Skip to main content

Aprendizados e recomendações

Para a prevenção e contenção, MICROSEGMENTAÇÃO! É A REGRA PARA VLANS- PRIVILÉGIO MÍNIMO;

  • Os acessos entre vlans devem ter privilégios mínimos, ao informar apenas a VLAN e definir o acesso como ANY sn origem e destino, libera o acesso a todo e qualquer acesso a serviços e host de uma determinada VLAN para outra;
  • Defina exatamente a Origem (Ip ou grupo pequeno - evite definir uma VLAN) + Serviço + Porta + Protocolo + Destino (Ip ou grupo pequeno - evite definir uma VLAN) exatos;

  • Ataques diversos exploram permissões excessivas na rede para um atacante poder se deslocar lateralmente. Para reduzir esse risco, recomendamos:

    • Verificação da segmentação das VLANs.

    • Utilize um host Linux conectado a cada VLAN, uma de cada vez, e execute:

      sudo nmap -v -Pn -p- --open ip/16+da+rede+interna

    • Esse procedimento permite identificar os serviços acessíveis entre VLANs.

      Avalie se os acessos identificados são realmente necessários e ajuste as regras de firewall de rede conforme apropriado.

    • A cada regra, sempre faça as seguintes perguntas (elas te salvam):

      • Preciso de toda essa vlan como origem de tráfego ou apenas algun(s) host(s) dela?
      • Este host ou esta vlan de origem, precisa acessar todos os hosts ou todas aquelas vlans de destino?
      • Quais serviços essenciais que a origem precisam acessar no destino?!

ATENÇÃO TAMBÉM AO CONCEITO DE REGRAS IDA E VOLTA EM FIREWALLS STATEFUL! (armazena o estado de uma sessão/conexão). Se ele permitiu originar uma conexão, ele já sabe que terá volta.

  • Se o seu firewall opera no modo stateful, você não precisa criar regras de volta para o tráfego. Ele armazena o estado das requisições que oram originadas por determinado host e permite que elas sejam retornadas.

VANTAGENS DO USO DE NGFW em redes (FIREWALL DE PRÓXIMA GERAÇÃO):

  • Inspeção profunda de pacotes (DPI):

    • Com isso a facilidade na detecção de comportamentos anômalos e padrões maliciosos, mesmo que tentem se ocultar;

  • Reconhecimento de aplicativos facilitando bloqueios:

    • Você não precisará buscar atualizar listas com IPs, portas e protocolos, que podem mudar rapidamente, essas informações são atualizadas pelo fornecedor da solução diariamente, bastando que você aplique as atualizações.
    • Consulte se é necessária a aquisição de licenças junto ao fornecedor da solução.

  • Sistema de Prevenção de Intrusão (IPS);

  • Integração com inteligência contra ameaças:

    • Você não precisará buscar e atualizar listas com categorias, IPs, portas e protocolos, assinaturas e padrões de tráfego que podem mudar rapidamente.
    • Consulte se é necessária a aquisição de licenças junto ao fornecedor da solução.

  • Detecção e prevenção de malware:

    • Consulte se é necessária a aquisição de licenças junto ao fornecedor da solução.

  • Detecção e prevenção comportamental de tráfego:

    • Consulte se é necessária a aquisição de licenças junto ao fornecedor da solução.

  • Proteção contra ameaças avançadas:

    • Consulte se é necessária a aquisição de licenças junto ao fornecedor da solução.

Manter atualizados serviços, sistemas, plataformas e appliances internos.

NÃO utilização de dispositivos não-homologados pela ANATEL em redes institucionais.

  • Se houver necessidade de experimentos educacionais, estes obrigatoriamente devem ser realizados em redes isoladas, sem conexão com redes institucionais e sem conexão com a internet.

Sempre monitore a saúde da sua rede! 

  • Consumo de recursos, número de conexões, consumo de banda, logs do firewall de borda. 
  • Monitoramento simples e diário da saúde da sua rede, trará excelentes resultados. (top ips de saída, top ip de entrada, consumo de recursos do firewall, número de conexões, revisão periódica das regras, teste entre vlans).

Sempre faça o inventário e a gestão dos seus ativos!

  • Você terá a rapidez na resposta e informações precisas sob pressão para tomada de decisão e suporte. 

Quando for notificado por algum órgão ou entidade, seja por tráfego suspeito, malware ou vulnerabilidades, investigue a causa RAIZ e verifique qual o ativo que é a origem do alerta!

Ao efetuar bloqueios de endereços malicioso, faça na horizontal (entrada
e saída) e na vertical (entre vlans internas). DICA: Tenha uma regra de
pânico para estes momentos (regra já criada para fazer isso, com lista de IPs, bastando apenas incluí-los), fácil e rápida.

Mantenha as licenças atualizadas no seu firewall de borda
(equipes do fornecedor do appliance trabalhando por você) e de suas soluções de segurança.

Segurança cibernética deve ser pensada em camadas!

image.png

Back to top