Política de Segurança para Sophos Firewall v21 Baseada no CIS Benchmark

por SN Informáticaem SFOS V21on Postado em

I. Introdução: Construindo uma Fortaleza Digital

No cenário de ameaças cibernéticas atual, as configurações padrão de qualquer dispositivo de segurança são meramente um ponto de partida, não um destino. Um firewall não configurado adequadamente é uma porta aberta para adversários. Portanto, o processo de hardening — ou fortalecimento — do firewall não é apenas uma boa prática, mas a pedra angular de qualquer estratégia de defesa de rede robusta e resiliente.

O Sophos Firewall v21 representa o que há de mais moderno em tecnologia de segurança de rede, oferecendo um arsenal de ferramentas para proteger perímetros digitais. No entanto, para extrair seu máximo potencial, suas configurações devem ser alinhadas a um padrão de excelência reconhecido globalmente. É aqui que entra o Center for Internet Security (CIS) Benchmark, o padrão ouro para configurações seguras, desenvolvido através de um consenso global entre especialistas em cibersegurança, agências governamentais e a indústria.

Este documento serve como uma política de segurança formal, traduzindo as recomendações do CIS Benchmark para o Sophos Firewall v21 em mandatos claros e acionáveis para administradores de sistema e especialistas em segurança. Como consultoria especializada e Sophos Gold Partner, a SN Informática elaborou esta política para garantir que sua implementação seja não apenas teoricamente sólida, mas também prática e alinhada com as melhores práticas operacionais.

Ao longo desta política, abordaremos áreas críticas para o fortalecimento do seu firewall, incluindo: Administração do Dispositivo, Autenticação, Atualizações, Proteção Avançada e Regras de Proteção. Cada seção detalhará políticas específicas, sua racionalidade e os passos exatos para a sua implementação.

Vamos começar estabelecendo os controles fundamentais que governam como o próprio firewall é acessado e gerenciado.

II. Política de Configuração do Dispositivo e Administração

A maneira como um firewall é acessado e administrado constitui a primeira e mais crítica linha de defesa. Uma falha neste nível fundamental tornaria todas as outras políticas de segurança ineficazes. Esta seção estabelece as diretrizes obrigatórias para proteger as interfaces de gerenciamento, garantir a integridade do sistema e fortalecer as credenciais de acesso.

——————————————————————————–

Política 2.1: Segurança de Sessão e Bloqueio de Login (Ref 1.1.1)

  • Declaração da Política: Todas as sessões administrativas inativas devem ser encerradas automaticamente após 10 minutos. O acesso à interface de gerenciamento (console web e CLI) deve ser bloqueado por no mínimo 5 minutos após 5 tentativas de login malsucedidas, ocorridas em um intervalo de 60 segundos a partir do mesmo endereço IP.
  • Análise de Racionalidade e Impacto: Esta política mitiga dois riscos significativos. O logout automático por inatividade impede que um console de administração desacompanhado seja utilizado por um usuário não autorizado. O bloqueio de login frustra ataques de força bruta, que tentam adivinhar senhas através de múltiplas tentativas rápidas, protegendo as credenciais administrativas contra comprometimento.
  • Configuração Obrigatória:
    1. Navegue até Sistema > Administração > Configurações de administrador e usuário > Segurança de login.
    2. Marque a opção Fazer logout da sessão de administrador após _ Minutos de inatividade e configure o valor para no máximo 10 minutos.
    3. Marque a opção Bloquear login.
    4. Configure Após _ tentativas malsucedidas do mesmo IP em __ Segundos (1-120) com os valores 5 e 60, respectivamente.
    5. Configure Bloquear acesso de login por __ minutos [1-60] com um valor de no mínimo 5.

——————————————————————————–

Política 2.2: Aviso de Acesso (Login Disclaimer) (Ref 1.1.2)

  • Declaração da Política: Um aviso de acesso (login disclaimer) deve ser configurado e habilitado. A mensagem deve proibir explicitamente o acesso não autorizado e informar que todas as atividades no dispositivo podem ser monitoradas.
  • Análise de Racionalidade e Impacto: Um aviso de acesso claro serve como um forte elemento dissuasor contra acesso não intencional. Em caso de uma ação legal contra um indivíduo que acessou o dispositivo sem autorização, este aviso diminui a capacidade do réu de alegar ignorância, fortalecendo a posição legal da organização.
  • Configuração Obrigatória:
    1. Navegue até Sistema > Administração > Configurações de administrador e usuário > Configurações de aviso de login.
    2. Marque a opção Habilitar aviso de login.
    3. Insira uma mensagem de aviso apropriada, preferencialmente revisada pela equipe jurídica da organização.

——————————————————————————–

Política 2.3: Sincronização de Tempo (NTP) (Ref 1.1.3)

  • Declaração da Política: O relógio do Sophos Firewall deve ser sincronizado com servidores NTP (Network Time Protocol) confiáveis e pré-definidos ou personalizados pela organização.
  • Análise de Racionalidade e Impacto: A precisão do tempo é crítica para a segurança da informação. Carimbos de data e hora (timestamps) precisos são essenciais para a correlação de logs entre diferentes sistemas durante uma investigação de incidente, para a validação de certificados digitais e para o funcionamento correto de regras baseadas em agendamento. Sem sincronização NTP, a análise forense e a solução de problemas tornam-se extremamente difíceis.
  • Configuração Obrigatória:
    1. Navegue até Sistema > Administração > Hora.
    2. Defina o Fuso horário corretamente.
    3. Selecione Usar servidor NTP predefinido ou Usar servidor NTP personalizado para garantir que o relógio do dispositivo seja sincronizado.

——————————————————————————–

Política 2.4: Complexidade de Senha de Administrador (Ref 1.1.5)

  • Declaração da Política: A verificação de complexidade de senha deve estar habilitada para todas as contas de administrador. As senhas devem exigir, no mínimo, o uso de caracteres maiúsculos, minúsculos, numéricos e especiais.
  • Análise de Racionalidade e Impacto: Senhas simples são alvos fáceis para ataques de força bruta e de dicionário. Ao impor requisitos de complexidade, o número de combinações possíveis aumenta exponencialmente, tornando esses ataques inviáveis. Esta é uma medida fundamental para proteger as contas com os mais altos privilégios no dispositivo.
  • Configuração Obrigatória:
    1. Navegue até Sistema > Administração > Configurações de administrador e usuário > Configurações de complexidade da senha do administrador.
    2. Marque a opção Habilitar verificação de complexidade de senha.
    3. Configure as políticas para exigir o uso de pelo menos um caractere maiúsculo, um minúsculo, um numérico e um especial (ex: @, $, !).

——————————————————————————–

Política 2.5: Restrição de Acesso à Gestão (Ref 1.1.6)

  • Declaração da Política: O acesso aos serviços de administração do firewall (HTTPS, SSH) deve ser proibido a partir da zona WAN. O acesso a partir de zonas internas deve ser restrito a endereços IP ou redes específicas e autorizadas.
  • Análise de Racionalidade e Impacto: Expor interfaces de gerenciamento à internet é um risco inaceitável. Isso aumenta drasticamente a superfície de ataque, tornando o firewall vulnerável a varreduras de rede, ataques de negação de serviço (DoS), tentativas de força bruta e exploração de vulnerabilidades no software de gerenciamento. A gestão deve ser realizada exclusivamente a partir de redes internas confiáveis.
  • Configuração Obrigatória:
    1. Navegue até Sistema > Administração > Acesso ao dispositivo > ACL do serviço local.
    2. Garanta que as caixas de seleção para HTTPS, SSH, SMTP RELAY e outros serviços de gerenciamento (como PING/PING6, DNS, SNMP) estejam desmarcadas para a Zona WAN.
    3. Se necessário, crie regras de exceção em Regra de exceção de ACL de serviço local para permitir o acesso apenas de IPs de gerenciamento específicos em zonas internas.

——————————————————————————–

Política 2.6: Segurança de Comunicação SNMP (Ref 1.2.1)

  • Declaração da Política: Para monitoramento de dispositivos, o protocolo SNMPv3 deve ser utilizado para todas as consultas e traps. A configuração deve exigir tanto autenticação quanto criptografia (AES ou DES). O uso de versões inseguras como SNMPv1 e SNMPv2c é estritamente proibido.
  • Análise de Racionalidade e Impacto: As versões SNMPv1 e v2c transmitem dados, incluindo as “community strings” (equivalentes a senhas), em texto claro, tornando-as vulneráveis à interceptação. Um invasor que capture esses dados pode obter informações detalhadas sobre a configuração e o estado do firewall. O SNMPv3 resolve essa falha ao introduzir autenticação e criptografia, garantindo a confidencialidade e a integridade das informações de gerenciamento.
  • Configuração Obrigatória:
    1. Navegue até Sistema > Administração > SNMP.
    2. Remova quaisquer configurações existentes para SNMPv1 e v2c.
    3. Na seção Usuários e traps SNMPv3, adicione um novo usuário.
    4. Configure o Algoritmo de criptografia para AES ou DES e defina senhas fortes para autenticação e criptografia.

