Carregando...
Nenhum resultado encontrado.
Acesse mais de 700 laboratórios e cursos

Acessar um firewall e criar uma regra

Laboratório 1 hora 30 minutos universal_currency_alt 5 créditos show_chart Introdutório
info Este laboratório pode incorporar ferramentas de IA para ajudar no seu aprendizado.
Acesse mais de 700 laboratórios e cursos
ícone de "importante" IMPORTANTE:

ícone de notebook/computador Conclua este laboratório prático usando um computador ou notebook.

ícone de verificação Só 5 tentativas são permitidas por laboratório.

ícone de alvo do teste É comum não acertar todas as questões na primeira tentativa e precisar refazer uma tarefa. Isso faz parte do processo de aprendizado.

ícone de cronômetro Depois que o laboratório é iniciado, não é possível pausar o tempo. Depois de 1h30, o laboratório será finalizado, e você vai precisar recomeçar.

ícone de dica Para saber mais, confira as Dicas técnicas do laboratório.

Informações gerais da atividade

É preciso impedir o acesso não autorizado aos ativos em um ambiente de nuvem. Para isso, os profissionais de segurança usam a proteção de perímetro, medidas de segurança implementadas para defender a borda de uma rede ou um sistema contra acesso não autorizado e ameaças cibernéticas. Um tipo de proteção de perímetro é o firewall, usado para gerenciar e proteger o tráfego de rede que entra ou sai de um ambiente de nuvem. Ele protege as redes internas de confiança (como a rede interna de uma empresa) das redes externas não confiáveis (como a Internet). Os firewalls examinam o tráfego de rede enviado ou recebido com base em regras predefinidas, para permitir ou bloquear determinados pacotes de dados. Isso é essencial para a segurança do aplicativo, o controle do tráfego, a aplicação de políticas e compliance.

Neste laboratório, você vai acessar um firewall e criar regras para testar a segurança de um servidor, além de fazer as mudanças necessárias.

Cenário

O Cymbal Bank tem um servidor da Web de demonstração, provisionado em uma rede de nuvem privada virtual (VPC). Chloe, a líder da sua equipe, está preocupada com a segurança do servidor. Ela quer que você analise o tráfego recebido pelo servidor e use regras de firewall para bloquear as conexões com portas desnecessárias. Você precisa analisar as regras de firewall do servidor da Web e testar as conexões dele. Para fazer a tarefa, você vai precisar criar várias regras de firewall, acessar o servidor da Web e analisar os registros das conexões de rede.

Confira como fazer a tarefa: primeiro, você vai criar uma regra de firewall que permita a entrada do tráfego de rede no servidor da Web de demonstração. Segundo, gerar tráfego HTTP para o servidor e analisar os registros de rede. Terceiro, criar e testar uma regra de firewall para negar o tráfego HTTP para o servidor. Quarto, analisar os registros do firewall para confirmar se a nova regra está funcionando corretamente.

Observação: este laboratório inclui uma VPC de rede do modo personalizado, vpc-net, e uma sub-rede, vpc-subnet, configurada com os registros de fluxo de VPC, na região . Também inclui uma instância de VM, web-server, com o servidor da Web Apache instalado em vpc-subnet e a tag de rede http-server na zona .

Configuração

Antes de clicar em "Começar o laboratório"

Leia as instruções a seguir. Os laboratórios são cronometrados e não podem ser pausados. O timer é iniciado quando você clica em Começar o laboratório e mostra por quanto tempo os recursos do Google Cloud vão ficar disponíveis.

Neste laboratório prático, você pode fazer as atividades por conta própria em um ambiente cloud de verdade, não em uma simulação ou demonstração. Você vai receber novas credenciais temporárias para fazer login e acessar o Google Cloud durante o laboratório.

Confira os requisitos para concluir o laboratório:

  • Acesso a um navegador de Internet padrão (recomendamos o Chrome).
Observação: para executar este laboratório, use o modo de navegação anônima ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.
  • Tempo para concluir o laboratório---não se esqueça: depois de começar, não será possível pausar o laboratório.
Observação: não use seu projeto ou conta do Google Cloud neste laboratório para evitar cobranças extras na sua conta.

