Sunday, November 9, 2008

Serie PCI DSS - Doce del Patibulo - Episodio 01

Ya escribi en un post anterior sobre la norma PCI DSS.
Esta es una docena de requerimientos que deben cumplir las organizaciones que trasmitan, procesen o almacen datos de transacciones de tarjetas emitidas por Visa,Mastercard,American Express, Discover y Jcb.

En caso de no cumplir con norma, se aplican las multas correspondientes.

Este es el primer post donde paso a detallar cada Requerimiento y que comprende.

Vamos a ver como se mapean estos requerimientos en un ambiente tipico de transacciones de tarjetas.

Esquema de un ambiente simple de transacciones de tarjetas con Puntos de Venta ( POS ) y donde se mapea cada uno de estos requerimientos :

  • La Red de POS es donde se reciben las transacciones.
  • Luego tenemos un router que nos conecta con la Red de POS.
  • El Firewall que separa la red en diferentes zonas y filtra los accesos.
  • El Server de Pos que recibe las transaciones de los POS
  • El Server Transacciones que aprueba las mismas
  • Una Red Interna separada del ambiente de tarjetas.


    Antes de ir al Requerimiento 1, repasemos los doce puntos :
    Desarrollar y Mantener una Red Segura

    Requerimiento 1: Instalar y mantener una configuración de firewall para proteger los datos de los tarjetahabientes.

    Requerimiento 2: No usar contraseñas del sistema y otros parámetros de seguridad provistos por los fabricantes.

    Proteger los Datos de los Tarjetahabientes


    Requerimiento 3: Proteger los datos de los tarjetahabientes que estén almacenados.


    Requerimiento 4: Encriptar los datos de los tarjetahabientes e información confidencial transmitida a través de redes públicas abiertas.


    Mantener un Programa de Manejo de Vulnerabilidad


    Requerimiento 5: Usar y actualizar regularmente el software o programas antivirus.


    Requerimiento 6: Desarrollar y mantener sistemas y aplicaciones seguros.


    Implementar Medidas Sólidas de Control de Acceso

    Requerimiento 7: Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información.

    Requerimiento 8: Asignar una Identificación única a cada persona que tenga acceso a un computador.

    Requerimiento 9: Restringir el acceso físico a los datos de los tarjetahabientes.


    Monitorear y Probar Regularmente las Redes


    Requerimiento 10: Rastrear y monitorear todo el acceso a los recursos de la red y datos de los tarjetahabientes.


    Requerimiento 11: Probar regularmente los sistemas y procesos de seguridad.



    Mantener una Política de Seguridad de la Información

    Requerimiento 12: Mantener una política que contemple la seguridad de la información


    PIC DSS requiere instalar y mantener una configuración de Firewall para proteger los datos de los tarjetahabientes. En este configuracion hipotetica que aparece en el diagrama, el Firewall es quien divide a la red en diferentes segmentos.

    Requerimiento 1.1 : Configuracion standard de Firewall




Basado en el conjunto de requerimientos el firewall instalado en este ambiente debe cumplir con los siguientes requisitos :

--No debe usar contraseñas del sistema y otros parámetros de seguridad provistos por los fabricantes.


--Encriptar los datos de los tarjetahabientes e información confidencial transmitida a través de redes públicas abiertas, en el caso de los FW cuando tiene definida VPNs.


--Usar y actualizar regularmente el software del firewall en caso de la publicacion de patchs por parte del fabricante.

--El firewall debe retener los logs y permitir monitorear todo el acceso a los recursos de la red y datos de los tarjetahabientes.


--Se deben probar regularmente los sistemas y procesos de seguridad que involucren al Firewall.


Mantener una red segura es una metodologia que debe incluir :

-- Un proceso formal para la aprobacion de modificaciones a la configuracion del firewall y tests de conecciones externas.

-- Esto se puede cumplir utilizando una proceso de Change Management, dependiendo del tamaño de la organizacion, las herramientas disponibles. Puede ser desde un simple planilla con las informaciones basicas que tiene una modificacion ( quien lo solicita, ip de origen, ip de destino,puerto, accion ( abrir ,cerrar), ) y la firma de quien lo aprueba, hasta software especializados en change management de firewall como Tufin.

-- Un diagrama actualizado de la red con todos los puntos donde se comunique informacion de los tarjetahabientes.


