Você ainda acha que o seu Firewall vai te proteger?

Muita gente ainda tem o conceito de segurança que o firewall é a defesa principal da rede. É fato que o firewall atue como proxy, barrando ou liberando o acesso de Internet, tanto de dentro para fora quanto o inverso. Durante muito tempo, o firewall foi visto como o principal ponto de investimento em segurança... Mas será que isso ainda é verdade?

A proteção de uma infraestrutura, hoje em dia vai, muito além de utilizar simplesmente um firewall. A segurança envolve várias camadas e uma das metodologias para assegurar a integridade da rede é controlando o acesso à Internet. Basicamente, existem algumas formas de se controlar o acesso à Internet:

1. Mantendo uma lista de sites bloqueados (mais comum);
2. Mantendo uma lista de sites liberados (mais segura);
3. Não controlando (pouco comum).

A alternativa 1 aumenta muito o trabalho, pois é necessário sempre manter esta lista atualizada. Afinal, cada dia existem mais e mais sites que devem ser bloqueados. A alternativa 2 possui carga menor de trabalho, porém você causa muita insatisfação aos seus usuários. A alternativa 3  há um bom tempo não é tão implantada; nem é necessário dizer seu alto risco.

Obstáculos de segurança

Um dos problemas enfrentados pelos administradores de rede é justamente o modem 3G. Cada vez mais comum e barato, ele pode pôr toda sua estratégia de acesso à Internet por água abaixo. Afinal, de que adianta implementar a melhor regra de acesso e controle de Internet se você não se preocupou com a segurança nos desktops? Um ambiente de desktops não-gerenciado pode trazer muitos riscos, pois é muito mais fácil infectar a rede com vírus dessa forma do que com um vírus por e-mail.

Outro problema de segurança nos desktops são os pendrives USB. Apesar de já existirem políticas de grupo e softwares que os bloqueiam, ainda assim é uma forma de entrada de vírus e também de roubo de informações.

Há ainda os softwares que fazem acesso anônimo (anonymizers), que permitem navegação web usando mecanismos de empacotamente de dados. Os melhores softwares de anonymizers conseguem utilizar portas de SSL (443), tornando praticamente impossível detectá-los pela rede. Como os administradores de rede conseguirão se proteger neste caso? Boa pergunta.

Outra forma extremamente eficiente de invasão/roubo de informações é através de engenharia social. Muitos anos atrás, durante meu período de consultor, fui contratado para implementar a segurança de rede de uma grande empresa; um dos pontos em que insisti fortemente era justamente o treinamento dos funcionários.

Um exemplo: nesse cliente existia um problema que ainda é comum. Quando são implementadas políticas de senha forte e não há a instrução e treinamento dos funcionários, eles acabam anotando em post-its as senhas e colam ao lado do monitor. Absurdo? Faça um dia uma visita surpresa à máquina dos usuários e você descobrirá coisas interessantes.

Daí vem a grande pergunta: de que adianta implementar uma politica de senhas complexa, que exige pelo menos 10 caracteres, que lembre as últimas 12 senhas utilizadas, se voce não ensinou os funcionários sobre a importância de manter as senhas de forma segura?

Disquete caído

Nesse cliente realizamos um teste muito interessante e que você pode reproduzir na sua empresa. Na época usamos disquetes, mas você pode usar CDs (se você usar pendrives, eu duvido que alguém os devolva). Crie uma planilha no Excel e coloque vários nomes, separados por cargos e salários. Coloque um logotipo da empresa e cole uma fita adesiva no disquete chamada "cargos e salários - 2009" .

Um detalhe importante: coloque uma macro nesta planilha, para que ela crie de forma inocente um arquivo "testexxx.txt" em um diretório que você definir. Agora vem a parte engraçada. Copie vários disquetes desta forma e deixe-os caídos pelos corredores e demais lugares da empresa. Depois de uns 3 dias faça uma varredura na sua empresa atrás deste arquivo e verifique em quantas máquinas apareceu e quantos disquetes foram devolvidos para o help-desk. Parece engraçado, mas coloque agora um vírus e imagine o estrago que poderia ter ocorrido.

Não quero assustar ninguém, mas algo que as pessoas deveriam fazer é:

• Firewall não é tudo. Pense em todo o conjunto (rede, aplicações, servidores, desktops etc);
• Quando implementar segurança, considere treinamento aos funcionários como parte essencial do plano.