On 25/01/2015 17:53, Renato Frederick wrote:
Patrick Tracanelli escreveu:
Sobre a estrategia de "seguranca" defendida, convenhamos, é enrolar o
rabo e sentar em cima pra tentar esconder. Colocar um gateway falso
pra evitar proliferacao de vírus ehahuauha em primeiro lugar não
deveria haver vírus, em segundo lugar se tem, não deveria assumir uma
posicão que o virus vai ficar la tentando se propagar, ele sera
eliminado ASAP. Faz favor. Outro ponto nada a ve, e que nada impede a
adocao de um DNS a parte. Mas de novo, ter um "dns pros virus" e
deixar o proxy ser o unico a usar o DNS autentico me parece de novo o
caminho totalmente oposto da seguranca.
Olá Patrick!
Muito boa, como sempre, sua explicação sobre os outros pontos.
Interessante saber que as ameaças sabem mais como usar a pilha tcp/ip
do Windows do que programas lícitos. Eu mesmo já tive problema com
alguns programas Windows que usavam JAVA, porque não pegavam a conf.
do navegador, tinha que sair máquina e máquina e colocar na mão :(
Sobre o ponto acima, foi exatamente o ponto que mais discordei :-)
Acho que é, como alguém falou nos comentários deste site que li,
"inventar uma solução complicada para algo simples"!
Eu costumo trabalhar do jeito que você comentou, se há como interferir
no equipamento final(Um AD, com GPO, empresa), faço uma GPO com
ativação de proxy para tudo e um belo "deny from $rede_interna to
any", liberando eventualmente alguma porta específica. Costumo fazer a
regra de nat permitindo any to any, mas tem gente que faz 1 regra de
nat para cada porta. Não gosto disto porque no firewall de
borda(considerando que atrás dele tenha um proxy/nat) vai ficar no log
ips internos que tentaram fazer o roteamento sem passar pelo NAT.
Porém, tem empresa que é mais permissiva, ou tem colaboradores que
usam a internet eficientemente, estas normalmente fecho portas bem
conhecidas como 135-139, etc, etc e o gestor fica monitorando, quem
eventualmente comete abuso leva puxão de orelha.
Agora, quando é um hotspot, ou um ISP, é proxy transparente com squid
ou interceptação de todo tráfego e jogando para um equipamento de
cache. A ideia de sempre usar proxy transparente sempre aparece em
meus diagramas, já tenho até o esboço salvo como padrão, 2 links
internet -> cluster pfsense com carp -> servidor proxy transparente ->
rede interna ;)
Obrigado pela sua atenção, mais conteúdo prá enriquecer a lista!
Saudações a todos,
Como sempre excelentes abordagens.
Os argumentos apresentados pelo material com relação a segurança está
mais para administrador de rede preguiçoso, sou adepto a proxy
transparente, não pela facilidade de administrar a rede mais pela
ineficiência de um usuário conseguir burlar os controles implantados na
infraestrutura.
Em resumo mantenho todas as portas bloqueadas e libero acesso a
porta/servidor especifico caso seja necessário com exceção de
interceptar o stream daquela conexão ( tipo Conexão Segura da Caixa
econômica ) e encaminha-lo para a proxy.
Dá um trabalho maior e não é difícil chegar a 600 ou 800 regras no
firewall com exceções, contudo o trafego que entra ou sai da rede é
totalmente confiável.
E estação de trabalho com virus/worms é irresponsabilidade do
administrador por deixar que uma estação seja infectada, restringe os
privilégios dos usuários, coloca recursos de gerenciamento centralizados
onde o controle do antivírus não seja manipulado pelo usuário, proíbe a
utilização de discos removíveis e acesso a sites apenas no que diz
questão ao trabalho do colaborador, só com essas medidas cairá em 99% a
possibilidade de se ter uma estação infectada.
E outra coisa que coloco na rede é segmentar a rede por departamentos e
o trafego entre eles serem inspecionado pelo IDS, tive só alguns
problemas com protocolos de impressão que parecem não funcionar muito
bem quando se tem um IDS no meio.
Att.
--
Paulo Henrique.
Grupo de Usuários de Sistemas BSDs no Brasil.
Fone: +55 21 96713-5042
Não importa o que faça, sempre haverá alguém em algum lugar do mundo que será
sempre melhor do que você.
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
