No nível do usuário, o firewall em PCs e Macs também pode ser utilizado para proteger esse endpoint específico. Esses firewalls baseados em host geralmente são integrados ao próprio sistema operacional do computador. Por exemplo, os PCs com Windows são protegidos pelo firewall do Windows, que faz parte do conjunto de ferramentas de segurança do Windows Defender integrado ao sistema operacional pela Microsoft.
Esses firewalls de endpoint complementam o firewall de rede que as empresas implantam para impedir que conteúdo malicioso entre em suas redes internas. Embora um firewall de rede possa ser mais poderoso, ele pode não ter informações sobre as necessidades de um sistema específico ou sobre os fluxos de tráfego interno da rede. Um firewall de desktop pode ser ajustado para fornecer proteção específica para um computador específico e filtrar todo o tráfego que entra e sai da máquina. Isso pode permitir a proteção contra ameaças internas, como malware que se move lateralmente pela rede de uma organização.
Firewall de área de trabalho 101
Na verdade, um firewall pessoal ou de desktop funciona de maneira semelhante a um firewall de rede. Dois conceitos importantes a serem entendidos em relação ao firewall de desktop são as diferenças entre o tráfego de entrada e saída e as diversas zonas de confiança.
Conexões de rede de entrada e saída
O nível mais básico de filtragem que um firewall pode executar é bloquear a entrada ou saída de determinadas portas ou protocolos do computador. Assim como um sistema de e-mail corporativo, um computador pode ter vários endereços ou portas de comunicação diferentes. Alguns podem ser destinados apenas ao acesso interno, enquanto outros são projetados para serem voltados ao público (como o suporte de uma empresa e endereços de e-mail de contato).
Um firewall de desktop só pode disponibilizar um pequeno conjunto de suas portas para sistemas externos para atender o aplicativo que escuta uma porta específica. Por exemplo, é comum permitir a comunicação nas portas 80 (HTTP) e 443 (HTTPS) em um servidor web porque estas são as portas padrão para o tráfego web.
A decisão de quais portas permitir ou bloquear depende muito da direção em que o tráfego está fluindo:
- Tráfego de entrada: O tráfego de entrada é o tráfego que entra no computador. Para o tráfego de entrada, os firewalls normalmente têm uma política DEFAULT_DENY, o que significa que o tráfego é bloqueado, a menos que as políticas firewall sejam configuradas de outra forma (como permitir o tráfego da porta 80 ou 443 para um servidor web).
- Tráfego de saída: O tráfego de saída é o tráfego que sai do computador. Para esse tráfego, o padrão é DEFAULT_ALLOW, o que significa que todo o tráfego tem permissão para passar pelo firewall, a menos que as políticas indiquem o contrário. Por exemplo, uma política de firewall pode ser configurada para permitir apenas tráfego SSH para endereços específicos.
Embora um firewall de desktop tenha políticas padrão, elas podem ser alteradas para refletir as necessidades exclusivas do computador e de seu usuário.
Zonas confiáveis versus zonas não confiáveis
Outro conceito importante em relação ao firewall pessoal é o de zonas de confiança. O firewall do endpoint pode ser configurado para ter políticas diferentes dependendo da rede à qual estão conectados. Este é um trunfo para dispositivos móveis e laptops, que podem se mover frequentemente entre diferentes redes Wi-Fi.
Se você conectou um computador a uma nova rede Wi-Fi, provavelmente já tomou uma decisão sobre zonas de confiança. Quando o Windows pergunta se uma rede deve ser tratada como pública ou privada, é isso que significa. Numa rede doméstica privada, as regras da política de firewall serão mais permissivas do que numa rede pública, por exemplo, uma rede Wi-Fi no café local. Isso torna possível acessar compartilhamentos de arquivos e outros recursos em redes privadas confiáveis, mas bloquear essas conexões potencialmente perigosas em redes públicas.
Gerenciamento de regras de política de firewall
As políticas padrão de um firewall são projetadas para atender à maioria dos casos, mas não são perfeitas para todos os cenários. Um indivíduo ou organização pode precisar ajustar as políticas de um firewall de desktop para melhorar sua segurança ou usabilidade.
Um firewall de endpoint pode ser configurado para ter suas regras de política gerenciadas centralmente ou gerenciadas a partir do dispositivo. No primeiro caso, uma organização pode definir configurações de política de firewall para estar em conformidade com a política de segurança corporativa e impossibilitar que os usuários as modifiquem.
Neste último, os usuários têm controle total sobre como seu firewall pessoal está configurado. Em geral, é melhor deixar as configurações padrão em vigor, a menos que haja uma necessidade legítima de não fazê-lo (como executar um servidor web em um dispositivo). Cada porta aberta em um computador cria outro vetor de ataque potencial.
5 proteções de endpoint obrigatórias
Um firewall é uma parte essencial da estratégia de proteção de rede de uma organização; no entanto, um firewall por si só não é suficiente para proteger contra ameaças à segurança cibernética. Cinco recursos essenciais para uma solução de Segurança de endpoint incluem:
- recursos antiphishing
- Proteções anti-ransomware
- Content Disarm and Reconstruction (CDR)
- Proteções anti-bot
- Detecção e resposta automatizada pós-violação
A solução Check Point SandBlast Agent Segurança da endpoint pode ajudar a proteger os endpoints de uma organização contra ameaças de segurança cibernética. Para saber mais sobre o Agente SandBlast , entre em contato conosco. Você também pode solicitar uma demo para ver SandBlast Agent em ação.
Opinião