Quais são as melhores regras para colocar no seu firewall de modo que não prejudique o negócio da empresa? É muito importante que você tenha sempre à mão toda a documentação de sua rede e um diagrama completo, incluindo todos os IP’s externos e suas rotas.
SERVIÇOS
A primeira coisa a fazer é conhecer todos os serviços que rodam na sua rede, tais como e-mail, FTP, HTTP, HTTPS, webmail, BlackBerry, VPN etc., incluindo as portas TCP e os servidores responsáveis por cada um dos serviços.
DEFINIÇÃO DE REGRA
Um serviço essencial na rede e que muitos administradores esquecem é de adicionar a liberação no firewall à porta 53 do serviço de DNS. Este serviço é fundamental, principalmente para empresas que possuem um servidor de e-mail e website.
As regras são identificadas pelos Firewalls como regras de Interna para Externa (LAN to WAN) e regras da Externa para Interna (WAN to LAN) e cada uma delas inclui os serviços correspondentes. Alguns firewalls permitem criar grupos para os serviços de sua rede, com isso facilitando a criação das regras pelo administrador de rede.
REGRAS DA INTERNA PARA EXTERNA
As portas TCP que podem ser liberadas e continuar mantendo a segurança da sua rede são: porta de FTP, HTTP, HTTPS e serviço de e-mail, como o BlackBerry 3101. A minha sugestão é que você bloqueie a porta 110 (POP3) caso o servidor de correio não a utilize. Esta porta permite que os usuários de sua rede possam baixar mensagens particulares utilizando algum software de correio eletrônico, sendo que a maioria dos servidores de e-mail trabalha apenas utilizando SMTP e IMAP.
Para última regra é sempre recomendado colocar uma regra negando todos os serviços e portas.
REGRAS DE EXTERNA PARA INTERNA
Essas regras são fundamentais para os serviços funcionarem corretamente. Elas não podem ser soltas e não devem possuir nenhum redirecionamento para os servidores correspondentes a cada serviço de sua rede. Caso possua um servidor que tenha o serviço de FTP, redirecione todo tráfego da porta 21 para o IP do servidor correspondente. Faça o mesmo para o BlackBerry e os demais serviços. Caso a empresa possua também um servidor que hospede a página web, redirecione todo o tráfego HTTP (80, 8080) ou HTTPS (443) para o servidor correspondente.
Para última regra é sempre recomendado colocar uma regra negando todos os serviços e portas.
DICA
Evite regras excessivas e teste cada uma delas. As regras de Externa para Interna são muito importantes. Coloque uma para cada serviço de sua rede. Por exemplo: jamais libere a porta 23 ou 21 que não sejam redirecionados para o servidor correspondente. Também não faz sentido liberar o serviço HTTPS (443) de externa para interna se não possuir algum servidor que tenha SSL ativo.
Muitas empresas possuem usuários que precisam enviar arquivos para Receita Federal. Neste caso, a minha sugestão é identificar a qual IP e porta que o programa da Receita Federal está tentando se conectar (netstat -aon) e liberar somente esse IP e porta específica.
Com isso, as regras bem definidas evitarão invasões por hackers.
Até mais…
Excelentes dicas, apenas complementando, no caso da Receita Federal, o programa Receita Net utiliza a porta 3456, assim, para dar acesso à rede local aos serviço da Receita (na Internet), deixo essa porta aberta (Interna para Externa). Um bom programa para verificar as conexões estabelecidas em tempo real é o iptstate, que pode ser instalado através do comando apt-get install iptstate.
Outra dica, após configurar o firewall, sempre é bom verificar as configurações estão funcionando como esperado, para isso podemos usar o comando nmap -sS IP_DO_SERVIDOR através de uma conexão externa. Somente as portas que deixamos abertas no firewall deverão ser listadas.
Abraços,
Tarcísio.
Obrigado… Tarcisio
[...] a) Falta de documentação do Firewall e Regras claras; [...]
[...] sem analisar qual será o impacto da nova regra em seu ambiente, já mencionei a importância Melhores Regras para Firewall e também Melhores Pratica para o [...]
[...] 9) Melhores Regras para Firewall [...]
estou desenvolvendo um tcc sobre geracao de regras de firewall e políticas de segurança, mas nao encontro em lugar algum como fazer esta conversão. fala-se muito sobre ps e fw isoladamente, mas a ponte entre os dois nao há material(se há nao os encontro). pelo que li voce é administrador de rede. sua empresa possui PS? como voce gera as regras do firewall? baseado apenas na análise de risco, ameaça, grau de impacto…? se for possivel é possivel me passares teu email para conversamos um pouco sobre este assunto?
[]s
@Arthur
segue: contato@vivenciaemtecnologia.com