Tema 7

7. Reglas, ACL, orden de evaluación, objetos, grupos y buenas prácticas de filtrado

Las políticas de firewall se vuelven efectivas mediante reglas concretas. Para que esas reglas protejan sin romper la operación, deben ser precisas, ordenadas, documentadas y revisadas de forma periódica.

Objetivo Crear y revisar reglas de filtrado con precisión
Enfoque ACL, orden, objetos, grupos y mantenimiento
Resultado Evitar reglas amplias, duplicadas o difíciles de auditar

7.1 Introducción

En el tema anterior vimos cómo diseñar políticas de firewall. Ahora veremos cómo esas políticas se convierten en reglas y listas de control de acceso. Esta parte es muy práctica: una política puede estar bien pensada, pero si se implementa con reglas demasiado amplias o mal ordenadas, la defensa se debilita.

Las reglas son instrucciones que indican al firewall qué hacer cuando un tráfico coincide con ciertas condiciones. Pueden permitir, bloquear, registrar, inspeccionar o aplicar perfiles de seguridad.

El objetivo de este tema es que puedas leer una regla, entender su impacto, detectar problemas comunes y aplicar buenas prácticas para mantener un conjunto de reglas ordenado.

7.2 Qué es una regla de firewall

Una regla de firewall define una condición y una acción. Si el tráfico coincide con los criterios de la regla, el firewall aplica la acción configurada.

Una regla típica incluye:

  • Zona o interfaz de origen.
  • Dirección IP, red, usuario o grupo de origen.
  • Zona o interfaz de destino.
  • Dirección IP, red o servicio de destino.
  • Protocolo, puerto o aplicación.
  • Acción: permitir, bloquear, rechazar, registrar o inspeccionar.
  • Comentario, nombre, responsable y fecha de revisión.
Una regla clara debe responder qué permite o bloquea, entre quiénes, para qué servicio y por qué motivo.

7.3 Qué es una ACL

Una ACL significa Access Control List, o lista de control de acceso. Es un conjunto de reglas que permite o deniega tráfico según condiciones definidas.

Las ACL pueden existir en routers, switches, firewalls, sistemas operativos, servicios cloud y otras plataformas. Su complejidad varía: algunas solo filtran por IP y puerto, mientras que otras pueden considerar estado, aplicación, usuario o contexto.

Ejemplo conceptual de ACL:

  1. Permitir red de administración hacia servidores por SSH.
  2. Permitir aplicación web hacia base de datos por puerto específico.
  3. Bloquear red de invitados hacia redes internas.
  4. Bloquear todo lo no permitido explícitamente.

7.4 Orden de evaluación

En muchos firewalls y ACL, las reglas se evalúan de arriba hacia abajo. Cuando el tráfico coincide con una regla, se aplica esa acción y no se siguen evaluando reglas posteriores.

Esto significa que el orden puede cambiar por completo el resultado. Una regla amplia al principio puede dejar sin efecto reglas más específicas ubicadas debajo.

Orden Regla Problema
1 Permitir red de usuarios hacia servidores por cualquier puerto. Demasiado amplia. Puede permitir tráfico que luego se quería bloquear.
2 Bloquear usuarios hacia servidores por RDP. Quizá nunca se aplique porque la regla anterior ya permitió el tráfico.

7.5 Reglas específicas antes que reglas generales

Una práctica común es ubicar reglas más específicas antes que reglas generales. Así se evitan coincidencias prematuras que permitan o bloqueen tráfico de forma incorrecta.

Ejemplo más seguro:

  1. Bloquear usuarios hacia servidores por RDP.
  2. Permitir usuarios hacia servidores por HTTPS cuando sea necesario.
  3. Bloquear todo el resto del tráfico entre esas zonas.

La idea no es memorizar un orden universal. La idea es entender que cada regla debe ubicarse donde tenga efecto real.

7.6 Acciones: permitir, bloquear y rechazar

Las acciones más comunes son permitir, bloquear y rechazar. Aunque parezcan similares, tienen diferencias operativas.

Acción Qué hace Uso común
Permitir Autoriza el tráfico que coincide con la regla. Comunicación necesaria y aprobada.
Bloquear o descartar Elimina el tráfico sin responder al origen. Tráfico no autorizado o potencialmente hostil.
Rechazar Niega el tráfico y responde al origen. Casos donde conviene informar que el acceso no está permitido.
Registrar Guarda evidencia del evento. Monitoreo, auditoría e investigación.
Inspeccionar Aplica perfiles adicionales como IPS, antivirus o control de aplicación. Tráfico permitido que requiere análisis extra.

7.7 Objetos de firewall

Los objetos son nombres reutilizables que representan direcciones IP, redes, servicios, puertos, usuarios, aplicaciones o grupos. Ayudan a que las reglas sean más legibles y fáciles de mantener.

En lugar de escribir una IP en muchas reglas, se crea un objeto llamado, por ejemplo, SRV-DB-Clientes. Si la IP cambia, se actualiza el objeto y no cada regla individual.

Tipos comunes de objetos:

  • Objetos de red: una IP, una subred o un rango.
  • Objetos de servicio: TCP 443, UDP 53, TCP 22.
  • Objetos de aplicación: HTTPS, SSH, DNS, SMB.
  • Objetos de usuario o grupo, si el firewall integra identidad.
  • Objetos de zona, ubicación o etiqueta.

7.8 Grupos de objetos

Los grupos permiten reunir varios objetos para simplificar reglas. Por ejemplo, un grupo llamado SRV-Web-Produccion puede contener varios servidores web.

Son útiles, pero deben usarse con cuidado. Si un grupo crece sin control, una regla que parecía precisa puede terminar permitiendo acceso a muchos activos.

Los grupos ayudan a mantener reglas, pero también pueden ocultar exposición si nadie revisa qué contienen.

7.9 Nombres claros para objetos y reglas

La nomenclatura es parte de la seguridad operativa. Un objeto llamado Server1 o Test aporta poco. Un nombre como SRV-CRM-APP-PROD comunica función, sistema y ambiente.

Un esquema útil puede incluir:

  • Tipo de objeto: SRV, NET, APP, SVC, GRP.
  • Nombre del sistema o función.
  • Ambiente: PROD, QA, DEV.
  • Ubicación o zona si aplica.
  • Propósito del servicio.

Lo importante no es usar exactamente esas siglas, sino mantener consistencia.

7.10 Regla final de bloqueo

Una política defensiva suele terminar con una regla final de bloqueo. Esta regla captura todo tráfico que no coincidió con permisos anteriores.

Sin una regla final clara, algunos dispositivos pueden aplicar comportamientos por defecto que no siempre son evidentes. Además, registrar esta regla ayuda a descubrir tráfico no documentado, escaneos, errores de configuración o intentos de acceso no autorizados.

Una regla final típica:

  • Origen: cualquiera.
  • Destino: cualquiera.
  • Servicio: cualquiera.
  • Acción: bloquear.
  • Logging: activado con criterio para investigación.

7.11 Reglas demasiado amplias

Una regla demasiado amplia permite más tráfico del necesario. A veces se crea para resolver rápido un problema, pero queda instalada como deuda de seguridad.

Regla problemática Riesgo Mejora
Any hacia servidor por any Expone todos los servicios del servidor. Definir origen y puertos específicos.
Usuarios hacia servidores por any Facilita movimiento lateral. Permitir solo aplicaciones necesarias.
DMZ hacia red interna por any Alto impacto si se compromete la DMZ. Permitir solo flujos puntuales.
Internet hacia administración Exposición directa de interfaces críticas. Usar VPN, bastión y MFA.

7.12 Reglas duplicadas y solapadas

Una regla duplicada repite el efecto de otra. Una regla solapada cubre parcialmente el mismo tráfico. Ambas complican el análisis y pueden ocultar errores.

Ejemplo de solapamiento:

  • Regla 1: permitir 10.10.0.0/16 hacia servidor web por TCP 443.
  • Regla 2: permitir 10.10.20.0/24 hacia el mismo servidor por TCP 443.

La segunda regla puede ser innecesaria si la primera ya cubre ese origen. O la primera puede ser demasiado amplia si solo se necesitaba permitir la subred 10.10.20.0/24.

7.13 Reglas sombra

Una regla sombra es una regla que nunca se aplica porque otra regla anterior captura el tráfico antes. Esto ocurre mucho cuando reglas generales están por encima de reglas específicas.

Las reglas sombra generan una falsa sensación de control. En la consola parece existir un bloqueo o permiso, pero en la práctica el tráfico se decide antes.

Para detectarlas conviene revisar:

  • Orden de reglas.
  • Contadores de coincidencia.
  • Logs reales.
  • Alcance de objetos y grupos.
  • Reglas generales ubicadas demasiado arriba.

7.14 Contadores y uso real

Muchos firewalls muestran contadores de uso por regla. Estos contadores indican cuántas veces una regla coincidió con tráfico.

Son útiles para detectar reglas sin uso, reglas muy activas, reglas sombra o reglas que reciben tráfico inesperado. Sin embargo, deben interpretarse con cuidado: una regla sin uso durante una semana quizá sea necesaria para un proceso mensual.

Buenas preguntas para revisar contadores:

  • ¿La regla se usa?
  • ¿Se usa desde los orígenes esperados?
  • ¿Se usa hacia los destinos esperados?
  • ¿El volumen coincide con el comportamiento normal?
  • ¿Hay reglas que nunca tienen coincidencias?

7.15 Filtrado de salida

Muchas políticas se concentran en bloquear tráfico entrante desde internet, pero el filtrado de salida también es importante. Un equipo comprometido puede intentar comunicarse con servidores de comando y control, descargar herramientas o exfiltrar datos.

Buenas prácticas de filtrado de salida:

  • Permitir DNS solo hacia resolutores autorizados.
  • Controlar navegación mediante proxy o NGFW cuando corresponda.
  • Restringir servidores para que solo salgan a destinos necesarios.
  • Bloquear protocolos administrativos hacia internet.
  • Registrar conexiones salientes desde zonas críticas.
  • Monitorear destinos inusuales o de mala reputación.

7.16 Filtrado lateral

El filtrado lateral controla comunicaciones entre segmentos internos. Es clave para reducir movimiento lateral después de un compromiso.

Ejemplos de filtrado lateral:

  • Usuarios no acceden directamente a bases de datos.
  • Red de invitados no accede a servidores internos.
  • Estaciones de trabajo no se conectan entre sí por SMB salvo necesidad aprobada.
  • Servidores de aplicación solo acceden a bases de datos específicas.
  • Administración solo se permite desde red administrativa o bastión.

7.17 Ejemplo práctico de reglas ordenadas

Supongamos una organización con usuarios, DMZ, servidores internos y red de administración. Un orden razonable podría ser:

Orden Regla Motivo
1 Permitir administración desde bastión hacia servidores por SSH/RDP. Acceso privilegiado controlado.
2 Permitir internet hacia reverse proxy en DMZ por HTTPS. Publicación web controlada.
3 Permitir aplicación en DMZ hacia base de datos interna por puerto específico. Flujo necesario de aplicación.
4 Bloquear DMZ hacia red interna por cualquier otro servicio. Contención si se compromete la DMZ.
5 Bloquear usuarios hacia puertos administrativos de servidores. Reducir movimiento lateral.
6 Bloquear todo lo no permitido. Cierre por defecto.

7.18 Revisión periódica de reglas

Las reglas envejecen. Cambian aplicaciones, servidores, responsables, direcciones IP, necesidades de negocio y niveles de riesgo. Una regla correcta hoy puede ser innecesaria o peligrosa dentro de seis meses.

Una revisión periódica debería buscar:

  • Reglas sin uso.
  • Reglas temporales vencidas.
  • Reglas con origen o destino demasiado amplio.
  • Objetos sin dueño claro.
  • Grupos con miembros obsoletos.
  • Reglas sin comentario o sin ticket asociado.
  • Reglas que contradicen la segmentación esperada.

7.19 Errores frecuentes

  • Colocar reglas amplias al principio: pueden anular reglas más específicas.
  • Usar objetos sin revisar su contenido: un grupo puede incluir más activos de los esperados.
  • No registrar reglas críticas: se pierde evidencia para investigar.
  • Acumular reglas sin uso: aumenta complejidad y superficie de ataque.
  • No controlar tráfico saliente: dificulta detectar malware o exfiltración.
  • Confundir bloquear con proteger: una regla mal ubicada puede no tener efecto real.

7.20 Lista de verificación inicial

  • Ubicar reglas específicas antes que reglas generales.
  • Usar objetos con nombres claros y dueños definidos.
  • Revisar miembros de grupos antes de usarlos en reglas.
  • Evitar any-any salvo casos excepcionales y justificados.
  • Mantener una regla final de bloqueo.
  • Activar logging en reglas críticas.
  • Revisar contadores de uso y reglas sombra.
  • Controlar tráfico entrante, saliente y lateral.
  • Documentar propósito, responsable y fecha de revisión.
  • Eliminar reglas obsoletas con proceso de cambio.

7.21 Ideas clave para recordar

  • Las reglas convierten políticas de firewall en controles concretos.
  • El orden de evaluación puede cambiar completamente el resultado.
  • Los objetos y grupos mejoran mantenimiento, pero deben revisarse.
  • Reglas amplias, duplicadas, solapadas o sombra debilitan la defensa.
  • El filtrado de salida y lateral es tan importante como el entrante.
  • Una política efectiva requiere revisión periódica y documentación clara.

7.22 Conclusión

El filtrado efectivo depende tanto del contenido de las reglas como de su orden, alcance y mantenimiento. Una regla precisa, bien ubicada y documentada puede reducir riesgo; una regla amplia o mal ordenada puede crear una falsa sensación de seguridad.

En el próximo tema estudiaremos NAT, PAT, port forwarding, publicación segura de servicios y exposición controlada. Allí veremos cómo se modifican direcciones y puertos para publicar o conectar servicios sin abrir más de lo necesario.

Volver al índice