Segurança da Informação

Ξ Deixe um comentário

Receita de bolo para instalação de UTM / Firewall

publicado por Rogerio Barberi

Receita de Bolo FirewallApós dezenas de projetos e instalações bem-sucedidas de firewall, boa parte dessas horas de voo dedicada ao UTM da Sophos -que ainda me pego chamando pelo antigo nome de Astaro-, minha conclusão é que não existe uma instalação igual a outra.

É claro que sempre há a receita do bolo, mas é como se os ingredientes mudassem de sabor a cada preparo, exigindo o aperfeiçoamento da receita a cada fornada para garantir um bom resultado final.

A comparação pode parecer exagerada, mas não é. O que é a segurança, senão, a proteção adequada de algo importante? Pergunto: como você faria a segurança de uma residência sem conhecê-la bem? Talvez um bom muro e uma tranca na porta resolvam e você possa concluir o projeto tranquilamente.

Mas dependendo do imóvel, da localização, da vizinhança e do morador, entre outros fatores, talvez você precise colocar cofres, grades na janela, quem sabe até um cão de guarda, cercas eletrificadas, câmeras de vídeo e até mesmo guaritas com seguranças armados e bem treinados, monitorando constantemente o ambiente.

E o que tem isso a ver com o bolo? Bom, antes de sair executando a receita, procure conhecer bem o ambiente, os ingredientes que você irá utilizar no preparo. Após esse levantamento, crie então um bom checklist com todos os dados que você irá utilizar durante a configuração. Não poupe esforços nem tempo nessa etapa: muito provavelmente, cada minuto economizado aqui será perdido noite adentro quebrando a cabeça para solucionar algo que, com a cabeça quente, parecerá muito mais complexo e insolúvel do que na realidade é.

Arrisco dizer que, a cada instalação, acrescento uma ou duas perguntas à minha já extensa lista. Nada absurdo, se você considerar que novas ameaças (e suas soluções) surgem constantemente.

Boa parte dessas questões, aliás, é feita antes até da escolha do produto adequado. Nada pior do que descobrir no meio da instalação que foi adquirido um produto mal dimensionado e que não será capaz de suportar todo o ambiente. O contrário também é verdadeiro: um equipamento superdimensionado, sem necessidade, não deve ser motivo de orgulho para ninguém.

Vamos ver o que fazer para melhorar esse levantamento.

O item primordial é (e deveria ser para qualquer tipo de projeto): entenda o negócio de seu cliente. Esse conhecimento aborda:

  • saber o que ele faz, por que e em que áreas ele mais precisa de proteção.
  • quais sãos os dados críticos e qual a cultura da empresa. Por exemplo,  algumas empresas podem ter o hábito de bloquear navegação, aplicativos e redes sociais, porém, outras vivem disso. Ter uma receita padrão só irá dificultar as coisas no dia seguinte e dar a impressão de que algo não foi bem feito.
  • esteja alinhado com o responsável pela aquisição, procure entender como ele vendeu o projeto internamente e o que esperam da solução.

A seguir, começam a surgir os levantamentos técnicos e, para isso, quanto melhor for o seu conhecimento do produto, mais consistentes serão os questionamentos e, consequentemente, a instalação. Recomendo também que você busque um diagrama da rede, ou mesmo que prepare um. Reforço que, ainda que exista a certeza absoluta de que a instalação será simples, o trabalho não será perdido, pois o desenho será utilizado na confecção de uma boa documentação final.

Não por acaso, meu levantamento acaba naturalmente seguindo de baixo para cima as camadas do modelo OSI. Curiosamente, minha analogia com a residência também percebe as camadas perimetrais de proteção. Assim como… em um bolo, não?

Primeiro vem a base, depois o recheio e só então a cobertura. Com uma base bem configurada, é mais fácil “adicionar as outras camadas” de configuração. Nesta linha, após entender o todo, mergulhamos na caixa, começamos com os entendimentos iniciais para a instalação e vamos “subindo”, registrando todo o ambiente.

Devemos ter claramente em nosso plano quantas placas de rede serão necessárias, o que será configurado em cada uma delas, se haverá placas virtuais configuradas, quantos e quais tipos de link serão instalados (PPoE, DHCP, IP fixo, ADSL, dedicado), quais as configurações, as velocidades e os endereços necessários. Não deixe de documentar também a forma de contato com o provedor e descubra, caso necessário, se conseguirá falar com os mesmos durante a migração.

É também importante conhecer as rotas, as subredes, as prioridades com que os pacotes possam trafegar. Mais uma vez, podemos fazer uma analogia com o “mundo real”: por essa estrada podem passar caminhões e ônibus, mas somente uma determinada quantidade de cada vez para que o tráfego dos carros não seja prejudicado. E, claro, os veículos das autoridades passarão sempre à frente, até mesmo com escolta policial.

Entenda também quais os aplicativos e a rotina do dia a dia, os horários e os grupos de usuários que terão acesso à Internet, se eles estarão integrados com algum servidor de autenticação, com os servidores, se serão acessados de fora e, ainda, se haverá tunelamento seguro com outras redes.

Lembre-se de perguntar sobre os aplicativos de uso esporádico. Aqueles como os da Receita Federal, que são usados somente uma vez por mês ou por ano para o envio de obrigações e que precisam de NAT ou de portas abertas. Ajustes finos fazem parte, mas é melhor pensar nisso desde o início do que ter de ter um chamado emergencial para resolver mais para a frente.

Possuir a configuração de um eventual firewall anterior também ajuda, mas tome cuidado para não repetir nenhuma configuração mal feita ou desnecessária que tenha sido realizada no passado. A essa altura do campeonato, você já deveria saber os motivos pelos quais está substituindo a antiga solução.

Por fim, não se esqueça de configurar os alertas e os relatórios. É a forma como o sistema entrará em contato com você, avisando se está tudo bem ou se há alguma atenção a ser tomada. Até para isso o levantamento te ajudará. Se você entendeu bem para quem está entregando o projeto, vai saber que tipo de alerta enviar para cada perfil.

Um gestor mais técnico vai gostar de saber quais pacotes estão sendo bloqueados e quanto de memória swap está sendo consumida pelo equipamento, enquanto um responsável com outro tipo de perfil talvez prefira saber qual o tempo utilizado por cada usuário na rede.

Ter esse cuidado com o levantamento não vai impedir que aconteçam imprevistos na instalação, mas, com certeza, reduzirá a sua possibilidade de ocorrência e fará com que você lide mais facilmente com eles, possivelmente, já com um bom plano de ação e mitigação de riscos na manga.

Veja que em muitos casos solicito detalhes, mesmo antes de fechar o projeto, o que à primeira vista pode parecer estranho. Sei inclusive que já perdi negócios para concorrentes menos preocupados com o levantamento, mas, por outro lado, posso assegurar que tecnicamente nunca perdi um cliente cujo relacionamento tenha começado com um bom entendimento da necessidade. No final, a receita do bolo sempre deu certo.

Autor

Rogério Barberi é diretor da Dracones IT , com mais de 20 anos de experiência em segurança da informação e gestão de TI em ambientes de diversos níveis de complexidade e, de vez em quando, ainda coloca a mão na massa - por prazer e para não perder a prática.

Rogerio Barberi

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes