Neste artigo serão tratadas algumas dicas relacionadas ao planejamento para implementação de firewall de perímetro, que é diferente do firewall endpoint, que é instalado em servidores e estações de trabalho e que controla o tráfego local do ativo (somente o ponto de vista de entrada e saída), como o firewall do Windows ou firewall incorporado em antivírus corporativos.
A ideia deste artigo é tratar do firewall de perímetro, que é o gateway para a Internet, no qual tem o objetivo de controlar todo o tráfego de dados e comunicação do ambiente interno com o externo (tanto o ponto de vista de entrada e saída, quanto os pacotes que passam por ele). Estamos falando de firewall corporativo que possui funções e recursos, tais como, VPN, controle de navegação, regras de filtragem, controles de acesso externo, logs, proxy http e https, entre outros.
Partindo do princípio
Quando existe a demanda de realizar este tipo de implementação, é fundamental entender o ambiente da empresa e se já existe outro firewall realizando este serviço. Se a empresa já possui um firewall de perímetro e pretende atualizar por uma versão mais nova, ou adquirir outro com mais recursos e capacidade de gerenciamento, o trabalho de planejamento da implementação se torna, de certa forma, mais fácil de ser realizado pelo fato das regras e configurações do ambiente já estarem prontas. Com isso, pode-se assim analisar o antigo firewall, apresentar para o gestor as configurações atuais e, em cima disto, realizar os ajustes, melhorias e aplicar no novo firewall.
Um simples trabalho de transpor regras nunca é eficiente, pois na administração de firewalls muitas das regras acabam sendo colocadas de forma emergencial e ficam sobressalentes. Algumas regras os administradores nem sabem para que servem e elas permanecem lá ativas, deixando o firewall cada vez menos confiável. Agora é a melhor hora para reorganizar tudo!
Já empresas que não possuem um firewall de perímetro, nas quais toda a navegação é realizada pelos usuários sem controle algum e não existe conhecimento do tráfego que é realizado entre os ativos de TI e a Internet e vice-versa, o trabalho de planejamento se torna mais efetivo e necessário, já que uma implementação sem este alinhamento inicial com certeza irá impactar toda operação da empresa e gerar descontentamento dos serviços realizados.
Dicas para o planejamento
A seguir algumas etapas que podem ser utilizadas para um planejamento efetivo na hora da implementação do firewall, com maior destaque para “definir as regras de navegação e perfis de acesso”:
Definir as regras de navegação e perfis de acesso: Algumas empresas podem optar por não realizar nenhum controle ou bloqueio dos websites acessadas pelos funcionários, downloads realizados, softwares de torrent, entre outros. A questão, neste tipo de cultura empresarial, pode refletir negativamente em algumas situações, tais como, funcionários improdutivos, elevado risco de infecção de vírus, trojan, malware, armazenamento de conteúdos indevidos (pornografia, pedofilia, racismo), etc. Nos casos onde se configura algum tipo de crime, se detectados pela polícia, quem irá responder criminalmente é o detentor do IP público do local de armazenamento, neste caso, a empresa.
A definição das regras de navegação e perfis de acesso, além de garantir um ambiente mais seguro, direciona os funcionários a acessarem e realizarem as atividades pertinentes às suas funções. Os firewalls atuais possuem categorias de navegação que facilitam o gerenciamento das páginas que podem ou não ser acessadas pelos funcionários. Exemplo: na categoria “governo” estão as páginas relacionadas ao governo, prefeituras, órgãos públicos. Na categoria “entretenimento” estão sites como UOL, Globo, Terra. Na categoria “rede social” estão vinculados Facebook, Twitter, Linkedin. Dependendo do fabricante do firewall podem existir dezenas ou centenas de categorias.
Geralmente são definidos alguns perfis de navegação, em torno de 3 ou 4, e neles são vinculadas as categorias de acesso permitido e quais categorias serão bloqueadas. Com os grupos definidos e as categorias de navegação vinculadas, é hora de planejar quais setores da organização e/ou quais funcionários serão vinculados em qual perfil de navegação.
É importante este planejamento ser definido com a alta direção e os gestores estarem alinhados neste processo, já que mudanças culturais e até comportamentais irão ocorrer na empresa. Algum descontentamento inicial por parte dos funcionários pode ocorrer, como exemplo: o Facebook sempre foi liberado e no dia seguinte está bloqueado.
Os funcionários irão recorrer aos gestores para solicitar a liberação e, se existir exceção sem critérios, em pouco tempo a exceção irá virar regra. Normalmente estas solicitações chegam de modo genérico, tais como: não estou conseguindo trabalhar, pois não consigo acessar mais nada. Os administradores do firewall devem estar preparados para lidar com este tipo de situação de forma tranquila e sem estresse.
Outro ponto importante a ser mencionado neste tipo de alinhamento e planejamento é que não existe um padrão a ser seguido. Se os gestores definirem que as categorias “entretenimento” e “redes sociais” serão liberadas para todos os perfis, não haverá problema algum, isso depende muito do foco e cultura de cada empresa.
Definir as regras de filtragem: As regras de filtragem do firewall irão definir e controlar todo o tráfego de informações que passa através do gateway, ou seja, se for definida uma regra com a origem “rede interna”, destino “Internet”, porta “80 e 443” como liberada, esta estará permitindo os computadores, servidores e dispositivos a se conectarem ou acessarem qualquer website ou serviço que utilize uma destas portas, neste caso, a maioria dos web-servers na Internet.
Estas regras precisam ser definidas junto à área de negócios da empresa, já que computadores do financeiro, contabilidade e TI precisam do acesso liberado a todos os sites e sistemas do governo e prefeituras. Quando a empresa não sabe exatamente como definir estas regras, é interessante configurar o firewall somente para monitorar, sem bloquear nada. Desta forma, em algumas semanas é possível analisar, através de logs e relatórios, o tráfego realizado e em cima deste fazer as regras de liberação e bloqueio.
Regras de NAT: Network Address Translation (NAT), de forma bem simples, é o meio de comunicação dos IPs privados para se comunicarem com o mundo externo e vice-versa. Não é o objetivo deste artigo apresentar conceitualmente o que é um NAT e suas formas de configuração.
No planejamento das regras de NAT é definido, por exemplo, em qual dos links de Internet irá sair a navegação, ou ainda, quando a empresa possui sites, portais ou sistemas publicados na Internet, é através do NAT que se configura uma solicitação de acesso da Internet no IP Público pela porta XX que será direcionado ao servidor XYZ, o qual, normalmente, fica em um DMZ (Demilitarized Zone).
VPN: Virtual Private Network (VPN) é a forma de comunicação entre dois meios, podendo ser matriz com a filial, parceiros ou funcionários externos. Com a VPN é possível, mesmo estando em outro local fisicamente, acessar as informações que estão dentro dos servidores da empresa. A VPN fecha um túnel criptografado para comunicação do cliente com o servidor. Para a definição destas VPNs, quem irá ter o acesso e como será realizado, deve ser analisada a viabilidade de realizar este serviço, já que para fechar uma VPN IPsec entre dois sites, o outro lado também precisa ter um firewall.
Conclusão
Os tópicos apresentados anteriormente retratam algumas dicas e formas de se planejar uma implementação de firewall de forma eficiente e com os impactos e riscos acordados e definidos com a alta direção. Existe ainda alguns outros pontos que poderiam ser abordados, tais como: analisar se a empresa tem perspectiva de crescimento de funcionários, novos negócios, filiais, e outros. São pontos igualmente importantes, pois o firewall também é dimensionado em cima destas premissas.
Para não ficar muito extenso e cansativo este artigo, será finalizado com a seguinte frase:
“Diante da possibilidade de terem que responder judicialmente por eventuais atividades ilícitas de clientes na internet, estabelecimentos que fornecem acesso Wi-Fi gratuito formulam estratégias de blindagem, que passam pelo armazenamento de informações de clientes e pelo monitoramento do que é acessado em suas redes”. Disponível em: http://bit.ly/1oHzwQ6
Revisado por: Schubert Baliza