arquiteturas.firewall

Prévia do material em texto

ARQUITETURAS DE FIREWALL 
A arquitetura de um firewall é definida de acordo com as necessidades da 
organização, tendo tantos níveis de acesso quanto forem necessários. Descrevemos 
aqui diversas maneiras de reunir componentes de firewall e vamos a falar 
das principais características de cada arquitetura. Pode-se montar uma arquitetura 
eficiente utilizando técnicas de rede desmilitarizada (DMZ), os sistemas de detecção 
de intrusão (IDS), e muitas outras existentes no mercado. Vamos descrever aqui 
três arquiteturas de firewall, que são: a Dual-homed host architecture, a Screened 
host architecture e Screened subnet architecture. 
Dual-homed host architecture 
Esta arquitetura é formada por um computador host dual-homed, que tem pelo 
menos duas interfaces de rede. Um host dual-homed como firewall tem a função de 
roteamento desativada, ou seja, os pacotes da rede interna protegida não são 
encaminhados diretamente à uma rede externa ou vice-versa, mas podem se 
comunicar como o host dual-homed, que separam as redes e para que haja 
comunicação entre a rede interna e externa é necessário a intermediação de um 
proxy. 
 
 
A arquitetura de rede para um firewall de host dual-homed que fica situado entre a 
internet e uma rede interna é bem simples conforme mostra abaixo. 
 
 
 
 
Um host dual-homed pode fornecer serviços apenas através de proxies, uma vez 
que ele não realiza qualquer tipo de roteamento, ou fazendo os usuários se 
conectarem diretamente ao host o que também não é muito aconselhável do ponto 
de vista da segurança, ou mesmo inconveniente para os usuários. 
 
O uso de host dual-homed pode fornecer um nível alto de controle, entretanto a 
desvantagem clara desta arquitetura é que ele passa a ser o único ponto de falha, 
logo a segurança deste host deve ser absolutamente impecável. 
 
O uso apropriado dessa arquitetura é indicado para algumas das situações abaixo: 
 
 O tráfego para a Internet é pequeno. 
 O tráfego para a Internet não é crítico para os negócios. 
 Nenhum serviço está sendo oferecido a usuários baseados na Internet. 
 A rede que está sendo protegida não contém dados extremamente valiosos. 
 
 
Screened host architecture 
Na arquitetura screened host ou host com triagem, as conexões podem ser abertas 
da rede interna para Internet, bem como as conexões externas podem ser abertas 
para a rede interna de forma controlada exclusivamente para os bastion hosts (como 
exemplo podemos permitir conexões para o servidor web). A filtragem de pacotes 
acontece no firewall, também chamado de roteador de triagem, que permite apenas 
certos tipos de conexões, como consultas ao DNS de Internet. Um exemplo desta 
arquitetura é ilustrada na figura abaixo. 
 
 
 
 
 
O bastion host deve manter um alto nível de segurança, nele esta justamente o 
ponto de falha desta arquitetura, caso o bastion host seja invadido, o atacante já 
estará dentro da rede. Outro problema é o ponto único de acesso que aumenta a 
probabilidade de parada total da rede. O uso apropriado desta arquitetura é quando: 
 
 Poucas conexões estão vindo da Internet. Não é uma arquitetura apropriada 
se o host de triagem é um servidor web público. 
 A rede que está sendo protegida tem um nível relativamente alto de 
segurança de host. 
 
 
 
 
 
Screened subnet architecture 
A screened subnet architecture, também conhecida como arquitetura de sub-rede 
com triagem, adiciona uma nova rede de perímetro, como mostra a Figura abaixo, 
que isola ainda mais a rede interna da Internet, mais especificamente os bastion 
hosts, que são máquinas vulneráveis na rede, ainda que haja os melhores esforços 
para protegê-los. 
 
 
 
 
 
Nesta arquitetura é possível notar a presença de um ou mais filtro de pacotes, um 
para a rede interna e o outro para a rede externa, além dos bastion hosts. É muito 
comum encontrar roteadores de triagem com várias placas de rede. Nesse caso o 
bastion host fica confinado em uma área conhecida como Zona desmilitarizada 
(DMZ) aumentando o nível de segurança, uma vez que, para ter acesso à rede 
interna o atacante terá que passar por dois processos de filtragem. Vejamos outro 
possível uso desta arquitetura, conforme a ilustração da figura abaixo. 
 