——————————————————————————–

Política 2.7: Notificação de Eventos de Segurança (Ref 1.2.2)

  • Declaração da Política: O sistema de notificação por e-mail deve ser configurado para enviar alertas sobre eventos críticos de sistema e segurança para os endereços de e-mail designados dos administradores.
  • Análise de Racionalidade e Impacto: A detecção rápida é um componente essencial da resposta a incidentes. As notificações automáticas garantem que os administradores sejam informados immediately sobre eventos importantes, como falhas de sistema, ataques detectados ou atualizações críticas. Isso permite uma resposta mais ágil, minimizando o impacto potencial de um incidente de segurança ou falha operacional.
  • Configuração Obrigatória:
    • Passo 1: Configurar o Servidor de E-mail
      1. Navegue até Sistema > Administração > Configurações de notificação.
      2. Configure as Configurações do servidor de e-mail para usar o Servidor de e-mail integrado ou um Servidor de e-mail externo.
      3. Defina o Endereço de e-mail do remetente e Enviar notificações para o endereço de e-mail dos administradores.
    • Passo 2: Selecionar os Alertas de Eventos
      1. Navegue para Configurar > Serviços do sistema > Lista de notificação.
      2. Selecione os eventos de administração, sistema e segurança relevantes para os quais as notificações por e-mail e/ou traps SNMP devem ser enviadas.

Com a administração do dispositivo devidamente protegida, o próximo passo é garantir que possamos identificar e autenticar os usuários que trafegam através dele.

III. Política de Identificação e Autenticação de Usuários

A segurança de rede moderna transcende a simples análise de endereços IP, focando na identidade do usuário. Associar o tráfego de rede a indivíduos específicos é fundamental para a aplicação de políticas granulares, para a geração de logs significativos e para uma resposta a incidentes eficaz. Esta seção define as políticas para garantir que o firewall identifique e autentique os usuários antes de conceder acesso aos recursos.

——————————————————————————–

Política 3.1: Identificação de Usuário em Regras de Firewall (Ref 2.1/3.1)

  • Declaração da Política: Todas as regras de firewall aplicáveis que permitem tráfego de zonas de origem confiáveis (como LAN e DMZ) para outros destinos devem ser configuradas para identificar usuários (Corresponder a usuários conhecidos) antes de autorizar o acesso aos recursos de rede.
  • Análise de Racionalidade e Impacto: Regras baseadas em IP são insuficientes em ambientes dinâmicos com DHCP, onde um IP pode ser atribuído a diferentes usuários ao longo do tempo. A aplicação de políticas baseadas em identidade de usuário oferece visibilidade e controle muito superiores. Em uma investigação de incidente, saber qual usuário acessou um recurso malicioso é infinitamente mais valioso do que saber apenas o endereço IP de origem. Isso acelera a resposta e a contenção.
  • Configuração Obrigatória:
    1. Ao criar ou editar uma regra de firewall em Proteger > Regras e políticas > Regras de firewall, marque a opção Corresponder a usuários conhecidos.
    2. Adicione os Usuários ou grupos autorizados à regra.
    3. Para lidar com usuários não autenticados, considere marcar a opção Usar autenticação da Web para usuários desconhecidos para redirecioná-los a um portal cativo.
    4. Garanta que a opção Registrar tráfego de firewall esteja marcada para registrar todas as conexões permitidas.
    5. Implemente um método de autenticação robusto, como integração com Active Directory (AD SSO) ou Sophos Transparent Authentication Suite (STAS).

——————————————————————————–

Política 3.2: Conexão Segura com Servidores de Diretório (Ref 2.2/3.2)

  • Declaração da Política: Todas as conexões do Sophos Firewall a servidores de autenticação externos, como Active Directory (AD) ou LDAP, devem utilizar um canal de comunicação criptografado, seja SSL/TLS ou STARTTLS.
  • Análise de Racionalidade e Impacto: A comunicação não criptografada entre o firewall e um servidor de autenticação expõe as credenciais dos usuários em texto claro na rede. Isso as torna vulneráveis a ataques de interceptação (man-in-the-middle) e de repetição (replay attacks), onde um invasor pode capturar e reutilizar as credenciais para obter acesso não autorizado. A criptografia é essencial para proteger a integridade do processo de autenticação.
  • Configuração Obrigatória:
    1. Navegue até Configurar > Autenticação > Servidores.
    2. Ao adicionar ou editar um servidor de autenticação (AD ou LDAP), defina o campo Segurança da conexão como SSL/TLS ou STARTTLS.
    3. Marque a opção Validar certificado do servidor para garantir a autenticidade do servidor de diretório.

A correta identificação dos usuários é um passo crucial, mas a eficácia do firewall depende diretamente da sua manutenção e atualização contínua.

IV. Política de Serviços de Sistema, Firmware e Atualizações

A eficácia de um firewall não é estática; ela se degrada com o tempo se não houver manutenção consistente. Um sistema desatualizado é um sistema vulnerável. Esta seção estabelece os processos não negociáveis para a manutenção da integridade, resiliência e prontidão do firewall, cobrindo atualizações de segurança, patches e backups.

——————————————————————————–

Política 4.1: Atualização de Padrões de Proteção (Ref 4.2)

  • Declaração da Política: As atualizações de padrões de proteção (assinaturas de Antivírus, IPS, Filtro de Aplicações, etc.) devem ser configuradas para download e instalação automáticos a cada 15 minutos.
  • Análise de Racionalidade e Impacto: As definições de ameaças evoluem a uma velocidade vertiginosa. Novas variantes de malware e exploits são descobertos a cada hora. Um intervalo de atualização longo, como diário, cria uma janela de vulnerabilidade de quase 24 horas, durante a qual a rede fica exposta a ameaças já conhecidas. A atualização frequente é essencial para garantir que o firewall possa se defender contra os ataques mais recentes.
  • Configuração Obrigatória:
    1. Navegue até Sistema > Backup e firmware > Atualizações de padrões.
    2. Certifique-se de que Download/instalação de padrões > Atualização automática esteja LIGADO.
    3. Defina o Intervalo para A cada 15 minutos.

——————————————————————————–

Política 4.2: Instalação Automática de Hotfixes (Ref 4.3)

  • Declaração da Política: A configuração para ‘Permitir instalação automática de hotfixes’ deve estar habilitada.
  • Análise de Racionalidade e Impacto: Hotfixes são patches críticos de segurança liberados fora do ciclo normal de atualizações de firmware para corrigir vulnerabilidades graves. A instalação automática garante que essas correções sejam aplicadas imediatamente, sem a necessidade de intervenção manual e sem esperar por uma nova versão completa do firmware. Habilitar esta função minimiza o tempo de exposição a exploits conhecidos.
  • Configuração Obrigatória:
    1. Acesse a CLI (Command Line Interface) do Sophos Firewall.
    2. Selecione a Opção 4. Console do dispositivo.
    3. Execute o comando a seguir para confirmar que a configuração padrão está ativa: system hotfix show.
    4. Verifique se a saída confirma Hotfix is enabled.

——————————————————————————–

Política 4.3: Backup Criptografado da Configuração (Ref 4.4)

  • Declaração da Política: Devem ser configurados backups agendados e criptografados da configuração do firewall. Os backups devem ser enviados para um endereço de e-mail designado ou armazenados em um servidor FTP, com uma frequência diária, semanal ou mensal, conforme a política de recuperação da organização.
  • Análise de Racionalidade e Impacto: Backups regulares e seguros são cruciais para a continuidade dos negócios. Em caso de falha de hardware, corrupção de software ou erro de configuração, um backup recente permite a restauração rápida do serviço, minimizando o tempo de inatividade. A criptografia protege a configuração do backup, que contém informações sensíveis da rede, contra acesso não autorizado.
  • Configuração Obrigatória:
    1. Navegue até Sistema > Backup e firmware > Backup e restauração > Backup.
    2. Defina o Modo de backup para E-mail ou FTP.
    3. Configure os detalhes apropriados (endereço de e-mail ou credenciais do servidor FTP).
    4. Defina a Frequência para Diariamente, Semanalmente ou Mensalmente.
    5. Defina uma Senha de criptografia forte e armazene-a em um local seguro.

——————————————————————————–

Política 4.4: Validade das Licenças de Subscrição (Ref 4.5)

  • Declaração da Política: Todas as licenças de subscrição de segurança (como Proteção de Rede, Proteção Web, Proteção de E-mail) devem ser mantidas ativas e não podem estar expiradas.
  • Análise de Racionalidade e Impacto: As licenças de subscrição são o que mantém os motores de segurança do firewall atualizados. Uma licença expirada significa que o firewall para de receber atualizações críticas, como novas assinaturas de antivírus, atualizações de categorias de sites, novas regras de IPS, entre outros. Isso degrada severamente a capacidade de proteção do firewall, tornando-o ineficaz contra ameaças modernas.
  • Configuração Obrigatória:
    1. Navegue até Sistema > Administração > Licenciamento.
    2. Revise a seção Detalhes da assinatura do módulo e verifique a coluna Status para garantir que nenhuma licença esteja expirada.
    3. Em caso de expiração, contate a Sophos ou seu parceiro para renovação imediata.

——————————————————————————–

Política 4.5: Habilitação de Logs e Envio para Syslog Externo (Ref 4.7)

  • Declaração da Política: O registro de logs (logging) deve estar habilitado em todas as regras de firewall relevantes. Além disso, os logs de todos os módulos críticos (Firewall, IPS, Filtro Web, etc.) devem ser configurados para serem enviados a um servidor de syslog externo e centralizado.
  • Análise de Racionalidade e Impacto: Logs são a base para o monitoramento de segurança, análise de tendências e investigação forense. Armazenar logs apenas no dispositivo local é arriscado devido ao espaço limitado e à perda de dados em caso de falha. A centralização em um servidor syslog externo permite o armazenamento de longo prazo, a correlação de eventos de múltiplas fontes e a análise por ferramentas de SIEM. Essa prática é crucial para uma postura de segurança proativa, fornecendo visibilidade sobre eventos de Firewall, IPS, Filtro Web, Autenticação, Sistema e outros módulos vitais.
  • Configuração Obrigatória:
    1. Em Proteger > Regras e políticas, edite as regras de firewall e garanta que Registrar tráfego de firewall esteja marcado.
    2. Navegue até Configurar > Serviços do sistema > Configurações de log.
    3. Clique em Adicionar na seção Servidores Syslog.
    4. Configure os detalhes do seu servidor syslog externo.
    5. Na mesma tela, selecione todos os logs dos módulos relevantes para serem enviados ao servidor syslog configurado.

A manutenção do sistema é vital, mas para combater as ameaças de hoje, precisamos de mecanismos de defesa proativos e avançados.

V. Política de Ameaças Avançadas e Segurança Sincronizada

As proteções baseadas em assinaturas, embora necessárias, já não são suficientes para combater o cenário de ameaças moderno, que inclui ataques de dia zero e campanhas coordenadas. Esta seção detalha as políticas que alavancam a inteligência de ameaças em tempo real, a análise em sandbox e a comunicação integrada entre o firewall e os endpoints para bloquear proativamente tanto ameaças conhecidas quanto as desconhecidas.

——————————————————————————–

Política 5.1: Feeds de Ameaças Sophos X-Ops (ATP) (Ref 5.1)

  • Declaração da Política: A funcionalidade ‘Feeds de ameaças do Sophos X-Ops (Proteção avançada contra ameaças)’ deve ser habilitada, e a política de ação configurada para ‘Registrar e descartar’ (Log and drop).
  • Análise de Racionalidade e Impacto: Esta política utiliza a vasta base de dados global de inteligência de ameaças da Sophos para identificar e bloquear comunicações com servidores maliciosos conhecidos (como servidores de Comando e Controle – C2). Ao habilitar essa funcionalidade, o firewall fornece uma camada de defesa imediata e automatizada, bloqueando o tráfego de e para IPs, domínios e URLs maliciosos antes que possam causar danos, detectando clientes já comprometidos na rede.
  • Configuração Obrigatória:
    1. Navegue até Proteger > Resposta a ameaças avançadas > Feeds de ameaças do Sophos X-Ops (Proteção avançada contra ameaças).
    2. Habilite Feeds de ameaças do Sophos X-Ops.
    3. Defina a ação para Registrar e descartar.

——————————————————————————–

Política 5.2: Proteção Zero-Day para Tráfego Web (Ref 5.2)

  • Declaração da Política: A proteção Zero-day (sandboxing) deve ser habilitada em todas as regras de firewall que permitem tráfego de saída da web (HTTP/S) e FTP. Nenhum tipo de arquivo deve ser excluído da análise de proteção Zero-day.
  • Análise de Racionalidade e Impacto: Malwares de dia zero e documentos armados (weaponized documents) são projetados para contornar as defesas baseadas em assinaturas. A análise em sandbox (sandboxing) é a defesa mais eficaz contra essas ameaças. Arquivos suspeitos são enviados para um ambiente seguro na nuvem da Sophos, onde são executados e analisados em busca de comportamento malicioso. Essa política garante que arquivos desconhecidos e potencialmente perigosos sejam inspecionados antes de chegarem ao endpoint do usuário.
  • Configuração Obrigatória:
    1. Ao editar uma regra de firewall relevante em Proteger > Regras e políticas, vá para Recursos de segurança > Filtragem da Web > Verificação de malware e conteúdo.
    2. Certifique-se de que Verificar HTTP e HTTPS descriptografado e Verificar FTP para malware estejam marcados.
    3. Marque a opção Usar proteção zero-day.
    4. Navegue até Monitorar e Analisar > Proteção zero-day > Configurações de Proteção e garanta que a lista Excluir tipos de arquivo esteja vazia.

