Cuando realiza una revisión de las reglas en un firewall, ¿cómo agrega credibilidad / satisfacción al cliente a su consideración final?

Puede considerar el uso de los resultados de una herramienta de evaluación de firewall de terceros para proporcionarle la fuerza de persuasión adicional.

Nipper es relativamente barato y funciona: enlace

  

Nipper [...] realiza su propia auditoría de seguridad integral de sus propios conmutadores de red, enrutadores y cortafuegos sin necesidad de ningún experto en seguridad.

Hay varias otras herramientas de evaluación de firewall, pero se vuelven caras rápidamente.

Consulte las plantillas de puntos de referencia disponibles aquí Center for Internet Security . Por ejemplo: enlace
Mucha información excelente y copia lista para la redacción de su informe.

Nota: Nessus tiene muchas de las plantillas de CIS codificadas en los archivos de auditoría de Nessus, por lo que puede ejecutar rápidamente un escaneo de Nessus para comparar la configuración de un dispositivo con un punto de referencia de CIS.

Nunca sentí que necesitaba legitimar mis revisiones de cortafuegos con un llamado a un "poder superior". Si bien los clientes me han respondido con respuestas como "Muéstrame donde dice que no puedo tener la aplicación de transferencia bancaria en una computadora portátil compartida que se usa para las presentaciones por Internet", los firewalls son un poco más fáciles de justificar. La regla es: Cualquier cosa que no sea legítimamente necesaria es un riesgo, y su mayor gasto para mitigar este riesgo es insignificante , ya que todo lo que está haciendo es agregar una regla a su sistema de firewall existente. Su costo para hacerlo es menor que su costo para discutir conmigo;)

En cualquier caso, el tráfico inesperado puede ser una mala configuración o un compromiso. Si necesito justificar cada regla por sí misma sin ese principio, ¿por qué usted (como mi cliente) tiene un firewall en primer lugar?

Estoy empezando a pensar que las personas deberían comenzar con un sistema Fort Knox y desprenderse de lo que es demasiado costoso para el beneficio en lugar de comenzar con un trozo de hierba y comenzar a construir muros como mejor les parezca . Cuando comience, citaré esta pregunta (y obtendrás un +1 en ella).

Un enfoque que siempre trato de persuadir a la gente para que use, ya que está respaldado por una amplia gama de guías y publicaciones de seguridad, es comenzar con un firewall sin agujeros y hacer que el negocio justifique cada puerto. .

Su justificación debe ser "para la aplicación x, requerimos la conexión desde el puerto de origen y al puerto de destino z de salida" y podría incluir una fecha de revisión, un caso de prueba, etc. La seguridad debe informarles sobre las implicaciones de los puertos de alto riesgo, y no Permítales solicitar reglas de tipo "cualquier permiso".

Esto hace que su trabajo sea mucho más fácil, ya que luego revisa el firewall contra la lista de puertos requeridos por el negocio. Cualquier agujero adicional debe bloquearse hasta que se proporcione la justificación comercial y se cierre.