Como configurar o firewall em 6 etapas

Você terminou de configurar o novo roteador sem fio e está pronto para sua próxima aventura: configurar um firewall. É assustador. Sabemos que pode ser muito intimidador. Mas fique tranquilo, porque dividimos em seis etapas simples que devem ajudá-lo no seu caminho para o nirvana da segurança de rede. E aqui vamos nós…

Etapa 1: proteja o firewall (parece redundante, sabemos.)

O acesso administrativo ao firewall deve ser limitado apenas àqueles em quem você confia. Remova os possíveis invasores, verifique se o firewall está protegido por pelo menos uma das seguintes ações de configuração:

• Atualize o firewall para o firmware mais recente recomendado pelo fornecedor.
• Exclua, desative ou renomeie qualquer conta de usuário padrão e altere todas as senhas padrão. Certifique-se de usar apenas senhas complexas e seguras.
• Se várias pessoas gerenciarem o firewall, crie contas adicionais com privilégios limitados com base nas responsabilidades. Nunca use contas de usuário compartilhadas. Acompanhe quem fez as mudanças, quais elas foram e por que foram feitas. A prestação de contas promove uma diligência devida ao fazer alterações.
• Limite de onde as pessoas podem fazer alterações para reduzir a superfície de ataque, ou seja, alterações só podem ser feitas a partir de sub-redes confiáveis dentro da empresa.

Etapa 2: projete zonas de firewall e endereços IP (sem necessidade de trabalho pesado).

Para proteger melhor os ativos da rede, primeiro identifique-os. Planeje uma estrutura em que os ativos sejam agrupados com base nos negócios e aplicativos precisem de nível e função de sensibilidade semelhantes e combinados em redes (ou zonas). Não escolha o caminho mais fácil e crie uma rede simples. Se for fácil para você, será fácil para os invasores!

Todos os servidores que fornecem serviços baseados na Web (por exemplo, e-mail, VPN) devem ser organizados em uma zona dedicada que limita o tráfego de entrada da Internet, geralmente chamada de zona desmilitarizada ou DMZ. Como alternativa, os servidores que não são acessados diretamente da Internet devem ser colocados em zonas internas do servidor. Essas zonas geralmente incluem servidores de banco de dados, estações de trabalho e qualquer ponto de venda (POS) ou dispositivo de protocolo de voz sobre Internet (VoIP).

Se você estiver usando o IP versão 4, os endereços IP internos deverão ser usados para todas as redes internas. A conversão de endereços de rede (NAT) deve ser configurada para permitir que dispositivos internos se comuniquem na Internet quando necessário.

Depois de projetar a estrutura de zona de rede e estabelecer o esquema de endereço IP correspondente, você estará pronto para criar as zonas de firewall e atribuí-las às interfaces ou subinterfaces de firewall. À medida que você constrói a infraestrutura de rede, os switches que permitem LANs virtuais (VLANs) devem ser usados para manter a separação de nível 2 entre as redes.

Etapa 3: configure listas de controle de acesso (é sua festa, convide quem você quiser.)

Depois que as zonas de rede forem estabelecidas e atribuídas às interfaces, você começará criando regras de firewall chamadas listas de controle de acesso ou ACLs. As ACLs determinam qual tráfego precisa de permissão para entrar e sair de cada zona. As ACLs são os elementos básicos de quem pode conversar sobre o quê e bloquear o resto. Aplicadas a cada interface ou subinterface de firewall, as ACLs devem ser especificadas o máximo possível para os endereços IP e números de porta exatos de origem e/ou destino, sempre que possível. Para filtrar o tráfego não aprovado, crie uma regra "negar tudo" no final de cada ACL. Em seguida, aplique ACLs de entrada e saída a cada interface. Se possível, desative as interfaces de administração do firewall do acesso público. Lembre-se, seja o mais detalhado possível nesta fase; não apenas teste se os aplicativos estão funcionando como planejado, mas também certifique-se de testar o que não deve ser permitido. Verifique a capacidade dos firewalls de controlar os fluxos no nível da próxima geração; ele pode bloquear o tráfego com base em categorias da Web? Você pode ativar a digitalização dos arquivos? Ele contém algum nível de funcionalidade IPS. Você pagou por esses recursos avançados. Portanto, não esqueça de realizar as "próximas etapas"

Etapa 4: configure os outros serviços de firewall e registro (sua coleção de discos que não são de vinil).

Se desejar, habilite seu firewall para atuar como um servidor de protocolo de configuração dinâmica de host (DHCP), servidor de protocolo de horário de rede (NTP), sistema de prevenção de intrusões (IPS) etc. Desative todos os serviços que você não pretende usar.

Para atender aos requisitos do PCI DSS (Padrão de segurança de dados do setor de cartões de pagamento), configure seu firewall para relatar ao servidor de registro e verifique se há detalhes suficientes para atender aos requisitos 10.2 a 10.3 do PCI DSS.

Etapa 5: teste a configuração do firewall (não se preocupe, é um teste aberto).

Primeiro, verifique se o firewall está bloqueando o tráfego que deve ser bloqueado de acordo com as configurações da ACL. Isso deve incluir a verificação de vulnerabilidades e o teste de penetração. Certifique-se de manter um backup seguro da configuração de firewall em caso de falhas. Se tudo der certo, o firewall está pronto para produção. TESTE TESTE TESTE o processo de reverter para uma configuração. Antes de fazer alterações, documente e teste seu procedimento de recuperação.

Etapa 6: gerenciamento do firewall (todos os incêndios precisam ser alimentados.)

Depois que o firewall estiver configurado e em execução, você precisará mantê-lo para que ele funcione da melhor maneira possível. Atualize o firmware, monitore registros, execute varreduras de vulnerabilidades e revise suas regras de configuração a cada seis meses.

Próximas etapas

É isso! Se você chegou até aqui, agora é um especialista em segurança de pseudo-rede. No entanto, se você quiser mais assistência, acesse nossa comunidade de empresas de pequeno porte. Nesse local, você vai encontrar respostas para as dúvidas mais frequentes e se conectar com pessoas que administram empresas semelhantes e enfrentam desafios de TI similares aos seus.