Consideração de solução 7min de Leitura - 21 de junho de 2016

Implantação de firewalls, confira as boas práticas

Close em mãos digitando em um teclado preto de computador.

This post is also available in: Português English Español

Os termos e conceitos associados a firewall sofreram grandes transformações ao longo dos últimos anos, de forma que um simples filtro de pacotes nas primeiras gerações, passou na atualidade para uma complexa arquitetura de segurança, composta por várias outras características, como detecção e prevenção de intrusão, antivírus, DLP, controle de aplicação, gerenciamento web baseado em categorias, e tantas outras.

Por conta dessas evoluções, a complexidade de implantação de firewalls mudou consideravelmente e exige um conhecimento muito mais amplo das tecnologias do que antes. A boa notícia é que apesar disso, as boas práticas continuam atendendo de forma plena, independente da especificidade das tecnologias aplicadas.

Nesse post iremos abordar boas práticas para a implantação de firewalls, seja ele utilizando uma arquitetura aberta, de menor complexidade, ou estruturas fechadas de alta complexidade. O que vai alterar, é claro, será a profundidade que você pode dar em cada um dos temas, de acordo com a exigência e maturidade do seu negócio em segurança da informação.

Embora nosso objetivo seja abordar as boas práticas de implantação, antes disso não esqueça que existe em muitos casos o processo de aquisição ou mudança da tecnologia atual, para isso, recomendamos fortemente nosso e-book 10 dicas essenciais para aquisição de firewalls, que você pode acessar clicando aqui.

Itens associados ao processo de implantação de firewalls

Política ou diretriz de segurança

Por mais clichê que isso possa parecer, a implantação de um ativo de segurança sem uma definição prévia de sua parametrização é um aspecto que mais frustra quem está envolvido em projetos desta natureza.

Portanto, por mais simples que seja o seu negócio ou sua necessidade de segurança, estabeleça os critérios mínimos para operação da solução. Caso você tenha dúvidas neste sentido, criamos uma checklist que pode ajudar bastante nesse processo, basta clicar aqui.

Com base no resultado dessa etapa, você terá definido aquilo que deseja da solução e como ela deve se comportar para proteger o ambiente. Alguns dos aspectos abordados pela checklist também estarão nesse post.

Defina uma política padrão

A política padrão nada mais é do que a ação que será tomada caso um determinado pacote ou tráfego atravesse o firewall sem que tenha uma regra prevendo seu comportamento. Neste caso, embora com algumas variantes, de maneira geral o tráfego pode ser liberado ou bloqueado.

Uma política padrão restritiva assume como regra que tudo será bloqueado, exceto aquilo que estiver contemplado nas regras de permissão. De modo contrário, uma política permissiva, libera absolutamente tudo, exceto o que for configurado nas regras de bloqueio.

Obviamente que o ideal é trabalhar com uma política restritiva, mas isso costuma, infelizmente, ser uma dor de cabeça, com muitos acessos legítimos sendo bloqueados, em função de não haver um mapeamento correto das aplicações que devem ser permitidas para o negócio.

Por conta disso, muitos acabam optando por trabalhar com uma política permissiva, bloqueando os acessos conforme necessidade. Isso para alguns casos pode parecer interessante, no entanto, é importante registrar que não tem como bloquear o desconhecido. Nesse sentido, essa política é muito mais propensa a problemas e bypass na estrutura.

Dica: a complexidade de gerenciamento de acessos de algumas aplicações na internet é um desafio para ambas as políticas, e em qualquer produto. Portanto, antes de mais nada, faça uma lista daquilo que deve funcionar sempre em sua estrutura, valide com o fornecedor, teste, e depois replique para a produção, afetando todos os usuários.

Não exponha serviços privados sem VPN

É muito comum que o perímetro das empresas hoje seja totalmente móvel, pois mesmo usuários fora de sua estrutura, precisam estar conectados e utilizando sistemas internos para realizar suas atividades.

Essa mobilidade é um elemento fantástico, mas precisa ser muito bem pensada para não expor a empresa de maneira desnecessária para a internet. Pela facilidade, é tentador que existam redirecionamentos de porta públicos para serviços privados, ou de acesso limitado, como é o caso de serviços de terminal, como o RDS/WTS da Microsoft.

Antes de oferecer de qualquer maneira os acessos externos da empresa, seja para colaboradores em trânsito, ou até mesmo para fornecedores que precisam realizar alguma manutenção remota, não faça isso sem qualquer consideração de segurança.

Aqui definimos claramente para que o uso seja com VPN, e isso é uma boa prática caso você precise oferecer serviços privados internos com segurança para quem está na internet. Com isso, você garante não somente segurança no acesso, mas também controle de quem está conectando, entre outras facilidades.

Garanta o não-repúdio nos acessos internos ou externos

Não-repúdio é um elemento fundamental em uma estrutura de segurança e basicamente significa você criar mecanismos pelos quais um usuário pode ser identificado unicamente, de forma segura, sem que o mesmo possa alegar que não fez determinada ação ou acesso.

Traduzindo isso para uma boa prática de implantação de firewalls queremos ressaltar a importância de trabalhar com autenticação ou identificação única de usuários, abstraindo o controle de acessos por equipamento.

Crie uma estrutura de autenticação, preferencialmente centralizada, e integre a solução de firewall de forma a garantir que os acessos à internet, tanto de dentro para fora como vice-versa, seja devidamente autenticado.

Isso garantirá mais segurança, rastreabilidade diante de sinistros, entre outras facilidades importantes de acompanhamento de uso e conformidade com a política de segurança do seu negócio.

