Neste artigo será tratado algumas dicas relacionadas ao planejamento para implementação de firewall de perímetro. Existe o firewall endpoint que é instalado em servidores e estações de trabalho no qual controla o tráfego local do ativo (somente o ponto de vista de entrada e saída), como o firewall do Windows ou firewall incorporado em antivírus corporativos.
A ideia deste artigo é tratar do firewall de perímetro que é o gateway para a Internet, no qual tem o objetivo de controlar todo o tráfego de dados e comunicação do ambiente interno com o externo (tanto o ponto de vista de entrada e saída, quanto os pacotes que passam por ele). Estamos falando de firewall corporativo que possui funções e recursos, tais como, VPN, controle de navegação, regras de filtragem, controles de acesso externo, logs, proxy http e https, entre outros.
Quando existe a demanda de realizar este tipo de implementação, é fundamental entender o ambiente da empresa e se já existe outro firewall realizando este serviço. Se a empresa já possui um firewall de perímetro e pretende atualizar por uma versão mais nova, ou adquirir outro com mais recursos e capacidade de gerenciamento, o trabalho de planejamento da implementação se torna, de certa forma, mais fácil de ser realizado, pelo fato das regras e configurações do ambiente já estarem prontas, podendo assim analisar o antigo firewall, apresentar para o gestor as configurações atuais e, em cima disto, realizar os ajustes, melhorias e aplicar no novo firewall. Um simples trabalho de transpor regras, nunca é eficiente, pois na administração de firewalls, muitas das regras acabam sendo colocadas de forma emergencial e ficam sobressalentes, algumas regras os administradores nem sabem para que serve e ela permanece ativa, e isso vai deixando o firewall cada vez menos confiável, e agora é a melhor hora para reorganizar tudo.
Já empresas que não possuem um firewall de perímetro, nas quais toda a navegação é realizada pelos usuários sem controle algum, e não existe conhecimento do tráfego que é realizado entre os ativos de TI e a Internet e vice-versa, o trabalho de planejamento se torna mais efetivo e necessário, já que uma implementação sem este alinhamento inicial, com certeza irá impactar toda operação da empresa e gerar descontentamento dos serviços realizados.
A seguir algumas etapas que podem ser utilizadas para um planejamento efetivo na hora da implementação do firewall, com maior destaque para “definir as regras de navegação e perfis de acesso”:
A definição das regras de navegação e perfis de acesso além de garantir um ambiente mais seguro, direciona os funcionários a acessarem e realizarem as atividades pertinentes à função. Os firewall atuais possuem categorias de navegação no qual facilita o gerenciamento das páginas que podem ou não ser acessadas pelos funcionários. Exemplo: na categoria “governo” estão as páginas relacionadas ao governo, prefeituras, órgãos públicos. Na categoria “entretenimento” estão sites como Uol, Globo, Terra. Na categoria “rede social” estão vinculados Facebook, Twitter, LinkedIn. Dependendo do fabricante do firewall podem existir dezenas ou centenas de categorias.
Geralmente é definido alguns perfis de navegação, em torno de 3 ou 4, e neles são vinculadas as categorias de acesso permitido e quais categorias serão bloqueadas. Com os grupos definidos e as categorias de navegação vinculadas, é hora de planejar quais setores da organização e/ou quais funcionários serão vinculados em qual perfil de navegação.
É importante este planejamento ser definido com a alta direção, e os gestores estarem alinhados neste processo, já que mudanças culturais e até comportamentais irão ocorrer na empresa. Algum descontentamento inicial por parte dos funcionários pode ocorrer, como exemplo: O Facebook sempre foi liberado e no dia seguinte está bloqueado. Os funcionários irão recorrer aos gestores para solicitar a liberação, e se existir exceção sem critérios, em pouco tempo a exceção irá virar regra, normalmente estas solicitações chegam de modo genérico, como, não estou conseguindo trabalhar pois não consigo acessar mais nada, portanto os administradores do firewall devem estar preparados para lidar com este tipo de situação de forma tranquila e sem stresse.
Outro ponto importante a ser mencionado neste tipo de alinhamento e planejamento é que não existe um padrão a ser seguido, se os gestores definirem que as categorias “entretenimento” e “redes sociais” serão liberadas para todos os perfis, não haverá problema algum, isso depende muito do foco e cultura de cada empresa.
Estas regras precisam ser definidas junto à área de negócio da empresa, já que computadores do financeiro, contabilidade, TI precisam do acesso liberado a todos os sites e sistemas do governo e prefeituras. Quando a empresa não sabe exatamente como definir estas regras, é interessante configurar o firewall somente para monitorar, sem bloquear nada. Desta forma, em algumas semanas é possível analisar, através de logs e relatórios, o tráfego realizado e em cima deste fazer as regras de liberação e bloqueio.
No planejamento das regras de NAT é definido, por exemplo, em qual dos links de Internet irá sair a navegação, ou ainda, quando a empresa possui sites, portais ou sistemas publicados na Internet, é através do NAT que se configura uma solicitação de acesso da Internet no IP Público pela porta XX que será direcionado ao servidor XYZ, o qual, normalmente, fica em um DMZ (Demilitarized Zone).
Os tópicos apresentados anteriormente, retratando algumas dicas e formas de se planejar uma implementação de firewall de forma eficiente e com os impactos e riscos acordados e definidos com a alta direção. Existe ainda alguns outros pontos que poderiam ser abordados, tais como, analisar se a empresa tem perspectiva de crescimento de funcionários, novos negócios, filiais, já que o firewall também é dimensionado em cima destes pontos.
Para não ficar muito extenso e cansativo este artigo, será finalizado com a seguinte frase “Diante da possibilidade de terem que responder judicialmente por eventuais atividades ilícitas de clientes na internet, estabelecimentos que fornecem acesso Wi-Fi gratuito formulam estratégias de blindagem, que passam pelo armazenamento de informações de clientes e pelo monitoramento do que é acessado em suas redes.” Disponível em: http://www.bitcom.psi.br/portal/noticia/691/empresas-blindam-wi-fi-para-evitar-acoes-na-justica-por-crimes-na-rede.
Revisado por: Schubert Baliza
[Crédito da Imagem: Firewall – ShutterStock]
Fundador da PDCA TI - Consultoria & Treinamentos. Site: https://www.pdcati.com.br Atuação em clientes de diversos segmentos e porte, visando a análise e evolução do nível de maturidade dos processos das áreas de Tecnologia da Informação (Governança de TI, Gestão de TI e Infraestrutura) e Segurança da Informação. Palestrante em diversos fóruns, empresas e universidades. Mais informações, acesse o site https://www.pdcati.com.br. CV: Graduado em Sistemas de Informação; Pós-graduado em Governança de TI; MBA em Gestão da Segurança da Informação. Certificações: ITIL v3; COBIT; ISO 20K; ISO 27K1; DPO Contato: gustavo.castro@pdcati.com.br
You must be logged in to post a comment.
