Un firewall configurado incorrectamente representa una amenaza para la seguridad no solo para la empresa que protege, sino también para todas las personas que acceden o utilizan la red interna de la empresa. Cuando se produce una infracción del firewall, significa que alguien no estaba prestando atención a los registros importantes o se tomó el tiempo para analizar la seguridad de la empresa. La mayoría de las infracciones de firewall surgen debido a errores de configuración, no debido a fallas del software. Identificar una brecha en el firewall es fundamental para garantizar la seguridad del sistema.
Paso 1
Analice los registros del cortafuegos. Los sistemas informáticos y el software rastrean toda la actividad. La revisión de estos registros de forma regular le permite verificar si se ha producido una infracción. Preste atención a cualquier actividad sospechosa, como el escaneo de la red o la recopilación de información. Los usuarios internos estándar no tienen ninguna razón para realizar este tipo de actividades en su sistema. Cuando detecte este tipo de actividad en los registros de su sistema, cambie las contraseñas y los ajustes de configuración de inmediato. Los piratas informáticos utilizan software para escanear o sondear archivos, que aparecen en los registros como intentos repetidos y cronometrados de acceder al sistema u otros archivos.
Paso 2
Busque acceso externo desde direcciones de Protocolo de Internet que no le resulten familiares. Mantenga una lista de todas las direcciones IP utilizadas por empleados o personas autorizadas para acceder a los sistemas internos desde el exterior. Rastree cualquier dirección IP de los registros del sistema que no reconozca. Utilice un sitio web de búsqueda de IP en línea, como IP-Lookup.net, Whois.net o Hostip.info, para verificar dónde se encuentran estas direcciones IP. Si conducen a países extranjeros o servidores proxy, es probable que haya encontrado dónde se originó la infracción.
Paso 3
Verifique los registros del servidor web y cualquier registro utilizado con puertos que puedan ser vulnerables o abiertos al firewall. Busque inicios de sesión de usuarios que no reconozca y actividad extraña proveniente de sitios externos no reconocidos. Preste especial atención a los horarios de acceso. Los piratas informáticos a menudo intentan acceder en horas extrañas de la noche, especialmente si los ataques provienen de fuera del país.
Paso 4
Revise los directorios del sistema y verifique las actualizaciones de archivos. Revise las fechas de los archivos para modificarlos, especialmente los archivos que normalmente no se cambian o modifican. Si determina que se ha producido una infracción, elimine el acceso externo a su sistema. Esto evitará que se produzcan más ataques mientras evalúa los daños, limpia y reconfigura el sistema.
Verifique los registros de actividad del enrutador Wi-Fi y rastree cualquier actividad que parezca sospechosa. Los enrutadores Wi-Fi son puntos de acceso a su sistema, si no ha agregado contraseñas y las ha protegido contra el acceso externo.
