Centralização é a chave do controle

Em tempos de globalização, não é incomum ter vários sites, cada um deles com seu próprio firewall, conectados à Internet. Você poderia gerenciá-los localmente, mas isso exigiria um estafe de suporte em cada uma das localizações conhecidas da segurança de rede. Estabelecer uma política de segurança unificada é muito mais complexo. Gerenciar seus vários firewalls centralmente é mais inteligente e crucial para manter uma rede segura.

Em silêncio em sua rede, os firewalls ajudam a evitar o acesso desautorizado entre os segmentos do sistema. Seja administrando um site ROBO (Remote Office/Branch Office) ou um Fortune 100, se você estiver conectado à Internet, terá de colocar um em funcionamento. Existe apenas um dispositivo para gerenciar e monitorar, e ele não exige muito trabalho depois da instalação. Entretanto, se você estiver tentando gerenciar a segurança de vários sites, precisará de algo melhor do que um simples GUI de gerenciamento. Testamos três firewalls que atendem às necessidades empresariais o Raptor Firewall 6.5, da Axent Technologies; o VPN-1 Gateway, da Check Point e o Cisco Secure PIX Firewall 520, da Cisco Systems. Nossos testes revelaram algumas diferenças consideráveis de performance, relatório e gerenciamento.

Queríamos olhar especificamente o gerenciamento multiunidade distribuído. Todos os firewalls que testamos tinham alguma capacidade para o gerenciamento remoto, mas descobrimos uma grande variação na implementação. Com a exceção do produto da Check Point, os firewalls testados nos exigiram usar seus clientes VPN para um gerenciamento seguro, o que significou usar uma estação de gerenciamento baseada no Windows. Colocamos os firewalls em nossa rede Real World Labs e convivemos com eles. Descobrimos que, em grande parte, a configuração remota foi sem problemas. Mal percebemos a diferença entre gerenciar um firewall na sub-rede local e gerenciá-lo em nossas conexões Frame Relay. Entretanto, o que diferenciou um firewall do outro foi o logging e o relatório. Sendo incapazes de diagnosticar as conexões localmente, tivemos de confiar nos meios de relatório das estações de gerenciamento.

Encontramos diferenças consideráveis nessa área. O relatório é crucial para o gerenciamento de firewalls devido à grande variedade de ataques que podem aparecer no firewall. O que primeiramente pode parecer um comportamento anômalo, como algumas tentativas de conexão rejeitadas, pode se mostrar, com o tempo, ser uma varredura de porta lenta projetada a evitar a detecção. Até que a correção automatizada de eventos seja desenvolvida, a melhor defesa de rede é administrar regularmente os logs (registros). Embora rastrear conexões bem-sucedidas possa não ser terrivelmente importante em base diária, o aumento de tentativas bloqueadas pode assinalar qualquer coisa, de um ataque efetivo a dispositivos mal configurados ou se comportando mal. Um bom logging deve apresentar informações o suficiente aos administradores para que saibam quando fazer a varredura rapidamente em eventos importantes. Mais detalhes devem estar disponíveis se necessário. O firewall da Check Point bate os outros produtos em sua capacidade de relatório por causa do nível de detalhes apresentado ao administrador. Durante o teste, descobrimos que poderíamos facilmente determinar onde nossos problemas de configuração estavam ao examinar os logs, descobrindo as entradas relevantes e, então, chegando à regra que desencadeava a entrada de log.

Todos os firewalls que testamos são certificados pela ICSA, e os configuramos e assim como os sistemas operacionais subjacentes para serem tão seguros quanto possível ao desligar os serviços e corrigindo o sistema operacional subjacente. Para testar as vulnerabilidades, escolhemos alguns ataques bem conhecidos para invadir os servidores protegidos pelo firewall, em vez de usar produtos comerciais, como o Internet Scanner, da ISS, ou o CyberCop Scanner, da Network Associates. Os fabricantes têm melhorado esses produtos contra tais estratagemas óbvios.

Nosso primeiro passo no teste de segurança foi traçar o perfil de cada um dos firewalls. Queríamos determinar o quanto poderíamos descobrir sobre eles e os serviços a que estava protegendo e se poderíamos nos desviar deles e atacar os servidores diretamente. Quando fizemos a varredura dos firewalls diretamente, com o aplicativo Nmap, da Fyodor, descobrimos todos eles, excetoo Firewall-1, que continuou obscuro para nós.