Poltica y Normas de Seguridad de la Informacin Norma de Firewalls

I. Objetivo
El ... defini la Poltica de Seguridad de la Informacin del ... con el objetivo de establecer normas para proteger la confidencialidad, integridad y disponibilidad de los activos informticos del .... La Norma de Firewalls adhiere a los objetivos planteados y provee de las instrucciones y requerimientos para el correcto control de instalacin, identificacin, autenticacin y autorizacin necesarias para acceder en forma segura a los activos informticos del ....

II. Alcance
Todo aquel empleado que desarrolle tareas en el ..., cualquiera sea su situacin de revista, y los empleados de servicios tercerizados que disponga de acceso al organismo o sus sistemas est incluido en esta norma y debe cumplir con los procedimientos y guas asociadas Los firewalls constituyen un componente esencial de la infraestructura de seguridad de los sistemas informticos del .... Los firewalls se pueden definir como sistemas de seguridad que controlan y restringen la conexin entre redes y los servicios de dichas redes. Los firewalls establecen el punto en el cual se pueden aplicar los controles de acceso. La conectividad define a cuales sistemas de computacin se permite intercambiar informacin. A un servicio tambin se le puede denominar aplicacin, y se refiere a la manera en que la informacin fluye a travs del firewall. Ejemplos de servicios incluyen el protocolo de transferencia de archivos (FTP), exploracin en la Web (HTTP), servicios de correo electrnico, etc. Esta poltica define las reglas esenciales relacionadas con la administracin y mantenimiento de los firewalls del ... y se aplica a todos los firewalls que sean de su propiedad, alquilados, o controlados por los empleados del ....

Pgina 1

III. Requerimientos
El Papel del Firewall
En algunas circunstancias, sistemas tales como routers, interfaces de telecomunicaciones o puertas de enlace, pueden funcionar como firewalls aun cuando formalmente no sean firewalls. Todos los sistemas del ... que actan como firewalls, bien sea que reciban este nombre o no, deben ser manejados de conformidad con las reglas definidas en esta norma. En algunas instancias, esto requerir que los sistemas se actualicen para sustentar la funcionalidad mnima definida en esta norma.

Aplicacin Tcnica
Con la finalidad de controlar y administrar la seguridad en la red del ... en forma ms sencilla, ordenada y ptima, la misma se deber dividir en dominios lgicos separados. Para esto se debern definir y documentar los permetros de seguridad que sean convenientes. Estos permetros se implementarn mediante la instalacin de firewalls o redes privadas virtuales dentro de cada dominio lgico.

Aplicabilidad de la Norma
Todos los firewalls de las redes del ..., manejados bien sea por empleados o por terceros en relacin con este ..., deben seguir esta norma. Evadirla slo ser permitido mediante previa autorizacin por escrito del Comit de Seguridad Informtica.

Documentacin Requerida
Antes de instalar y usar cualquier firewall del ..., se debe entregar al Comit de Seguridad Informtica un diagrama con las vas permitidas, con una justificacin para cada una de ellas, y una descripcin de los servicios permitidos conjuntamente con una justificacin para cada uno.

El permiso
Cuando fuese debidamente y fehacientemente justificado por razones de servicio y se empleen en forma consistente suficientes medidas de seguridad, el Comit de Seguridad Informtica podr dar a terceros las vas y la descripcin de servicios del/ los firewall/s
Pgina 2

La conformidad del despliegue de los firewalls con la documentacin suministrada ser revisada eventualmente por el departamento de informtica. Cualquier cambio de las vas o de los servicios debe pasar por el mismo proceso descrito a continuacin.

Negacin Predeterminada
Toda va de conexin y servicio que no est especficamente permitida por esta norma y por los documentos que la sustenten, emitidos por el Direccin de Informtica y Telecomunicaciones, debe ser bloqueada por los firewalls del .... La lista de las vas y de los servicios recientemente autorizados debe ser documentada y distribuida a todos los administradores de sistemas y bajo el conocimiento del departamento de Informtica. La DITIC debe mantener un inventario de todas las vas de acceso dentro y fuera de la red del ... y este debe ser de conocimiento del Comit de Seguridad Informtica.

Conexiones Entre Mquinas

No deben establecerse o activarse conexiones en tiempo real entre dos o ms sistemas de computacin del ..., a menos que la DITIC determine que tales conexiones no daarn la seguridad de la informacin. En muchos casos se deben emplear firewalls o sistemas intermedios similares. Este requisito se aplica sin importar la tecnologa empleada, inclusive conexiones inalmbricas, enlaces a travs de microondas, mdem por cable, as como lneas de conexin digitales. Cualquier conexin entre el sistema de produccin interno del ... y cualquier sistema de computacin externo o cualquier red externa de computacin o proveedor de servicios, debe ser autorizado previamente por la DITIC.

Realizacin de Pruebas Peridicas

Debido a que los firewalls suministran una medida de control tan importante para la red del ..., su fortaleza y su configuracin apropiada debe ser puesta a prueba peridicamente., estas pruebas deben incluir la utilizacin de agentes de software que automticamente revisen si los firewalls mantienen su configuracin y operan de una manera consistente con las polticas de seguridad del .... Este proceso de prueba debe incluir la consideracin de los parmetros de configuracin definidos, los servicios permitidos, las vas de conexin permitidas, las prcticas vigentes de administracin y la adecuacin de las medidas de seguridad empleadas. Adems, estas pruebas deben incluir la ejecucin peridica de software de identificacin de vulnerabilidades y. Los
Pgina 3

responsables de la administracin o del manejo de los firewalls correspondientes no deben realizar estas pruebas.

Registros
Todos los cambios realizados en los parmetros de configuracin de los firewalls, as como en los servicios y conexiones permitidas deben quedar registrados. Cualquier actividad sospechosa que pueda indicar el uso no autorizado o intento de comprometer las medidas de seguridad debe tambin quedar registrada y comunicada fehacientemente de acuerdo a su envergadura al Comit de Seguridad Informtica. La integridad de estos registros debe estar protegida. Para ello se deben eliminar rpidamente de los sistemas de registros y almacenarse en un contenedor fsicamente protegido por lo menos durante seis meses despus de la fecha en que fueron grabados. Estos registros se deben revisar peridicamente para garantizar que los firewalls estn funcionando de manera segura.

Deteccin de Intrusiones
Todos los firewalls del ... deben incluir sistemas de deteccin de intrusiones, autorizados por la DITIC. Cada uno de estos sistemas de deteccin de intrusiones debe estar configurado de conformidad con las especificaciones definidas por la mencionada direccin. Entre otros problemas potenciales, estos sistemas de deteccin de intrusiones deben detectar modificaciones no autorizadas a los archivos del sistema de los firewalls y detectar ataques actuales de denegacin de servicios. Tales sistemas de deteccin de intrusiones deben notificar inmediatamente, al personal tcnico que pueda ejercer acciones correctivas. Todo el personal tcnico que trabaje con firewalls debe tener acceso a sistemas remotos y contar con privilegios con los que puedan responder inmediatamente a estos incidentes, aun cuando no estn fsicamente presentes.

Planificacin de Contingencias
La DITIC debe preparar planes de contingencias que orienten las acciones a tomar en caso de varios problemas, inclusive la puesta en peligro del sistema, averas en el sistema, fallas en el sistema, sobrecargas y la suspensin del servicio de Internet o intranet. Estos planes de contingencia se deben poner a prueba peridicamente para garantizar que sern efectivos en la restauracin de un ambiente informtico confiable y seguro.

Conexiones Externas
Todas las conexiones entrantes de Internet en tiempo real a las redes internas del ... o sistemas de computacin multiusuario deben
Pgina 4

pasar a travs de un firewall antes de que los usuarios reciban el mensaje de bienvenida para acceder al sistema. Aparte de los computadores personales (PC) que acceden a Internet sobre una base de discado saliente por sesin individual, ningn sistema de computacin del ... puede estar conectado con Internet a menos que est protegido por un firewall. Los sistemas de computacin que requieren proteccin de firewalls incluyen los servidores web, servidores de correo, entre otros. Todos los computadores personales con conexin deben utilizar un firewall autorizado por la DITIC. Siempre que el firewall lo permita, la pantalla de acceso debe tener un aviso que indique por ejemplo: que al sistema slo pueden acceder usuarios autorizados, y los que inicien una sesin es porque estn autorizados para hacerlo, que el uso no autorizado del sistema o el abuso estn sujetos a acciones disciplinarias, inclusive medidas judiciales y que el uso del sistema ser monitoreado y registrado.

