Prácticas Recomendadas de Configuración del Firebox
Para proteger sus redes internas, su Firebox deniega todos los paquetes que no están específicamente permitidos por una política de firewall. Cada política de firewall define un conjunto de reglas que le dicen al Firebox que permita o rechace el tráfico en base a factores tales como el origen y destino del paquete o el puerto TCP/IP o protocolo que se usa para el paquete.
Este tema incluye:
- Configuración Predeterminada Recomendada
- Información Básica de Políticas de Firewall
- Mejores Prácticas de Configuración de Políticas
- Consejos para la Resolución de Problemas de Políticas
- Prácticas Recomendadas de Configuración de Red y VPN
- Prácticas Recomendadas de Certificados
Configuración Predeterminada Recomendada
Cuando ejecuta el asistente Web Setup Wizard o Quick Setup Wizard para configurar un Firebox, el asistente de configuración ajusta automáticamente las políticas de firewall predeterminadas y habilita los servicios de seguridad bajo licencia con los ajustes recomendados.
Si su nuevo Firebox ejecuta una versión de Fireware inferior a v12.0.1, recomendamos que actualice Fireware y luego restablezca el Firebox y ejecute nuevamente el asistente de configuración para habilitar automáticamente las políticas de proxy predeterminadas y los servicios de seguridad recomendados.
Para configurar un nuevo Firebox con las políticas predeterminadas recomendadas:
- Ejecute el Web Setup Wizard o el Quick Setup Wizard para configurar el Firebox con una configuración básica.
Para más información, consulte Acerca de los Fireboxes Setup Wizards. - Verifique la versión de Fireware instalada en su Firebox.
- Si la versión de Fireware instalada es inferior a v12.0.1:
- Actualice el Firebox a Fireware v12.0.1 o superior. Para más información, consulte Actualizar Fireware OS o WatchGuard System Manager.
- Restablezca el Firebox a los ajustes predeterminados de fábrica. Para más información, consulte Restablecer un Firebox.
- Ejecute el Web Setup Wizard o el Quick Setup Wizard nuevamente.
El asistente configura el Firebox con las políticas de proxy predeterminadas y habilita los servicios de seguridad bajo licencia.
Los asistentes de configuración agregan estas políticas predeterminadas:
- Proxy FTP, con la acción de proxy Default-FTP-Client
- Proxy HTTP, con la acción de proxy Default-HTTP-Client
- Proxy HTTPS, con la acción de proxy Default-HTTP-Client
- WatchGuard Certificate Portal (Fireware v12.3 y superior)
- WatchGuard Web UI
- Ping
- DNS
- WatchGuard
- Saliente
Con estas políticas predeterminadas, el Firebox:
- No permite conexiones desde la red externa a las redes de confianza u opcionales, o al Firebox
- Solo permite conexiones administrativas al Firebox desde la red externa a las redes de confianza y opcionales
- Inspecciona el tráfico saliente de FTP, HTTP y HTTPS, con configuración recomendada de acción de proxy
- Utiliza los servicios de seguridad Application Control, WebBlocker, Gateway AntiVirus, Intrusion Prevention, Application Control, Reputation Enabled Defense, Botnet Detection, Geolocation, APT Blocker para proteger las redes de confianza y opcional
- Permite conexiones salientes de FTP, Ping, TCP y UDP desde las redes de confianza y opcional
Para obtener más información sobre la configuración predeterminada de políticas de firewall y servicios, consulte Políticas y Ajustes Predeterminados del Asistente Setup Wizard.
Información Básica de Políticas de Firewall
Puede editar las políticas predeterminadas y agregar nuevas políticas para que el Firebox solo permita conexiones aprobadas. Antes de editar o crear nuevas políticas de firewall, es importante comprender algunos conceptos básicos de políticas.
Tipo de política
Hay dos tipos de políticas de firewall. Cada una examina las conexiones a un nivel diferente de detalle.
Política de filtrado de paquetes: inspecciona solo el encabezado del paquete
Un filtro de paquetes examina la dirección IP y el encabezado TCP/UDP de cada paquete, pero no examina el contenido.
