lunes, 25 de febrero de 2013

Implementando el Requerimiento 1 de PCI DSS (I)



El primer requerimiento del estándar (Instalar y mantener una configuración de firewall para proteger los datos de tarjeta) se centra en la seguridad perimetral de la red con objeto de que se instale y se mantenga una infraestructura de firewalls y otros dispositivos de red que supongan un primer nivel de protección frente amenazas que provengan del exterior de la red de nuestra organización.

Analicemos a continuación las implicaciones que se derivan de implantar cada uno de los subrequerimientos enunciados por PCI DSS para alcanzar este objetivo.

1.1 Establezca normas de configuración para firewall y router que incluyan lo siguiente:
1.1.1 Un proceso formal para aprobar y probar todos los cambios y las conexiones de red en la configuración de los firewalls y los routers.
1.1.2 Requisitos para tener un firewall en cada conexión a Internet y entre cualquier zona desmilitarizada (DMZ) y la zona de red interna.
1.1.3 Descripción de grupos, roles y responsabilidades para una administración lógica de los componentes de la red.
1.1.4 Documentación y justificación de negocio para la utilización de todos los servicios, protocolos y puertos permitidos, incluida la documentación de funciones de seguridad implementadas en aquellos protocolos que se consideran inseguros. Entre los servicios, protocolos o puertos no seguros se incluyen, a modo de ejemplo, FTP, Telnet, POP3, IMAP y SNMP.
1.1.5 Requisito de la revisión de las normas del firewall y el router, al menos, cada seis meses.

Los firewalls y los routers son elementos claves en la arquitectura defensiva de la red de la organización ya que controlan y gestionan tanto la entrada como la salida de la misma bloqueando los accesos no deseados. Es importante disponer de normativas y procedimientos adecuadamente implementados que describan cómo se deben configurar los firewalls y los routers por parte del personal responsable.

En primer lugar, es necesario disponer de un procedimiento documentado que incluya un proceso formal para probar y aprobar cualquier cambio en las reglas de los firewalls o los routers con objeto de prevenir problemas de seguridad derivados de este tipo de cambios. Es importante señalar que los flujos de datos que se produzcan entre sistemas virtualizados deberán ser regulados por estas normativas y procedimientos como si se trataran de datos que realmente se transmitieran por la red física.

Por otro lado, debemos contar con diagramas de red actualizados que permitan identificar claramente la situación de todos los elementos de red y los flujos de datos de titulares de tarjeta que se produzcan a través de la red, incluyendo los flujos que se produzcan entre sistemas virtuales alojados en un mismo host físico.

Como vemos en el punto 1.1.3, el estándar exige que las normativas internas obliguen a que siempre se use un firewall para controlar y monitorizar cada conexión, entrante o saliente, de la red de la organización.

Además, las normativas de gestión de los dispositivos de red deben incluir la descripción de roles y responsabilidades garantizando que se defina claramente de quien es la responsabilidad de gestionar la seguridad de todos los componentes de red.

Así mismo, la normativa y los procedimientos deben documentar claramente qué servicios, protocolos y puertos son necesarios para el negocio de nuestra organización. Las reglas configuradas en los firewalls y/o routers de la organización deben garantizar que únicamente estos servicios, protocolos o puertos sean permitidos en la red. Así mismo, la configuración de los firewalls debe ser en modo “deny all” permitiendo únicamente el tráfico explícitamente autorizado (y documentado).

Por otro lado, hay que tener en consideración que es muy común que el negocio necesite servicios, protocolos o puertos “inseguros”, es decir, que son frecuentemente usados por individuos maliciosos para tratar de comprometer la red de sus objetivos (telnet, FTP, SNMP, NetBIOS, etc..). En estos casos, lo que exige el estándar es que el riesgo de utilizar estos servicios, protocolos o puertos debe ser claramente entendido, aceptado y justificado por el negocio, debiéndose documentar los controles de seguridad adicionales que hayan sido implementados para proteger a la organización de los riesgos derivados del uso de estos protocolos.

Finalmente, es necesario que la normativa obligue a la revisión semestral (aunque es aconsejable hacerla trimestral o incluso mensual) de las reglas implementadas en los firewalls y routers de la organización con objeto de validar que las reglas siguen vigentes y detectar cualquier regla obsoleta, incorrecta o innecesaria que deba ser eliminada o modificada garantizando que únicamente se permita el tráfico necesario, documentado y justificado por el negocio.

Echémosle ahora un vistazo al subrequerimiento 1.2:

1.2 Desarrolle configuraciones para firewalls y routers que restrinjan las conexiones entre redes no confiables y todo componente del sistema en el entorno de los datos del titular de la tarjeta. Nota: Una “red no confiable” es toda red que es externa a las redes que pertenecen a la entidad en evaluación y/o que excede la capacidad de control o administración de la entidad. 
1.2.1Restrinja el tráfico entrante y saliente a la cantidad que sea necesaria en el entorno de datos del titular de la tarjeta. 
1.2.2 Asegure y sincronice los archivos de configuración de routers.
1.2.3 Instale firewalls de perímetro entre las redes inalámbricas y el entorno de datos del titular de la tarjeta y
configure estos firewalls para negar o controlar (en caso de que ese tráfico fuera necesario para fines de negocio) todo tráfico desde el entorno inalámbrico hacia el entorno del titular de la tarjeta.

El requerimiento 1.2 busca garantizar que se asegura correctamente la red instalando, configurando y manteniendo firewalls entre la red interna y cualquier red no confiable (incluyendo redes de partners o proveedores).

El requerimiento 1.2.1 exige que se limite todo el tráfico entrante y saliente del entorno de datos de titulares de tarjeta al mínimo imprescindible para el funcionamiento del negocio. Adicionalmente, el estándar exige que todos los firewalls incluyan una regla que deniegue todo el tráfico, tanto entrante como saliente, que no haya sido explícitamente permitido por ser necesario.

El requerimiento 1.2.2 indica que se debe asegurar y sincronizar los archivos de configuración del router. Lo que busca este requerimiento es garantizar que los archivos de arranque de los routers tengan las mismas reglas y configuraciones de seguridad que se hayan establecido en las configuraciones “on-line” de los routers, de manera que ante un reinicio de los dispositivos se conserven dichas conexiones seguras.

Finalmente, el requerimiento 1.2.3 exige que siempre haya un firewall instalado entre las redes inalámbricas y el entorno de datos del titular de la tarjeta habiéndose configurado dicho firewall para negar o controlar todo el tráfico existente entre el entorno inalámbrico y el entorno de datos de titular de la tarjeta. Hay que tener en cuenta que las tecnologías inalámbricas son un camino frecuentemente explotado por individuos maliciosos para obtener acceso no autorizado a la red de las organizaciones o al entorno de datos de titulares de tarjeta. La ausencia de firewalls entre los entornos inalámbricos y el entorno de titulares de tarjeta permitiría a un atacante que haya obtenido acceso a la red inalámbrica acceder a si vez al entorno en el que se almacenan, transmiten o procesan los datos de titulares de tarjetas de pago. Por ello, el estándar obliga a que se instalen firewalls entre el entorno de datos de tarjeta y cualquier red inalámbrica de la organización, negando todo el tráfico entre ambos existentes salvo aquel que esté debidamente justificado y documentado por motivos de la operativa de negocio.

Dejaremos para la próxima entrada el análisis del resto de los subrequerimientos 1.3 y 1.4.

No hay comentarios: