Beleza, você tem um firewall. Isso basta?
Veja abaixo 10 dicas para melhorar a administração e a segurança do seu firewall, independe do fabricante.
-
Mantenha o equipamento atualizado: Utilize sempre que possível a versão mais recente/estável do software. Quando aplicável, também instale os patches.
-
Limite o acesso ao firewall: Talvez a regra mais importante em um firewall seja aquela que limita o acesso a partir de determinados hosts/redes. Crie uma regra liberando o acesso apenas para o IP do administrador do firewall, ou da máquina/rede de gerencia.
-
Acesso via SSH e HTTPS: Esta regra vale para todos os equipamentos de rede. O acesso remoto deve ser feito via SSH e/ou HTTPS. Estes protocolos criptografam o tráfego, impedindo que alguém possa capturar sua senha enquanto você acessa o equipamento.
-
Não crie regras genéricas: O firewall é um filtro, e deve ser usado como tal. Não crie regras permitindo tudo para qualquer lugar. Libere o acesso apenas ao que é necessário. E se o firewall permitir, agrupe regras semelhantes.
-
Ordem nas regras: Sempre que um pacote chega ao firewall ele é testado contra as regras definidas, de cima para baixo. É uma boa prática colocar as regras mais específicas e com mais acesso (matches) no topo, evitando que o pacote seja testado em toda a tabela de regras. Isso diminuirá a carga no processamento.
-
Deny Any Any: A última regra na tabela de regras deve ser um deny any any. Ou seja negue tudo de qualquer lugar para qualquer lugar. Também habilite o log nesta regra, assim você poderá verificar o que estão tentando acessar e não está liberado.
-
Diminua o nível de logging: Não adianta habilitar log para todos os eventos. Além de sobrecarregar o firewall, isso irá tornar a análise impossível. Configure o firewall para gerar apenas logs importantes para você.
-
Criptografia com AES: Se você utiliza VPN, configure um protocolo seguro para criptografia, como o AES. Cuidado apenas na hora de escolher quantos bits vai ter a chave (128, 192, 256…). Quanto maior, mais segura, porém mais processamento será utilizado.
-
Redundância: Implementar um segundo firewall para trabalhar como backup, ou dividir a carga, fará aumentar o uptime da rede.
-
Backup: Pois é, quando tudo mais falhar e você tiver que reinstalar o firewall, o backup permitirá a restauração rápida dos serviços.
Quais outras dicas para administração de um firewall??
Até a próxima.
Já há alguns dias está disponível o brainwork responde, um espaço para perguntas e respostas. Nele é possível fazer uma pergunta e receber a resposta de outros membros.
Muitos frequentadores do blog tem enviado perguntas para nosso email, e o brainwork responde deve nos ajudar, permitindo o compartilhamento destas dúvidas, e claro, soluções.
O principal assunto serão as questões relacionadas aos equipamentos Cisco, mas com a participação aberta a todos, tenho certeza que não ficaremos restrito a isso.
No menu principal do blog tem um link para o brainwork responde, e depois de acessar basta informar se cadastrar para fazer uma pergunta ou dar uma resposta. Também é possível votar nas perguntas e resposta, ou deixar um comentário. Todas essas atividades valem pontos.
Lembrem-se que a Internet é um meio interativo, e o conhecimento deve ser utilizado nas duas vias: donwload e upload.
Ainda está na versão beta, mas acredito que não teremos problemas na utilização. Se perceberem algum é só deixar um comentário.
Até a próxima.
O Marco Felippeti, do blog CiscoCertified, informou que o Ethereal Mind lançou uma petição online para arrecadar “assinaturas” e posteriormente enviar à Cisco, solicitando que seja liberada uma versão do IOS para estudo/prática.
A discução não é nova, mas até agora a Cisco não decidiu o que fazer. Ela sempre alegou que com a liberação de uma versão free o número de chamados em seu suporte aumentaria.
Imagino que outra preocupação seria a utilização desta versão em ambientes em produção.
Por outro lado, a concorrencia tem aumentado, e liberar uma versão para estudo seria uma forma de se fortalecer no mercado.
De qualquer maneira, já que somos parte interessada, devemos colaborar aderindo a petição. Basta acessar o link http://etherealmind.com/petition/ informar o nome e seu endereço de email.
Como diz parte do texto “Quer sejamos revendedores, consultores, estudantes ou simplesmente interessados em aprender, todos nós precisamos de um método prático para acessar o IOS e praticar”.
Até a próxima.
Navegando dia desses encontrei um programa em formato de arquivo de ajuda (.chm)com comandos do Cisco IOS. O CiscoPedia, como é chamado, trás uma grande quantidade de comandos, ilustrando a sintaxe, descrevendo os possíveis argumentos e até exemplos de configurações.
Acredito que muita gente já conheça, mas pra mim é novidade, apesar dele não ser novo. A versão 3.0, que foi a que encontrei, é de 2003.
O programa ele é da própria Cisco, com comandos utilizados no Networking Academy, segundo descrição da página inicial.
Pesquisei mais, mas não encontrei quase nada a respeito do Ciscopedia… Existe versão mais recente? Por que não atualizaram mais?
Apesar de estar desatualizado (já que é de 2003), gostei da idéia. É muito bom ter um guia de consultas rápidas.
Download do Ciscopedia aqui.
Até a próxima.
A Cisco apresentou ontem o Cius, um tablet PC (ou um “virtual desktop client for cloud computing”) com sistema operacional Android, tela de 7” e vídeo em HD. O dispositivo projetado visando os usuários corporativos, foi demonstrado ontem pelo CEO John Chambers, no Cisco Live, que está acontecendo em Las Vegas-EUA.
O Cius possui camera de 5 megapixel, 3G, Wifi e Bluetooth, mas o diferencial são os softwares e integrações que ele oferece. Cisco Quad, Show and Share, WebEx, Presence e TelePresence fazem parte da lista que produtos Cisco que rodarão no Cius. E ele também terá acesso ao Android Marketplace.
Além disso, com a ajuda de uma dock station o Cius pode ser usado como um thin client, recebendo teclado e monitor externo.
Apesar da apresentação as vendas não devem começar antes de 2011. Mais sobre o Cius no press release e na página do produto.
(Não deve ser conhicidencia o nome soar como “see you”, certo?)
Até a próxima.
(2) Comentários 
