RemoteApp

Visão Geral

A seção RemoteApp do PAM F-Safer concentra as configurações de infraestrutura necessárias para o funcionamento do acesso remoto controlado. É nela que o administrador define as políticas de portas TCP utilizadas pelos protocolos suportados (HTTP, HTTPS, SSH, RDP, VNC e bancos de dados), as regras de origem IP que determinam qual política de portas se aplica a cada ativo, e o cadastro das máquinas e aplicações de acesso virtual disponíveis para os usuários.

Essa área é essencial em implantações enterprise pois permite segmentar o tráfego de acesso privilegiado por ativo ou grupo de ativos, aplicando diferentes políticas de rede conforme as exigências de segmentação, firewall e conformidade. A correta configuração das portas e regras de origem garante que o F-Safer consiga intermediar as conexões sem necessidade de expor diretamente os ativos à rede corporativa.

TCP Ports (Portas TCP)

As políticas de portas TCP definem em quais portas o componente Panda (proxy de conexão) ouvirá para cada protocolo de acesso. Cada política é nomeada e pode ser associada a ativos específicos por meio das regras de origem IP. O sistema suporta uma política padrão (Default) e múltiplas políticas customizadas.

Campos de Configuração

Name — Texto. Obrigatório. Nome identificador da política de portas. Recomenda-se usar nomes descritivos que reflitam o contexto de uso, como "Produção-Web" ou "DMZ-Servidores".

Asset — Referência. Opcional. Permite vincular a política a um ativo específico. Quando não preenchido, a política se aplica de forma global, sendo selecionada com base nas regras de origem IP.

HTTP port — Inteiro. Padrão: 0 (desabilitado). Porta na qual o Panda ouvirá conexões HTTP. O valor 0 indica que o protocolo HTTP não está habilitado nessa política. Em ambientes com tráfego web legado, configura-se tipicamente a porta 80.

HTTPS port — Inteiro. Padrão: 0 (desabilitado). Porta para conexões HTTPS seguras. O valor 0 indica desabilitado; em ambientes com exigência de ciframento TLS em trânsito, utiliza-se tipicamente a porta 443. Alinhado ao controle A.10.1.1 da ISO 27001 e ao requisito 4.2.1 do PCI-DSS (transmissão de dados de titulares em redes abertas).

SSH port — Inteiro. Padrão: 2222. Porta utilizada para sessões SSH mediadas pelo Panda. A porta 2222 é utilizada por padrão para evitar conflito com o daemon SSH nativo do servidor do F-Safer. Em cenários com restricões de firewall, pode ser ajustada conforme a política de rede corporativa.

RDP port — Inteiro. Padrão: 3389. Porta para sessões de Área de Trabalho Remota (RDP). Mantém o padrão convencional do protocolo Microsoft. Em ambientes de alta segurança, recomenda-se alterar para uma porta não-padrão combinada com regras de firewall restritivas (defesa em profundidade).

VNC port — Inteiro. Padrão: 15900. Porta para sessões VNC (Virtual Network Computing), utilizada no acesso gráfico a desktops Linux e dispositivos de rede com suporte VNC. A porta 15900 evita conflito com a porta padrão VNC (5900).

MySQL port — Inteiro. Padrão: 33061. Porta para proxy de banco de dados MySQL. A porta 33061 é utilizada (em vez da padrão 3306) para evitar conflito com instâncias MySQL locais no servidor do F-Safer.

MariaDB port — Inteiro. Padrão: 33062. Porta para proxy de banco de dados MariaDB, diferenciada da porta MySQL para suportar ambientes com os dois SGBDs simultaneamente.

PostgreSQL port — Inteiro. Padrão: 54320. Porta para proxy de banco de dados PostgreSQL. A porta 54320 difere da padrão (5432) para evitar conflitos.

Redis port — Inteiro. Padrão: 63790. Porta para proxy de banco de dados Redis. A porta 63790 evita conflito com a porta padrão Redis (6379).

SQLServer port — Inteiro. Padrão: 14330. Porta para proxy de banco de dados Microsoft SQL Server. A porta padrão do SQL Server é 1433; a 14330 evita conflitos no servidor do F-Safer.

Oracle port range — Intervalo. Padrão: 30000–30030. Faixa de portas reservadas para conexões Oracle Database. O Oracle utiliza múltiplas portas dinâmicas, portanto uma faixa é necessária para acomodar conexões simultâneas. Garanta que o firewall permita todo o range definido entre o F-Safer e os ativos Oracle.

Active — Booleano. Padrão: ✓ (ativo). Indica se a política de portas está habilitada. Políticas inativas não são consideradas para seleção, mesmo que associadas a um ativo.

Description — Texto livre. Opcional. Campo para documentar o propósito da política de portas. Recomenda-se registrar o contexto de rede ao qual a política se aplica (ex.: "Política para servidores na VLAN 30 — produção financeira").

Políticas Pré-configuradas

O ambiente conta com duas políticas configuradas. A política Default é a política base do sistema, com HTTP e HTTPS desabilitados (porta 0), SSH na 2222, RDP na 3389, VNC na 15900 e todas as portas de banco de dados nos valores padrão do F-Safer. A política Politica de portas 02 é uma política customizada com HTTP na 80 e HTTPS na 443 habilitados, mantendo SSH (2222), RDP (3389), VNC (15900) e bancos de dados inalterados — indicada para ativos que necessitam acesso web além dos protocolos de terminal.

IP Source Rules (Regras de Origem IP)

As regras de origem IP vinculam uma política de portas TCP a um conjunto de IPs de ativos, permitindo que diferentes grupos de servidores utilizem políticas distintas. O mecanismo funciona da seguinte forma: quando um usuário inicia uma sessão para um ativo, o F-Safer verifica se existe uma regra ativa cujo campo "Asset IP" contemple o IP do ativo de destino; se houver, a política de portas associada à regra (campo Endpoint) é utilizada; caso contrário, a política Default é aplicada.

Campos de Configuração

Name — Texto. Obrigatório. Identificador da regra de origem.

Priority — Inteiro. Padrão: 50. Ordem de avaliação das regras quando múltiplas podem se aplicar ao mesmo ativo. Regras com valor menor têm maior prioridade e são avaliadas primeiro. Utilize valores espaçados (10, 20, 30) para facilitar a inserção futura de regras intermediárias.

Asset IP — Multi-valor. Obrigatório. Um ou mais endereços IP (ou CIDRs) dos ativos aos quais esta regra se aplica. Pressione Enter após cada entrada para adicionar múltiplos IPs. Suporta notação CIDR para cobertura de sub-redes inteiras (ex.: 192.168.30.0/24).

Endpoint — Select. Política de portas TCP a ser aplicada aos ativos cobertos pelo(s) Asset IP(s) desta regra. Selecione uma das políticas cadastradas na seção TCP Ports.

Active — Booleano. Controla se a regra está habilitada. Regras inativas são ignoradas no processo de seleção de política, permitindo desativar temporariamente uma regra sem excluí-la.

Description — Texto livre. Campo de documentação para registrar o propósito e escopo da regra.

Virtual Access Applications

A seção Virtual Access Applications gerencia o ecossistema de acesso remoto por aplicação publicada — funcionalidade que permite ao usuário abrir aplicativos específicos (navegadores, clientes de banco de dados, IDEs etc.) em máquinas servidoras remotas, com a sessão intermediada e gravada pelo F-Safer, sem necessidade de um cliente RDP ou SSH local. A seção é organizada em quatro abas.

Aba: Virtual Access Applications

Catálogo de aplicações publicadas disponíveis para acesso virtual. Cada aplicação representa um executável específico instalado nas máquinas de publicação (Virtual access machines). As aplicações são importadas via upload de pacote de definição; ao fazer upload, se a aplicação já existir, ela é atualizada; se não existir, é criada. Exemplos de aplicações típicas: Chrome Browser, DBeaver Community, Microsoft Office, Visual Studio Code.

Aba: Virtual Access Machine (VirtualApp)

Lista as máquinas servidoras onde as aplicações publicadas estão instaladas e de onde as sessões virtuais são executadas. A seleção da máquina de publicação é aleatória por padrão, priorizando a última máquina utilizada. Para fixar uma máquina específica a um ativo, é possível marcá-la com uma tag diretamente na configuração do ativo.

A lógica de seleção de conta na máquina de publicação segue a seguinte hierarquia: o sistema tenta usar a conta com o mesmo nome do usuário do F-Safer ou uma conta proprietária (iniciada com "js"); caso essas condições não sejam atendidas, uma conta pública (iniciada com "jms") é utilizada. O suporte a conexões concorrentes é determinado tanto pela configuração da aplicação quanto pela configuração da máquina de publicação (campo "single user single session").

Os campos exibidos na listagem são: Name (identificador da máquina), IP/Host (endereço da máquina de publicação), Protocols (protocolos configurados, ex.: ssh/22, rdp/3389) e Load status (estado atual da máquina: Normal ou Offline).

O ambiente conta com a máquina WINSERVER-2019 (IP: 10.0.30.99, protocolos: ssh/22 e rdp/3389, status: Normal) como servidor de publicação ativo.

Aba: Application Providers

Lista os provedores de aplicações (componentes Panda) responsáveis por fazer a entrega das sessões virtuais ao usuário final. Os provedores são identificados por Nome e Hostname, exibindo também o Load status (Normal/Offline). O ambiente conta com o provedor [Panda]-F-SAFER-TEMPLATE-HYPE (Hostname: 192.168.250.2, status: Normal), que é o componente Panda registrado automaticamente durante a implantação do F-Safer.

Boas Práticas

Segmentação por política de portas: Crie políticas distintas para diferentes segmentos de rede (DMZ, produção, desenvolvimento). Isso permite controlar precisamente quais protocolos estão habilitados para cada segmento, reduzindo a superfície de ataque. Alinhado ao controle A.13.1.3 da ISO 27001 (segregação de redes).

Desabilite protocolos não utilizados: Mantenha HTTP e HTTPS na porta 0 (desabilitado) na política Default caso o acesso web não seja necessário. Habilite apenas os protocolos efetivamente utilizados nos ativos cobertos por cada política. Reduz o vetor de ataque conforme recomendado pelo NIST SP 800-53 (CM-7 — Least Functionality).

Documente regras de origem IP: Utilize o campo Description de cada regra para registrar o segmento de rede coberto, a data de criação e o responsável pela configuração. Essa rastreabilidade é exigida por auditorias de conformidade (SOC 2, ISO 27001) e facilita a gestão de mudanças.

Alta disponibilidade para máquinas de publicação: Em ambientes críticos, cadastre múltiplas Virtual Access Machines para que o F-Safer possa alternar automaticamente entre elas em caso de falha, garantindo continuidade do serviço (ISO 27001 A.17.1 — Continuidade de segurança da informação).

Monitore o Load status dos componentes: Verifique periodicamente o status das Virtual Access Machines e Application Providers. Componentes com status Offline impedem o acesso virtual para os usuários. Integre essa verificação ao monitoramento operacional (NOC) para resposta rápida a incidentes de disponibilidade.