Política de segurança da informação & Infraestrutura – Parte II

Política de segurança da informação & Infraestrutura – Parte I

O firewall é um dos itens indispensáveis nos dias de hoje para qualquer empresa, da pequena as grandes corporações, umas das ferramentas que mais vejo nas empresas é o Iptables, alguns analistas não o consideram como um firewall, realmente concordo que apenas o Iptables é muito simples para ser considerado um firewall, mas ele tem algumas funções bem interessantes com algumas atualizações bem simples, como o modulo Net-filter Layer 7.Apenas essa atualização expande e muito as possibilidades e acredito que seja suficiente para concorrer com muitos firewalls de baixo custo. No mercado existem muitos firewalls de R$ 5.000,00 à mais de R$ 200.000,00, os valores varia pelas funções disponiveis e a credibilidade da ferramenta no mercado.

Alguns desses firewalls traz com embutido na caixa (appliance) mais de uma ferramenta, como Firewall, Proxy, IPS/IDS, filtro de conteúdo WEB, filtro de e-mail (anti-spam), antivírus, Firewall de aplicação, entre outras funções, a grande defesa para venda é a simplificação da infraestrutura, eu como analista de segurança com foco na continuidade do negocio, não vejo como uma boa estratégia, esse tipo de appliance amplia exponencialmente o ponto único de falha e ainda ampliando a carga de processamento, dessa forma um ataque de DoS ou DDoS se torna mais fácil.

Cada serviços deve ser gerenciado separadamente, protegido de forma distinta e gerenciado de acordo com as melhores práticas.

Outra ferramenta importante tanto para o gerenciamento adequado quanto para a segurança do ambiente é o centralizador de logs, que tem a função de centralizar os logs de todos os servidores, serviços e appliaces da rede. O sistema ajuda a simplificar o gerenciamento dos ativos da rede, podendo criar relatórios específicos, por nível de relevância, quantidade dos eventos acima de determinado nível e criar agenda “schedule” de reports em horários e dias específicos, ou alertas automáticos para problemas.

O serviço de centralizador de logs, deve ser visto pela área de segurança como um backup de todos os logs da rede e deve ser protegido seguindo as melhores praticas. Exemplo de caso, uma empresa invadida por um cracker que tente eliminar o rastro apagando os logs de seu acesso, irá se focar nos logs dos ativos de rede por onde ele passou, o backup dos logs no centralizador poderá passar despercebido, principalmente se o trafego estiver tunelado e encriptado.

Há também um sistema de correlação inteligente dos eventos, tem a função de centralizar todos os eventos da rede e correlaciona afim de reduzir e simplificar, exemplo um usuário acessando um serviço de banco de dados, ele passa por 3 switch, 1 firewall e acessa o banco de dados, vamos dizer que cada ativo gere pelo menos 1 evento, para esse acesso será gerado pelo menos 5 eventos correlacionados para 1 evento.

Espero ter mostrado que um bom gerenciamento da TI a aplicação das tecnologias em conformidade com as reais necessidades da corporação e com os recursos da empresa, proporciona tanto para a segurança quando para o gerenciamento da infra uma visibilidade e fornece ferramentas para rápida resposta aos problemas mais comuns, proporcionando aos administradores, gerentes e analistas dados para que o trabalho seja tocado de forma pró-ativa e não reativa.