viernes, noviembre 04, 2005

Politicas de seguridad en firewalls

Es curioso como se puede destrozar toda una política de seguridad cuando se empiezan a hacer excepciones en los firewalls. ¿por qué viene esta anotación?. Suelo repasar los firewalls con mimo, viendo como están las reglas y como se añaden reglas un par de veces por semana. Es curioso, cuando te encuentras, un auténtico queso gruyere porque nunca pasa nada - nunca pasa nada que se hayan dado cuenta, añado yo -, en las reglas del firewall. Cuando empiezan las prisas y se añaden reglas sin considerar las consecuencias, en especial reglas que hacen ver máquinas internas desde Internet es el principio de un desastre desde el punto de vista de seguridad. Parece que de la seguridad informática no se acuerda nadie hasta que le han robado una base de datos, ha aparecido la agencia de protección de datos cascando una multa o te han hecho un graffiti en una página web.
Un política de seguridad que se cumpla - no que sirva para limpiarse el culo con ella -, es lo primero que se debe de tener escrito en cualquier empresa, o que al menos el departamento de sistemas de la misma tenga muy claro. Y sobre todo que no hay excepciones. Y eso es algo que debe de tenerse muy muy clarito. Los programas que necesiten esas excepciones deben de usar algún tipo de mecanismo de proxy (y un proxy decente,no como algunos que hay en el mercado) que permita controlar perfectamente el acceso a Internet de aquellos protocolos no comunes y sobre todo, que permitan auditar que se hace con los recursos y disponer de los informes necesarios.
Esta manera de plantear las cosas, suele acabar dándose de bruces con la dura realidad de las prisas, en especial aquellas empresas que se dedican al desarrollo de aplicaciones de Internet: hay que enseñar el proyecto y no da tiempo a montarlo en una máquina, es que no me funciona tal detalle en explotación y necesito acceso, es que ..., mil y un es que ... que cuando te das cuenta ha convertido una implementación más o menos segura en un queso gruyere.
Tecnorati tags: firewall

1 comentario:

Anónimo dijo...

Totalmente cierto lo que comentas, pero además, también les pasa a los programadores porque casi siempre se empiezan a añadir cosas que no estaban contempladas desde el principio y se acaba parcheando hasta que se acaba tirando una aplicación por inestable y se comienza con ella de nuevo en otro lenguaje de programación.