——————————————————————————–

Política 5.3: Proteção Zero-Day para E-mail (Ref 5.3)

  • Declaração da Política: Quando a proteção de e-mail estiver ativa no modo MTA (Mail Transfer Agent), a proteção Zero-day deve ser habilitada na política SMTP para analisar anexos de e-mail.
  • Análise de Racionalidade e Impacto: Anexos de e-mail continuam a ser um dos principais vetores para a entrega de malware e ameaças de dia zero. Esta política estende a proteção de sandboxing para o gateway de e-mail, garantindo que anexos potencialmente maliciosos sejam analisados em um ambiente seguro antes de serem entregues ao servidor de e-mail interno e, consequentemente, aos usuários finais.
  • Configuração Obrigatória:
    1. Navegue até Proteger > E-mail > Políticas e exceções.
    2. Edite a política SMTP relevante.
    3. Na seção Proteção contra malware, certifique-se de que o antivírus primário seja Sophos.
    4. Marque a opção Usar proteção zero-day.

——————————————————————————–

Política 5.4: Aplicação do Security Heartbeat (Ref 5.4)

  • Declaração da Política: A aplicação do Security Heartbeat da Segurança Sincronizada deve ser mandatória em todas as regras de firewall aplicáveis. O acesso à rede deve ser restrito com base no estado de saúde do endpoint, com o ‘Heartbeat de origem mínimo permitido’ definido como ‘Verde’ ou ‘Amarelo’.
  • Análise de Racionalidade e Impacto: A Segurança Sincronizada cria um elo de comunicação entre o firewall e os endpoints Sophos. O “Heartbeat” informa ao firewall o estado de saúde de cada endpoint. Esta política permite que o firewall isole automaticamente um endpoint comprometido (Heartbeat ‘Vermelho’), impedindo que a ameaça se espalhe lateralmente pela rede. É uma forma poderosa e automatizada de contenção de ameaças.
  • Configuração Obrigatória:
    1. Navegue até Sistema > Sophos Central e garanta que o firewall esteja registrado e o Security Heartbeat esteja LIGADO.
    2. Ao editar uma regra de firewall relevante em Proteger > Regras e políticas, localize a seção Configurar Security Heartbeat da Segurança Sincronizada.
    3. Marque a opção Heartbeat de origem mínimo permitido e selecione Verde ou Amarelo.

Com as defesas avançadas em vigor, voltamos nossa atenção às regras fundamentais que governam o fluxo de tráfego diário.

VI. Política de Regras e Perfis de Proteção

Esta seção define as políticas centrais que inspecionam e controlam ativamente o tráfego de rede. Funções como filtragem web, prevenção de intrusão (IPS) e proteção contra negação de serviço são os pilares da operação diária do firewall. A configuração granular e rigorosa dessas regras é essencial para aplicar o princípio do menor privilégio e minimizar a superfície de ataque da rede.

——————————————————————————–

Política 6.1: Filtragem Web e Verificação de Conteúdo (Ref 6.1)

  • Declaração da Política: Uma Política Web deve ser configurada e aplicada a todas as regras de firewall relevantes para bloquear o acesso a categorias de URL inadequadas e perigosas. A verificação de malware deve ser aplicada ao tráfego HTTP(S) e FTP, e Aplicações Potencialmente Indesejadas (PUAs) devem ser bloqueadas.
  • Análise de Racionalidade e Impacto: A web é um dos principais vetores de ameaças. Esta política reduz o risco de infecções por malware a partir de sites maliciosos (drive-by-downloads) e aumenta a produtividade ao bloquear o acesso a conteúdo impróprio. O bloqueio de PUAs impede a instalação de softwares que, embora não sejam estritamente maliciosos, podem degradar o desempenho do sistema e apresentar riscos de segurança.
  • Configuração Obrigatória:
    1. Navegue até Proteger > Web > Políticas e crie ou edite uma política. Defina a ação para Bloquear em categorias de URL de risco e inadequadas.
    2. Navegue até Proteger > Web > Configurações gerais > Proteção > Verificação de malware e conteúdo.
    3. Defina Ação em caso de falha na verificação de malware como Bloquear (melhor proteção).
    4. Marque a opção Bloquear aplicativos potencialmente indesejados.
    5. Aplique a política web criada às regras de firewall apropriadas.

