10 atributos que o seu firewall precisa ter

01/14

Muito j foi feito para proporcionar visibilidade das

aplicaes e controle sobre a segurana da rede. A

razo bvia: aplicaes podem facilmente escapar

dos firewalls tradicionais baseados em portas. E o valor

bvio: funcionrios usam qualquer aplicao que

precisam para que seu trabalho seja realizado geral-

mente, so indiferentes ao risco que este uso pode

trazer ao negcio. Quase todo profissional que trabalha

com segurana de rede admite que o controle de

aplicaes uma parte cada vez mais crtica.

Os firewalls de nova gerao so definidos pelo Gartner

como algo novo, diferenciado, focado nas necessidades

corporativas, ao contrrio do que afirmam alguns, de

que esse tipo de soluo um subconjunto de outras

funcionalidades (ex: UTM ou IPS). Oferecer visibilidade

de aplicativos e contedo e ter o controle sobre o que

circula em sua rede, mas utilizando um nmero

limitado de assinaturas IPS ou uma base de dados

externa no a soluo ideal. Essas funcionalidades

no possuem uma integrao total e sua matriz

tecnolgica ainda continua sendo a base Statefull.

A nova gerao de firewalls uma classe revolucionria

e diferente de produtos, que tem como viso no

No se trata de bloquear aplicaes, mas permiti-las de modo seguro. Aplicaes garantem a continuidade dos negcios e os profissionais precisam estar cientes de que as utilizam de forma segura

www.techbiz.com.br

bloquear aplicaes, mas permiti-las de modo seguro e

com controle. Aplicaes garantem a continuidade dos

negcios e os profissionais precisam estar cientes de

que as utilizam de uma forma segura.

Para as empresas que procuram os firewalls da nova

gerao, a mais importante considerao a se fazer :

Essa nova tecnologia ir permitir que os times de segu-

rana habilitem as aplicaes que tragam benefcios

para a organizao? Outras perguntas-chaves para este

tipo de tecnologia so:

Atributos que o seu prximo

Firewall precisa ter10

simples: seu prximo firewall precisa classificar o trfego por

aplicao, independente da porta, o tempo todo. De outra

maneira, as polticas de segurana continuaro a ser burladas

pelas mesmas tcnicas que o atormentam h anos.

2. Seu prximo firewall precisa iden-tificar e controlar circumventors: pro-xies, acesso remoto e aplicaes encrypted tunnel.

Proxies, acesso remoto e aplicaes encrypted

tunnel so especialmente utilizados para contor-

nar (circumvent) equipamentos de segurana

como firewalls, filtragem de URL, IPS e gateway

web de segurana. Sem ter como controlar esse

circumventors, as organizaes perdem a eficcia

em suas polticas de segurana e se expem a

graves riscos no qual elas pensam ter conseguido

mitigar pelos controles.

Nem todas as aplicaes funcionam da mesma

forma aplicaes de acesso remoto tm seu

trfego confivel, assim como aplicaes em

tneis VPN. Mas, proxies externos, annimos, que

se comunicam por SSL em portas randmicas, ou

aplicaes como Ultrasurf e Tor, tm apenas um

propsito real: contornar controles de segurana.

Existem diferentes tipos de aplicaes circumvention cada

uma delas utilizando tcnicas sutilmente diferentes. Existem

tanto proxies pblicos e privados (para ter acesso a uma grande

base de dados de proxies pblicos veja proxy.org) que podem

usar tanto HTTP e HTTPS. Proxies privados so geralmente esta-

belecidos como endereos IP no classificados (ex: computado-

res domsticos) com aplicaes como PHProxy ou CGIProxy.

Aplicaes de acesso remoto como MS RDP ou GoToMyPC

podem ter uso seguro, mas devido ao risco associado precisam

ser gerenciadas. A maioria dos demais circumventors (ex. Ultra-

surf, Tor, Hamachi) no possui uso para os negcios. E existe,

claro, os circumventors desconhecidos.

preciso que o firewall tenha tcnicas especficas para lidar com

todas essas aplicaes, independentemente de porta, protocolo,

encriptao ou ttica evasiva. Mais uma considerao: essas

aplicaes so regularmente atualizadas para tornar ainda mais

difcil a deteco e o controle. Portanto, importante entender

que no apenas o seu prximo firewall pode identificar essas

aplicaes circumvention, mas tambm o quo frequente essa

inteligncia atualizada e mantida.A habilidade de descriptografar o trfego SSL de sada um

elemento fundamental, no apenas porque a porcentagem de

trfego corporativo significativa, mas tambm porque permite

algumas outras funcionalidades-chaves que poderiam tornar-se

incompletas, sem a habilidade de descriptografar o protocolo SSL

(ex: controle de circumventors).

preciso realizar a classificao contnua e obter o entendimento

refinado de cada aplicao. Seu prximo firewall precisa avaliar

continuamente o trfego e observar as alteraes: se uma nova

funo ou ferramenta for introduzida em uma sesso, o firewall

precisa saber disso e realizar a checagem da poltica de controle.

