Configurando firewall na empresa: quais os programas confiáveis?

Configurando firewall na empresa: quais os programas confiáveis?

Se está difícil decidir que portas e endereços configurar no firewall, que tal controlar os programas que podem rodar?

 

Por Ariel Nigri

 

Uma coisa que sempre foi difícil para os administradores de redes é identificar quais são as configurações necessárias no firewall para que um determinado programa funcione corretamente. Quem sabe qual é a porta e o endereço IP que o Receitanet utiliza? E o softphone que usa o serviço SIP, sabemos de cor como permiti-lo?

E o cenário fica muito pior quando temos o problema contrário, que é bloquear um determinado programa. Programas mal comportados fazem de tudo para dar ao usuário o que ele quer, a despeito do controle da rede. Sem ir muito longe, temos o Skype, o Bit Torrent e o UltraSurf, todos muito eficientes para encontrar aquele serviço do firewall que ficou aberto. Pode ser uma porta de saída sem IP específico, ou pode ser um site que não foi bloqueado. Qualquer erro de configuração e os usuários ficam à vontade para acessar os programas e serviços que nada tem a ver com o trabalho deles.

A solução para estes problemas passa por uma mudança na forma de programar o firewall corporativo, que é especificar “em que programas nós confiamos” e não mais “o que pode ser acessado”. E a ideia em si não é nova: há muito tempo que os “personal firewalls” controlam o acesso baseado nos programas utilizados ao invés de obrigar o usuário a entender a sopa de letrinhas dos protocolos da internet como POP, IMAP, DNS etc. Basta configurar “deixe o Receitanet conectar na internet usando a porta que ele quiser, mas bloqueie o Bit Torrent”.

Para que isso funcione em um firewall corporativo, é necessário que haja uma comunicação entre ele e as estações dos usuários, de forma a identificar o programa e o usuário que está fazendo o acesso a internet. Este papel é desempenhado pelo “Agente Winconnection para Desktops”, que trabalha fazendo exatamente isso (e de quebra, ainda controla especificamente o programa Skype de uma forma bem mais detalhada). Alguns vão lembrar que o gerenciamento centralizado dos firewalls de estação também não é novidade, mas a maioria das soluções que faz isso não reprograma o firewall corporativo e acaba obrigando o administrador a usar 2 soluções, sendo uma de gateway e outra de estação.

O Winconnection 7 vem com um controle de saída que mistura de forma inteligente e integrada as regras que são baseadas em endereços e portas com as regras baseadas no programa e no usuário que está originando o acesso. Tudo junto numa tela, fica muito mais fácil e mais seguro, e cria uma rede bem protegida com pouco esforço e onde tudo que precisa funcionar funciona, e tudo que deve ser bloqueado fica bloqueado.

Para quem não tem o Winconnection 7, fica a dica para experimentar. Para quem já tem, aqui vão as dicas de como configurar a sua rede usando o NAT de saída do Winconnection associado ao controle de acesso baseado no programa da forma que é feito na Winco:

  1. No serviço de NAT de saída, marque a opção “Habilitar o controle de acesso” e preencha as regras na ordem abaixo:
  2. Crie regras para permitir os serviços básicos de rede: NTP e DNS.
  3. Crie uma regra que permita a saída de todos os IPs dos servidores e computadores que precisam de acesso total.
  4. Crie agora as regras que se aplicam a programas específicos ou usuários específicos permitindo ou proibindo o acesso conforme o caso.
  5. Crie uma regra geral para permitir ou proibir o uso de todos os programas não listados. Para isso use o asterisco (*) no nome do programa e selecione a ação desejada.
  6. Na opção para acessos não listados, coloque “bloquear”.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *