En el capítulo de hoy vamos a ver una funcionalidad muy interesante de la mano del producto Wireshark.

Como todos sabéis, Wireshark es un sistema para la captura y análisis de redes. Yo particularmente lo uso mucho en mi día a día, bien sea para detectar tráfico anómalo, ver posibles cuellos de botellas, malos usos de la red, respuesta a incidentes, etc.

Hablando con un cliente sobre la segmentación de la red, el cliente no se animaba a crear vlans restrictivas en los distintos departamentos. El problema era que los miembros de "diseño" accedían a MIL aplicaciones, puertos, servicios de la DMZ, y esto multiplicado por muchos departamentos. Crear las vlans con permiso de tráfico entre ellas total no es muy efectivo de cara a la seguridad. Es más lo más efectivo es que no sean Vlans sino redes distintas, pero bueno...

Cuando le presenté la idea al cliente casi me besa, bueno realmente me beso, pero queda feo que yo diga eso :-)

La idea es muy sencilla. Capturamos un poco de tráfico en horario de producción, seleccionamos una máquina tipo. Indicamos al usuario que intente acceder a todo tipo de herramientas. Que si al ERP, que si a la aplicación de la cámara, al correo, no se que, no se cuantos. Lo invitamos a un cafe y le damos una patadita xD.

Ahora es el turno de usar Wireshark. Podemos ir identificando el tráfico y crear las reglas de Firewall apropiadas para el servicio que se ha usado. Pongamos este ejemplo gráfico que seguro es más descriptivo.



Como se aprecia en la captura de imagen, he seleccionado un paquete TCP que es parte de un flujo de conexión a una web por el puerto 80.


Ahora nos situamos en la parte superior, en Tools y pulsamos sobre Firewall ACL Rules.




Tenemos la posibilidad de elegir el formato de salida de la regla que vamos a crear, pudiendo elegir entre:


Voy a usar la regla del estilo Windows que son muy claritas.

El sistema me presenta 4 reglas, dos genéricas para abrir los puertos que intervienen en la comunicación del paquete que le he marcado, y otras dos más restrictivas vinculando la dirección IP concreta.


Como estamos hablando de un cliente TIPO, vamos a usar solo las dos primeras reglas. Tenemos la opción de que la regla sea deny o allow, dependiendo de la configuración por defecto que hayamos marcado en el firewall. Si nuestra última línea del firewall será DENY ALL, configuramos ALLOW, como es lógico.

Si hacemos esto con varios clientes, en distintos tiempos, podemos hacer una conjunto de reglas en base al uso que detectamos, y si no lo teníamos, documentar los servicios a los que acceden los usuarios/departamentos.

El día D, habilitamos el Firewall para la Vlan, y esperamos que los usuarios no se quejen mucho. Siempre saldrá algún servicio de esos que se hacen una vez al mes, y ademas, será viernes, pero bueno es una aproximación para organizar el tráfico entre vlans en un entorno medio complejo, y que vive aún en el /16 de hace 15 años.

Espero que os haya servidor de ayuda, gracias por leerme.

PD: Si has leido el post, has intentado usar la Tool, y no te aparece, tranquilo !!! yo hago el blog para ayudar XD. Tienes que bajar la versión DEV. de Wireshark


Fuente: http://kinomakino.blogspot.com.es/2016/08/crea-tus-reglas-automaticas-de-firewall.html