 
 
 
 
 
É preciso ficar bem atento na definição dos firewalls, pois qualquer falha pode 
resultar em uma falsa sensação de segurança. O firewall externo deve permitir que 
usuários externos tenham acesso apenas aos serviços disponibilizado na DMZ, e o 
firewall interno deve permitir requisições e respostas apenas aos usuários da rede 
interna. 
 
 
Existem outras variações possíveis sobre essas arquiteturas, e uma flexibilidade no 
modo como você pode configurar e combinar componentes de firewall para melhor 
atender as necessidades e orçamento da política de segurança a ser adotada. 
 
 
Firewalls pessoais 
O tópico sobre arquiteturas mostra as opções de configuração de firewalls em redes. 
Mas, como você provavelmente sabe, há firewalls mais simples destinados a 
proteger o seu computador, seja ele um desktop, um laptop, um tablet, enfim. São 
os firewalls pessoais (ou domésticos), que DEVEM ser utilizados por qualquer 
pessoa. 
Felizmente, sistemas operacionais atuais para uso doméstico ou em escritório 
costumam conter firewall interno por padrão, como é o caso de distribuições Linux, 
do Windows 8 ou do Mac OS X. Além disso, é comum desenvolvedores de antivírus 
oferecerem outras opções de proteção junto ao software, entre elas, um firewall. 
Mas, para quem procura uma solução mais eficiente e que permita vários tipos de 
ajustes, é possível encontrar inúmeras opções, muitas delas gratuitas. Usuários de 
Windows, por exemplo, podem contar com o ZoneAlarm, com o Comodo, entre 
outros. 
Independente de qual seja o seu sistema operacional, vale a pena pesquisar por 
uma opção que possa atender às suas necessidades. 
 
 
 
Firewall de hardware 
Já foi mencionado neste texto o fato de um firewall poder ser uma solução de 
software ou hardware. Esta informação não está incorreta, mas é necessário um 
complemento: o hardware nada mais é do que um equipamento com um software 
de firewall instalado. 
É possível encontrar, por exemplo, roteadores ou equipamentos semelhantes a estes 
que exercem a função em questão função. Neste caso, o objetivo normalmente é o 
de proteger uma rede com tráfego considerável ou com dados muito importantes. 
 
Um firewall Netgear modelo FVS318 
A vantagem de um firewall de hardware é que o equipamento, por ser desenvolvido 
especificamente para este fim, é preparado para lidar com grandes volumes de 
dados e não está sujeito a vulnerabilidades que eventualmente podem ser 
encontrados em um servidor convencional (por conta de uma falha em outro 
software, por exemplo). 
 
Limitações dos firewalls 
Lendo este texto, você já deve ter observado que os firewalls têm lá suas limitações, 
sendo que estas variam conforme o tipo de solução e a arquitetura utilizada. De 
fato, firewalls são recursos de segurança bastante importantes, mas não são 
perfeitos em todos os sentidos. 
Resumindo este aspecto, podemos mencionar as seguintes limitações: 
 Um firewall pode oferecer a segurança desejada, mas comprometer o 
desempenho da rede (ou mesmo de um computador). Esta situação pode 
gerar mais gastos para uma ampliação de infraestrutura capaz de superar o 
problema; 
 A verificação de políticas tem que ser revista periodicamente para não 
prejudicar o funcionamento de novos serviços; 
 Novos serviços ou protocolos podem não ser devidamente tratados por 
proxies já implementados; 
 Um firewall pode não ser capaz de impedir uma atividade maliciosa que se 
origina e se destina à rede interna; 
 Um firewall pode não ser capaz de identificaruma atividade maliciosa que 
acontece por descuido do usuário - quando este acessa um site falso de um 
banco ao clicar em um link de uma mensagem de e-mail, por exemplo; 
 Firewalls precisam ser "vigiados". Malwares ou atacantes experientes podem 
tentar descobrir ou explorar brechas de segurança em soluções do tipo; 
 Um firewall não pode interceptar uma conexão que não passa por ele. Se, 
por exemplo, um usuário acessar a internet em seu computador a partir de 
uma conexão 3G (justamente para burlar as restrições da rede, talvez), o 
firewall não conseguirá interferir.