10 atributos que o seu firewall precisa ter
date post
19-Oct-2014Category
Technology
view
1.050download
1
Embed Size (px)
description
Transcript of 10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter
01/14
Muito j foi feito para proporcionar visibilidade das
aplicaes e controle sobre a segurana da rede. A
razo bvia: aplicaes podem facilmente escapar
dos firewalls tradicionais baseados em portas. E o valor
bvio: funcionrios usam qualquer aplicao que
precisam para que seu trabalho seja realizado geral-
mente, so indiferentes ao risco que este uso pode
trazer ao negcio. Quase todo profissional que trabalha
com segurana de rede admite que o controle de
aplicaes uma parte cada vez mais crtica.
Os firewalls de nova gerao so definidos pelo Gartner
como algo novo, diferenciado, focado nas necessidades
corporativas, ao contrrio do que afirmam alguns, de
que esse tipo de soluo um subconjunto de outras
funcionalidades (ex: UTM ou IPS). Oferecer visibilidade
de aplicativos e contedo e ter o controle sobre o que
circula em sua rede, mas utilizando um nmero
limitado de assinaturas IPS ou uma base de dados
externa no a soluo ideal. Essas funcionalidades
no possuem uma integrao total e sua matriz
tecnolgica ainda continua sendo a base Statefull.
A nova gerao de firewalls uma classe revolucionria
e diferente de produtos, que tem como viso no
No se trata de bloquear aplicaes, mas permiti-las de modo seguro. Aplicaes garantem a continuidade dos negcios e os profissionais precisam estar cientes de que as utilizam de forma segura
www.techbiz.com.br
bloquear aplicaes, mas permiti-las de modo seguro e
com controle. Aplicaes garantem a continuidade dos
negcios e os profissionais precisam estar cientes de
que as utilizam de uma forma segura.
Para as empresas que procuram os firewalls da nova
gerao, a mais importante considerao a se fazer :
Essa nova tecnologia ir permitir que os times de segu-
rana habilitem as aplicaes que tragam benefcios
para a organizao? Outras perguntas-chaves para este
tipo de tecnologia so:
Atributos que o seu prximo
Firewall precisa ter10
simples: seu prximo firewall precisa classificar o trfego por
aplicao, independente da porta, o tempo todo. De outra
maneira, as polticas de segurana continuaro a ser burladas
pelas mesmas tcnicas que o atormentam h anos.
2. Seu prximo firewall precisa iden-tificar e controlar circumventors: pro-xies, acesso remoto e aplicaes encrypted tunnel.
Proxies, acesso remoto e aplicaes encrypted
tunnel so especialmente utilizados para contor-
nar (circumvent) equipamentos de segurana
como firewalls, filtragem de URL, IPS e gateway
web de segurana. Sem ter como controlar esse
circumventors, as organizaes perdem a eficcia
em suas polticas de segurana e se expem a
graves riscos no qual elas pensam ter conseguido
mitigar pelos controles.
Nem todas as aplicaes funcionam da mesma
forma aplicaes de acesso remoto tm seu
trfego confivel, assim como aplicaes em
tneis VPN. Mas, proxies externos, annimos, que
se comunicam por SSL em portas randmicas, ou
aplicaes como Ultrasurf e Tor, tm apenas um
propsito real: contornar controles de segurana.
Existem diferentes tipos de aplicaes circumvention cada
uma delas utilizando tcnicas sutilmente diferentes. Existem
tanto proxies pblicos e privados (para ter acesso a uma grande
base de dados de proxies pblicos veja proxy.org) que podem
usar tanto HTTP e HTTPS. Proxies privados so geralmente esta-
belecidos como endereos IP no classificados (ex: computado-
res domsticos) com aplicaes como PHProxy ou CGIProxy.
Aplicaes de acesso remoto como MS RDP ou GoToMyPC
podem ter uso seguro, mas devido ao risco associado precisam
ser gerenciadas. A maioria dos demais circumventors (ex. Ultra-
surf, Tor, Hamachi) no possui uso para os negcios. E existe,
claro, os circumventors desconhecidos.
preciso que o firewall tenha tcnicas especficas para lidar com
todas essas aplicaes, independentemente de porta, protocolo,
encriptao ou ttica evasiva. Mais uma considerao: essas
aplicaes so regularmente atualizadas para tornar ainda mais
difcil a deteco e o controle. Portanto, importante entender
que no apenas o seu prximo firewall pode identificar essas
aplicaes circumvention, mas tambm o quo frequente essa
inteligncia atualizada e mantida.A habilidade de descriptografar o trfego SSL de sada um
elemento fundamental, no apenas porque a porcentagem de
trfego corporativo significativa, mas tambm porque permite
algumas outras funcionalidades-chaves que poderiam tornar-se
incompletas, sem a habilidade de descriptografar o protocolo SSL
(ex: controle de circumventors).
preciso realizar a classificao contnua e obter o entendimento
refinado de cada aplicao. Seu prximo firewall precisa avaliar
continuamente o trfego e observar as alteraes: se uma nova
funo ou ferramenta for introduzida em uma sesso, o firewall
precisa saber disso e realizar a checagem da poltica de controle.
Entender as diferentes funes de cada aplicao e os dife-
rentes riscos a elas associados extremamente importante.
Infelizmente, muitos firewalls classificam o fluxo do trfego
uma vez e depois vo pelo caminho mais rpido, (leia-se:
nunca mais olham para o fluxo novamente) isso para obter
um melhor desempenho. Este mtodo no acompanha as
aplicaes modernas e impede que esses firewalls encon-
trem o que realmente necessrio.
5. Seu prximo firewall precisa examinar ameaas em aplicativos de colaborao auto-rizados, como Sharepoint, Box.net, MS Office Online.
Empresas adotam cada vez mais aplicativos colaborativos
localizados fora de seu Datacenter. Seja em Sharepoint,
Box.net, Google Docs ou Microsoft Office Live, ou mesmo em
uma extranet de algum parceiro, muitas organizaes neces-
sitam de uma aplicao que compartilhe arquivos em
outras palavras, esse um vetor de alto risco.
Muitos documentos infectados esto armazenados em
aplicativos de colaborao, juntamente com documentos que
possuem informaes sensveis, por exemplo, informaes
pessoais de clientes. Alm do mais, algumas dessas aplica-
es (Sharepoint) baseiam-se em tecnologias que so alvos
regulares para exploits (ex., IIS, SQL Server). Bloquear a
aplicao no recomendado, mas tambm permitir tudo
traz ameaas ao ambiente corporativo.
Para se ter um ambiente seguro, necessrio examinar as
aplicaes em busca de ameaas. Essas aplicaes podem
comunicar-se por meio de uma combinao de protocolos (ex.
Sharepoint HTTPS e CIFS, e requerem polticas mais sofistica-
das do que o bloqueio da aplicao). O primeiro passo iden-
tificar a aplicao (independentemente da porta ou da encrip-
tao), permiti-la protegendo o ambiente de ameaas: exploits,
vrus/malware ou spyware... Ou mesmo informaes confiden-
ciais, sensveis e regulamentadas.
6. Seu prximo firewall precisa lidar com trfego desconhecido a partir de polticas, e no deixar que ele simplesmente passe des-percebido.
Sempre existir um trfego desconhecido e ele sempre
representar riscos significativos para qualquer organiza-
o. Existem vrios elementos importantes a se considerar
em relao ao trfego desconhecido identificar facilmente
aplicaes personalizadas de forma que elas sejam conhe-
cidas na poltica de segurana, e ter visibilidade previsvel e
polticas de controle sobre o trfego que permanece
desconhecido.
1. O seu prximo firewall precisa identificar e controlar aplicaes em qualquer porta e no apenas nas portas padres (inclusive aplicaes que usam HTTP ou outros protocolos).
Os desenvolvedores no se orientam mais pelos mapeamentos
sobre padro de portas, protocolos e aplicaes. As aplicaes so
cada vez mais dinmicas, tendo seu funcionamento em portas no
padro ou podem pular portas, como aplicaes de mensagens
instantneas, arquivos peer-to-peer ou VOIP. Alm disso, os
usurios esto suficientemente experientes para forar aplicaes
a rodar sobre portas no padro (ex. MS RDP, SSH).
Para manter o controle das polticas especficas sobre aplicaes
em que as portas podem ser alteradas, seu prximo firewall deve
assumir que qualquer aplicao pode rodar em qualquer porta.
Essa uma mudana fundamental que pode fazer do firewall de
nova gerao uma necessidade absoluta. Se qualquer aplicao
pode ser executada em qualquer porta, um produto tendo como
sua tecnologia a base Statefull dever executar todas as assinatu-
ras em milhares de portas.
3. O seu prximo firewall precisa descripto-grafar SSL de sada.
Atualmente, mais de 15% do trfego de rede SSL-
encriptado (de acordo com a anlise de mais de 2.400 exem-
plares de trfego de rede veja o relatrio Palo Alto
Networks Application Usage and Risk para detalhes). Em
alguns mercados, como o de servios financeiros, essa
porcentagem sobe para mais de 50%. Devido ao aumento da
adoo do protocolo HTTPS aplicaes de alto risco, das
aplicaes utilizadas pelos usurios, como Gmail e Facebook,
e da possibilidade dos usurio