Segurança: Planejamento e implementação de um firewall

Firewall é o gateway para a Internet, no qual tem o objetivo de controlar todo o tráfego de dados e comunicação do ambiente interno com o externo (tanto o ponto de vista de entrada e saída, quanto os pacotes que passam por ele). Estamos falando de firewall corporativo que possui funções e recursos, tais como, VPN, controle de navegação, regras de filtragem, controles de acesso externo, logs, proxy http e https, entre outros.

Quando existe a demanda de realizar este tipo de implementação, é fundamental entender o ambiente da empresa e se já existe outro firewall realizando este serviço. Se a empresa já possui um firewall e pretende atualizar por uma versão mais nova, ou adquirir outro com mais recursos e capacidade de gerenciamento, o trabalho de planejamento da implementação se torna, de certa forma, mais fácil de ser realizado pelo fato das regras e configurações do ambiente já estarem prontas. Com isso, pode-se assim analisar o antigo firewall, apresentar para o gestor as configurações atuais e, em cima disto, realizar os ajustes, melhorias e aplicar no novo firewall.

Um simples trabalho de transpor regras nunca é eficiente, pois na administração de firewalls muitas das regras acabam sendo colocadas de forma emergencial e ficam sobressalentes. Algumas regras os administradores nem sabem para que servem e elas permanecem lá ativas, deixando o firewall cada vez menos confiável. Agora é a melhor hora para reorganizar tudo!

Já empresas que não possuem um firewall, nas quais toda a navegação é realizada pelos usuários sem controle algum e não existe conhecimento do tráfego que é realizado entre os ativos de TI e a Internet e vice-versa, o trabalho de planejamento se torna mais efetivo e necessário, já que uma implementação sem este alinhamento inicial com certeza irá impactar toda operação da empresa e gerar descontentamento dos serviços realizados.

DICAS PARA O PLANEJAMENTO

Definir as regras de navegação e perfis de acesso: Algumas empresas podem optar por não realizar nenhum controle ou bloqueio dos websites acessadas pelos funcionários, downloads realizados, softwares de torrent, entre outros. A questão, neste tipo de cultura empresarial, pode refletir negativamente em algumas situações, tais como, funcionários improdutivos, elevado risco de infecção de vírus, trojan, malware, armazenamento de conteúdos indevidos (pornografia, pedofilia, racismo), etc.

A definição das regras de navegação e perfis de acesso, além de garantir um ambiente mais seguro, direciona os funcionários a acessarem e realizarem as atividades pertinentes às suas funções.

Geralmente são definidos alguns perfis de navegação  e neles são vinculadas as categorias de acesso permitido e quais categorias serão bloqueadas. Com os grupos definidos e as categorias de navegação vinculadas, é hora de planejar quais setores da organização e/ou quais funcionários serão vinculados em qual perfil de navegação.

É importante este planejamento ser definido com a alta direção e os gestores estarem alinhados neste processo, já que mudanças culturais e até comportamentais irão ocorrer na empresa. Algum descontentamento inicial por parte dos funcionários pode ocorrer, como exemplo: o Facebook sempre foi liberado e no dia seguinte está bloqueado.

Os funcionários irão recorrer aos gestores para solicitar a liberação e, se existir exceção sem critérios, em pouco tempo a exceção irá virar regra. Normalmente estas solicitações chegam de modo genérico, tais como: não estou conseguindo trabalhar, pois não consigo acessar mais nada. Os administradores do firewall devem estar preparados para lidar com este tipo de situação de forma tranquila e sem estresse.

Outro ponto importante a ser mencionado neste tipo de alinhamento e planejamento é que não existe um padrão a ser seguido. Se os gestores definirem que as categorias “entretenimento” e “redes sociais” serão liberadas para todos os perfis, não haverá problema algum, isso depende muito do foco e cultura de cada empresa.

Definir as regras de filtragem: As regras de filtragem do firewall irão definir e controlar todo o tráfego de informações que passa através do gateway, ou seja, se for definida uma regra com a origem “rede interna”, destino “Internet”, porta “80 e 443″ como liberada, esta estará permitindo os computadores, servidores e dispositivos a se conectarem ou acessarem qualquer website ou serviço que utilize uma destas portas, neste caso, a maioria dos web-servers na Internet.

Estas regras precisam ser definidas junto à área de negócios da empresa, já que computadores do financeiro, contabilidade e TI precisam do acesso liberado a todos os sites e sistemas do governo e prefeituras. Quando a empresa não sabe exatamente como definir estas regras, é interessante configurar o firewall somente para monitorar, sem bloquear nada. Desta forma, em algumas semanas é possível analisar, através de logs e relatórios, o tráfego realizado e em cima deste fazer as regras de liberação e bloqueio.

Regras de NATNetwork Address Translation (NAT), de forma bem simples, é o meio de comunicação dos IPs privados para se comunicarem com o mundo externo e vice-versa.

No planejamento das regras de NAT é definido, por exemplo, em qual dos links de Internet irá sair a navegação, ou ainda, quando a empresa possui sites, portais ou sistemas publicados na Internet, é através do NAT que se configura uma solicitação de acesso da Internet no IP Público pela porta XX que será direcionado ao servidor XYZ, o qual, normalmente, fica em um DMZ (Demilitarized Zone).

VPNVirtual Private Network (VPN) é a forma de comunicação entre dois meios, podendo ser matriz com a filial, parceiros ou funcionários externos. Com a VPN é possível, mesmo estando em outro local fisicamente, acessar as informações que estão dentro dos servidores da empresa. A VPN fecha um túnel criptografado para comunicação do cliente com o servidor. Para a definição destas VPNs, quem irá ter o acesso e como será realizado, deve ser analisada a viabilidade de realizar este serviço, já que para fechar uma VPN IPsec entre dois sites, o outro lado também precisa ter um firewall.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *