Normalizar las reglas del Firewall avanzado de Windows

Question

Normalizar las reglas del Firewall avanzado de Windows

#1 de Joe Gatt (1 votos)

2

¿Cómo puedo normalizar mejor nuestras reglas de Windows Advanced Firewall al implementar la segmentación de la red? Quiero que sean lo más claros y concisos posible para fines de auditoría. Los pocos ejemplos que he visto se han centrado en las reglas de firewall definidas localmente o han tenido docenas de políticas de grupo.

He pensado que tendría sentido extrapolar los puntos finales de mis reglas en tres categorías amplias, de la misma forma que lo hace el Open PCI Scoping Toolkit y creando solo cuatro reglas generales.

Los grupos serían:

L1: PCI servers and workstations
L2: Support servers and IS workstations
L3: General users and tertiary servers

Los cuatro conjuntos de reglas serían:

L1->L1
L1|L2|L3->L2
L2->L1
L2->L3

Estoy pensando que desde aquí debería poder simplemente listar todos los servicios que podrían instalarse y ejecutarse en un nivel determinado para otorgar acceso como se describe anteriormente.

L1: SQL, IIS, SMB
L2: SQL, IIS, APP1, APP2, etc

¿Hay algún problema de seguridad con la definición de solo cuatro conjuntos de reglas como se describe en estos tres niveles?

firewalls windows pci-dss ipsec

pregunta Tim Brigham 01.03.2013 - 22:33

fuente

1 respuesta

Lea otras preguntas en las etiquetas firewalls windows pci-dss ipsec

¿Dónde puedo encontrar artículos sobre ataques de divulgación de identidad? ¿Abrir una cuenta de correo electrónico desde solo un sistema en particular?

score 1 · Answer 1

Como un anterior PCI QSA, no recomendaría usar el Firewall de Windows incorporado para segmentar el entorno del titular de su tarjeta. El motivo es que este control solo se aplicará a los hosts basados en Windows que reciben el GPO, en mi opinión, el control no proporcionará la cobertura adecuada para todo el entorno del titular de la tarjeta.

Desde un punto de vista de cobertura, usted confía en un control solo de Windows. Por lo tanto, a menos que exista un control separado para evitar que una computadora que no sea Windows obtenga una dirección IP (por ejemplo, NAC), podría tener un OS X u otro dispositivo que no sea Windows en su red con acceso a los datos del titular de su tarjeta.

Desde un punto de vista de integridad, está asumiendo que cada computadora de Windows dentro del alcance está unida al dominio y recibirá el GPO apropiado. Por lo tanto, si asumimos que las reglas de su firewall estarán limitadas por subredes individuales (por ejemplo, 192.168.1.0/24), existe la posibilidad de que una computadora con Windows que NO recibe el GPO pueda residir en una subred que tenga acceso al entorno del titular de la tarjeta.

Mi sugerencia sería utilizar un firewall adecuado con una capacidad de inspección de paquetes con estado para segmentar adecuadamente su red.

Tenga en cuenta que: esta es mi interpretación, otro PCI QSA puede tener una interpretación diferente de su enfoque (que es uno de los problemas de PCI).