--El diagrama que acompaña al post es un ejemplo. Los diagramas se pueden realizar con herramientas especializadas como Visio o tambien con otras free. Estos son links donde pueden bajarse imagenes para realizacion de diagramas de red :

Cisco

Multivendor

--Cada conexion entre Internet o una DMZ y una red interna debe estar separadas por un Firewall.

--Siempre es aconsejable que cualquier servicio expuesto a internet se encuentre en una zona intermedia ( llamada DMZ) separadas por un firewall. Debemos evitar cualquier flujo directo entre Internet y nuestra red interna.

--Descripcion de grupos , roles y responsabilidades del manejo logico de componentes de redes.

--En el caso de los firewalls, esto se puede hacer en algunos casos directamente desde las herramientas de administacion, en los casos que no se cuente con esta segregacion se debera disponer de la documentacion indicando la segregacion de funciones y responsabilidades de las personas que administran los equipos de red ( Firewall, Routers, Switches )

--Documentar los servicios y puertos necesarios para el negocio. Justificacion y documentacion de cualquier protocolo que no se encuentre dentro del siguiente grupo ( HTTP,SSL,SSH y VPN ).Justificacion y documentacion de cualquier protocolo que signifique un riesgo.Justificacion y documentacion de cualquier protocolo que signifique un riesgo.

--En el caso de los firewalls, esto se puede hacer en algunos casos directamente desde las herramientas de administracion, o se pueden listar desde la documentacion de change management donde debe indicarse los motivos de la apertura de un puerto o servicio en particular.

--Revision semestral de las reglas de Firewalls y routers.

--Dependiendo de la cantidad de reglas de Firewall se puede realizar manualmente o utilizando una herramienta como nmap y comparar el resultado contra la configuracion actual del FW , cualquier desvio debe ser verificado.


Requerimiento 1.2 y 1.3 : Configuracion de reglas de Firewall y Segmentacion de Redes.


--Restringir conexion entre equipos accesibles desde redes publicas y sistemas que almacenen datos de tarjetahabientes.


Este punto incluye entre los mas importantes:


--Se debe tener seteado Antispoofing en las interfaces del Firewall ( no se deden recibir peticiones con ip source pertenecientes a redes internas al Firewall )

--El firewall debe ser statefull, es decir que solamente se deben permitir conecciones establecidas, el Firewall debe reconocer cuando una peticion pide acceder a un puerto como parte de una conexion que nunca se establecio. Se puede verificar este punto con el programa nmap con la opcion "syn reset" o "syn ack" si se optienen respuestas es porque el FW no es stateful.

--Las redes wireless debe estar separadas por un firewall de los datos de los tarjetahabientes.

--Las bases de datos deben estar en una DMZ especifica.


--Toda maquina que tenga conexion directa internet ( por ejemplo usuarios mobiles) deben tener un Firewall personal.

--La configuracion en memoria ( running) y la configuracion de arranque deben estar siempre sincronizadas. No se puede tener aplicados cambios en memoria que no esten disponibles al momento del arranque. Si se realizan cambios y estos estan documentados, deben estar salvados.


Esta es las diferentes memorias de un router Cisco, la configuracion en la RAM y la NVRAM deben ser identicas.

--Se debe denegar todo lo trafico entrante o saliente que no este especificamente permitido ( Deny All ), es decir que la ultima regla del Firewall debe indicar que para todo source y para todo destino la accion sera bloquear el trafico y loguear la accion.

Requerimiento 1.4 y 1.5 : Configuracion de reglas de Firewall y Segmentacion de Redes.

--Se debe implementar Masquerading para evitar que las direcciones internas de la red sean conocidas en internet.

--Esto se logra mediante la utilizacion de tecnologias que implementen la RFC 1918 ( NAT o PAT ), hoy es comun este tipo de configuracion.


Las direcciones de red privadas son:

Nombre rango de direcciones IP
bloque de 8 bits 10.0.0.0 – 10.255.255.255

bloque de 12 bits 172.16.0.0 – 172.31.255.255

bloque de 16 bits 192.168.0.0 – 192.168.255.255

bloque de 16 bits 169.254.0.0 – 169.254.255.255


Cuando no se cumpla con uno de los puntos, se debe contar con un mecanismo de compesacion que mitigue el riesgo asociado.

Todos estos puntos seran validados por una Auditoria de Compliance.