Poderiam disponibilizar um tutorial de boas praticas do Firewall?



  • Antes de qualquer coisa, boa tarde galera!

    Estou usando o Pfsense com squid3, squidguard e lightsquid com proxy transparente e uma coisa sempre me vem a mente: Será que estou usando as configurações de firewall de forma adequada?
    E imagino que vários usuários tenham a mesma dúvida, então gostaria de perguntar aos "gurús" deste fórum que sempre me salvam (diga-se de passagem) se poderiam fazer um tutorial de configuração básica padrão de portas e protocolos que devem ser liberadas (pois sempre poderão ser usadas, serão necessárias) e as que devemos nos preocupar e manter sempre bloqueadas. Sei que alguns irão mandar eu assistir os vídeos que estão disponibilizados porém e varrer o fórum, já o fiz, porém, nenhum deles é mais taxativo quanto a esse tipo de configuração. Acho que seria bom ter um tutorial atualizado e funcional nesse sentido.

    Outra dúvida, a configuração padrão da instalação do firewall é um grande erro por parte do usuário? Pois andei vendo em alguns lugares o pessoal usando ela sem medo de ser feliz e isso me deixou preocupado.

    Desde já agradeço o espaço, tempo e a colaboração dos senhores!



  • Bom, não sou nenhum guru (muito longe disso), mas posso dar meus 5 centavos…

    A pratica que eu utilizo é analisar cada ambiente e os serviços necessários, pois pode variam e muito.
    Então desabilitar a regra padrão, e ir liberando somente as portas/serviços que for utilizar (dns, pop, smtp, imap, rdp, etc...) e sempre fazer a regra mais específica possível para cada origem/destino, por exemplo, um Alias com os servidores que vai precisar acessar externamente usando a porta 3389, e não deixando ela para qualquer destino, isso minimiza "saída" indesejada, outro exemplo a porta 3128 colocando como destino somente a LAN Address para que uma máquina cliente não acesse um proxy externo utilizando esta porta;

    Lembrando que no pfSense o que não é expressamente "liberado" está por padrão "bloqueado".

    Como o Marcello Coutinho já falou em outro post: quanto mais genérica são as regras mais genérica é a segurança;



  • @OtSuAf:

    Antes de qualquer coisa, boa tarde galera!

    Estou usando o Pfsense com squid3, squidguard e lightsquid com proxy transparente e uma coisa sempre me vem a mente: Será que estou usando as configurações de firewall de forma adequada?
    E imagino que vários usuários tenham a mesma dúvida, então gostaria de perguntar aos "gurús" deste fórum que sempre me salvam (diga-se de passagem) se poderiam fazer um tutorial de configuração básica padrão de portas e protocolos que devem ser liberadas (pois sempre poderão ser usadas, serão necessárias) e as que devemos nos preocupar e manter sempre bloqueadas. Sei que alguns irão mandar eu assistir os vídeos que estão disponibilizados porém e varrer o fórum, já o fiz, porém, nenhum deles é mais taxativo quanto a esse tipo de configuração. Acho que seria bom ter um tutorial atualizado e funcional nesse sentido.

    Outra dúvida, a configuração padrão da instalação do firewall é um grande erro por parte do usuário? Pois andei vendo em alguns lugares o pessoal usando ela sem medo de ser feliz e isso me deixou preocupado.

    Desde já agradeço o espaço, tempo e a colaboração dos senhores!

    Caro amigo, boa noite

    Infelizmente não têm uma receita de bolo para sua dúvida.  Isso vai de cada projeto.

    EU por exemplo acho que Proxy transparente não presta (Mas existem alguns clientes que se torna impraticável a implementação de um proxy ativo, simplesmente pelo fato dos usuários não aceitarem a idéia de colocar um usuário e senha).

    a única coisa que tem sim uma receita de bolo são os serviços (Portas )a serem liberadas com Source LAN destination Any.

    Em geral são as portas de Email DNS, HTTp E https, e mesmo assim sempre terá algum cliente que você terá que liberar outras

    Caso desconheça todas as portas de serviço conhecidas existentes, você pode conferir um arquivo dentro do windows que fica em c:\Windows\System32\drivers\etc\services

    Veja esse link abaixo (Wikipedia).  Possui a lista do arquivo acima.

    http://lmgtfy.com/?q=servi%C3%A7os+de+portas+tcp+e+udp+conhecidas

    Uma coisa que aconselho também é nunca utilizar DNS externo nas estações, isso facilita os malditos browsers Anonymizer (Tor, ultrasurf etc).  Deixe as estações com o dns de seu servidor interno e permita que apenas o seu servidor interno faça requisições dns externas (De preferência, configure seus Forwarders para um IP específico e libere seu servidor para acessar UDP apenas neles)



  • @victorfmaraujo:

    EU por exemplo acho que Proxy transparente não presta (Mas existem alguns clientes que se torna impraticável a implementação de um proxy ativo, simplesmente pelo fato dos usuários não aceitarem a idéia de colocar um usuário e senha).

    Não entendi bem porque você fala em os usuários colocarem usuário e senha para ter proxy ativo;
    Você não precisa autenticar o usuário para ter proxy ativo. Exitem outras formas.



  • @Tomas:

    @victorfmaraujo:

    EU por exemplo acho que Proxy transparente não presta (Mas existem alguns clientes que se torna impraticável a implementação de um proxy ativo, simplesmente pelo fato dos usuários não aceitarem a idéia de colocar um usuário e senha).

    Não entendi bem porque você fala em os usuários colocarem usuário e senha para ter proxy ativo;
    Você não precisa autenticar o usuário para ter proxy ativo. Exitem outras formas.

    Estou ciente Tomas hehehe.

    Mas estou levando em consideração que o autor do tópico não tem muito conhecimento com pfsense e que ele utilizaria dos métodos "mais fáceis" via interface web.



  • @victorfmaraujo:

    Estou ciente Tomas hehehe.
    Mas estou levando em consideração que o autor do tópico não tem muito conhecimento com pfsense e que ele utilizaria dos métodos "mais fáceis" via interface web.

    Entendi, mas é bom de qualquer forma não fechar as opções, para quem está começando é bom saber todas que temos disponíveis!


Log in to reply