——————————————————————————–

Política 6.2: Inspeção SSL/TLS (Ref 6.2)

  • Declaração da Política: Regras de inspeção SSL/TLS devem ser utilizadas para descriptografar e inspecionar o tráfego criptografado em todas as políticas relevantes. A comunicação usando protocolos inseguros, como SSL 2.0 e SSL 3.0, deve ser rejeitada ou descartada.
  • Análise de Racionalidade e Impacto: Uma porção cada vez maior do tráfego da internet é criptografada. Sem a descriptografia, esse tráfego torna-se invisível para os controles de segurança do firewall (IPS, Filtro Web, Antivírus), permitindo que malwares e outras ameaças passem sem serem detectados. A inspeção SSL/TLS fornece a visibilidade necessária para aplicar políticas de segurança de forma eficaz, ao mesmo tempo que proíbe o uso de cifras e protocolos criptográficos obsoletos e vulneráveis.
  • Configuração Obrigatória:
    1. Navegue até Proteger > Regras e políticas > Regras de inspeção SSL/TLS > Configurações de inspeção SSL/TLS.
    2. Em Tráfego não descriptografável, defina SSL 2.0 e SSL 3.0 para Rejeitar ou Descartar.
    3. Assegure que Decriptografia TLS 1.3 esteja configurado como Descriptografar como 1.3.
    4. Crie uma regra de inspeção SSL/TLS com a Ação definida como Descriptografar para o tráfego relevante, posicionando-a acima de quaisquer regras de não descriptografia.
    5. Garanta que a CA de descriptografia do Sophos seja distribuída para os endpoints da rede para evitar erros de certificado.

——————————————————————————–

Política 6.3: Filtro de Aplicações de Alto Risco (Ref 6.3)

  • Declaração da Política: Um Filtro de Aplicações deve ser aplicado a todas as regras de firewall de saída relevantes para bloquear aplicações classificadas como de alto risco (Nível de Risco 4 e 5).
  • Análise de Racionalidade e Impacto: Certas aplicações, como redes P2P, anonimizadores (proxies) e ferramentas de acesso remoto não autorizadas, apresentam um risco inerente à segurança da rede. Elas podem ser usadas para contornar outras políticas de segurança, exfiltrar dados ou introduzir malware. O bloqueio proativo dessas aplicações reduz significativamente a superfície de ataque da rede.
  • Configuração Obrigatória:
    1. Ao editar uma regra de firewall relevante em Proteger > Regras e políticas, localize a seção Identificar e controlar aplicativos (Controle de aplicativos).
    2. Selecione a política Bloquear aplicativos de alto risco (Nível de Risco 4 e 5).

——————————————————————————–

Política 6.4: Prevenção de Intrusão (IPS) (Ref 6.4)

  • Declaração da Política: Uma política de Prevenção de Intrusão (IPS) deve ser configurada e ativa em todas as regras de firewall relevantes para detectar e bloquear ataques baseados em rede.
  • Análise de Racionalidade e Impacto: O IPS atua como uma camada de defesa crítica, inspecionando o tráfego em busca de assinaturas de ataques conhecidos que exploram vulnerabilidades em sistemas operacionais e aplicações. Mesmo que um sistema interno não tenha o patch mais recente, o IPS pode bloquear o exploit na borda da rede, prevenindo o comprometimento. É uma defesa essencial contra uma vasta gama de exploits de rede.
  • Configuração Obrigatória:
    1. Ao editar uma regra de firewall em Proteger > Regras e políticas, localize a seção Detectar e prevenir explorações (IPS).
    2. Selecione uma política de IPS apropriada com base na direção do tráfego (ex: lantowan_general para tráfego de saída, ou uma política específica para servidores publicados na WAN).

——————————————————————————–

Política 6.5: Proteção DoS e Anti-Spoofing (Ref 6.7)

  • Declaração da Política: A proteção contra ataques de inundação SYN, TCP, UDP e ICMP/ICMPv6 deve ser habilitada para redes de origem e destino. Adicionalmente, a Prevenção de Spoofing, o bloqueio de pacotes com rota de origem, a desabilitação de pacotes de redirecionamento ICMP e o fortalecimento de ARP devem ser habilitados.
  • Análise de Racionalidade e Impacto: Ataques de Negação de Serviço (DoS) visam esgotar os recursos de um dispositivo, tornando-o indisponível. A proteção contra inundações mitiga esses ataques na borda. O anti-spoofing impede que um invasor utilize um endereço IP de origem forjado para contornar as regras do firewall. As demais configurações de hardening previnem técnicas de reconhecimento e manipulação de pacotes, fortalecendo a resiliência geral da rede.
  • Configuração Obrigatória:
    1. Navegue até Proteger > Prevenção de intrusão > Proteção DoS e Spoofing.
    2. Na seção Proteção Spoofing, marque Habilitar prevenção de spoofing para as zonas internas apropriadas (LAN, DMZ).
    3. Na seção Configurações de DoS, marque a flag Aplicar para as seguintes proteções em Origem e Destino:
      • SYN flood
      • UDP flood
      • TCP flood
      • ICMP/ICMPv6 flood
    4. Ainda em Configurações de DoS, marque a flag Aplicar para as seguintes proteções em Destino:
      • Descartar pacotes com rota de origem
      • Desabilitar pacote de redirecionamento ICMP/ICMPv6
      • Fortalecimento de ARP

——————————————————————————–

Política 6.6: Bloqueio de Protocolos Inseguros da WAN (Ref 6.8)

  • Declaração da Política: É proibido permitir o acesso direto da zona WAN a serviços internos utilizando protocolos inerentemente inseguros ou de alto risco, incluindo, mas não se limitando a, SMB (porta 445), NetBIOS (portas 137-139) e RDP (porta 3389).
  • Análise de Racionalidade e Impacto: Expor esses serviços diretamente à internet é extremamente perigoso. Vulnerabilidades nesses protocolos foram exploradas em alguns dos mais devastadores ataques de ransomware da história, como o WannaCry. Qualquer necessidade de acesso remoto a esses serviços deve ser atendida exclusivamente através de uma conexão VPN segura e autenticada.
  • Configuração Obrigatória:
    1. Navegue até Proteger > Regras e políticas > Regras de firewall.
    2. Revise todas as regras com Zona de origem WAN.
    3. Garanta que nenhuma regra permita o tráfego para os serviços TCP/UDP 445, 137-139, 3389 e outros protocolos não criptografados (como Telnet, FTP) para redes internas. Desative ou exclua tais regras.

——————————————————————————–

Política 6.7: Proibição de Regra “Any/Any” da WAN (Ref 6.10)

  • Declaração da Política: É estritamente proibida a existência de qualquer regra de firewall que permita tráfego originado da Zona WAN com Origem ANY, Serviço ANY e Destino ANY.
  • Análise de Racionalidade e Impacto: Uma regra “Any/Any” (Qualquer/Qualquer) vinda da internet é o equivalente a desativar o firewall. Ela permite que qualquer tipo de tráfego de qualquer lugar do mundo chegue a qualquer dispositivo na rede, criando uma superfície de ataque massiva e não intencional. Todas as regras de entrada devem ser específicas e aderir ao princípio do menor privilégio, permitindo apenas o tráfego estritamente necessário para hosts e serviços específicos.
  • Configuração Obrigatória:
    1. Navegue até Proteger > Regras e políticas > Regras de firewall.
    2. Filtre as regras para Zona de origem WAN.
    3. Inspecione cuidadosamente todas as regras permitidas.
    4. Exclua ou modifique qualquer regra que utilize ANY nos campos de Redes de origem, Redes de destino e Serviços.

A aplicação consistente dessas regras forma uma base sólida para a segurança da rede.

VII. Conclusão: Uma Postura de Segurança Contínua

Esta política estabeleceu os pilares de uma estratégia de segurança abrangente para o Sophos Firewall v21. Cobrimos desde a administração segura do dispositivo e a identificação de usuários, passando pela manutenção rigorosa do sistema e a implementação de defesas avançadas contra ameaças, até a aplicação de regras granulares que governam cada pacote de dados. Juntos, esses controles transformam um firewall de uma simples barreira para uma fortaleza digital inteligente e resiliente.

Ao adotar um framework robusto como o CIS Benchmark, sua organização eleva a segurança de um processo reativo e ad-hoc para um padrão defensável, auditável e repetível. Isso não apenas fortalece suas defesas, mas também demonstra um compromisso com a excelência em segurança cibernética.

Lembre-se que a segurança não é um projeto com um ponto final, mas um processo contínuo de monitoramento, revisão e adaptação. As ameaças evoluem, e suas defesas também devem evoluir.

Utilize esta política como um checklist para avaliar e fortalecer suas configurações existentes. Para organizações que buscam garantir a implementação correta e a gestão contínua desses controles críticos, a SN Informática, como seu Sophos Gold Partner, está pronta para oferecer a expertise e o suporte necessários para proteger seus ativos mais valiosos.