Planejando a implementação de Firewall

Neste artigo será tratado algumas dicas relacionadas ao planejamento para implementação de firewall de perímetro. Existe o firewall de endpoint que é instalado em servidores e estações de trabalho, o qual controla o tráfego local do ativo, como o firewall do Windows ou firewall incorporado em antivírus corporativos.

O intuito deste artigo é tratar do firewall de perímetro, o qual tem o objetivo de controlar todo o tráfego de dados e comunicação do ambiente interno com o externo. Estamos falando de firewall corporativo que possui funções e recursos, tais como, VPN, controle de navegação, regras de filtragem, controles de acesso externo, logs, proxy http e https, entre outros.

Quando existe a demanda de realizar este tipo de serviço é fundamental entender o ambiente da empresa, e se já existe outro firewall realizando estas atividades. Se a empresa já possui um firewall de perímetro e pretende atualizar por uma versão mais nova, ou adquirir outro com mais recursos e capacidade de gerenciamento, o trabalho de planejamento se torna, de certa forma, mais fácil de ser realizado, pelo fato das regras e configurações do ambiente já estarem prontas, podendo assim, analisar o antigo firewall, apresentar para o gestor as configurações atuais e, em cima deste trabalho, realizar os ajustes, melhorias que serão aplicadas no novo firewall.

Já empresas que não possuem um firewall de perímetro, nas quais toda a navegação é realizada pelos usuários sem controle algum, e não existe conhecimento do tráfego que é realizado entre os ativos de TI e a Internet e vice-versa, o trabalho de planejamento se torna mais efetivo e necessário, visto que, uma implementação sem este planejamento, poderá impactar toda a operação da empresa e gerar descontentamento dos serviços realizados.

A seguir algumas etapas que podem ser utilizadas para um planejamento efetivo na hora da implementação do firewall, com maior destaque para “definir as regras de navegação e perfis de acesso”:

  • Definir as regras de navegação e perfis de acesso: Algumas empresas podem optar por não realizar nenhum controle ou bloqueio das páginas acessadas pelos funcionários, downloads realizados, softwares de torrent, entre outros. A questão, neste tipo de cultura empresarial, pode refletir negativamente em algumas situações, tais como, baixa produtividade, elevado risco de pragas virtuais (vírus, trojan, malware, worm), armazenamento de conteúdo indevidos, entre eles, pornografia, pedofilia, conteúdo com direitos autorais, que, se detectados pela polícia, ou através de denúncias, quem irá responder criminalmente é o IP público do local de armazenamento, neste caso, a empresa.

A definição das regras de navegação e perfis de acesso, além de garantir um ambiente mais seguro, direciona os funcionários a acessarem e realizarem as atividades pertinentes as funções. Os firewalls atuais possuem categorias de navegação, os quais facilitam o gerenciamento das páginas que podem ou não ser acessadas. Exemplo: na categoria “governo” estão as páginas relacionadas ao governo, prefeituras, órgãos públicos. Na categoria “entretenimento” estão sites como Uol, Globo, Terra. Na categoria “rede social” estão vinculados facebook, twitter, linkedin. Dependendo do fabricante do firewall podem existir dezenas ou centenas de categorias.

Geralmente é definido alguns perfis de navegação, em torno de 3 ou 4, e neles são vinculadas as categorias de acesso permitido e quais categorias serão bloqueadas. Com os grupos definidos e as categorias de navegação vinculadas, é hora de planejar quais setores da organização serão vinculados em qual perfil de navegação.

É importante este planejamento ser definido com a alta direção, e os gestores estarem integrados neste processo, já que mudanças culturais e até comportamentais irão ocorrer na empresa. Algum descontentamento inicial por parte dos funcionários pode ocorrer, como exemplo: O facebook sempre foi liberado e no dia seguinte está bloqueado. Os funcionários irão recorrer aos gestores para solicitar a liberação, e se existir exceção sem critério, em pouco tempo a exceção irá virar regra.

Outro ponto importante a ser mencionado neste tipo de alinhamento e planejamento é que não existe um padrão a ser seguido, se os gestores definirem que as categorias “entretenimento” e “redes sociais” serão liberadas para todos os perfis, não haverá problema algum.

