Alternativa B - Negar por padrão, autorizar explicitamente.
Introdução à Segurança de Redes
No contexto de segurança da informação, especialmente no gerenciamento de firewalls, existe um princípio fundamental conhecido como "Default Deny" (Negar por Padrão). Este conceito é a base da segurança defensiva moderna.
Quando configuramos um firewall, ele age como um guarda de segurança. A dúvida reside em como esse guarda deve tratar pessoas que chegam à porta: ele deve deixar entrar todo mundo e só barrar os conhecidos pelo nome, ou deve manter a porta fechada e só abrir para quem tem autorização prévia?
Desenvolvimento do Conceito
A opção B reflete a prática recomendada de mercado por razões lógicas e de segurança:
- Ambiente Hostil: A internet e redes externas são consideradas áreas inseguras. Assumimos que qualquer tráfego que venha de fora pode ser malicioso.
- Segurança Proativa: Ao configurar o firewall para negar tudo por padrão, garantimos que apenas o tráfego estritamente necessário para o funcionamento dos serviços da empresa passe.
- Lista Branca (Whitelist): A política correta exige que cada serviço permitido (como acesso web, e-mail, banco de dados) tenha uma regra criada manualmente para autorizar explicitamente. Tudo o que não estiver nessa lista será bloqueado automaticamente.
Comparativo das Abordagens
| Abordagem | Como Funciona | Risco de Segurança |
|---|
| Negar por Padrão (Recomendada) | Bloqueia tudo, exceto o autorizado. | Baixo. Minimiza superfície de ataque. |
| Aceitar por Padrão (Não Recomendada) | Permite tudo, exceto o bloqueado. | Alto. Vulnerável a novas ameaças não listadas. |
Análise Detalhada das Alternativas
- Alternativa A (Aceitar todos por padrão): Esta é uma configuração extremamente perigosa. Se o firewall aceitar tudo, qualquer malware ou invasor poderá acessar a rede interna até que uma regra específica seja adicionada para bloqueá-lo. É muito difícil manter uma lista de bloqueios atualizada em tempo real.
- Alternativa B (Negar por padrão, autorizar explicitamente): Esta é a resposta correta. Garante que nada entre sem permissão prévia.
- Alternativa C (Aceitar por padrão, negar por exceção): Sinônimo da alternativa A. Também incorreta.
- Alternativa D (Autorizar todos por padrão): Novamente, configura o firewall para ser permissivo demais.
- Alternativa E (Negar todos por padrão, sem exceções): Embora comece com a política correta de negação, a parte "sem exceções" torna a rede inoperante. Uma rede precisa permitir tráfego legítimo (como navegação na web, correio eletrônico) para funcionar. O ideal é negar tudo mas permitir as exceções necessárias.
Conclusão
A política de segurança mais robusta e recomendada é sempre assumir que o tráfego externo é inimigo até prova em contrário. Portanto, devemos negar todas as conexões por padrão e criar regras específicas apenas para o que é estritamente necessário (autorizar explicitamente).
Alternativa B.