Política de proxy o puertas de enlace de capa de aplicación (ALG): inspecciona tanto el encabezado del paquete como el contenido
Una política de proxy o ALG abre cada paquete en secuencia, elimina el encabezado de la capa de red y examina la carga del paquete. Cuando configura una política de proxy o ALG, selecciona una acción de proxy y configura reglas y acciones que se deben tomar según las características del contenido. Para más información, consulte Acerca de las Políticas de Proxy y ALG.
La configuración predeterminada usa políticas de proxy para que el Firebox pueda examinar el contenido y usar los servicios de seguridad bajo licencia para proteger su red.
Propiedades de Políticas
Puertos y Protocolos
Una política está definida por los puertos y protocolos que escucha. Cuando agrega una política, la plantilla de la política que seleccione especifica a qué puertos y protocolos se aplica la política. Los puertos y protocolos son las únicas propiedades que no puede editar en una política.
Origen y Destino
Una política se aplica solo a las conexiones que coinciden tanto con el origen (Desde) como con el destino (Para) en la política. Un origen o destino puede incluir alias, usuarios, grupos, direcciones IP y FQDN.
Disposición (Acción de Firewall)
La disposición especifica si la política permite o deniega las conexiones que coinciden con las reglas de la política. Puede configurar una política para Permitir o Denegar conexiones.
Para obtener detalles sobre cómo configurar el origen, el destino y la disposición de la política, consulte Definir Reglas de Acceso para una Política.
Precedencia de las Políticas
La precedencia es la secuencia en la que el Firebox examina el tráfico de red y aplica una regla de política. De forma predeterminada, las políticas de Firebox están configuradas en el modo Orden Automático. En el modo de Orden Automático, el Firebox clasifica automáticamente las políticas desde las más específicas hasta las más generales con base en una comparación de estas propiedades de políticas:
- Puertos y protocolos
- Origen y destino
- Disposición
- Cronograma
Las políticas que se encuentran más arriba en la lista tienen mayor precedencia. Cuando el Firebox recibe un paquete, aplica la política de precedencia más alta que coincide con las características del paquete. Cuando el modo de Orden Automático está habilitado, si dos políticas son igualmente específicas, una política de proxy tiene precedencia sobre una política de filtrado de paquetes. Solo la política de mayor prioridad que coincida con el puerto, el protocolo, el origen y el destino se aplica a un paquete. También puede deshabilitar el modo de Orden Automático y cambiar manualmente el orden de las políticas. Esto requiere una administración más cuidadosa, especialmente si su configuración tiene muchas políticas.
Recomendación: Use el modo de Orden Automático hasta que no funcione para su situación específica. Este modo funciona bien para la mayoría de las implementaciones.
Puede agregar múltiples políticas para el mismo puerto/protocolo con diferentes orígenes o destinos para permitir diferentes niveles de acceso a los recursos de red para diferentes usuarios, grupos o redes. Por ejemplo, podría configurar una política de proxy HTTP para un departamento específico a fin de permitir el acceso más limitado o amplio a los recursos que la política de proxy HTTP predeterminada de menor prioridad.
Para obtener más información sobre la prioridad de políticas y cómo deshabilitar el modo de Orden Automático, consulte Acerca de la Precedencia de las Políticas.
Mejores Prácticas de Configuración de Políticas
Personalizar Nombres de Políticas
La configuración predeterminada de Firebox usa nombres estándar para las políticas. Los nombres de política predeterminados indican el tipo de tráfico que maneja la política, pero podría no ser particularmente significativo en su entorno de red, especialmente, si agrega varias políticas del mismo tipo.
Recomendación: Para hacer que las políticas sean más fáciles de entender y mantener, asigne a cada política un nombre significativo que indique el propósito de la política, a qué usuarios o red se aplica, o cualquier otra característica única, como cuándo la política está activa.
Reduzca el Alcance de la Política de Firewall
De forma predeterminada, las políticas de Firewall usan los alias integrados Cualquiera Externo, Cualquiera-De Confianza, Cualquiera-Opcional y Cualquiera. Las políticas configuradas con estos alias pueden permitir conexiones desde más orígenes y destinos que los necesarios. Para obtener más control sobre las conexiones de red, evalúe el origen y el destino en cada política para asegurarse de que la política no permita conexiones de más orígenes o más destinos de los necesarios.
Recomendaciones:
- Para cada política, configure el origen y el destino lo más estrechamente posible.
- No use el alias Cualquiera en las políticas (excepto en las políticas predeterminadas Ping y BOVPN-Allow.in y BOVPN-Allow.out).
