Beleza, você tem um firewall. Isso basta?
Veja abaixo 10 dicas para melhorar a administração e a segurança do seu firewall, independe do fabricante.
-
Mantenha o equipamento atualizado: Utilize sempre que possível a versão mais recente/estável do software. Quando aplicável, também instale os patches.
-
Limite o acesso ao firewall: Talvez a regra mais importante em um firewall seja aquela que limita o acesso a partir de determinados hosts/redes. Crie uma regra liberando o acesso apenas para o IP do administrador do firewall, ou da máquina/rede de gerencia.
-
Acesso via SSH e HTTPS: Esta regra vale para todos os equipamentos de rede. O acesso remoto deve ser feito via SSH e/ou HTTPS. Estes protocolos criptografam o tráfego, impedindo que alguém possa capturar sua senha enquanto você acessa o equipamento.
-
Não crie regras genéricas: O firewall é um filtro, e deve ser usado como tal. Não crie regras permitindo tudo para qualquer lugar. Libere o acesso apenas ao que é necessário. E se o firewall permitir, agrupe regras semelhantes.
-
Ordem nas regras: Sempre que um pacote chega ao firewall ele é testado contra as regras definidas, de cima para baixo. É uma boa prática colocar as regras mais específicas e com mais acesso (matches) no topo, evitando que o pacote seja testado em toda a tabela de regras. Isso diminuirá a carga no processamento.
-
Deny Any Any: A última regra na tabela de regras deve ser um deny any any. Ou seja negue tudo de qualquer lugar para qualquer lugar. Também habilite o log nesta regra, assim você poderá verificar o que estão tentando acessar e não está liberado.
-
Diminua o nível de logging: Não adianta habilitar log para todos os eventos. Além de sobrecarregar o firewall, isso irá tornar a análise impossível. Configure o firewall para gerar apenas logs importantes para você.
-
Criptografia com AES: Se você utiliza VPN, configure um protocolo seguro para criptografia, como o AES. Cuidado apenas na hora de escolher quantos bits vai ter a chave (128, 192, 256…). Quanto maior, mais segura, porém mais processamento será utilizado.
-
Redundância: Implementar um segundo firewall para trabalhar como backup, ou dividir a carga, fará aumentar o uptime da rede.
-
Backup: Pois é, quando tudo mais falhar e você tiver que reinstalar o firewall, o backup permitirá a restauração rápida dos serviços.
Quais outras dicas para administração de um firewall??
Até a próxima.
No Black Hat 2009 EUA (evento com foco em vulnerabilidades), realizado em Las Vegas, uma das palestras foi Router Exploitation, apresentada por Felix FX Lindner. A apresentação foi focada no IOS, software que roda nos roteadores Cisco, mas também citou outros fabricantes.
Abaixo selecionei alguns pontos interessantes da palestra:
-
Apenas 14 vulnerabilidades, no IOS, foram publicadas em 2008; (good)
-
Poucas funcionalidades podem ser exploradas remotamente; (good)
-
A arquitetura do IOS torna a exploração de falhas mais difícil; (good)
-
Roteadores com sistema baseado em Unix são fáceis de serem atacados; (bad)
-
Exceções não são tratadas, e fazem o equipamento reiniciar; (bad)
-
Brechas de segurança em uma versão de IOS podem não existir para demais versões, assim ataque devem ser feitos especificamente para cada versão de IOS (e existem mais de 272.000 versões…);(good)
Apesar da relativa segurança encontrada no IOS, muitos ataques podem ser realizados a aplicações específicas, que podem estar rodando no equipamento, como HTTP, FTP e TFTP.
A última parte da apresentação mostrou algumas dicas para proteger o roteador:
-
O tráfego destinado ao próprio equipamento deve ser bloqueado, liberando apenas o tráfego de gerência;
-
Os protocolos de roteamento devem ser utilizados com autenticação;
-
Os serviços não utilizados devem ser desabilitados;
-
Não utilizar VoIP em roteadores expostos (“de cara” para a Internet);
-
Monitorar os logs gerados pelos equipamentos;
-
Atualizar o software sempre que possível;
A apresentação pode ser vista neste link, e outras medidas para melhorar a segurança nos roteadores também podem ser encontradas aqui no brainwork, navegue a vontade 
.
Até a próxima.
Oriundo da combinação das palavras “Voice” e “Pishing” o crime virtual que tem aumentado sua prática nos EUA tem sido acompanhado de perto pelo Internet Crime Complaint Center – IC3, departamento do FBI que investiga crimes virtuais. No início do ano passado o orgão havia divulgado uma nota para usuários de celulares e smartphones alertando a respeito da nova modalidade de crime virtual.
O vishing funciona de maneira quase igual ao phishing, que consiste em enviar mensagens eletrônicas com links falsos para caixas postais de usuários na internet. No vishing, os criminosos enviam mensagens para celulares e smartphones de usuários incautos, alegando que a conta bancária ou cartão de crédito encontram-se com pendências. A mensagem contém um número ou link que, ao ser chamado ou clicado, leva a uma página de “Bem vindo ao Banco XYZ”, que pede que alguns dados pessoais sejam confirmados.
Como de hábito, os fraudadores se aproveitam da ingenuidade dos usuários. Segundo o FBI, algumas mensagens de vishing, para tentar ganhar credibilidade, alertam os usuários para que “não confiem em emails falsos, pois podem conter vírus; o Banco jamais envia emails a seus usuários”.
Ou seja, os fraudadores induzem as pessoas a desconfiar de seus computadores, mas as convencem a confiar em seus celulares, e a julgar pelo tom da nota do FBI, eles estão conseguindo convencer bastante gente.
No final do ano passado uma nova nota foi divulgada alertando a respeito de uma nova técnica de ataque para este tipo de crime, desta vez explorando vulnerabilidades de PABX’s IPs, mais especificamente para o software Asterisk. O fabricante Digium, criador original e primeiro desenvolvedor da plataforma Asterisk já havia lançado um patch para mitigação do ataque em março de 2008.
Abs, e fiquem atentos a estas práticas… 
(2) Comentários 
