PRÁCTICAS

RECOMENDADAS
CON FIREWALLS
PARA BLOQUEAR EL

En los últimos meses, varios ataques de ransomware como el Wanna y el Petya

se han propagado prácticamente sin control por redes corporativas, exigiendo
dinero por restaurar los datos y devolver el control de los ordenadores. Los
firewalls modernos están especialmente diseñados para proteger contra este
tipo de ataques, pero es necesario crear las condiciones para que puedan
cumplir con su función. En este monográfico explicamos cómo funcionan
estos ataques, cómo pueden detenerse y las prácticas recomendadas para
configurar los firewalls y las redes a fin de contar con la mejor protección
posible.

Monográficos de Sophos Julio de 2017

Prácticas recomendadas con firewalls para bloquear ataques de ransomware como el Wanna y el Petya

Cómo se propagan los ataques de ransomware recientes

El Wanna, el Petya y otros ataques de ransomware han paralizado muchísimas organizaciones. Estos dos
ataques han infectado conjuntamente cientos de miles de ordenadores en todo el mundo. Estos ataques en
particular se propagan aprovechando una vulnerabilidad en el protocolo de uso compartido de archivos en
red SMB (Bloque de mensajes del servidor) de Microsoft. Este protocolo está siempre presente en redes LAN
corporativas y permite que los ordenadores se detecten unos a otros para que puedan compartir archivos y
otros recursos como impresoras. También puede utilizarse para compartir archivos fuera del firewall si los
puertos necesarios (TCP 139 y/o 445) están abiertos o enrutados en el firewall.

Este exploit en concreto utilizado por el Wanna y el Petya se conoce como EternalBlue. El EternalBlue permite
la ejecución remota de código mediante el envío de mensajes cuidadosamente diseñados a través de la red al
servicio SMB vulnerable en ordenadores que ejecutan Microsoft Windows.

En general, todos los sistemas en red, ya ejecuten Windows, Linux, Mac OS o cualquier otro sistema operativo,
dependen de una serie de servicios para la funcionalidad de red y, de vez en cuando, se descubren nuevas
vulnerabilidades en estos servicios que pueden tener consecuencias nefastas si se explotan con fines
maliciosos.

En el caso del exploit EternalBlue, Microsoft publicó rápidamente un parche una vez que se dio a conocer,
pero los hackers aprovecharon el hecho de que desplegar parches en organizaciones supone un trabajo
considerable, y pudieron lanzar estos ataques antes de que muchos sistemas se hubieran actualizado.

Incluso en las organizaciones más diligentes, siempre hay un desfase entre la detección de la vulnerabilidad
y el desarrollo del parche, y por esto es tan importante contar con tecnología de última generación líder para
proteger su red y sus endpoints de este tipo de ataque.

Así pues, ¿cómo puede proteger su organización impidiendo que estos ataques penetren en la red? Y si
de algún modo un ataque llega a penetrar en su red, ¿cómo puede evitar que se propague o se mueva
lateralmente e infecte otros sistemas a su paso?

Bloquear exploits de red

Un ISP (sistema de prevención de intrusiones) es un componente de seguridad crítico de cualquier firewall de
última generación, ya que realiza una inspección detallada de los paquetes del tráfico de red a fin de identificar
exploits de vulnerabilidades y bloquearlos antes de que lleguen a un host de destino. Los ISP buscan patrones
o anomalías en el código que coincidan con un exploit específico o una vulnerabilidad con un objetivo más
amplio.

Al igual que el exploit EternalBlue descrito arriba, normalmente estos ataques intentan enviar entradas
maliciosas a una aplicación o servicio del host para comprometerlo y conseguir cierto nivel de control para, en
última instancia, ejecutar un código, como una carga de ransomware en el caso del Wanna y el Petya.

Monográficos de Sophos Julio de 2017 2

Prácticas recomendadas con firewalls para bloquear ataques de ransomware como el Wanna y el Petya

Bloquear cargas de ransomware basadas en archivos

Si bien el Wanna y el Petya se propagan como gusanos, muchas variantes de ransomware se sirven de
técnicas de ingeniería social a través de ataques con correos electrónicos de phishing, spam o descargas web
para obtener acceso a su red de formas más convencionales. Estos ataques suelen iniciarse como malware
astutamente diseñado y oculto en archivos comunes, por ejemplo, documentos de Microsoft Office, archivos
PDF o archivos ejecutables como actualizaciones de aplicaciones comunes de confianza. Los hackers se han
vuelto muy eficientes a la hora de hacer que estos archivos parezcan benignos y de ocultar el malware para
esquivar la detección de los antivirus tradicionales basados en firmas.

Como resultado de esta nueva clase de malware basado en archivos, la tecnología de espacio seguro se ha
convertido en una capa de seguridad fundamental en el perímetro de la red. Afortunadamente, la tecnología de
espacio seguro en la nube no suele requerir la implementación de hardware o software adicional; simplemente
identifica los archivos sospechosos en la puerta de enlace y los envía a una infraestructura de espacio seguro
en la nube para detonar el contenido activo y supervisar el comportamiento durante un tiempo. Puede ser
sumamente efectiva en el bloqueo de amenazas desconocidas como nuevos ataques de ransomware antes
de que entren en la red.

Prácticas recomendadas para la configuración de firewalls y redes

Es importante recordar que los IPS, la tecnología de espacio seguro y todas las demás protecciones que ofrece
el firewall solo son efectivas contra el tráfico que pasa por el firewall y en el caso de que se estén aplicando
políticas de protección y cumplimiento adecuadas en el firewall que gestiona este tráfico. Con esto en mente,
siga estas prácticas recomendadas para evitar la propagación de ataques de tipo gusano en su red:

ÌÌ Asegúrese de que tiene la protección adecuada, incluidos un motor IPS en un firewall de última
generación y de alto rendimiento y una solución de espacio seguro.

ÌÌ Reduzca el área de la superficie de ataque lo máximo posible revisando exhaustivamente todas las
reglas de enrutamiento de puertos a fin de eliminar cualquier puerto abierto no esencial. Un puerto abierto
representa una posible vía de entrada en su red. Siempre que sea posible, utilice una conexión VPN para
acceder a los recursos de la red interna desde el exterior en lugar del enrutamiento de puertos.

ÌÌ Asegúrese de proteger debidamente cualquier puerto abierto aplicando una protección IPS
adecuada a las reglas que gestionan el tráfico.

ÌÌ Aplique la tecnología de espacio seguro al tráfico de correo electrónico y web para garantizar que
todos los archivos activos sospechosos que lleguen a través de descargas web y archivos adjuntos de
correo electrónico se analicen debidamente para detectar comportamientos maliciosos antes de que
penetren en la red.

ÌÌ Minimice el riesgo de movimiento lateral dentro de la red segmentando las redes LAN en zonas
aisladas más pequeñas o redes VLAN protegidas y conectadas por el firewall. Asegúrese de aplicar
políticas IPS adecuadas a las reglas que gestionan el tráfico que atraviesa estos segmentos de la LAN
para evitar que los exploits, gusanos y bots se propaguen entre ellos.

ÌÌ Aísle los sistemas infectados automáticamente. Cuando se produzca una infección, es importante
que su solución de seguridad TI pueda identificar rápidamente los sistemas comprometidos y aislarlos
automáticamente hasta que se puedan limpiar (ya sea de forma automática o a través de una
intervención manual).

Monográficos de Sophos Julio de 2017 3

Prácticas recomendadas con firewalls para bloquear ataques de ransomware como el Wanna y el Petya

Segmentar redes LAN para minimizar el movimiento lateral

Desafortunadamente, muchas organizaciones funcionan con una topología de red plana, con todos sus
endpoints conectados a una matriz de conmutación común. Esta topología dificulta la protección, ya que
permite que los ataques de red se muevan o propaguen lateralmente con facilidad dentro de la LAN, puesto
que el firewall no tiene visibilidad ni control sobre el tráfico a través del conmutador.

Red de área local

Host infectado

Internet

Firewall Conmutador

Host infectado

La práctica recomendada es segmentar la LAN en subredes más pequeñas utilizando zonas o redes VLAN y
conectarlas después a través del firewall, a fin de permitir la aplicación de una protección IPS y antimalware
entre los segmentos que pueda identificar y bloquear de forma efectiva las amenazas que intenten moverse
lateralmente en la red.
Zona/VLAN 2

Conmutador Host infectado

Internet

Firewall

Conmutador Endpoint

Zona/VLAN 1

Se utilizan zonas o redes VLAN en función de la estrategia y el alcance de la segmentación de red, pero ambas
ofrecen unas funciones de seguridad similares y la opción de aplicar una seguridad y un control adecuados
sobre el movimiento de tráfico entre segmentos. Las zonas son ideales para estrategias de segmentación
más pequeñas o redes con conmutadores no administrados. Las VLAN son el método de preferencia para
segmentar redes internas en la mayoría de los casos y ofrecen una mayor flexibilidad y escalabilidad, pero
requieren el uso (y la configuración) de conmutadores de capa 3 administrados.

