Saltar para o conteudo
Avanet

Como documentar facilmente uma regra na Sophos Firewall

Sophos Firewall

Neste artigo explico como documentar um pouco melhor uma regra de firewall com muito pouco esforço.

Provavelmente poucos de nós têm tempo para documentar tudo de forma limpa. Mesmo quando finalmente se cria documentação, muitas vezes esta é mal mantida: altera-se algo na firewall e esquece-se de documentar.

Quando chega um security audit, surgem termos como «Change Management Process», que nos lembram aquilo para que não temos tempo ou as tarefas que têm maior prioridade.

Descrever regras de firewall

A experiência mostra que o número de regras de firewall tende a aumentar com o tempo, não a diminuir. Muitas vezes, depois já só nos lembramos vagamente, ou nada, do motivo de certas regras existirem ou do que fazem. Desativá-las simplesmente enquanto ainda passa tráfego funciona, claro. Normalmente descobre-se muito depressa para que eram necessárias. Mas não é a forma mais elegante e certamente nem sempre é possível.

Por isso, recomendo como mínimo reservar 60 segundos ao criar ou editar regras de firewall e descrevê-las.

Nem é necessário abrir um documento externo; pode fazê-lo diretamente na própria regra da firewall.

Regra Sophos Firewall
Regra Sophos Firewall

Tem 255 caracteres, quase tantos como num tweet (280), com os quais se pode mudar o mundo. Deverá ser suficiente para explicar o que a regra de firewall faz.

Exemplo para descrever uma regra de firewall

Naturalmente, é totalmente livre de escrever o que quiser neste campo. Aqui ficam algumas ideias do que pode ser útil no futuro:

  • NAME: o que faz esta regra, porque foi criada ou para que aplicação é necessária?
  • AUTHOR: quem criou a regra?
  • LAST MODIFIED: quando foi criada ou alterada pela última vez e por quem. Para poupar caracteres, usar iniciais ou username.
  • COMMENT: por exemplo, telefone, contacto da empresa parceira que mantém o software, ou departamento/pessoa que usa esta regra.
  • DOC: pode encurtar URLs para documentação online ou guias, ou guardar um nome de ficheiro para procurar no drive interno.
5G Access - Smarthome
---
AUTHOR: Patrizio
LAST MODIFIED: 12.12.2012 [PP]
COMMENT: Just for Tonys iPhone
DOC: bit.ly/3Nmn3lX

Lembre-se: a própria regra de firewall já contém muita informação, como IPs e portas. Não precisa de escrever no campo de texto tudo o que já está definido na regra. Mas tudo o que ajude no futuro a perceber porque a regra foi criada é útil.