Como iniciar seu laboratório e fazer login no console do Google Cloud

  1. Clique no botão Começar o laboratório. No painel Detalhes do laboratório à esquerda, você verá o seguinte:

    • Tempo restante
    • O botão Abrir console do Google Cloud
    • As credenciais temporárias que você vai usar neste laboratório
    • Outras informações, se forem necessárias
    Observação: se for preciso pagar pelo laboratório, um pop-up vai aparecer para você escolher a forma de pagamento.

  2. Se você estiver usando o navegador Chrome, clique em Abrir console do Google Cloud (ou clique com o botão direito do mouse e selecione Abrir link em uma janela anônima). A página de login será aberta em uma nova guia do navegador.

    Dica: é possível organizar as guias em janelas separadas, lado a lado, para alternar facilmente entre elas.

    Observação: se a caixa de diálogo Escolha uma conta aparecer, clique em Usar outra conta.

  3. Se necessário, copie o Nome de usuário do Google Cloud abaixo e cole na caixa de diálogo de login. Clique em Próximo.

{{{user_0.username | "Nome de usuário do Google Cloud"}}}

Você também encontra o Nome de usuário do Google Cloud no painel Detalhes do laboratório.

  1. Copie a Senha do Google Cloud abaixo e cole na caixa de diálogo seguinte. Clique em Próximo.
{{{user_0.password | "Senha do Google Cloud"}}}

Você também encontra a Senha do Google Cloud no painel Detalhes do laboratório.

Importante: você precisa usar as credenciais fornecidas no laboratório, e não as da sua conta do Google Cloud. Observação: usar sua própria conta do Google Cloud neste laboratório pode gerar cobranças extras.
  1. Nas próximas páginas:
    • Aceite os Termos e Condições
    • Não adicione opções de recuperação nem autenticação de dois fatores nesta conta temporária
    • Não se inscreva em testes gratuitos

Depois de alguns instantes, o console será aberto nesta guia.

Observação: para acessar a lista dos produtos e serviços do Google Cloud, clique no Menu de navegação no canto superior esquerdo. Menu do console do Google Cloud com o ícone do menu de navegação em destaque

Tarefa 1: criar uma regra de firewall

Nesta tarefa, você vai criar uma regra de firewall que permite a conectividade HTTP e SSH. Também vai especificar uma tag de destino para a regra.

No Google Cloud, as regras de firewall precisam ter destinos, que definem as instâncias de VM sujeitas às regras. As tags de destino são usadas para aplicar uma regra de firewall a determinado grupo de VMs, simplificando o gerenciamento das regras. Você vai usar as tags de destino para ativar a regra de firewall apenas no servidor da Web.

  1. No console do Google Cloud, clique no menu de navegação (Ícone do menu de navegação).
  2. Selecione Rede VPC > Firewall. A página Políticas de firewall será exibida.
Observação: se aparecer uma mensagem indicando que você não tem as permissões necessárias para conferir as políticas de firewall herdadas pelo projeto, ignore o aviso e continue com as próximas etapas.

  1. Na barra de ferramentas, clique em + Criar regra de firewall. A caixa de diálogo Criar uma regra de firewall será exibida.

  2. Especifique os valores abaixo e não mude as outras configurações padrão:

Campo Valor
Nome allow-http-ssh
Registros Ativado
Rede vpc-net
Destinos Tags de destino especificadas
Tags de destino http-server
Filtro de origem Intervalos IPv4
Intervalos IPv4 de origem 0.0.0.0/0
Na seção Protocolos e portas
  • Selecione Portas e protocolos especificados
  • Marque a caixa de seleção TCP
  • No campo Portas, digite 80, 22
  1. Clique em Criar.
Observação: aguarde até que apareça a mensagem A regra de firewall "allow-http-ssh" foi criada. para continuar.