Autentificacin Extendida de Usuario

El trfico entrante, con excepcin del correo electrnico de Internet, que tienen acceso a la red del ... a travs de un firewall, debe mantener en toda circunstancia medidas de autentificacin extendida de usuario, autorizadas por la DITIC. Ejemplos de sistemas de autentificacin extendida de usuario incluyen las contraseas dinmicas y los certificados digitales.

Redes Privadas Virtuales

Para evitar la divulgacin no autorizada de informacin confidencial y valiosa, todo el trfico entrante que tienen acceso a las redes del ..., se debe encriptar con los mtodos y softwares aprobados por la ONTI. Estas conexiones a menudo se denominan redes privadas virtuales (VPN).

Mecanismos de Acceso a los Firewall

Todos los firewalls del ... deben tener una contrasea nica u otros mecanismos de control de acceso aprobados por ONTI. La misma contrasea o el mismo cdigo de control de acceso no debiera ser utilizado en ms de un firewall. Los administradores de los firewalls del ... deben tener su identidad vigente a travs de mecanismos de autentificacin extendida de usuario. En algunos ambientes de mayor seguridad, designados por el responsable de Informtica del ..., el acceso remoto a los administradores de los firewalls debe estar restringido. Todas las actividades de administracin de firewalls deben estar restringidas a una direccin IP y Mac especfica.
Pgina 5

Privilegios de Acceso a los Firewalls

Los privilegios para modificar la funcin, la conexin y los servicios sustentados por los firewalls se deben restringir a unas pocas personas con adiestramiento tcnico con necesidad de dichos privilegios. Todos los firewalls deben contar con por lo menos tres integrantes del personal con adiestramiento adecuado para realizar cambios, segn lo requieran las circunstancias. Tal adiestramiento incluye un curso de actualizacin de conocimientos o la asistencia a conferencias que permita a los miembros del personal mantenerse al da con los ltimos avances en tecnologa y operaciones de firewalls. Debe darse especial atencin a la elaboracin de cronogramas de vacaciones, de manera que al menos dos de los integrantes del personal de administracin de los firewalls estn disponibles todo el tiempo.

Subredes Aseguradas
Partes de la red interna del ... que contiene informacin valiosa y confidencial, deben utilizar una subred asegurada. El acceso a sta y otras subredes debe restringirse con firewalls y otras medidas de control de acceso. Basado en evaluaciones peridicas de riesgos, la DITIC definir las subredes de seguridad necesarias en la Arquitectura de Seguridad Informtica.

Sistemas de Administracin de Redes

Los firewalls deben estar configurados de tal manera que sean visibles a los sistemas internos de administracin de redes. Los firewalls tambin deben estar configurados para permitir el uso de herramientas remotas para auditoras a ser realizadas por personas, instituciones u organismos competentes, con autorizacin para ello

Divulgacin de Informacin Interna de las Redes

Las direcciones, las configuraciones, los productos empleados y la informacin del diseo de los sistemas internos correspondientes al sistema de computacin y redes del ..., se deben restringir de tal manera que tanto los sistemas como los usuarios externos a la red interna del ... no tengan acceso a esta informacin.

Respaldo Seguro
Las copias vigentes fuera de lnea, en soporte papel de los archivos de configuracin de los firewalls, los archivos de permisos de conectividad, los archivos de documentacin procedimental para la administracin de sistemas de firewalls y los archivos
Pgina 6

correspondientes, se debe resguardar con la debida seguridad fsica en un recinto o caja de seguridad proximidad al firewallOtra posibilidad es guardar versiones en soporte electrnico debidamente encriptadas, con el debido permiso de acceso a los responsables.

Rastreo de Virus y Contenido

El/ los software antivirus autorizado por la DITIC se debe/n instalar y activar en todos los firewalls del .... Debido a que los archivos que pasan a travs de los firewalls pueden estar encriptados o comprimidos, los sistemas antivirus instalados en firewalls pueden no detectar todos los archivos infectados por virus. Por este motivo, el/los software antivirus se requiere/n en todos los servidores de correo del ..., en los servidores departamentales y en los computadores personales. Tanto el software para el filtrado de contenido como el software que impide que los usuarios puedan acceder a ciertos sitios de la red que no tienen que ver con las necesidades del organismo, deben estar activados tambin en todos los firewalls del ....

