Liberando acesso para redes internas

Como expor temporariamente um ativo privado para nossos pentesters.

Para testarmos um ativo que está em rede privada, nossos IPs precisam alcançar esse ativo. Este guia explica as 4 formas mais comuns de liberar acesso e quando usar cada uma.

Onde encontrar os IPs da HackerSec: por segurança, mantemos os IPs atualizados disponíveis apenas para clientes autenticados. Faça login na plataforma e acesse Configurações da empresa › aba Rede e Firewall — lá você encontra os IPs com botão de copiar.

Opção 1: Publicar pelo seu load balancer ou CDN

A forma mais prática para quem já tem um load balancer, CDN ou reverse proxy na frente das aplicações. Você publica um endereço temporário de homologação nesse ingress que já existe e restringe o acesso apenas aos IPs da HackerSec, sem mexer no firewall de borda e sem subir nenhum servidor novo.

Quando usar

Você já opera um load balancer, CDN ou reverse proxy (AWS ALB/ELB, Cloudflare, Azure Front Door, CloudFront, nginx, Traefik).
Quer reaproveitar a infraestrutura que já tem, sem tocar no firewall de perímetro nem subir servidor novo.
O alvo é uma aplicação web ou API de homologação.

O que fazer

Pegue os IPs da HackerSec em Configurações da empresa › aba Rede e Firewall (após login).
Crie um hostname temporário e não-óbvio (ex.: pentest-a9f3.suaempresa.com) no seu load balancer/CDN apontando para a aplicação interna de homologação.
Restrinja a origem apenas aos IPs da HackerSec (Security Group, NSG, regra de WAF ou IP allowlist do CDN), em IPv4 e IPv6.
Configure um Skip / Bypass das regras de conteúdo do WAF (SQLi, XSS, RCE, bot detection, rate limiting) para os IPs da HackerSec durante o teste.
Envie a URL gerada no campo de credenciais do teste.

Tempo típico de setup: 30 minutos a 1 hora.

Endureça o acesso

Como o endereço fica público durante a janela do teste, recomendamos combinar o allowlist de IP com: um hostname não-adivinhável, um segredo por teste (token em header ou mTLS que validamos no ingress) e prazo curto. Remova a regra ao final do teste para revogar o acesso imediatamente.

Opção 2: Liberar nossos IPs no firewall

A forma mais direta. Você adiciona os IPs da HackerSec na regra do firewall que protege o ativo, e nosso time acessa o endpoint normalmente.

Quando usar

O ativo já tem um IP público ou URL que pode ser filtrada no firewall.
Você tem acesso para adicionar regras no firewall (on-premises, Cloudflare WAF, AWS security group, Azure NSG, etc.).
Não há restrição de compliance impedindo expor endpoints.

O que fazer

Pegue os IPs da HackerSec em Configurações da empresa › aba Rede e Firewall (após login).
Acesse a configuração do firewall que protege o ativo.
Libere ambos os IPs (IPv4 e IPv6) no firewall. Sistemas modernos usam dual-stack, e a request pode chegar via qualquer um dos dois.
Adicione uma regra permitindo tráfego apenas desses IPs (inbound, HTTPS ou a porta específica do serviço).
Opcional: adicione autenticação extra (mTLS, token no header, WAF rule) se o ativo for sensível.
Envie a URL do ativo no campo de credenciais do teste.

Tempo típico de setup: 1 a 4 horas, dependendo da sua infraestrutura.

⚠️ Atenção para Cloudflare e WAFs: liberar o IP não desativa regras de WAF, bot detection ou rate limiting baseadas em conteúdo. Para o pentest funcionar plenamente (incluindo testes com payloads de SQLi, XSS, RCE, etc.), configure também uma regra de Skip / Bypass desses módulos para os IPs da HackerSec durante o teste.

Após o teste

Remova a regra do firewall para revogar o acesso. Isso encerra a exposição imediatamente.

Opção 3: Bastion Host (Jump Server)

Um host dedicado e monitorado dentro da sua rede serve como ponto único de entrada. Nossos pentesters se conectam por SSH a esse bastion e, de lá, alcançam o ativo. É o padrão mais clássico para compliance porque toda a atividade passa por um ponto centralizado e auditável.

Quando usar

Sua empresa já tem política de acesso exigindo jump server (ISO 27001 controle A.9, SOC 2, PCI DSS 8.2, LGPD/HIPAA).
O time de segurança interna precisa de trilha completa de auditoria (session recording, comandos executados, arquivos transferidos).
Você prefere credenciais temporárias (usuário criado só para o pentest) em vez de liberar IPs externos direto ao ativo.
O ativo está em VPC/subnet privada sem saída para a internet (Cloudflare Tunnel não se aplica).
É a forma mais completa quando o teste precisa alcançar a rede interna inteira (vários hosts, Active Directory), não apenas uma aplicação.

O que fazer

Suba (ou use um existente) um bastion host Linux acessível via SSH, em uma subnet que consiga alcançar o ativo alvo.
Crie um usuário temporário (ex.: pentest-hackersec) com chave SSH pública que nós vamos te enviar.
Pegue os IPs da HackerSec em Configurações da empresa › aba Rede e Firewall (após login) e libere apenas esses IPs no firewall do bastion, na porta 22.
Envie o endereço do bastion, usuário e porta no campo de credenciais do teste. Se exigir 2FA por TOTP, inclua a semente.
Recomendado: habilite session recording (auditd, tlog-rec-session ou ferramentas como Teleport, JumpCloud, AWS Systems Manager Session Manager) para auditoria completa.

Tempo típico de setup: 2 a 6 horas, dependendo se o bastion já existe.

Vantagens

Padrão aceito em todos os frameworks de compliance. Já deve fazer parte da sua política interna.
Auditoria granular: tudo que o pentester fizer no bastion fica registrado.
Você controla completamente as credenciais. Basta desativar o usuário para revogar o acesso.
Funciona mesmo em ambientes air-gapped parciais, onde o ativo não pode ter conexão direta com a internet.

Após o teste

Desative o usuário pentest-hackersec ou remova a chave pública do authorized_keys. Guarde os logs de sessão por pelo menos o período exigido pelo seu compliance (geralmente 1 a 5 anos).

Opção 4: Cloudflare Tunnel

Alternativa quando não é possível alterar o firewall ou o ativo está em rede 100% privada sem IP público. Um programa da Cloudflare (cloudflared) roda dentro da sua rede e cria um túnel seguro até nós, sem abrir nenhuma porta no seu firewall.

Quando usar

Compliance restrito que proíbe expor endpoints públicos.
Rede 100% privada (o ativo não tem IP público algum).
Ativos legados que não funcionam bem atrás de reverse proxy tradicional.
Quando você quer algo rápido de montar.

O que fazer

Pegue os IPs da HackerSec em Configurações da empresa › aba Rede e Firewall (após login).
Crie uma conta gratuita na Cloudflare.
Instale o cloudflared em um host dentro da sua rede (Linux ou Windows). Veja a documentação oficial.
Rode cloudflared tunnel create pentest-hackersec e siga o wizard.
Configure Cloudflare Access com allowlist dos IPs da HackerSec.
Envie a URL gerada (ex.: https://pentest-hackersec.trycloudflare.com) no campo de credenciais do teste.

Tempo típico de setup: 30 minutos a 1 hora.

Vantagens

Grátis no plano Free da Cloudflare.
Outbound only. Nenhuma porta do seu firewall precisa ser aberta.
Aprovado pela maioria dos compliances (SOC 2, ISO 27001, PCI DSS).
Você encerra o túnel quando quiser e o acesso é revogado instantaneamente.

Credenciais de login

Liberar acesso à rede é separado de fornecer credenciais de login. No passo 2 do wizard você escolhe:

Só acesso via IP: teste Black Box autenticado pela rede, sem login específico.
Credenciais de login: usuário/senha, token, API key, etc. Teste Gray Box.

Dúvidas

Em caso de dúvidas sobre qual opção escolher ou durante o setup, fale com seu Account Manager. Ele acompanha a configuração até o teste começar.