Clique em Verificar meu progresso para confirmar que você concluiu a tarefa corretamente. Criar uma regra de firewall

Tarefa 2: gerar tráfego de rede HTTP

Nesta tarefa, você vai acessar o endereço IP externo do servidor da Web para gerar tráfego de rede HTTP. O tráfego gerado será registrado, e você vai conferir essas informações na Análise de registros.

Primeiro, é preciso gerar o tráfego de rede.

  1. No console do Google Cloud, clique no menu de navegação (Ícone do menu de navegação).

  2. Selecione Compute Engine > Instâncias de VM. A página Instâncias de VM será aberta.

  3. Em web-server, clique no link IP externo para acessar o servidor.

Outra opção é adicionar o valor de IP externo a http://EXTERNAL_IP/ em uma nova janela ou guia do navegador. Uma página da Web padrão vai aparecer.

Em seguida, é preciso descobrir qual é o endereço IP do computador que você está usando.

  1. Use este link para acessar seu endereço IP: whatismyip.com. Ele vai responder diretamente com o IP.

Um navegador mostra a página inicial do site www.whatismyip.com

Observação: o endereço IP precisa conter apenas números (IPv4) e não deve estar no formato hexadecimal (IPv6).
  1. Copie o endereço IP e salve no bloco de notas. Você vai precisar dele na próxima tarefa.

Clique em Verificar meu progresso para confirmar que você concluiu a tarefa corretamente. Gerar tráfego de rede HTTP

Tarefa 3: analisar os registros de fluxo do servidor da Web

Nesta tarefa, você vai acessar e analisar os registros de fluxo de VPC do servidor da Web usando a Análise de registros.

  1. Na barra de título do console do Google Cloud, digite Análise de registros no campo Pesquisar e clique em Análise de registros nos resultados da pesquisa.

  2. Clique em Fixar ao lado de Geração de registros de observabilidade.

  3. No lado esquerdo da página Análise de registros está o painel Campos. As seções Gravidade e Tipo de recurso estão disponíveis. Na seção Tipo de recurso, selecione Sub-rede.

Os registros de sub-redes vão aparecer no painel Resultados da consulta, à direita do painel Campos.

  1. No painel Campos, na seção Nome do registro, selecione compute.googleapis.com/vpc_flows para acessar os registros de fluxo de VPC da rede. Se a opção não apareceu, aguarde alguns minutos para que esse tipo de registro seja exibido.

Quando você selecionar a opção, os registros de fluxo de VPC vão aparecer no painel Resultados da consulta.

  1. No Criador de consultas na parte de cima da página, pressione ENTER ao final da segunda linha para criar outra linha.

  2. Na terceira linha, copie o seguinte:

jsonPayload.connection.src_ip=YOUR_IP

A consulta vai ficar assim:

resource.type="gce_subnetwork" log_name="projects/{{{project_0.project_id | PROJECT_ID}}}/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.src_ip=YOUR_IP

  1. Substitua YOUR_IP pelo endereço IP que você anotou na Tarefa 2. A consulta vai procurar os registros de tráfego de rede originários do seu endereço IP, que você gerou na tarefa passada.

  2. Clique em Executar consulta. Os resultados da consulta serão exibidos no painel Resultados da consulta.

Observação: se a opção de filtro vpc_flows não estiver disponível ou se não houver registros, aguarde alguns minutos e atualize. Se a opção de filtro vpc_flows ainda não aparecer depois de alguns minutos, acesse a página do Compute Engine e clique algumas vezes no IP externo do servidor da Web para gerar mais tráfego. Depois confira de novo a opção vpc_flows.

  1. No painel Resultados da consulta, expanda uma das entradas de registro.

  2. Na entrada, clique na seta de expansão > para expandir jsonPayload. Depois expanda o campo connection.

Aqui é possível analisar os detalhes da conexão de rede feita com o servidor da Web:

  • dest_ip: o endereço IP de destino do servidor da Web.
  • dest_port: o número da porta de destino do servidor da Web, que é a porta HTTP 80.
  • protocol: o protocolo é 6, que é o protocolo IANA para tráfego TCP.
  • src_ip: o endereço IP de origem do seu computador.
  • src_port: o número da porta de origem atribuído ao seu computador. Segundo as normas da Internet Assigned Numbers Authority (IANA), é geralmente um número de porta aleatório entre 49152 e 65535.