Firewalls Dedicados
Los firewalls deben funcionar en dispositivos dedicados que no realicen ningn otro servicio o funcin, como el de servidor de correo. La informacin crtica o confidencial del ... no debe estar nunca almacenada en un firewall. Tal informacin puede ser mantenida en memoria intermedia a medida que atraviesa los firewalls. Los firewalls deben contener un mnimo de software de sistema operativo activo. Donde lo permita el sistema operativo de respaldo, todo el software que no se utilice y resulte innecesario se debe eliminar del firewalls. El ... no permite que su informacin interna resida o se procese a travs de cualquier firewall, servidor u otro computador que comparta con otra organizacin en una instalacin externa. Estn permitidos los routers, los concentradores, los mdem y otros componentes de la red suministrados por organizaciones externas.

Controles en Modificaciones a Firewalls

Debido a que sustentan las actividades de los sistemas informticos crticos del ..., los firewalls se consideran sistemas de produccin. Los Responsables deben autorizar previamente todos los cambios del software suministrado por proveedores, excepto las actualizaciones y los parches que suministran dichos proveedores. La misma documentacin que se requiere para modificaciones en los sistemas de produccin se debe preparar para los firewalls.

Publicacin de Actualizaciones
Pgina 7

Los firewalls del ... deben ejecutar la ltima versin de software para impedir estos ataques. Si estn disponibles, todos los firewalls del ... deben estar suscritos a servicios de software de mantenimiento y de actualizacin. A menos que est autorizado con anterioridad por la DITIC, los responsables del manejo de los firewalls, deben instalar y activar estas actualizaciones dentro de los cinco (5) das hbiles siguientes a su recepcin.

Monitoreo de Vulnerabilidades
Los responsables del manejo y administracin de los firewalls del ..., deben estar en contacto con fuentes que suministren informacin vigente acerca de las vulnerabilidades de los firewalls. La DITIC debe estar atenta a cualquier vulnerabilidad que afecte las redes y los sistemas del ....

Productos Autorizados
A menos que la DITIC emita una autorizacin debidamente fundada, slo aquellos firewalls que aparezcan en la lista de proveedores y productos autorizados se podrn desplegar en las redes del .... Todas las interfaces y caractersticas de los firewalls, como el rastreo de virus, deben ser consistentes con la Arquitectura de Seguridad Informtica emitida por el DITIC, y aprobada por el Comit de Seguridad Informtica.

Seguridad Fsica del Firewall

Todos los firewalls del ... se deben ubicar en sitios cerrados y estar accesibles al personal que debidamente autorizado por la DITIC lleva a cabo tareas de mantenimiento y actualizacin de los mismos. Est prohibido la ubicacin de un firewall en un rea abierta dentro de un centro de procesamiento de datos, pero es admisible, su ubicacin en sitios diferentes y cerrados aunque estn dentro de un centro de procesamiento de datos generales. Estos sitios deben estar equipados con alarmas y un registro automtico de todas las personas que tengan acceso a esa sala.

Vigencia de las reglas del firewall

Los firewalls son sistemas de produccin todo cambio y/o modificacin en sus reglas y permisos debe ser autorizado por el Comit de Seguridad Informtica. Cualquier cambio, inclusin de nueva reglas debe tener claramente identificado en la documentacin de respaldo la fecha de vigencia, la cual deber ser revalidada cada seis (6) meses por el por el Comit de Seguridad Informtica y el responsable de la aplicacin que lo solicita

Pgina 8

III. Responsabilidades

El Comit de Seguridad Informtica aprueba la Norma de Firewalls. La DITIC es responsable por asegurar el desarrollo, la implementacin y el mantenimiento de la Norma de Firewalls.

IV. Implementacin y Manejo de Excepciones

La falta de cumplimiento con la Norma de Firewalls, sus procedimientos y recomendaciones habilitar las acciones disciplinarias previstas como pedido de sumario o la revocacin del contrato para proveedores, consultores y toda entidad externa al .... Acciones legales tambin podrn ser tomadas por la violacin de las regulaciones y leyes argentinas.

Pgina 9