Si bien segmentar la red es una práctica recomendada, no hay una forma mejor que otra de hacerlo. Puede
segmentar la red por tipo de usuario (interno, contratista, invitado), por departamento (ventas, marketing,
ingeniería), por tipo de rol, dispositivo o servicio (VoIP, Wi-Fi, IoT, ordenadores, servidores) o cualquier
combinación que resulte adecuada para la estructura de su red. No obstante, por lo general es conveniente
segmentar las partes menos fiables y más vulnerables de la red del resto, y también segmentar grandes redes
en segmentos más pequeños, todo ello con el objetivo de reducir el riesgo de penetración y propagación de
amenazas.

Monográficos de Sophos Julio de 2017 4

Prácticas recomendadas con firewalls para bloquear ataques de ransomware como el Wanna y el Petya

Sophos XG Firewall

Sophos XG Firewall incluye toda la tecnología necesaria para ayudar a proteger su organización de los últimos
ataques como el Wanna y el Petya. En concreto, XG Firewall incluye uno de los motores IPS más efectivos y
con un mejor rendimiento del mercado, tal como ha confirmado NSS Labs recientemente. Nuestros patrones
IPS se actualizan frecuentemente para detectar las últimas vulnerabilidades y, en el caso del Wanna y el Petya,
habían recibido actualizaciones de patrones mucho antes de que se iniciaran los ataques. Y, desde los ataques
iniciales, se han añadido más patrones a fin de detectar nuevas variantes.

XG Firewall también permite una protección excelente contra la propagación de los ataques dentro de la
red pero, como en el caso de cualquier producto de seguridad, es necesario crear las condiciones para que
pueda cumplir con función. Una implementación y una configuración correctas son clave para reducir el área
de la superficie de ataque y minimizar el riesgo y el posible alcance de la propagación. XG Firewall ofrece
herramientas para una segmentación sencilla y flexible como zonas y redes VLAN para proteger su LAN y
reducir el riesgo de movimiento lateral.

Monográficos de Sophos Julio de 2017 5

Prácticas recomendadas con firewalls para bloquear ataques de ransomware como el Wanna y el Petya

Seguridad Sincronizada: una protección inigualable

El ransomware, las redes de bots y otras amenazas avanzadas se propagan con frecuencia por toda la
infraestructura de TI. XG Firewall forma parte del ecosistema Seguridad Sincronizada de Sophos, en que
diversos productos de seguridad actúan juntos activamente para detener ataques avanzados. El resultado es
una protección mejor y más rápida, así como una gestión de la seguridad TI simplificada.

Por ejemplo, XG Firewall funciona con Sophos Intercept X, nuestra solución antiransomware y
antivulnerabilidades probada para detener el ransomware en el endpoint. Comparten información sobre
el estado y las amenazas en tiempo real a través de nuestra tecnología patentada Security Heartbeat™ y
responden automáticamente a los ataques, identificando y aislando al instante los sistemas infectados de la
red mientras se limpian.

Y no tendrá que eliminar ni reemplazar ninguno de sus recursos actuales para disfrutar de todas las grandes
ventajas de XG Firewall, Intercept X y Seguridad Sincronizada. Puede desplegar XG Firewall junto a su firewall
existente e Intercept X junto a su cliente antivirus de escritorio actual. Juntos le brindarán una protección
inigualable contra el ransomware y otros ataques avanzados. Contará con una protección de última generación
contra las amenazas de última generación.

Más información
y evaluación gratuita en
es.sophos.com/xgfirewall

Ventas en España: Ventas en Latin America:

Tel.: (+34) 913 756 756 Correo electrónico: Latamsales@sophos.com
Correo electrónico: seusales@sophos.com

Copyright 2017 Sophos Ltd. Reservados todos los derechos.

Constituida en Inglaterra y Gales bajo el número de registro 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido
Sophos es una marca registrada de Sophos Ltd. Otros productos y empresas mencionados son marcas registradas de sus propietarios.

12/07/2017 WP-ES (NP)