Pesquisa

Este documento é uma tradução do inglês. É possível que tenham sido feitas atualizações à versão original do inglês depois que esse documento foi traduzido e publicado. A Symantec não garante que esta tradução esteja totalmente completa em relação ao original.

Situação:

Solução :
Introdução
Quando os computadores em uma rede privada se conectam à Internet, eles conectam fisicamente sua rede a inúmeras redes desconhecidas. Enquanto a maioria das conexões não oferecerem ameaças ao seu computador ou à sua rede, existem indivíduos desonestos, tais como hackers e script kiddies, que tentam se infiltrar em sua rede através de computadores desprotegidos. Um ataque bem-sucedido pode comprometer informações secretas, interromper a produtividade e, conseqüentemente, destruir reputações e o valor da marca.
Os firewalls instalados em computadores endpoint protegem contra esses ataques, criando uma barreira entre os computadores e as redes externas, incluindo a Internet. Este artigo enfoca o componente de proteção contra ameaças à rede (ou firewall do cliente) do Symantec™ Endpoint Protection; especificamente a finalidade de firewall do cliente, elementos da política de firewall, como as regras de firewall são processadas e uma abordagem das práticas recomendadas para implementar uma política de firewall em sua rede.

O desafio de configurar o firewall do cliente
Os firewalls são tão bons quanto as políticas que eles aplicam. Uma política mal construída pode permitir a entrada de invasores, enquanto impede que as fontes confiáveis acessem recursos necessários. Antes de configurar o firewall do cliente, é necessário entender como o firewall processa regras, como criar regras de modo eficaz (proteger enquanto aumenta o desempenho) e como o firewall interage com outros componentes do Symantec Endpoint Protection.

O que é o Symantec Endpoint Protection 11.0 e a proteção contra ameaças à rede?
O Symantec Endpoint Protection 11.0 protege os dispositivos de computação endpoint contra vírus, ameaças e riscos, fornecendo três níveis de proteção para os mesmos. Os níveis são proteção contra ameaças à rede, proteção proativa contra ameaças e proteção antivírus e anti-spyware. A proteção contra ameaças à rede bloqueia ameaças para que não acessem seu computador através do uso de regras e assinaturas. A proteção proativa contra ameaças identifica e minimiza as ameaças com base no comportamento delas. A proteção antivírus e anti-spyware contra ameaças identifica e minimiza as ameaças que tentam acessar ou acessaram seus computadores usando assinaturas da Symantec. O firewall do cliente do Symantec Endpoint Protection fornece uma barreira entre o computador e a rede exterior. O firewall do cliente impede que usuários não autorizados acessem os computadores e as redes que se conectam à Internet, detecta possíveis ataques de hacker, protege as informações pessoais e elimina fontes indesejáveis de tráfego da rede. O firewall também protege contra ameaças e malware que tentam se propagar em sua rede, tais como bots. Todas as informações que entram ou saem do computador-cliente devem passar pelo firewall, que examina os pacotes de informações. O firewall do cliente bloqueia os pacotes que não atendam aos critérios de segurança especificados.

Políticas de firewall
As políticas de firewall consistem em uma ou mais regras que funcionam juntas para permitir ou bloquear o acesso de usuários à rede. As políticas de firewall incluem os seguintes elementos:

• Regras de firewall
• Inspeção inteligente
• Número de prioridade da regra
• Tipo de controle
• Regras de firewall padrão
• Filtragem de tráfego inteligente
• NetBIOS e token rings
• Configurações dissimuladas

Regras de firewall
As regras de firewall controlam como o cliente protege o computador-cliente contra tráfego mal-intencionado de entrada e aplicativos, e também contra tráfego mal-intencionado de saída. As regras de firewall podem tornar o computador invisível aos outros na Internet, protegendo usuários remotos de ataques de hackers e impedindo que os hackers ganhem acesso à rede corporativa pela porta dos fundos através destes computadores.
Os filtros de tráfego inteligentes permitem tipos específicos de tráfego que são necessários na maioria das redes, como DHCP, DNS e WINS. Exemplos das configurações de tráfego e dissimulação que ativam recursos adicionais do tráfego são a proteção em nível de driver, a proteção NetBIOS, o tráfego de token ring, a pesquisa reversa de DNS e as configurações de módulo dissimulado. Em geral, uma regra de firewall descreve as condições em que uma conexão de rede pode ser permitida ou negada.
Use os seguintes componentes do firewall para definir os critérios para uma regra de firewall:

• Triggers – os triggers incluem aplicativos, hosts, protocolo e adaptadores de rede. As definições do trigger podem ser combinadas para formar regras mais complexas, tais como identificar determinado protocolo em relação a um endereço de destino específico. Quando as regras são avaliadas, todos os triggers devem ser verdadeiros para que ocorra uma correspondência positiva. Se algum trigger não for verdadeiro em relação ao pacote atual, a regra não poderá ser aplicada.

Use os seguintes componentes do firewall para definir os critérios para uma regra de firewall:

• Parâmetros condicionais – os parâmetros condicionais não descrevem um aspeto de uma conexão de rede. Em vez disso, os parâmetros condicionais definem os critérios usados para determinar o estado ativo de uma regra. Os parâmetros condicionais são opcionais e não têm significado se não são definidos. Quando estes parâmetros são definidos, o estado percebido da regra é afetado diretamente. Você pode definir um agendamento ou identificar um estado de proteção de tela que determine quando uma regra é considerada ativa ou inativa. O firewall não avalia regras inativas quando os pacotes são recebidos.
• Parâmetros de ação – os parâmetros de ação especificam que ações são tomadas em uma correspondência bem-sucedida da regra. Se a regra é selecionada em resposta a um pacote recebido, todas as ações são executadas. O pacote é permitido ou negado, e o registro pode ocorrer conforme configurado.

Inspeção inteligente
O firewall usa a inspeção inteligente. A inspeção inteligente é um processo que rastreia as conexões atualmente permitidas. Uma combinação exclusiva entre IP de destino, portas e aplicativos identifica uma conexão.
O cliente faz decisões sobre o fluxo de tráfego usando as informações da conexão. Quando um pacote recém-recebido corresponde a uma conexão permitida existente, o pacote não passa pelo processo de inspeção da regra. O pacote é permitido automaticamente. Mais importante, a inspeção inteligente permite a simplificação da base da regra. Para o tráfego que é iniciado em somente um sentido, não é necessário criar regras que permitam o tráfego em ambas as direções. O tráfego de cliente que é iniciado tipicamente em uma direção inclui Telnet (porta 23), HTTP (porta 80), HTTPS (porta 443) e FTP (porta 21). Para estes protocolos, crie somente a regra de saída; a resposta é permitida automaticamente pelo cliente do SEP.

Como as regras de firewall são priorizadas
Um número de prioridade é atribuído automaticamente a cada regra na tabela do firewall. O número da regra determina a ordem de processamento das regras. O firewall do cliente do Symantec Endpoint Protection processa a regra de firewall definida em ordem seqüencial, iniciando na regra número um.

A gravidade da regra (de zero a quinze) determina a importância da regra quando esta é acionada:

• Sério
• Importante
• Não importante
• Informações

As regras não são combinadas logicamente, e o firewall não implementa um algoritmo Best Fit. Isto simplifica o planejamento do conjunto de regras e a solução de problemas, porque você não precisa considerar a lógica de seleção da regra além da simples correspondência do tráfego.
O conjunto de regras de firewall também contém uma linha divisora azul.
Os administradores do sistema com controle de acesso completo podem modificar as regras de prioridade mais elevada que são colocadas acima da linha azul.
Os clientes que se encontram no controle misto podem ocasionalmente modificar as regras de prioridade menos elevada que são colocadas abaixo da linha azul.

Tipo de controle
As regras são categorizadas como do servidor ou do cliente: As regras do servidor são criadas no servidor de gerenciamento e transferidas para o cliente por download. As regras do cliente são aquelas que um usuário cria em um cliente.
A seguir é apresentado o relacionamento entre o nível de controle de usuário do cliente e a interação do usuário em relação às regras de firewall:

• Em Controle do servidor o cliente recebe regras do servidor, mas o usuário não pode exibi-las. O usuário não pode criar regras do cliente.
• Em Controle misto, o cliente recebe regras do servidor, e o usuário pode exibi-las na caixa de diálogo Regras de firewall. O usuário também pode criar regras que são mescladas com regras existentes. Porém, as regras do cliente ficam abaixo da linha azul e têm menor prioridade.
• Em Controle de cliente, o cliente tem controle total. Uma prática recomendada é ter cuidado ao fornecer aos usuários controle misto ou do cliente.

Para os clientes em controle misto, o firewall processa as regras do servidor e do cliente em uma ordem específica. As regras do servidor com níveis de alta prioridade são processadas primeiro. As regras de cliente são processadas em segundo lugar, e as regras do servidor com prioridade mais baixa são as últimas a serem processadas.
Além disso, tome cuidado ao definir um cliente em controle misto, porque o usuário pode criar uma regra do cliente que permita todo o tráfego, e esta regra substituirá todas as regras do servidor abaixo da linha azul.

Regras de firewall padrão
O firewall é instalado com regras padrão que são classificadas como Permitir, Negar, Bloquear e Registrar ou Somente registro.
As regras Permitir incluem pacotes fragmentados e protocolo de autenticação extensível sem fio sobre LANS (Wireless EAPOL, Wireless Extensible Authentication Protocol Over LANS). O Wireless EAPOL é definido atualmente para LANs Ethernet, como 802.1x, bem como LANs token ring (como FDDI). Também são permitidos o acesso remoto MS e driver ARP de roteamento, todos os aplicativos comerciais de saída, além de ping, pong, tracert e VPN de saída.
As regras de negação incluem bloqueio de IPv6, IPv6 sobre IPv4, compartilhamento local de arquivos e administração remota
As regras de registro incluem: Não registrar tráfego broadcast e multicast, bloquear e registrar o tráfego IP e bloquear todos os outros tráfegos.

Filtragem de tráfego inteligente
A filtragem de tráfego inteligente possibilita o uso de serviços essenciais de rede sem a definição de regras que permitam explicitamente esses serviços.
Os filtros inteligentes são ativados por padrão e definidos para os seguintes serviços:

• DHCP
• DNS
• WINS

Os filtros inteligentes são avaliados antes do exame do conjunto de regras; assim, todos os pacotes que corresponderem a uma ocorrência ativa de um filtro inteligente serão permitidos. Todos os outros serão negados. O pedido do DHCP, do DNS ou do WINS deve partir do computador-cliente, e a resposta deve ocorrer dentro de um período predefinido de cinco segundos. O servidor que envia a resposta, e o tipo da resposta é verificado como válido em relação ao pedido original do cliente.

O DHCP inteligente permite que mensagens broadcast DHCP normais ocorram sem que uma regra também seja definida. As mensagens DHCP do cliente devem ser configuradas para obter automaticamente um endereço IP.

Como o mecanismo do filtro inteligente controla mensagens de troca do DHCP:

• Primeiro, o cliente emite uma mensagem broadcast DHCP Discover. O envio desta mensagem cria um novo filtro inteligente.
• O servidor deve responder com uma OFERTA, dentro do intervalo relevante de cinco segundos. Lembre-se de que cada conexão do filtro inteligente atinge o tempo limite em cinco segundos.
• O cliente emite então uma mensagem broadcast DHCP Request, que cria outro filtro inteligente, e o servidor deve responder com um RECONHECIMENTO, dentro do intervalo relevante de cinco segundos.

A interface através da qual as solicitações de DNS são transmitidas deve ser configurada nas configurações de TCP/IP com um servidor DNS primário e, opcionalmente, um secundário. As atribuições de servidor primário e secundário podem ser configuradas manualmente ou recebidas por meio do endereçamento DHCP. Somente os pedidos iniciados pelo cliente, bem como endereçados aos servidores DNS primários ou secundários especificados, são permitidos. Todas as outras solicitações DNS são negadas automaticamente.

WINS inteligente habilita o uso do serviço WINS. As solicitações WINS devem ser configuradas para usar a resolução WINS nas configurações avançadas de TCP/IP. Diferentemente do DNS, que é limitado a uma especificação de servidor primário e secundário, qualquer número de servidores WINS pode ser definido. Somente os pedidos que são iniciados pelo cliente e endereçados a um servidor WINS predefinido são permitidos. Todas as outras solicitações WINS são negadas automaticamente. A solicitação da definição do cliente faz com que um novo filtro inteligente seja adicionado à lista, o que define uma janela de resposta de cinco segundos com relação ao pedido específico que foi feito. O servidor solicitado deve responder, e a resposta deve ser recebida dentro do período especificado. O conteúdo da resposta também é validado em relação ao pedido original. Respostas inválidas são ignoradas.

NetBIOS e token rings
É possível ativar as configurações de tráfego no cliente para detectar e bloquear o tráfego que se comunica por meio de drivers, NetBios e token rings. Também é possível definir configurações para detectar o tráfego que usa métodos de ataque mais invisíveis.

As configurações de tráfego incluem o seguinte:

• Ativar proteção em nível de driver, que está ativada por padrão. Quando esta opção é ativada, todos os drivers de protocolo que acessam uma rede são vistos como um aplicativo da rede. Os drivers de protocolo podem ser bloqueados ou permitidos dinamicamente. Observe que a opção Ativar proteção do NetBIOS não está ativada por padrão. Quando esta opção é ativada, a política de firewall impede que um cliente receba pacotes do NetBIOS em UDP 88, UDP 137, UDP 138, TCP 135, TCP 139, TCP 445 e TCP 1026 originários de computadores em uma sub-rede diferente.
• Permitir tráfego de token ring está ativada por padrão. Quando os clientes se comunicam através de um adaptador token ring, esta opção deve ser ativada em uma política de firewall assim que o cliente puder acessar a rede.
• Ativar pesquisa reversa de DNS está ativada por padrão. Quando o cliente intercepta um pacote IP que tenha um endereço IP desconhecido, esta opção permite que seja enviada uma solicitação reversa de DNS que tenta determinar o nome de domínio.
• Ativar anti-spoofing de MAC está desativada por padrão. Quando esta opção é ativada, o anti-spoofing de MAC evita que um computador permita que outro computador redefina uma tabela de endereço MAC.

Configurações dissimuladas
Ao configurar configurações dissimuladas, os problemas de compatibilidade dependerão de quais configurações estão ativadas. Algumas configurações podem fazer com que sites sejam processados incorretamente. Outras configurações podem fazer com que todo o tráfego seja bloqueado quando um cartão NIC incompatível estiver instalado. Diferentemente das configurações de tráfego, todas as configurações dissimuladas estão desativadas.

Você pode configurar as seguintes configurações dissimuladas:

• Ativar navegação na Web no modo dissimulado: Detecta todo o tráfego HTTP na porta 80 de um navegador da Web e remove informações como o nome e o número de versão do navegador, o sistema operacional e a referência da página da Web. Esta configuração previne que os sites identifiquem o sistema operacional e o navegador que o cliente está usando.
• Ativar novo seqüenciamento de TCP: Impede que um intruso se aproveite da habilidade de forjar (ou fazer spoof) o endereço IP de um computador pela escolha aleatória de números de seqüência de TCP.
• Ativar mascaramento de impressão digital de SO: Esta configuração impede que programas detectem o sistema operacional de um computador que executa o software-cliente do SEP. Esta configuração funciona melhor quando o novo seqüenciamento de TCP é ativado. O cliente altera o tempo de vida útil (TTL, Time-To-Live) e o valor de identificação dos pacotes TCP/IP para impedir que outros programas identifiquem um sistema operacional utilizando assinaturas de pacotes.

