Hardening: o que é e 10 dicas de como proteger a sua rede

Hardening: o que é e 10 dicas de como proteger a sua rede

 

Por Ariel Nigri

Deixar uma rede corporativa segura é uma tarefa complexa e que requer planejamento conjunto da área de TI com a área de gestão da empresa, pois impacta diretamente o trabalho dos profissionais dentro da empresa.

 

O primeiro passo é decidir que tipos de acesso serão permitidos na rede da empresa, sejam eles de dentro para fora ou de fora para dentro.

 

O próximo passo é o “hardening” da rede, e é isso que vamos abordar neste post. Este processo consiste em remover todos os acessos desnecessários no firewall, tanto no sentido “outbound” (de dentro para fora), como no sentido “inbound” (de fora para dentro), de forma a diminuir as possibilidades que um usuário mal intencionado teria para fazer um ataque.

 

Além do bloqueio dos acessos desnecessários, deve-se atentar também para a circulação de senhas no modo “texto”, ou seja, de um modo que facilite a captura das mesmas. A maioria dos protocolos tem uma versão SSL que deve ser utilizada sempre que possível.

 

Vamos começar com cinco dicas que protegem a rede no acesso “inbound”, que servem para manter os hackers do lado de fora.

 

  1. Nunca disponibilize um serviço que use autenticação sem que este seja criptografado: SMTP, POP, IMAP devem ser disponibilizados apenas por SSL. O HTTP, dos websites deve ser SSL sempre que houver alguma autenticação envolvida.
  2. Não deixe mais portas abertas do que o necessário para a sua operação. Se os seus funcionários não podem acessar o e-mail de casa, não deixe a conexão para os serviços POP, SMTP e IMAP abertos.
  3. Restrinja, sempre que possível, a origem dos acessos a um determinado serviço. Supondo que haja apenas um parceiro de negócios que precise acessar o seu servidor web, então tente fechar o acesso para este parceiro. Se este tiver um IP fixo, configure o acesso por IP. Caso contrário, configure outro tipo de autenticação.
  4. Mudar as portas-padrão dos serviços é uma boa prática para diminuir o número de ataques externos à sua rede, mas não é uma solução perfeita. Mesmo quando configurado em uma porta diferente, é necessário o mesmo cuidado para bloquear os acessos indevidos.
  5.  Utilize conexões VPN se for necessário dar um acesso mais geral à sua rede, como servidores de disco e impressoras. Evite criar muitos acessos de entrada no seu firewall.

 

Agora vamos ver o que deve ser feito para proteger o acesso “outbound”. Estas dicas vão evitar que os seus usuários abusem da estrutura de rede da empresa.

 

  1. A regra mais importante é: tudo que não precisa ser permitido deve ser bloqueado. Melhor ainda: comece bloqueando tudo e vá liberando especificamente o que é necessário. Basta uma porta aberta sem controle para que programas como o Ultrasurf ou o Tor funcionem e furem o controle de acesso.
  2. Usuários internos também podem atacar a sua rede. Embora menos importante, procure utilizar criptografia nos protocolos que exigem autenticação. Para não ter que pagar um certificado SSL para isso, utilize certificados gerados pelo próprio servidor da empresa (Self-signed certificates).
  3. Preste particular atenção nas conexões HTTPS saindo. Certifique-se que o seu firewall é capaz de controlar o nome nos certificados e a validade dos mesmos (como faz, por exemplo, o Winconnection 7). Em seguida, bloqueie todos os acessos onde o host da conexão é um endereço IP, a não ser que seja um acesso conhecido.
  4. Quanto ao acesso à navegação, escolha a forma de controle de acordo com o perfil dos profissionais e o tipo de trabalho feito na empresa: para trabalhos simples que não exigem muita internet, crie uma lista com os sites permitidos; para trabalhos de criação, pesquisa ou desenvolvimento, opte por bloquear o que é nocivo, e não se esqueça de controlar periodicamente o que foi acessado para evitar eventuais abusos.
  5. Quando for necessário utilizar programas que não tem portas e endereços IP de acesso fixos, opte por fazer o controle baseado no nome do programa. Muitos firewalls atuais já fazem isso, como é o caso do Winconnection 7 (veja o roteiro de configuração).

 

E claro, recomendamos ter tudo isso documentado na intranet ou em algum repositório de informações da empresa. Assim ninguém fica na mão quando o gerente de redes estiver de férias.

 

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *