Estimados amigos de Inseguros !!!
En el Tema 4 de los Controles CIS, el control 4.4 va a algo que parece básico… y por eso mismo mucha gente no lo aplica bien: firewall en servidores, pero a nivel host.
La idea es sencilla: además del firewall de red que tengas, cada servidor debería controlar su tráfico de entrada y salida. Puede ser el firewall local de Windows, el de Linux, o un enfoque equivalente, pero el objetivo es el mismo: que el servidor no “acepte todo” solo porque está dentro de una VLAN.
Esto se ve clarísimo en ransomware y movimiento lateral. Tener segmentación ayuda, sí. Separar red de usuarios, servidores, producción, etc. Pero dentro de la propia red de servidores también hay movimiento lateral. Si tienes 50 servidores en la misma LAN, no tiene sentido asumir que todo puede hablar con todo.
Aquí aplica la misma lógica que en el perímetro, pero llevada al host: deny by default. Todo bloqueado, y solo se abre lo que de verdad se necesita.
Ejemplos muy simples:
si un endpoint no tiene por qué compartir carpetas, bloquear SMB.
si un servidor no tiene web, no debería tener 80/443 abiertos.
si un servidor sí tiene un servicio web (SharePoint, CA, lo que sea), se abre, pero solo hacia los orígenes que lo necesiten.
Y esto tiene que ir por roles. Un controlador de dominio no tiene los mismos puertos que un DNS, que un DHCP, que un servidor miembro. Hay guías de fortificación y listas de puertos por rol que ayudan mucho a no inventar.
Otro detalle importante: el firewall del host debe dejar evidencia. Logging y monitorización. Si alguien intenta pegarle al puerto web desde un endpoint, o si hay tráfico raro entre servidores, eso tiene que quedar registrado. Si no hay logs, el control está “puesto” pero no está operado.
Este control 4.4 es de los que, bien aplicados, bajan muchísimo el radio de impacto cuando algo se compromete. Es una capa simple, pero muy efectiva.
Y si se quiere aterrizar esto con enfoque de empresa (hardening, Controles CIS y seguridad en entornos Microsoft y mixtos), en www.seguridadsi.com está la academia con los cursos orientados a profesionales.
Gracias por leerme !!!