Construa uma política de acesso segura para visitantes

Oferecer acesso à internet para visitantes em sua empresa é algo altamente comum, mas que se realizado de maneira inadequada pode trazer grandes problemas. Cliente, fornecedores e visitantes de todos os tipos, inevitavelmente, solicitarão acesso à internet, durante a passagem por sua empresa, portanto é melhor criar um ambiente adequado para isso.

Essa estrutura deve ficar lógica ou fisicamente separada da estrutura de produção de sua empresa. Os motivos são diversos, mas o principal deles é que você não tem controle sobre o dispositivo, e portanto, não tem como aferir a segurança do mesmo.

Um dispositivo externo pode trazer ameaças intencionais ou oportunistas para dentro da sua estrutura, por conta disso é tão importante fazer essa separação para evitar potenciais problemas, pois diferente dos colaboradores, a relação e responsabilidade em caso de um sinistro é bem diferente.

Outro ponto a ser ressaltado para estas redes é garantir a rastreabilidade dos usuários. Isso significa que você precisa de algum mecanismo, como um portal cativo, que vai garantir que em caso de alguma necessidade seja possível associar um acesso inadequado a um visitante.

Conheça mais um pouco sobre Portal Cativo, temos um conjunto de posts publicados a este respeito:

Benefícios do portal cativo para gestão de autenticação

Hotspots e os desafios de conformidade com o Marco Civil

Crie políticas de acesso por grupos de interesse

Construir uma política única que atenda o interesse de todos em uma empresa pode ser muito complexo e não satisfazer, ou até mesmo prejudicar, a produtividade de determinados colaboradores.

Por conta disso, na hora de definir sua política e implantar seu firewall, verifique a possibilidade de criar políticas de acesso baseada em grupos, que podem ser departamentos, cargos ou aquilo que for mais conveniente para que você consiga combinar segurança com produtividade.

Políticas de acesso muito restritas podem trazer problemas, em especial de produtividade para colaboradores, além de também em muitos casos acabar afetando a motivação.

Infelizmente nem todo setor pode ter acesso flexibilizado, em muitos casos a política precisa ser muito rígida e aplicada de forma horizontal. E isso é bastante aceitável em determinados setores, onde gerenciar exceções pode ser um risco muito grande para todo negócio.

Utilize uma DMZ ou rede privada para serviços públicos

Se sua empresa oferece algum tipo de serviço público para a internet, como um portal de vendedores, parceiros, serviço de e-mails e site, crie uma rede separada para os mesmos e faça com que o firewall regulamente os acessos entre suas redes internas.

Isso é uma medida básica e extremamente funcional para segurança, pois uma vez que algum serviço de uma DMZ for comprometido, o atacante não está em suas redes administrativas, nem tampouco conseguirá acesso por que o firewall não permitirá que esta rede gere conexões para os segmentos internos.

Uma vez que a DMZ esteja comprometida, o atacante poderá somente escalar para outros serviços ou equipamentos da DMZ, o que acaba garantindo que serviços internos, como banco de dados e outras aplicações sensíveis, não sejam afetados.

Crie um processo de gerenciamento de mudança no firewall

Um dos pontos mais complicados de uma boa gestão de segurança da informação é garantir a qualidade e conformidade do que foi implantado ao longo do tempo. Portanto, crie um processo básico de gerenciamento de mudança.

Isso garantirá que qualquer necessidade de mudança na política deverá passar por uma análise básica de viabilidade e risco, e com base nisso será gerado uma requisição de mudança que deverá atualizar sua documentação ou política.

Acredite, no tempo isso faz uma diferença fundamental, especialmente por que o conhecimento fica na empresa, e não necessariamente nas pessoas ou fornecedores que estão, naquele momento, envolvidos nestas atividades.

Acompanhe o comportamento da rede e atualize as políticas de acesso

Uma política não deve ser algo imutável, especialmente no início de sua implantação e alinhamento com o firewall, pois muitas informações passarão a vir a partir disso. Neste caso, em negócios onde não há um recurso tecnológico aplicado, é comum colocar o firewall com política permissiva nos primeiros dias ou semanas, justamente para coletar informações e perfis de acesso que possam auxiliar na construção das próprias diretrizes.

O importante é ter um processo definido de acompanhamento da utilização da rede, dos incidentes de segurança e atualizar as políticas de acesso de acordo com a necessidade, equilibrando o propósito de segurança com a funcionalidade de toda a exigência do negócio.

Se sua empresa tiver uma equipe dedicada de segurança, ótimo, isso deve ser um processo diário através de um SOC/SIEM. Caso não tenha, um acompanhamento regular é interessante. Ou ainda, se a solução permitir, receber os reports por e-mail é suficiente para o acompanhamento do ambiente.

Auditoria

De forma mais incisiva do que o acompanhamento do comportamento da rede, um processo de auditoria não é necessariamente uma boa prática de implantação, mas é um procedimento recorrente que você deve utilizar em sua estrutura de segurança.

A auditoria vai garantir a conformidade de sua política com os seus ativos de segurança ao longo do tempo, e caso esteja em desconformidade, ou os procedimentos devem ser atualizados, ou itens inseridos devem ser devidamente removidos.

O trabalho de auditoria pode ser realizado internamente, mas dependendo do tipo de negócio, pode ser exigida auditoria externa. Nesses casos, em mercados regulados ou que tenham maior exigência, o compliance acaba sendo, naturalmente, bem mais aderente.

Independentemente do tamanho e maturidade do seu negócio em segurança, essas boas práticas são essenciais para um grande sucesso em gestão de segurança em dispositivos de firewall, e que em alguns casos, pode também ser estendidas para outros ativos.

Em conjunto com nossa checklist para construção de políticas/diretrizes de uso da internet, temos certeza que seu projeto será um grande sucesso. Fique a vontade para adicionar comentários ou até mesmo contatar nossa equipe comercial.

This post is also available in: Português English Español