As principais funcionalidade de seu Firewall UTM estão ativadas? Faça um teste
Seu Firewall UTM precisa estar muito bem configurado e com as funcionalidades habilitadas para garantir sua segurança. Serviços como inspeção de tráfego criptografado SSL (Deep Inspection SSL), antivírus e antimalware (AV), IPS (Intrusion Prevension System), filtro de conteúdo, aplicações e arquivo, são essenciais para garantirem sua segurança.
Infelizmente não é incomum encontramos em empresas bons Firewall UTM incorretamente configurados, causando uma falsa sensação de segurança. Firewall UTM não são como TVs, que escolhemos baseado apenas em especificação técnica e fabricante (ex. smart, full HD, LG), esses equipamentos podem ser completamente ineficientes se incorretamente configurados e se suas principais funcionalidades não forem habilitadas.
Evolução do Firewall UTM e NGFW – Inspeção de Conteúdo Criptografado (SSL)
A principal evolução do firewall UTM e NGFW é a capacidade de inspecionar o tráfego e identificar ameaças baseadas no conteúdo do pacote, com essa inspeção profunda (depp inspection packet), tornou-se possível tecnologias como filtro de conteúdo avançado (ex. liberar o facebook mas bloquear os jogos e o chat dentro dele), bloquear imagens e vídeos dentro do google pelo conteúdo ou categoria (bloquear imagens de drogas, pornografia e terrorismo por exemplo), não apenas baseado em suas extensões (.jpg, .mkv).
Mecanismos antigos de bloqueio encontrado em firewalls tradicionais são facilmente ultrapassadas por qualquer um com um pouco de conhecimento.
84% do trafego de internet no Brasil já é criptografado por SSL.
No entanto, se a funcionalidade SSL Inspection (inspeção de tráfego criptografado) não está ativada esses recursos se tornam ineficiente. A maioria do tráfego web na internet é criptografado por SSL. De acordo com o último relatório divulgado pela Google o Brasil aparece como o segundo pais com maior número de tráfego criptografado na internet – 84%, atrás apenas do México com 86%. A média global segundo a empresa é de 77%.
Teste seu Firewall UTM
Para testar o antivirus e a inspeção de trafego criptogrado (SSL) utilizaremos o vírus de teste EICAR. O EICAR é um arquivo de 68 bytes que possui uma linha de caracteres, desenvolvido pelo European Institute of Computer Anti-Virus Research (Instituto Europeu para Pesquisa de Antivírus de Computador). Ele é usado para testar a eficiência dos antivírus na detecção de vírus conhecidos sem qualquer risco ao computador. Usar o EICAR ao invés de um vírus real para testar um antivírus, é a garantia de que o computador não será infectado.
A intenção desse teste não é avaliar e eficácia do antivírus, uma vez que o EICAR é um vírus de baixa complexidade. Ele é em alguns casos detectado até pelo antivirus do Windows. Nesse teste avaliamos se o arquivo “infectado” chegará em sua máquina ou será bloqueado pelo seu firewall UTM antes mesmo de entrar em sua rede.
Para facilitar vários cenários, fornecemos 3 arquivos para download. O primeiro, eicar.com, contém o vírus de teste EICAR informado. A segunda versão contém o arquivo de teste dentro de um arquivo zip. Seu equipamento deve ser capaz de identificar a ameaça. A última versão é um arquivo zip contendo outro arquivo ZIP com o vírus, com intuito de testar a profundidade da análise do antivírus de seu Firewall UTM.
Firewall UTM – Filtro de conteúdo HTTP (sem criptografia)
Teste o antivírus e a inspeção de conteúdo com tráfego HTTP (sem criptografia) | |||
HTTP | eicar.com 68 Bytes |
eicar_com.zip 184 Bytes |
eicarcom2.zip 308 Bytes |
Resultado: Seu firewall UTM deve bloquear o download dos arquivos, como a imagem abaixo (a imagem pode estar personalizada com a logo da empresa ou a marca do firewall UTM). Se a detecção ocorreu pelo seu antivírus ou se conseguiu baixar o arquivo normalmente isso significa que a função de antivirus ou a inspeção de conteúdo de seu firewall não está ativada. Isso representa um grave risco a sua segurança.
Imagem bloqueio do eicar.com pelo firewall UTM com inspeção de pacotes e antivirus (AV) ativados.
Se apareceu a tela abaixo para realizar download do arquivo e ou conseguiu completar o download.
Ou se o vírus foi detectado apenas pelo seu antivirus (endpoint), significa que seu firewall UTM está mal configurado. Imagem abaixo mostra a detecção pelo endpoint da Symantec.
Firewall UTM – Filtro de conteúdo HTTPs (criptografado)
Teste o antivírus e a inspeção de conteúdo com tráfego HTTPs (com criptografia) | |||
HTTPS | eicar.com 68 Bytes |
eicar_com.zip 184 Bytes |
eicarcom2.zip 308 Bytes |
Resultado: Seu firewall UTM deve bloquear o download dos arquivos, como a imagem abaixo. Se a detecção ocorreu pelo seu antivírus ou se conseguiu baixar o arquivo, normalmente isso significa que a função de antivirus ou inspeção de conteúdo criptografado (SSL Inspection) de seu firewall não estão ativadas. Isso representa um grave risco a sua segurança.
Imagem bloqueio do eicar.com pelo firewall UTM com inspeção SSL e antivirus (AV) arivados..
Se recebeu a imagem abaixo para download do arquivo (qualquer um dos 3 arquivos de teste) e ou conseguiu fazer o download.
Ou se o vírus foi detectado apenas pelo seu antivirus (endpoint), significa que seu firewall UTM está mal configurado.
É possível realizar mais testes?
Existem inúmeros testes para fazer em seu ambiente, inclusive testes de invasão (pentest) para comprovar a efetividade da segurança do perímetro de sua empresa.