Ir al contenido

Por Qué Sus Reglas de Firewall Son Su Mayor Riesgo

Proliferación de reglas, políticas ocultas y acceso excesivamente permisivo — cómo la gobernanza de configuración previene brechas.
10 de mayo de 2026 por
Por Qué Sus Reglas de Firewall Son Su Mayor Riesgo
Layer7 Networking, Neil Beulecke

Hemos auditado más de 400 configuraciones de firewall en organizaciones sudafricanas. El firewall empresarial promedio tiene 847 reglas. De estas, aproximadamente el 23% son redundantes, el 11% están sombreadas y al menos el 4% contiene declaraciones excesivamente permisivas "any-any" que anulan efectivamente el propósito del firewall.

Por Neil Beulecke, Director General — Layer7 Networking

El Problema de la Proliferación de Reglas

Las reglas de firewall se acumulan como roca sedimentaria. Cada proyecto, cada despliegue de proveedor, cada cambio de emergencia añade reglas. Casi nadie las elimina. Después de cinco años, un firewall empresarial típico lleva cientos de reglas que nadie comprende completamente, y ninguna persona puede explicar la justificación empresarial de cada una.

Esta no es una preocupación teórica. En nuestras evaluaciones de Garantía y Cumplimiento de Firewall (FAC), encontramos rutinariamente:

  • Reglas sombreadas — reglas que nunca coinciden con tráfico porque una regla más amplia por encima las captura todo primero. Estas indican que el autor de la regla no comprendió la política existente. Son ruido, pero también son evidencia de una gestión de cambios deficiente.
  • Reglas redundantes — múltiples reglas que logran el mismo efecto. Aumentan la carga de procesamiento y dificultan las auditorías.
  • Reglas excesivamente permisivas — la clásica regla "cualquier origen, cualquier destino, cualquier servicio, permitir" añadida durante una sesión de resolución de problemas a las 2 AM y nunca eliminada. Encontramos una organización con 17 de estas en sus firewalls de producción.
  • Reglas que referencian hosts descomisionados — servidores retirados hace años pero que aún tienen reglas de firewall que permiten tráfico a sus antiguas direcciones IP, que ahora pueden estar asignadas a sistemas diferentes.

Why This Matters

A firewall with 800+ unreviewed rules isn't a security control — it's a compliance checkbox. Attackers don't need to bypass your firewall if your rules already permit the traffic they need. Lateral movement, command-and-control callbacks, data exfiltration — if your rules are permissive enough, the firewall logs the traffic and waves it through.

We've seen breaches where the forensic investigation revealed that every single step of the kill chain traversed the firewall legitimately — because the rules allowed it.

The Review Cadence Problem

Most organisations we work with have no formal firewall rule review process. Those that do typically review annually — which is insufficient given the pace of infrastructure change. Best practice is quarterly review of all rules, with monthly review of any rule flagged as high-risk (broad permissions, internet-facing, or critical asset access).

The challenge is that manual rule review doesn't scale. Reading 800 rules line by line is tedious, error-prone, and requires deep knowledge of both the network topology and the business context for each rule. This is why automated policy analysis tools exist — and why they should be part of every organisation's security toolkit.

Layer7's FAC Approach

Our Firewall Assurance and Compliance service takes a structured approach:

  1. Auditoría base. Ingerimos el conjunto completo de reglas y ejecutamos análisis automatizado para identificar reglas sombreadas, redundantes, excesivamente permisivas y huérfanas. Esto típicamente reduce el conjunto de reglas en un 20-30% en la primera pasada.
  2. Mapeo de contexto empresarial. Trabajamos con los equipos de red y aplicaciones del cliente para mapear las reglas restantes a justificaciones empresariales. Cualquier regla que no pueda ser justificada se marca para eliminación.
  3. Priorización basada en riesgo. No todas las violaciones de reglas son iguales. Una regla any-any en una VLAN de gestión interna es de menor riesgo que una en el perímetro expuesto a internet. Puntuamos y priorizamos los hallazgos en consecuencia.
  4. Gobernanza continua. Establecemos un proceso de gestión de cambios para reglas de firewall — ninguna regla se añade sin una justificación empresarial documentada, una fecha de caducidad y un propietario. Las reglas se revisan en una cadencia definida.
  5. Informes y cumplimiento. Los informes mensuales muestran métricas de higiene de reglas, tendencias de cambios y postura de cumplimiento. Esto proporciona a los CISO los datos que necesitan para informes al consejo y preparación de auditorías.

Autoevaluación Rápida

Responda a estas cinco preguntas sobre su parque de firewalls:

  1. ¿Cuándo fue la última vez que cada regla fue revisada y justificada?
  2. ¿Cuántas reglas contienen "any" en el campo de origen, destino o servicio?
  3. ¿Tiene un proceso documentado para la retirada de reglas?
  4. ¿Puede identificar qué reglas están asociadas con sistemas descomisionados?
  5. ¿Cada regla tiene un propietario designado y una justificación empresarial?

Si respondió "no" o "no sé" a tres o más, sus reglas de firewall son probablemente su mayor riesgo no gestionado. La buena noticia: esto es totalmente solucionable y el ROI es medible.

El servicio de Garantía y Cumplimiento de Firewall de Layer7 Networking ha estado ayudando a organizaciones sudafricanas a recuperar el control de sus políticas de firewall desde 2003. Contáctenos para una evaluación inicial gratuita.

El Panorama de Amenazas de IA en 2026: Qué Ha Cambiado y Qué No
Los ataques impulsados por IA son reales, pero los fundamentos aún previenen el 80% de las brechas. La perspectiva de un profesional sobre cómo separar la señal del ruido.