Aprendizados e recomendações
Para a prevenção e contenção, MICROSEGMENTAÇÃO! É A REGRA PARA VLANS- PRIVILÉGIO MÍNIMO;
- Os acessos entre vlans devem ter privilégios mínimos, ao informar apenas a VLAN e definir o acesso como ANY sn origem e destino, libera o acesso a todo e qualquer acesso a serviços e host de uma determinada VLAN para outra;
- Defina exatamente a Origem (Ip ou grupo pequeno - evite definir uma VLAN) + Serviço + Porta + Protocolo + Destino (Ip ou grupo pequeno - evite definir uma VLAN) exatos;
- A cada regra, sempre faça as seguintes perguntas (elas te salvam):
- Preciso de toda essa vlan como origem de tráfego ou apenas algun(s) host(s) dela?
Ataques diversos exploram permissões excessivas na rede para um atacante poder se deslocar lateralmente. Para reduzir esse risco, recomendamos:
-
Verificação da segmentação das VLANs.
-
Utilize um host Linux conectado a cada VLAN, uma de cada vez, e execute:
sudo nmap -v -Pn -p- --open ip/16+da+rede+interna -
Esse procedimento permite identificar os serviços acessíveis entre VLANs.
Avalie se os acessos identificados são realmente necessários e ajuste as regras de firewall de rede conforme apropriado.
ATENÇÃO TAMBÉM AO CONCEITO DE REGRAS IDA E VOLTA.Seu firewall é STATEFUL! (armazena o estado de uma sessão/conexão).Se ele permitiu originar uma conexão, ele já sabe que terá volta.
A cada regra, sempre faça as seguintes perguntas (elas te salvam):
Este host ou esta vlan de origem, precisa acessar todos os hosts ou todas aquelas vlans de destino?
Quais serviços essenciais que a origem precisam acessar no destino?!
ATENÇÃO TAMBÉM AO CONCEITO DE REGRAS IDA E VOLTA EM FIREWALLS STATEFUL! (armazena o estado de uma sessão/conexão). Se ele permitiu originar uma conexão, ele já sabe que terá volta.
VANTAGENS DO USO DE NGFW em redes (FIREWALL DE PRÓXIMA GERAÇÃO):
● Inspeção profunda de pacotes (DPI);●:
Reconhecimento de aplicativos –facilitando Mediantebloqueios:
Sistema de Prevenção de Intrusão (IPS);●
Integração com inteligência contra ameaçasameaças:
aquisição de
Detecção e prevenção de malwaremalware:
Detecção e prevenção comportamental de tráfegotráfego:
Proteção contra ameaças avançadasavançadas:
de
Manter atualizados serviços, sistemas, plataformas e appliances internos.
NÃO utilização de dispositivos não-homologados pela ANATEL em redes
institucionais. (Faça
conexão com redes institucionais e sem conexão com a
Sempre monitore a saúde da sua rede,rede!
banda, logs do firewall de borda. Monitoramento simples e diário da
saúde da sua rede, trará excelentes resultados. (top ips de saída, top ip de
entrada, consumo de recursos do firewall, número de conexões, revisão periódica das regras, teste
entre vlans).
Sempre faça o inventário e a gestão dos seus ativos! Rapidez
e informações precisas sob
Quando for notificado por algum órgão ou entidade, seja por tráfego suspeito, malware ou vulnerabilidades, investigue a
causa RAIZ e verifique qual o ativo que é a origem do alerta!
Ao efetuar bloqueios de endereços malicioso, faça na horizontal (entrada
e saída) e na vertical (entre vlans internas). DICA: Tenha uma regra de
pânico para estes momentos (regra já criada para fazer isso, com lista de IPs, bastando apenas incluí-los), fácil e rápida.
Mantenha as licenças atualizadas no seu firewall de borda
(equipes do fornecedor do appliance trabalhando por você) e de suas soluções de segurança.
Segurança cibernética deve ser pensada em camadas!