Ordem de processamento de regras
Os itens a seguir apresentam a ordem em que todos os elementos de Proteção contra ameaças à rede são processados. Estes elementos incluem configurações de tráfego e dissimulação:

• As assinaturas personalizadas de prevenção contra intrusões são processadas primeiro.
• Em seguida, são processadas as configurações de prevenção contra intrusões, as configurações de tráfego e as configurações dissimuladas.
• Depois, os filtros de tráfego inteligentes e as regras de firewall são processados.
• Finalmente, são processadas a verificação de portas e as assinaturas IPS obtidas por download no LiveUpdate.

Prevenção contra intrusões
O sistema de prevenção contra intrusões (IPS, Intrusion Prevention System) é a segunda camada de defesa do cliente após o firewall. O sistema de prevenção contra intrusões é baseado em rede e opera em cada computador no qual o cliente está instalado e o sistema IPS está ativado. Se um ataque conhecido for detectado, uma ou mais tecnologias de prevenção contra intrusões poderão bloqueá-lo automaticamente.
O cliente contém as assinaturas inteligentes de ataque que têm menor probabilidade de permitir um ataque de intrusão. O cliente contém também um mecanismo inteligente que controla todo o tráfego de entrada e de saída. Por padrão, o cliente inclui o mecanismo de prevenção contra intrusões e um conjunto correspondente de assinaturas de ataque.

Você pode bloquear determinados tipos de ataques de prevenção contra intrusões no cliente, que dependem das configurações de prevenção contra intrusões selecionadas. Por exemplo, é necessário ativar a configuração Ativar prevenção contra intrusões para ativar os mecanismos de assinaturas IPS Symantec e de IPS personalizado.

Você pode configurar as seguintes configurações de prevenção contra intrusões:

• Ativar prevenção contra intrusões – detecta e bloqueia automaticamente ataques à rede. Se você não ativar essa configuração, o cliente ignora assinaturas de ataques possíveis.
• Ativar detecção de negação de serviço – detecção que identifica os ataques conhecidos com base em vários pacotes.
• Ativar detecção de verificação de portas – monitora todos os pacotes de entrada que quaisquer regras de segurança bloqueiam.
• Bloquear automaticamente o endereço IP de um invasor – bloqueia o tráfego de rede do invasor por uma duração configurável (o padrão é 10 minutos).

Observe que, se você configurar o cliente para controle misto, será necessário também ativar estas configurações na caixa de diálogo Configurações de controle de cliente/servidor.

Práticas recomendadas – aplicação de políticas de firewall na rede
Antes de aplicar uma política de firewall em toda a rede, é necessário aplicar a política a um subconjunto pequeno de clientes que seja representativo de sua rede. Se possível, aplique inicialmente a política em um ambiente de teste. O Symantec Endpoint Protection fornece a política de firewall padrão como base para que você a desenvolva. Na maioria dos casos, é necessário fazer modificações à política de firewall padrão para acomodar a arquitetura de rede e a política de segurança de sua empresa.

O uso da inspeção inteligente pelo firewall simplifica a criação e a manutenção de regras, além de permitir que seus computadores-cliente façam as conexões necessárias enquanto estão sendo protegidos. Os componentes da política de firewall que não são baseados em regras de firewall também protegem seus computadores-cliente. Estes componentes incluem a prevenção contra intrusões e filtros inteligentes de tráfego.

Quando você estiver pronto para aplicar uma política de firewall à sua rede, será necessário seguir as seguintes etapas:

• Aproveite a proteção da prevenção contra intrusões
• Aplique a política de firewall a um pequeno subconjunto de computadores
• Monitore o tráfego da rede através dos registros
• Ajuste as políticas baseadas nas informações da rede recolhidas nos registros
• Aplique a política de firewall modificada à sua rede

Ative e configure a prevenção contra intrusões
Independentemente de como você configura outros recursos de proteção contra ameaças à rede, é possível proteger seus clientes e servidores de muitos ataques pela rede ativando a prevenção contra intrusões. A prevenção contra intrusões é um método eficaz para bloquear ataques conhecidos. Enquanto as assinaturas são criadas para ataques novos, você pode proteger seus computadores atualizando as assinaturas IPS com o LiveUpdate. Além disso, você pode criar assinaturas personalizadas de prevenção contra intrusões, que são processadas primeiro pelo firewall.

Aplique a política de firewall
A política de firewall padrão pode bloquear o tráfego necessário para que sua empresa desempenhe suas atividades corporativas. Para evitar esta possibilidade, é necessário modificar a política padrão tornando-a mais permissiva.
Você pode tornar a política padrão mais permissiva fazendo qualquer uma das seguintes modificações:

• Altere algumas ou todas as regras de Bloqueio para Permitir e certifique-se de que a opção Registro dessas regras esteja configurada como Gravar no registro de tráfego para registrar as informações sempre que o tráfego corresponder a essas regras.
• Crie uma nova regra (Regra permissiva) e configure-a como Permitir e Gravar no registro de tráfego. Mova esta Regra permissiva para a parte superior do firewall de modo que ela seja processada primeiro.

Monitore o tráfego da rede
Depois de aplicar a política de firewall modificada, você pode monitorar e analisar o tráfego que passa através de seus computadores-cliente no console do Symantec Endpoint Protection Manager. Nos registros de tráfego, você pode determinar qual o tráfego deve ser permitido ou bloqueado com base no aplicativo, na hora ou no serviço.

Ajuste a política de firewall
Depois de analisar as informações nos registros de tráfego, você pode usar essas informações para modificar sua política de firewall. Você também pode restringir ou ampliar sua política de firewall definindo as configurações de tráfego e dissimulação, que permitem ou impedem alguns tipos de tráfego de rede.
Geralmente, você pode limitar sua política de firewall, restringindo a inicialização de aplicativos e/ou o seu acesso à rede. Isso pode ser feito através da criação de regras de firewall personalizadas para aplicativos específicos. Mas há limitações, visto que regras de firewall que bloqueiam o acesso à rede de determinados aplicativos ainda permitem a inicialização do aplicativo. Este resultado pode não ser o que você planejava.
Outro método que talvez você queira explorar, que pode ser mais eficiente, é o uso de uma política de controle de aplicativos. Com uma política de controle de aplicativos, você pode bloquear a execução de aplicativos.
Você deve restringir gradualmente sua política de firewall nas iterações. Por exemplo, você pode bloquear um ou dois aplicativos de cada vez, e então testar a política novamente. Se não houver nenhum problema, você poderá continuar a tornar sua política mais restritiva, conforme a necessidade.

Implemente a política de firewall modificada em toda a sua rede
Depois que concluir a modificação de sua política de firewall, com base em informações da rede originárias dos registros de tráfego e de testes do ambiente, você pode implementar a política de firewall em toda a sua rede, com a segurança de que o firewall protegerá seus computadores-cliente enquanto permite o tráfego necessário.

Recursos adicionais
Para obter mais informações sobre o firewall do cliente do Symantec Endpoint Protection e sobre o controle de aplicativos, consulte o Guia de Administração do Symantec Endpoint Protection e o Guia do Cliente do Symantec Endpoint Protection.

Referências
Este documento está disponível nos seguintes idiomas:

• French: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/fr_docid/20080818101217935
• German: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/de_docid/20080818101244935
• Italian: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/it_docid/20080818101305935
• Polish: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/pl_docid/20080818101329935
• Hungarian: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/hu_docid/20080818101356935
• Russian: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/ru_docid/20080818101422935
• Czech: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/cz_docid/20080818101448935
• Spanish: http://service1.symantec.com/SUPPORT/INTER/ent-securityintl.nsf/es_docid/20080818101516935

Utilize a lista abaixo para acessar outros documentos relacionados com a sua dúvida ou problema ou, se preferir, clique em Voltar e faça uma nova pesquisa:

• Práticas gerais de segurança para administradores de rede

Identificação do Documento: 20080818101143935
Revisado em: 10/29/2008
Data de criação: 08/18/2008
Productos: Endpoint Protection 11

Índice do Site · Notas Legais · Política de Privacidade · Comentários · Contato · Sites Mundiais