Comitê Gestor da Internet no Brasil
CGI.br Registro CERT.br
 

Configuração correta de firewalls

 
 

Sumário

1. Clientes internos

Para evitar que máquinas internas à sua rede, caso contaminadas com vírus, worms e spam zombies, sejam utilizadas por spammers, é aconselhável implementar regras de bloqueio de saída, para evitar que estas máquinas possam ser utilizadas para envio de spam.

Spam zombies, worms e vírus costumam se conectar diretamente aos MTAs dos domínios vítimas, portanto, bloquear a saída para a porta 25/TCP em um firewall pode ser bastante efetivo para impedir o envio de e-mails a partir das máquinas infectadas. A análise dos logs do firewall pode indicar quais máquinas da rede interna estão possivelmente sendo abusadas e envolvidas no envio não autorizado de e-mails.

É importante que esta regra de bloqueio não se aplique aos MTAs legítimos da sua rede. No caso de provedores, o bloquio não deve ser aplicado aos MTAs de clientes corporativos.

Vale lembrar que os firewalls podem fazer muito pouco para prevenir a contaminação de máquinas de usuário, pois a maioria dessas contaminações se dá via a camada de aplicação, através de arquivos recebidos via e-mail, instant messenger e navegador.

2. Usuários em roaming

Um caso importante a se considerar são usuários em roaming, que não estão na rede interna, portanto fora do escopo das regras de bloqueio. Caso a máquina de um destes usuários seja contaminada, pode haver tentativas de transmissão de mensagens. Para lidar com esta situação é possível tomar algumas medidas preventivas:

  1. instalar, nessas máquinas, um firewall pessoal que bloqueie a saída pela porta 25/TCP. O MUA deve ser configurado para enviar sempre para o agente de submissão e pela porta adequada;

  2. adicionalmente estabelecer uma rede virtual privativa (VPN) com a sede, e somente enviar mensagens para o agente de submissão através desta VPN.

Como esta máquina estará freqüentemente em redes inseguras, convém que seus programas clientes de e-mail sejam configurados para utilizar as versões cifradas (sob TLS) dos protocolos SMTP, POP ou IMAP. As portas das versões não cifradas destes protocolos devem ser bloqueadas no firewall pessoal.

 
  Creative Commons License
Válido XHTML - CSS