Entender as diferentes funes de cada aplicao e os dife-

rentes riscos a elas associados extremamente importante.

Infelizmente, muitos firewalls classificam o fluxo do trfego

uma vez e depois vo pelo caminho mais rpido, (leia-se:

nunca mais olham para o fluxo novamente) isso para obter

um melhor desempenho. Este mtodo no acompanha as

aplicaes modernas e impede que esses firewalls encon-

trem o que realmente necessrio.

5. Seu prximo firewall precisa examinar ameaas em aplicativos de colaborao auto-rizados, como Sharepoint, Box.net, MS Office Online.

Empresas adotam cada vez mais aplicativos colaborativos

localizados fora de seu Datacenter. Seja em Sharepoint,

Box.net, Google Docs ou Microsoft Office Live, ou mesmo em

uma extranet de algum parceiro, muitas organizaes neces-

sitam de uma aplicao que compartilhe arquivos em

outras palavras, esse um vetor de alto risco.

Muitos documentos infectados esto armazenados em

aplicativos de colaborao, juntamente com documentos que

possuem informaes sensveis, por exemplo, informaes

pessoais de clientes. Alm do mais, algumas dessas aplica-

es (Sharepoint) baseiam-se em tecnologias que so alvos

regulares para exploits (ex., IIS, SQL Server). Bloquear a

aplicao no recomendado, mas tambm permitir tudo

traz ameaas ao ambiente corporativo.

Para se ter um ambiente seguro, necessrio examinar as

aplicaes em busca de ameaas. Essas aplicaes podem

comunicar-se por meio de uma combinao de protocolos (ex.

Sharepoint HTTPS e CIFS, e requerem polticas mais sofistica-

das do que o bloqueio da aplicao). O primeiro passo iden-

tificar a aplicao (independentemente da porta ou da encrip-

tao), permiti-la protegendo o ambiente de ameaas: exploits,

vrus/malware ou spyware... Ou mesmo informaes confiden-

ciais, sensveis e regulamentadas.

6. Seu prximo firewall precisa lidar com trfego desconhecido a partir de polticas, e no deixar que ele simplesmente passe des-percebido.

Sempre existir um trfego desconhecido e ele sempre

representar riscos significativos para qualquer organiza-

o. Existem vrios elementos importantes a se considerar

em relao ao trfego desconhecido identificar facilmente

aplicaes personalizadas de forma que elas sejam conhe-

cidas na poltica de segurana, e ter visibilidade previsvel e

polticas de controle sobre o trfego que permanece

desconhecido.

1. O seu prximo firewall precisa identificar e controlar aplicaes em qualquer porta e no apenas nas portas padres (inclusive aplicaes que usam HTTP ou outros protocolos).

Os desenvolvedores no se orientam mais pelos mapeamentos

sobre padro de portas, protocolos e aplicaes. As aplicaes so

cada vez mais dinmicas, tendo seu funcionamento em portas no

padro ou podem pular portas, como aplicaes de mensagens

instantneas, arquivos peer-to-peer ou VOIP. Alm disso, os

usurios esto suficientemente experientes para forar aplicaes

a rodar sobre portas no padro (ex. MS RDP, SSH).

Para manter o controle das polticas especficas sobre aplicaes

em que as portas podem ser alteradas, seu prximo firewall deve

assumir que qualquer aplicao pode rodar em qualquer porta.

Essa uma mudana fundamental que pode fazer do firewall de

nova gerao uma necessidade absoluta. Se qualquer aplicao

pode ser executada em qualquer porta, um produto tendo como

sua tecnologia a base Statefull dever executar todas as assinatu-

ras em milhares de portas.

3. O seu prximo firewall precisa descripto-grafar SSL de sada.

Atualmente, mais de 15% do trfego de rede SSL-

encriptado (de acordo com a anlise de mais de 2.400 exem-

plares de trfego de rede veja o relatrio Palo Alto

Networks Application Usage and Risk para detalhes). Em

alguns mercados, como o de servios financeiros, essa

porcentagem sobe para mais de 50%. Devido ao aumento da

adoo do protocolo HTTPS aplicaes de alto risco, das

aplicaes utilizadas pelos usurios, como Gmail e Facebook,

e da possibilidade dos usurio