- Revise todas las políticas que incluyen los alias Cualquiera, Cualquiera Externo, Cualquiera-Opcional o Cualquiera-De Confianza.
- Asegúrese de que los alias en cada política sean realmente necesarios para las conexiones que desea permitir.
- Si es posible, reemplace estos alias con un origen o destino más específico para limitar el alcance de la política.
Estos son algunos ejemplos de cuándo restringir el alcance de la política de algunas políticas generadas automáticamente:
Editar el destino en la política de DNS predeterminada
La política de DNS predeterminada permite conexiones Cualquiera-De Confianza y Cualquiera-Opcional a Cualquiera Externo.
Recomendación: Para limitar el alcance de esta política, puede cambiar el destino para incluir solo las direcciones IP o FQDNs de los servidores DNS externos en sus ajustes de DNS.
Editar el origen en las políticas de administración del Firebox
Las políticas predeterminadas de WatchGuard y WatchGuard WebUI permiten conexiones de administración de Cualquiera-De Confianza y Cualquiera-Opcional.
Recomendación: Puede eliminar Cualquiera-Opcional de estas políticas para evitar conexiones de administración desde sus redes Opcionales. Para reducir aún más el alcance, elimine Cualquiera-De Confianza y agregue subredes o direcciones IP específicas desde las que desea que el Firebox acepte conexiones de administración.
Editar el destino de las políticas de acceso Mobile VPN predeterminadas
Cuando habilita Mobile VPN with SSL o Mobile VPN with L2TP, una política de firewall generada automáticamente permite conexiones de usuarios y grupos que especifique en la configuración de VPN al destino Cualquiera.
Las políticas de acceso VPN generadas automáticamente son:
- Para Mobile VPN with SSL: Permita Usuarios de SSLVPN
- Para Mobile VPN with L2TP: Permita Usuarios de L2TP
Los recursos permitidos que configura en los ajustes de VPN controlan qué conexiones un cliente VPN enruta a través del túnel. Los recursos permitidos no son destinos en la política de VPN. Si un usuario en un grupo de VPN móviles se autentica en el Firebox sin la VPN, el Firebox reconoce al usuario como miembro del grupo de VPN y la política de VPN podría permitir conexiones de ese usuario a cualquier destino.
Recomendación: Edite estas políticas predeterminadas para limitar el alcance del destino. Elimine el alias Cualquiera y agregue los recursos específicos a los que desea que el Firebox permita que los usuarios de VPN se conecten.
Para obtener más información acerca de los alias, consulte Acerca de los Alias y Crear un Alias.
Deshabilitar la Política Saliente
La configuración predeterminada del Firebox incluye la política de filtrado de paquetes Saliente. La política Saliente permite todas las conexiones TCP y UDP de cualquier origen de confianza u opcional en la red a cualquier red externa. Dado que es una política de filtrado de paquetes y no una política de proxy, la política Saliente no filtra contenido cuando examina el tráfico a través de Firebox. La política Saliente existe para asegurarse de que el Firebox permita conexiones TCP y UDP de salida que no coincidan con ninguna otra política.
Recomendación: Para asegurarse de que el Firebox solo permita las conexiones que desea permitir, recomendamos que deshabilite la política Saliente. Esta es una buena práctica, pero requiere planificación y seguimiento atentos. Antes de eliminar la política Saliente, debe agregar políticas para todas las conexiones de salida que desea que el Firebox permita. Puede agregar una política por separado para cada tipo de tráfico saliente que desea permitir o puede crear un filtrado de paquetes personalizado para los puertos específicos necesarios para las conexiones salientes que desea permitir desde su red.
Incluso con una planificación atenta, después de deshabilitar la política Saliente, es probable que el Firebox rechace algunas conexiones salientes que desee permitir. Prepárese para resolver estos problemas y agregar políticas según sea necesario para permitir las conexiones de salida requeridas a través del Firebox.
Después de deshabilitar la política Saliente, debe planificar la inversión de tiempo para identificar problemas y actualizar sus políticas de firewall para permitir las conexiones salientes aprobadas. Este proceso lleva tiempo, pero también brinda visibilidad y control sobre los tipos de tráfico en su red.
Habilitar la Inspección de Contenido HTTPS
En el Proxy HTTPS, puede seleccionar la acción Inspeccionar para permitir la inspección de contenido. Cuando habilita la inspección de contenido, el Firebox descifra la conexión HTTPS, examina el contenido y luego vuelve a cifrar la conexión con un certificado firmado por un CA en el que cada cliente de red confía. La inspección de contenido permite al proxy examinar y tomar medidas sobre el contenido del tráfico de red.
Algunas aplicaciones interpretan la inspección de contenido como un ataque man-in-the-middle (intrusos) y pueden causar que las aplicaciones no funcionen correctamente. Usted debe configurar la acción de proxy HTTPS para no inspeccionar el tráfico en los dominios asociados con aplicaciones que no son compatibles con la inspección de contenido.
Incluso con una planificación atenta, es probable que algunas aplicaciones no funcionen después de habilitar la inspección de contenido. Planifique probar inmediatamente sus aplicaciones cruciales y agregar reglas de nombre de dominio requeridas para omitir la inspección.
Algunas aplicaciones que no funcionan bien con la inspección de contenido HTTPS habilitada son:
- Servicios de Microsoft (Office Online, Skype, Teams, Exchange, Sharepoint, Onedrive, activación de productos)
- Servicios de Apple (iTunes, iCloud, App Store)
- Servicios de Adobe (Creative Cloud, Sign)
- Otros servicios (Facebook, LinkedIn, Dropbox, Okta)
Recomendación: Habilite la inspección de contenido y configure la acción de proxy para omitir la inspección para aplicaciones que no son compatibles.
- En la acción de proxy Cliente HTTPS, habilite la inspección de contenido de HTTPS. Para más información, consulte Proxy HTTPS: Inspección de Contenido.
- En los ajustes de Inspección de Contenido, habilite Excepciones de Inspección de Contenido Predefinidas. El proxy HTTPS no inspecciona el tráfico en busca de dominios en la lista de excepciones predefinidas. Las excepciones permiten que muchos servicios funcionen correctamente cuando la inspección de contenido está habilitada, sin la configuración manual de las reglas de Nombre de Dominio.
Las Excepciones de Inspección de Contenido Predefinidas son compatibles con Fireware v12.1 y superior.
- Pruebe inmediatamente las aplicaciones cruciales en su red para identificar aquellas que no funcionan con la Inspección de Contenido habilitada.
- Si la versión de su Fireware no admite Excepciones de Inspección de Contenido Predefinidas o si desea omitir la inspección de contenido para una aplicación que no está en la lista de excepciones predefinidas, agregue reglas de nombre de dominio para los dominios a los que se conecta la aplicación.
- Determine los nombres de dominio asociados con la aplicación.
- Agregue reglas de nombre de dominio con la acción Permitir para omitir la inspección de esos dominios.
Para obtener más información sobre cómo agregar las reglas de nombre de dominio, consulte Proxy HTTPS: Reglas de Nombre de Dominio
Consejos para la Resolución de Problemas de Políticas
Si su configuración incluye muchas políticas, a veces puede ser difícil saber qué política se aplica a una conexión específica. Aquí hay algunos consejos para ayudar con la resolución de problemas de políticas.
Examinar Mensajes de Registro
El Firebox envía mensajes de registro de tráfico mientras aplica el filtrado de paquetes y reglas de proxy al tráfico que pasa por el dispositivo. Puede ordenar y filtrar los mensajes de registro para saber por qué Firebox denegó una conexión.
Para saber cómo leer los mensajes de registro, consulte Leer un Mensaje de Registro.
De forma predeterminada, el Firebox envía un mensaje de registro de tráfico cuando una política deniega una conexión. También puede configurar políticas para enviar mensajes de registro para las conexiones permitidas. Esto puede ayudarlo a:
- Verificar que las políticas entrantes permitan conexiones a un servidor interno
- Verificar que una política saliente personalizada permita conexiones
No recomendamos que habilite la generación de registros de las conexiones permitidas para todas las políticas, ya que esto genera una gran cantidad de mensajes de registro. Esto puede llenar la base de datos del Log Server de Dimension más rápidamente y puede afectar notablemente el rendimiento del Firebox.
Para obtener información sobre cómo configurar la generación de registros en una política, consulte Configurar la Generación de Registros y Notificación para una Política.
Usar el Verificador de Política
Otra herramienta que puede usar para determinar qué política se aplica a una conexión es el Verificador de Política en Fireware Web UI.