Nos detalhes da entrada de registro, observe que o tráfego de rede gerado (na porta HTTP 80) foi permitido devido à regra de firewall allow-http-ssh, que você criou. A regra permite a entrada de tráfego nas portas 80 e 22.

Tarefa 4: criar uma regra de firewall para negar o tráfego HTTP

Nesta tarefa, você vai criar uma regra de firewall que nega o tráfego da porta 80.

  1. No console do Google Cloud, clique no menu de navegação (Ícone do menu de navegação).

  2. Selecione Rede VPC > Firewall. A página de políticas de firewall será exibida.

  3. Na barra de ferramentas, clique em + Criar regra de firewall.

  4. Na caixa de diálogo Criar uma regra de firewall, especifique os valores abaixo, sem mudar as outras configurações:

Campo Valor
Nome deny-http
Registros Ativado
Rede vpc-net
Ação se houver correspondência Recusar
Destinos Tags de destino especificadas
Tags de destino http-server
Filtro de origem Intervalos IPv4
Intervalos IPv4 de origem 0.0.0.0/0
Na seção Protocolos e portas
  • Selecione Portas e protocolos especificados
  • Marque a caixa de seleção TCP
  • No campo Portas, digite 80
  1. Clique em Criar.

Clique em Verificar meu progresso para confirmar que você concluiu a tarefa corretamente. Criar um firewall para negar o tráfego HTTP

Tarefa 5: analisar os registros do firewall

Nesta tarefa, você vai testar a regra de firewall deny-http, criada na tarefa passada.

Primeiro, tente acessar o servidor da Web.

  1. Clique no menu de navegação (Ícone do menu de navegação).
  2. Selecione Compute Engine > Instâncias de VM. A página Instâncias de VM será aberta.
  3. Em web-server, clique no link IP externo para acessar o servidor.

Esta mensagem de erro vai aparecer na página:

Navegador da Web mostra um erro de conexão de site

O erro ocorreu devido à regra de firewall deny-http, que você criou na tarefa passada. Para confirmar isso, acesse a Análise de registros e confira os registros de firewall do servidor da Web.

  1. No console do Google Cloud, clique no menu de navegação (Ícone do menu de navegação).

  2. Selecione Geração de registros > Análise de registros. A página Análise de registros será aberta.

  3. Na seção Tipo de recurso, selecione Sub-rede.

  4. No painel Campos de registro, na seção Nome do registro, selecione compute.googleapis.com/firewall para acessar os registros de firewall da rede.

  5. No Criador de consultas na parte de cima da página, pressione ENTER ao final da segunda linha para criar outra linha.

  6. Na terceira linha, copie o seguinte:

jsonPayload.connection.src_ip=YOUR_IP DENIED

Substitua YOUR_IP pelo endereço IP que você anotou na Tarefa 2. A consulta vai procurar registros de firewall que negaram uma conexão do seu endereço IP para o servidor da Web. A consulta vai ficar assim:

resource.type="gce_subnetwork" log_name="projects/{{{project_0.project_id | PROJECT_ID}}}/logs/compute.googleapis.com%2Ffirewall" jsonPayload.connection.src_ip=YOUR_IP DENIED

  1. Clique em Executar consulta. Os resultados da consulta serão exibidos no painel Resultados da consulta.

  2. No painel Resultados da consulta, expanda uma das entradas de registro.

  3. Na entrada de registro, clique na seta de expansão > para expandir o campo jsonPayload. Depois expanda o campo connection. Analise os detalhes da conexão de rede com o servidor da Web para confirmar que a regra de firewall foi acionada:

  • dest_ip: o endereço IP de destino do servidor da Web, que é 10.1.3.2.
  • dest_port: o número da porta de destino do servidor da Web, que é a porta HTTP 80.
  • protocol: o protocolo é 6, que é o protocolo IANA para tráfego TCP.
  • src_ip: o endereço IP de origem do seu computador.
  • src_port: o número da porta de origem atribuído ao seu computador.
  • disposition: este campo indica se a conexão foi permitida ou negada. Aqui aparece denied, o que indica que a conexão com o servidor foi negada.
  1. Na entrada de registro, clique na seta de expansão > para expandir o campo rule_details. Confira os detalhes da regra de firewall. Expanda os campos abaixo da entrada para conferir mais informações:
  • action: a ação realizada pela regra, DENY neste caso.
  • direction: a direção do tráfego da regra pode ser entrada ou saída. Aqui é INGRESS (entrada), então a ação será aplicada ao tráfego de entrada.
  • ip_port_info: o protocolo e as portas que a regra controla. Os valores de ip_protocol e port_range indicam TCP port 80.
  • source_range: as origens de tráfego em que a regra de firewall é aplicada. Aqui é 0.0.0.0/0.
  • target_tag: todas as tags de destino em que a regra de firewall é aplicada. Aqui aparece http-server, a tag que você adicionou à regra na tarefa passada.

Analisando os detalhes da entrada de registro do firewall, percebemos que a regra deny-http (configurada para negar o tráfego HTTP) foi acionada. A regra negou o tráfego de rede recebido na porta 80.

Clique em Verificar meu progresso para confirmar que você concluiu a tarefa corretamente. Analisar os registros do firewall

Conclusão

Bom trabalho!

Agora você tem experiência prática em criar e testar regras de firewall para um servidor da Web em um ambiente de nuvem. Ao criar regras de firewall e analisar entradas de registro, você conhece melhor os detalhes da proteção de perímetro. Isso é útil para monitorar e analisar possíveis incidentes de segurança ou ameaças, algo essencial na função de analista de segurança.

Você já pode aprender a modificar regras de firewall para garantir a máxima segurança de rede.

Termine o laboratório

Antes de encerrar o laboratório, certifique-se de que você concluiu todas as tarefas. Quando tudo estiver pronto, clique em Terminar o laboratório e depois em Enviar.

Depois que você finalizar um laboratório, não será mais possível acessar o ambiente do laboratório nem o trabalho que você concluiu nele.

Copyright 2020 Google LLC. Todos os direitos reservados. Google e o logotipo do Google são marcas registradas da Google LLC. Todos os outros nomes de produtos e empresas podem ser marcas registradas das respectivas empresas a que estão associados.

Antes de começar

  1. Os laboratórios criam um projeto e recursos do Google Cloud por um período fixo
  2. Os laboratórios têm um limite de tempo e não têm o recurso de pausa. Se você encerrar o laboratório, vai precisar recomeçar do início.
  3. No canto superior esquerdo da tela, clique em Começar o laboratório

Usar a navegação anônima

  1. Copie o nome de usuário e a senha fornecidos para o laboratório
  2. Clique em Abrir console no modo anônimo

Fazer login no console

  1. Faça login usando suas credenciais do laboratório. Usar outras credenciais pode causar erros ou gerar cobranças.
  2. Aceite os termos e pule a página de recursos de recuperação
  3. Não clique em Terminar o laboratório a menos que você tenha concluído ou queira recomeçar, porque isso vai apagar seu trabalho e remover o projeto

Este conteúdo não está disponível no momento

Você vai receber uma notificação por e-mail quando ele estiver disponível

Ótimo!

Vamos entrar em contato por e-mail se ele ficar disponível

Um laboratório por vez

Confirme para encerrar todos os laboratórios atuais e iniciar este

Use a navegação anônima para executar o laboratório

Para executar este laboratório, use o modo de navegação anônima ou uma janela anônima do navegador. Isso evita conflitos entre sua conta pessoal e a conta de estudante, o que poderia causar cobranças extras na sua conta pessoal.