Teste seu firewall UTM – Você esta protegido?

firewall UTM

As principais funcionalidade de seu Firewall UTM estão ativadas? Faça um teste

Seu Firewall UTM precisa estar muito bem configurado e com as funcionalidades habilitadas para garantir sua segurança. Serviços como inspeção de tráfego criptografado SSL (Deep Inspection SSL), antivírus e antimalware (AV), IPS (Intrusion Prevension System), filtro de conteúdo, aplicações e arquivo, são essenciais para garantirem sua segurança.

Infelizmente não é incomum encontramos em empresas bons Firewall UTM incorretamente configurados, causando uma falsa sensação de segurança. Firewall UTM não são como TVs, que escolhemos baseado apenas em especificação técnica e  fabricante (ex. smart, full HD, LG), esses equipamentos podem ser completamente ineficientes se incorretamente configurados e se suas principais funcionalidades não forem habilitadas.

Evolução do Firewall UTM e NGFW – Inspeção de Conteúdo Criptografado (SSL)

A principal evolução do firewall UTM e NGFW é a capacidade de inspecionar o tráfego e identificar ameaças baseadas no conteúdo do pacote, com essa inspeção profunda (depp inspection packet), tornou-se possível tecnologias como filtro de conteúdo avançado (ex. liberar o facebook mas bloquear os jogos e o chat dentro dele), bloquear imagens e vídeos dentro do google pelo conteúdo ou categoria (bloquear imagens de drogas, pornografia e terrorismo por exemplo), não apenas baseado em suas extensões (.jpg, .mkv).

Mecanismos antigos de bloqueio encontrado em firewalls tradicionais são facilmente ultrapassadas por qualquer um com um pouco de conhecimento.

84% do trafego de internet no Brasil já é criptografado por SSL.

firewall utm - https ssl

No entanto, se a funcionalidade SSL Inspection (inspeção de tráfego criptografado) não está ativada esses recursos se tornam ineficiente. A maioria do tráfego web na internet é criptografado por SSL. De acordo com o último relatório divulgado pela Google o Brasil aparece como o segundo pais com maior número de tráfego criptografado na internet – 84%, atrás apenas do México com 86%. A média global segundo a empresa é de 77%.

Teste seu Firewall UTM

firewall UTM

Para testar o antivirus e a inspeção de trafego criptogrado (SSL) utilizaremos o vírus de teste EICAR. O EICAR é um arquivo de 68 bytes que possui uma linha de caracteres, desenvolvido pelo European Institute of Computer Anti-Virus Research (Instituto Europeu para Pesquisa de Antivírus de Computador). Ele é usado para testar a eficiência dos antivírus na detecção de vírus conhecidos sem qualquer risco ao computador. Usar o EICAR ao invés de um vírus real para testar um antivírus, é a garantia de que o computador não será infectado.

A intenção desse teste não é avaliar e eficácia do antivírus, uma vez que o EICAR é um vírus de baixa complexidade. Ele é em alguns casos detectado até pelo antivirus do Windows. Nesse teste avaliamos se o arquivo “infectado” chegará em sua máquina ou será bloqueado pelo seu firewall UTM antes mesmo de entrar em sua rede.

Para facilitar vários cenários, fornecemos 3 arquivos para download. O primeiro, eicar.com, contém o vírus de teste EICAR informado. A segunda versão contém o arquivo de teste dentro de um arquivo zip. Seu equipamento deve ser capaz de identificar a ameaça. A última versão é um arquivo zip contendo outro arquivo ZIP com o vírus, com intuito de testar a profundidade da análise do antivírus de seu Firewall UTM.

Firewall UTM – Filtro de conteúdo HTTP (sem criptografia)

Teste o antivírus e a inspeção de conteúdo com tráfego HTTP (sem criptografia)
HTTP eicar.com
68 Bytes
eicar_com.zip
184 Bytes
eicarcom2.zip
308 Bytes

Resultado: Seu firewall UTM deve bloquear o download dos arquivos, como a imagem abaixo (a imagem pode estar personalizada com a logo da empresa ou a marca do firewall UTM). Se a detecção ocorreu pelo seu antivírus ou se conseguiu baixar o arquivo normalmente isso significa que a função de antivirus ou a inspeção de conteúdo de seu firewall não está ativada. Isso representa um grave risco a sua segurança.

Imagem bloqueio do eicar.com pelo firewall UTM com inspeção de pacotes e antivirus (AV) ativados.

Firewall UTM

Se apareceu a tela abaixo para realizar download do arquivo e ou conseguiu completar o download.

Firewall UTM

Ou se o vírus foi detectado apenas pelo seu antivirus (endpoint), significa que seu firewall UTM está mal configurado. Imagem abaixo mostra a detecção pelo endpoint da Symantec.

Firewall UTM

Firewall UTM – Filtro de conteúdo HTTPs (criptografado)

Teste o antivírus e a inspeção de conteúdo com tráfego HTTPs (com criptografia)
HTTPS eicar.com
68 Bytes
eicar_com.zip
184 Bytes
eicarcom2.zip
308 Bytes

Resultado: Seu firewall UTM deve bloquear o download dos arquivos, como a imagem abaixo. Se a detecção ocorreu pelo seu antivírus ou se conseguiu baixar o arquivo, normalmente isso significa que a função de antivirus ou inspeção de conteúdo criptografado (SSL Inspection) de seu firewall não estão ativadas. Isso representa um grave risco a sua segurança.

Imagem bloqueio do eicar.com pelo firewall UTM com inspeção SSL e antivirus (AV) arivados..

Firewall UTM

Se recebeu a imagem abaixo para download do arquivo (qualquer um dos 3 arquivos de teste) e ou conseguiu fazer o download.

Firewall UTM

Ou se o vírus foi detectado apenas pelo seu antivirus (endpoint), significa que seu firewall UTM está mal configurado.

Firewall UTM

É possível realizar mais testes?

Existem inúmeros testes para fazer em seu ambiente, inclusive testes de invasão (pentest) para comprovar a efetividade da segurança do perímetro de sua empresa.

Participe da comunidade
de tecnologia da Tripla

Localização
Rua dos Timbiras, 1532 - 4º andar Lourdes, Belo Horizonte, Minas Gerais
Telefone
+55 31 3370.2600
Contato
Proteção de Dados Pessoais
Copyright © 2020 Tripla

Fale com um de nossos consultores