Para más información, consulte Utilizar el Verificador de Políticas para Hallar una Política.
Prácticas Recomendadas de Configuración de Red y VPN
Personalizar los Nombres de la Interfaz
La configuración predeterminada del Firebox usa nombres estándar para las interfaces.
Recomendación: Para que su configuración sea más fácil de entender y mantener, le recomendamos que asigne a cada interfaz un nombre que describa la red a la que se conecta.
Configurar Rangos de Direcciones IP Internas que No se Usan Comúnmente en Redes Domésticas
Le recomendamos que no utilice los rangos de red privada 192.168.0.0/24 o 192.168.1.0/24 en sus redes corporativas o de invitados. Estos rangos se utilizan comúnmente en redes domésticas.
Si un usuario de VPN móvil tiene un rango de red doméstica que se superpone con el rango de su red corporativa, el tráfico del usuario no pasa por el túnel VPN. Para resolver este problema, le recomendamos Migrar a un Nuevo Rango de Red Local.
Configurar Múltiples Servidores DNS
Es importante configurar varios servidores del Sistema de Nombre de Dominio (DNS) en el Firebox. Los clientes de redes y VPN móviles, y los servicios de seguridad utilizan los servidores DNS para resolver los nombres de los servidores a los que deben conectarse.
Recomendación: Para asegurarse de que siempre haya un servidor DNS disponible en su red, recomendamos que configure al menos dos servidores DNS, uno con una dirección IP privada y otro con una dirección IP pública. Recomendamos que enumere primero el servidor DNS privado, por lo que tiene mayor prioridad.
Usted agrega Servidores DNS en los ajustes de red. Para más información, consulte Configurar los Servidores DNS y WINS de Red.
Configurar Grupos de Direcciones Virtuales VPN Sin Superposición
Cuando configura Mobile VPN with IPSec, L2TP, SSL o IKEv2, debe especificar un grupo de direcciones IP para clientes VPN.
Recomendaciones:
- Asegúrese de que los grupos de direcciones IP para clientes VPN no se superpongan con ninguna otra dirección IP en la configuración.
- Si su empresa tiene varios sitios con configuraciones de VPN móviles, asegúrese de que cada sitio tenga un grupo de direcciones IP de VPN móviles que no se superponga con los grupos de otros sitios.
- No utilice los rangos de red privada 192.168.0.0/24 o 192.168.1.0/24 para grupos de direcciones IP de VPN móviles. Estos rangos se utilizan comúnmente en redes domésticas. Si un usuario de VPN móvil tiene un rango de red doméstica que se superpone con el rango de su red corporativa, el tráfico del usuario no pasa por el túnel VPN. Para resolver este problema, le recomendamos Migrar a un Nuevo Rango de Red Local.
Prácticas Recomendadas de Configuración de Certificados
Use PKI para Crear Certificados de Firebox
De manera predeterminada, su Firebox crea certificados autofirmados para asegurar los datos de sesión de administración y los intentos de autenticación para Fireware Web UI y para la inspección del contenido de proxy. Para asegurarse de que el certificado que se usa para la inspección de contenido sea único, su nombre incluye el número de serie de su dispositivo y la hora de creación del certificado. Dado que estos certificados no están firmados por una autoridad de certificación (CA) de confianza y no contienen información de dominio o IP válida, los usuarios de su red ven advertencias de seguridad en sus exploradores web.
Recomendación: Reemplace los certificados autofirmados predeterminados con certificados firmados en los que confían sus clientes de red. Use la infraestructura de llave privada (PKI) local para generar cualquier certificado interno utilizado por Firebox, como los certificados de Servidor Web y Autoridad de Proxy.
Esto proporciona varias ventajas:
- Es más fácil implementar certificados con una PKI interna que crearlos en el Firebox.
- Es más fácil implementar certificados con software de terceros (como Active Directory) que instalarlos manualmente en cada cliente de red.
- Si los clientes de la red confían en su autoridad de certificación PKI local, confían automáticamente en los certificados que usted emite al Firebox.
- Si reemplaza su Firebox, no necesita volver a implementar certificados en sus clientes de red.
Para obtener más información acerca de cómo el Firebox usa certificados, consulte Acerca de los Certificados.
Ver También
Mejores Prácticas de Proxy HTTP