firewall-security-banner

Planejando a implementação de firewall

Neste artigo será tratado algumas dicas relacionadas ao planejamento para implementação de firewall de perímetro. Existe o firewall endpoint que é instalado em servidores e estações de trabalho no qual controla o tráfego local do ativo (somente o ponto de vista de entrada e saída), como o firewall do Windows ou firewall incorporado em antivírus corporativos.

A ideia deste artigo é tratar do firewall de perímetro que é o gateway para a Internet, no qual tem o objetivo de controlar todo o tráfego de dados e comunicação do ambiente interno com o externo (tanto o ponto de vista de entrada e saída, quanto os pacotes que passam por ele). Estamos falando de firewall corporativo que possui funções e recursos, tais como, VPN, controle de navegação, regras de filtragem, controles de acesso externo, logs, proxy http e https, entre outros.

Quando existe a demanda de realizar este tipo de implementação, é fundamental entender o ambiente da empresa e se já existe outro firewall realizando este serviço. Se a empresa já possui um firewall de perímetro e pretende atualizar por uma versão mais nova, ou adquirir outro com mais recursos e capacidade de gerenciamento, o trabalho de planejamento da implementação se torna, de certa forma, mais fácil de ser realizado, pelo fato das regras e configurações do ambiente já estarem prontas, podendo assim analisar o antigo firewall, apresentar para o gestor as configurações atuais e, em cima disto, realizar os ajustes, melhorias e aplicar no novo firewall. Um simples trabalho de transpor regras, nunca é eficiente, pois na administração de firewalls, muitas das regras acabam sendo colocadas de forma emergencial e ficam sobressalentes, algumas regras os administradores nem sabem para que serve e ela permanece ativa, e isso vai deixando o firewall cada vez menos confiável, e agora é a melhor hora para reorganizar tudo.

Já empresas que não possuem um firewall de perímetro, nas quais toda a navegação é realizada pelos usuários sem controle algum, e não existe conhecimento do tráfego que é realizado entre os ativos de TI e a Internet e vice-versa, o trabalho de planejamento se torna mais efetivo e necessário, já que uma implementação sem este alinhamento inicial, com certeza irá impactar toda operação da empresa e gerar descontentamento dos serviços realizados.

A seguir algumas etapas que podem ser utilizadas para um planejamento efetivo na hora da implementação do firewall, com maior destaque para “definir as regras de navegação e perfis de acesso”:

  • Definir as regras de navegação e perfis de acesso: Algumas empresas podem optar por não realizar nenhum controle ou bloqueio dos websites acessadas pelos funcionários, downloads realizados, softwares de torrent, entre outros. A questão, neste tipo de cultura empresarial, pode refletir negativamente em algumas situações, tais como, funcionários improdutivos, elevado risco de infecção de vírus, trojan, malware, armazenamento de conteúdo indevidos, entre eles, pornografia, pedofilia, racismo, que, se detectados pela polícia, quem irá responder criminalmente é o detentor do IP público do local de armazenamento, neste caso, a empresa.

A definição das regras de navegação e perfis de acesso além de garantir um ambiente mais seguro, direciona os funcionários a acessarem e realizarem as atividades pertinentes à função. Os firewall atuais possuem categorias de navegação no qual facilita o gerenciamento das páginas que podem ou não ser acessadas pelos funcionários. Exemplo: na categoria “governo” estão as páginas relacionadas ao governo, prefeituras, órgãos públicos. Na categoria “entretenimento” estão sites como Uol, Globo, Terra. Na categoria “rede social” estão vinculados facebook, twitter, linkedin. Dependendo do fabricante do firewall podem existir dezenas ou centenas de categorias.

Geralmente é definido alguns perfis de navegação, em torno de 3 ou 4, e neles são vinculadas as categorias de acesso permitido e quais categorias serão bloqueadas. Com os grupos definidos e as categorias de navegação vinculadas, é hora de planejar quais setores da organização e/ou quais funcionários serão vinculados em qual perfil de navegação.

É importante este planejamento ser definido com a alta direção, e os gestores estarem alinhados neste processo, já que mudanças culturais e até comportamentais irão ocorrer na empresa. Algum descontentamento inicial por parte dos funcionários pode ocorrer, como exemplo: O facebook sempre foi liberado e no dia seguinte está bloqueado. Os funcionários irão recorrer aos gestores para solicitar a liberação, e se existir exceção sem critérios, em pouco tempo a exceção irá virar regra, normalmente estas solicitações chegam de modo genérico, como, não estou conseguindo trabalhar pois não consigo acessar mais nada, portanto os administradores do firewall devem estar preparados para lidar com este tipo de situação de forma tranquila e sem stresse.

Outro ponto importante a ser mencionado neste tipo de alinhamento e planejamento é que não existe um padrão a ser seguido, se os gestores definirem que as categorias “entretenimento” e “redes sociais” serão liberadas para todos os perfis, não haverá problema algum, isso depende muito do foco e cultura de cada empresa.

  • Definir as regras de filtragem: As regras de filtragem do firewall irão definir e controlar todo o tráfego de informações que passa através do gateway, ou seja, se for definido uma regra com a origem “rede interna”, destino “Internet”, porta “80 e 443” como liberada, estará permitindo os computadores, servidores, dispositivos a se conectarem ou acessarem qualquer website ou serviço que utilize uma destas portas, neste caso, a maioria dos web-servers na Internet.

Estas regras precisam ser definidas junto à área de negócio da empresa, já que computadores do financeiro, contabilidade, TI precisam do acesso liberado a todos os sites e sistemas do governo e prefeituras. Quando a empresa não sabe exatamente como definir estas regras, é interessante configurar o firewall somente para monitorar, sem bloquear nada. Desta forma, em algumas semanas é possível analisar, através de logs e relatórios, o tráfego realizado e em cima deste fazer as regras de liberação e bloqueio.

  • Regras de NAT: Network Address Translation (NAT), de forma bem simples, é o meio de comunicação dos IP privados se comunicarem com o mundo externo e vice-versa, não é o objetivo deste artigo apresentar conceitualmente o que é um NAT e suas formas de configuração.

No planejamento das regras de NAT é definido, por exemplo, em qual dos links de Internet irá sair a navegação, ou ainda, quando a empresa possui sites, portais ou sistemas publicados na Internet, é através do NAT que se configura uma solicitação de acesso da Internet no IP Público pela porta XX que será direcionado ao servidor XYZ, o qual, normalmente, fica em um DMZ (Demilitarized Zone).

  • VPN: Virtual Private Network (VPN) é a forma de comunicação entre dois meios, podendo ser matriz com a filial, parceiros ou funcionários externos. Com a VPN é possível, mesmo estando em outro local fisicamente, acessar as informações que estão dentro dos servidores da empresa. A VPN fecha um túnel criptografado para comunicação do cliente com o servidor. Para a definição destas VPNs, quem irá ter o acesso e como será realizado, deve ser analisada a viabilidade de realizar este serviço, já que para fechar uma VPN IPsec entre dois sites, o outro lado também precisa ter um firewall.

Os tópicos apresentados anteriormente, retratando algumas dicas e formas de se planejar uma implementação de firewall de forma eficiente e com os impactos e riscos acordados e definidos com a alta direção. Existe ainda alguns outros pontos que poderiam ser abordados, tais como, analisar se a empresa tem perspectiva de crescimento de funcionários, novos negócios, filiais, já que o firewall também é dimensionado em cima destes pontos.

Para não ficar muito extenso e cansativo este artigo, será finalizado com a seguinte frase “Diante da possibilidade de terem que responder judicialmente por eventuais atividades ilícitas de clientes na internet, estabelecimentos que fornecem acesso Wi-Fi gratuito formulam estratégias de blindagem, que passam pelo armazenamento de informações de clientes e pelo monitoramento do que é acessado em suas redes.” Disponível em: http://www.bitcom.psi.br/portal/noticia/691/empresas-blindam-wi-fi-para-evitar-acoes-na-justica-por-crimes-na-rede.

Revisado por: Schubert Baliza

The following two tabs change content below.
Fundador da PDCA TI - Consultoria & Treinamentos. Atuação nos clientes de diversos segmentos e porte, visando a análise e evolução do nível de maturidade dos processos das áreas de Tecnologia da Informação (Governança de TI, Gestão de TI e Infraestrutura) e Segurança da Informação. Palestrante em diversos fóruns, empresas e universidades. Professor dos cursos online e presenciais promovidos pela PDCA TI. Maiores informações, acesse o site www.pdcati.com.br. Graduado em Sistemas de Informação; Pós-graduado em Governança de TI; MBA em Gestão da Segurança da Informação. Certificações: ITIL v3; COBIT; ISO 20000; ISO 27002; Amazon Contato: [email protected]

Latest posts by Gustavo de Castro Rafael (see all)

Deixe uma resposta