente, esa l贸gica es peligrosa.

馃摐 El firewall no interpreta intenciones, interpreta 贸rdenes

Los firewalls procesan las reglas de arriba hacia abajo, y aplican la primera regla que coincida con el tr谩fico. Punto. Sin interpretaci贸n, sin segundas oportunidades. Esto implica dos cosas:

  • 馃憠 Si coloc谩s una regla muy gen茅rica de bloqueo arriba, pod茅s romper cosas sin darte cuenta.
  • 馃憠 Si permit铆s algo muy amplio primero, cualquier regla que venga despu茅s para restringirlo ya no tendr谩 efecto.

❌ Ejemplo cl谩sico de mala pr谩ctica

1. PERMIT ALL
2. DENY puerto 22 desde IPs desconocidas

馃攷 Resultado: La regla 2 nunca se cumple. ¿Por qu茅? Porque la primera ya dej贸 pasar todo. Tu puerto SSH qued贸 libre, y vos ni enterado.

✅ C贸mo deber铆a verse una estructura responsable

1. PERMIT puerto 22 solo desde IPs espec铆ficas (oficinas, VPN)
2. DENY puerto 22 desde el resto
3. PERMIT servicios necesarios con reglas espec铆ficas
4. DENY ALL (regla catch-all final)

Este enfoque asegura que solo se permite lo que realmente quer茅s, y todo lo dem谩s queda bloqueado por defecto. Como debe ser.

⚠️ ¿Qu茅 puede salir mal si lo hac茅s mal?

Un mont贸n. Por ejemplo:

  • Pod茅s dejar sin funcionamiento servicios esenciales y nadie sabr谩 por qu茅.
  • Pod茅s bloquearte a vos mismo el acceso remoto.
  • Pod茅s brickear el equipo si no ten茅s acceso local o fuera de banda.
  • Pod茅s comprometer la seguridad completa de tu infraestructura.

Y si no ten茅s un backup o acceso alternativo... buena suerte recuper谩ndolo.

馃‍馃捇 Este trabajo no es para improvisados

Modificar reglas de firewall no es “probar y ver qu茅 pasa”. Es una tarea cr铆tica que debe realizarse con:

  • Conocimiento de redes, servicios y protocolos.
  • Pruebas en entorno controlado.
  • Planes de recuperaci贸n ante fallos.
  • Acceso f铆sico o remoto seguro.
  • Y sobre todo: experiencia.

En Central Node, contamos con profesionales especializados en infraestructura de red y ciberseguridad. Sabemos c贸mo dise帽ar y aplicar pol铆ticas de firewall que funcionen y sean seguras, sin comprometer el rendimiento de tus servicios ni dejar puntos ciegos.

馃Х Consejo de oro

“Si vas a jugar con fuego (firewall), al menos llev谩 un extinguidor (backup).”

Te invitamos a ver nuestro video explicativo en Youtube



馃殌 ¿Quer茅s hacerlo bien desde el principio?

Contactanos.
En Central Node, transformamos el caos en infraestructura s贸lida, escalable y segura.

Comentarios

Publicar un comentario

Entradas m谩s populares de este blog

Cambiar cursor por defecto en ArchLinux o Manjaro

Imagen
Desde hace tiempo que volv铆 a usar mi querido Archlinux, sin embargo, debido a que ya no tengo los tiempos para configurarlo como a mi me gusta, opte por instalar Manajaro. Debo admitir que al principio me sent铆a bastante reacio a usarlo, sin embargo con el tiempo vi que muchas de las cosas que realizaba a mano en Archlinux, Manajaro ya lo trae listo, con esto evit谩ndome en cierta forma un dolor de cabeza. Buscando personalizar un poco mi escritorio, me di con bastantes buenos temas, iconos y dem谩s chucher铆as en la pagina de Mate-Look , donde mi idea era dejar todo mi escritorio con material design. Lo bueno es que pude encontrar un tema que cumple con dichos requisitos llamado MATERIA  y los iconos de PAPER  en los repositorio AUR, lo 煤nico que me estaban faltando eran los CURSORES, con suerte en la misma pagina de Mate-look pude encontrar  MATERIAL CURSORS,  todo perfectamente hermoso. El unico problema que pude observar era que cada vez que abr铆a una aplic...
Leer m谩s

Actualizando Proxmox en un Entorno de Pruebas

Imagen
Actualizar Proxmox en un entorno que no est谩 en producci贸n puede ser una buena pr谩ctica para mantenerse al d铆a con las 煤ltimas mejoras y parches de seguridad sin afectar sistemas cr铆ticos. A continuaci贸n, te explico los pasos que segu铆 para actualizar mi instalaci贸n de Proxmox en un entorno de pruebas.   Paso 1: Actualizar el archivo sources.list Primero, edit茅 el archivo /etc/apt/sources.list con el siguiente contenido: deb http://ftp.nz.debian.org/debian bookworm main contrib deb http://ftp.nz.debian.org/debian bookworm-updates main contrib # Actualizaciones de seguridad deb http://security.debian.org bookworm-security main contrib deb http://security.debian.org/debian-security bookworm-security main contrib deb http://download.proxmox.com/debian/pbs bookworm pbstest # Repositorio de Proxmox no recomendado para producci贸n deb http://download.proxmox.com/debian buster pve-no-subscription deb http://download.proxmox.com/debian/pbs bookworm pbs-no-subscription Nota: La l铆n...
Leer m谩s

Habilitar el Archivado de Correo Electr贸nico para Usuarios en el Centro de Administraci贸n de Microsoft Exchange

Imagen
Mantener las bandejas de entrada ordenadas y mejorar el rendimiento del correo electr贸nico son objetivos comunes para los administradores de TI. Microsoft Exchange ofrece una potente funci贸n de archivado que permite a los usuarios mover los correos electr贸nicos m谩s antiguos fuera de su buz贸n principal, manteni茅ndolos accesibles. Esta publicaci贸n lo guiar谩 a trav茅s del proceso de habilitar los buzones de archivo para los usuarios a trav茅s del Portal de administraci贸n de Microsoft 365 y c贸mo iniciar el movimiento de correos electr贸nicos al archivo utilizando PowerShell. Habilitar el Buz贸n de Archivo a trav茅s del Portal de Administraci贸n de Microsoft 365 Este m茅todo es sencillo y adecuado para habilitar el archivo para usuarios individuales. Acceda al Portal de Administraci贸n de Microsoft 365: Abra su navegador web y navegue hasta el centro de administraci贸n de Microsoft 365 (generalmente admin.microsoft.com ). Inicie sesi贸n con sus credenciales de administrador. Navegue a Exchange:...
Leer m谩s