  • Definir as regras de filtragem: As regras de filtragem do firewall irão definir e controlar todo o tráfego de entrada e saída das informações, ou seja, se for definida uma regra com a origem “rede interna”, destino “0.0.0.0/0”, porta “80 e 443” como liberada, estará permitindo que computadores, servidores, dispositivos acessem qualquer coisa através destas duas portas, neste caso, a navegação para Internet.

Estas regras precisam ser definidas junto à área de negócio da empresa, já que computadores do financeiro, contabilidade, por exemplo, precisam do acesso liberado a sites e sistemas do governo, prefeituras e bancos. Quando a empresa não sabe exatamente como definir estas regras, é interessante configurar o firewall somente para monitorar, sem bloquear nada. Desta forma, em algumas semanas é possível analisar, através de logs e relatórios, o tráfego realizado e, em cima deste, fazer as regras de liberação e bloqueio.

  • Regras de NAT: Network Address Translation (NAT), de forma bem simples, é o meio de comunicação que os IPs privados realizam para se comunicarem com o mundo externo e vice-versa. Não é o objetivo deste artigo apresentar conceitualmente o que é um NAT e suas formas de configuração.

No planejamento das regras de NAT é definido, por exemplo, em qual dos links de Internet irá sair a navegação, ou ainda, quando a empresa possui sites, portais ou sistemas publicados na Internet, é através do NAT que se configura uma solicitação de acesso da Internet no IP Público pela porta XX que será direcionado ao servidor XYZ que, normalmente, fica em um DMZ (Demilitarized Zone).

  • VPN: Virtual Private Network (VPN) é a forma de comunicação entre dois meios, podendo ser matriz com a filial, parceiros ou funcionários externos. Com a VPN é possível, mesmo estando em outro local fisicamente, acessar as informações que estão dentro dos servidores. A VPN fecha um túnel criptografado para comunicação do cliente com o servidor. Para a definição destas VPNs, quem irá ter o acesso e como será realizado, deve ser analisada a viabilidade deste serviço, já que para fechar uma VPN IPsec o outro lado também precisa ter um firewall. Um segundo ponto é analisar com os gestores e RH estes acessos, visto que, poderá caracterizar hora extra de trabalho.
  • Registro de logs: Com a aprovação do Marco Civil da Internet, as empresas estão obrigadas a armazenarem por um período específico (dependendo da atividade) os logs de acesso das aplicações publicadas na Internet. Antes do Marco Civil, este recurso era visto como secundário na escolha do firewall. Hoje em dia, tem que levar em consideração como prioridade na escolha do equipamento.

Os tópicos apresentados anteriormente retrataram algumas dicas e formas de se planejar uma implementação de firewall de forma eficiente e os riscos acordados e definidos com a alta direção. Existem ainda alguns outros pontos que poderiam ser abordados, tais como, analisar se a empresa tem perspectiva de crescimento de funcionários, novos negócios, filiais, já que o firewall também é dimensionado em cima destes pontos.

Para finalizar o artigo, é recomendável que estes critérios de navegação, utilização de Internet, VPN, entre outros, estejam devidamente formalizados em normas específicas, tais como, Uso da Internet, Acesso Externo e/ou na Política de Segurança da Informação (PSI).

Obrigado!

Imagem by: http://groundbreakerz.com/

Gustavo de Castro Rafael

Fundador da PDCA TI – Consultoria & Treinamentos. Consultor com mais de 7 anos de experiência nas áreas de Governança de TI, Gestão de TI e Segurança da Informação. Responsável por diversos projetos em empresas de médio e grande porte nos setores de saúde, industrial, alimentício, financeiro, sucroenergético e serviços.


Artigo com publicação autorizada nos sites: itfriends.org, profissionaisti.com.br, tiespecialistas.com.br e Linkedin

Posted in Segurança da Informação and tagged , , , , , , , .

One Comment

  1. Pingback: IT Friends .org - A força dos amigos de TI traduzida em conhecimento prático e teórico da Tecnologia da Informação. | Qual é o próximo passo para área de TI e Segurança da Informação?

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *