Mostrando 3 respuestas a los debates
  • Autor
    Entradas
    • #44456
      Smith
      Participante

      Hola, estoy tratando de realizar una guía técnica para testear firewalls usando nmap y otras herramientas.

      Me podrías echar una mano con la parte de comprobar si un firewall cumple con las características de Stateful Inspection?.

    • #44577
      David Acosta
      Participante

      Hola Smith:

      ¡Por supuesto! En el artículo «Controles técnicos de PCI DSS parte II: Cortafuegos (Firewall)» viene un apartado al final en el que muestro cómo comprobar si el firewall es o no Stateful Inspection (http://www.pcihispano.com/controles-tecnicos-de-pci-dss-parte-ii-cortafuegos-firewall/).

      Actualmente, la gran mayoría de firewalls del mercado lo son a menos que de forma explícita se configure el equipo para que no aplique Stateful Inspection (como por ejemplo cuando usas enrutamiento asincrónico en firewalls en alta disponibilidad), pero estos son casos MUY especiales. Así mismo, algunas soluciones de firewall antiguas (como IPCHAINS de GNU/Linux) no implementan Stateful Inspection, por lo que no podrían ser implementadas en un entorno PCI DSS.

      Revisa también la documentación del fabricante.

      Saludos,

      David

    • #44578
      alejandrov
      Participante

      Hola

      mi sistema actualmente se encuentra trabajando sobre AWS, en el tema de firewall he leído que no es necesario tenerlo para cumplir el estandar, basta con tener bien configurados los ACL, Security groups, y VPC.
      estoy equivocado o necesitare configurar algo mas

      Muchas Gracias
      Alejandro

    • #44579
      David Acosta
      Participante

      Hola Alejandro:
      Bueno, para poder darte una respuesta puntual es necesario conocer qué servicios y canales tienes activos para la gestión de datos de tarjetas de pago. En vista que tienes delegados ciertos servicios en un proveedor de Cloud, es muy importante validar en términos contractuales las responsabilidades y el alcance de esos servicios y la forma como tienes que reportar el cumplimiento de PCI DSS a tu centro autorizador (ya sea empleando un SAQ o con una auditoría).
      En principio, cuando se delega la gestión de los equipos de redes y filtrado en un proveedor, el cumplimiento de los controles debe ser cumplido por dicho proveedor y el cliente debe fijar responsabilidades usando un contrato.

Mostrando 3 respuestas a los debates
  • Debes estar registrado para responder a este debate.