Baixe o app para aproveitar ainda mais
Prévia do material em texto
ARQUITETURAS DE FIREWALL A arquitetura de um firewall é definida de acordo com as necessidades da organização, tendo tantos níveis de acesso quanto forem necessários. Descrevemos aqui diversas maneiras de reunir componentes de firewall e vamos a falar das principais características de cada arquitetura. Pode-se montar uma arquitetura eficiente utilizando técnicas de rede desmilitarizada (DMZ), os sistemas de detecção de intrusão (IDS), e muitas outras existentes no mercado. Vamos descrever aqui três arquiteturas de firewall, que são: a Dual-homed host architecture, a Screened host architecture e Screened subnet architecture. Dual-homed host architecture Esta arquitetura é formada por um computador host dual-homed, que tem pelo menos duas interfaces de rede. Um host dual-homed como firewall tem a função de roteamento desativada, ou seja, os pacotes da rede interna protegida não são encaminhados diretamente à uma rede externa ou vice-versa, mas podem se comunicar como o host dual-homed, que separam as redes e para que haja comunicação entre a rede interna e externa é necessário a intermediação de um proxy. A arquitetura de rede para um firewall de host dual-homed que fica situado entre a internet e uma rede interna é bem simples conforme mostra abaixo. Um host dual-homed pode fornecer serviços apenas através de proxies, uma vez que ele não realiza qualquer tipo de roteamento, ou fazendo os usuários se conectarem diretamente ao host o que também não é muito aconselhável do ponto de vista da segurança, ou mesmo inconveniente para os usuários. O uso de host dual-homed pode fornecer um nível alto de controle, entretanto a desvantagem clara desta arquitetura é que ele passa a ser o único ponto de falha, logo a segurança deste host deve ser absolutamente impecável. O uso apropriado dessa arquitetura é indicado para algumas das situações abaixo: O tráfego para a Internet é pequeno. O tráfego para a Internet não é crítico para os negócios. Nenhum serviço está sendo oferecido a usuários baseados na Internet. A rede que está sendo protegida não contém dados extremamente valiosos. Screened host architecture Na arquitetura screened host ou host com triagem, as conexões podem ser abertas da rede interna para Internet, bem como as conexões externas podem ser abertas para a rede interna de forma controlada exclusivamente para os bastion hosts (como exemplo podemos permitir conexões para o servidor web). A filtragem de pacotes acontece no firewall, também chamado de roteador de triagem, que permite apenas certos tipos de conexões, como consultas ao DNS de Internet. Um exemplo desta arquitetura é ilustrada na figura abaixo. O bastion host deve manter um alto nível de segurança, nele esta justamente o ponto de falha desta arquitetura, caso o bastion host seja invadido, o atacante já estará dentro da rede. Outro problema é o ponto único de acesso que aumenta a probabilidade de parada total da rede. O uso apropriado desta arquitetura é quando: Poucas conexões estão vindo da Internet. Não é uma arquitetura apropriada se o host de triagem é um servidor web público. A rede que está sendo protegida tem um nível relativamente alto de segurança de host. Screened subnet architecture A screened subnet architecture, também conhecida como arquitetura de sub-rede com triagem, adiciona uma nova rede de perímetro, como mostra a Figura abaixo, que isola ainda mais a rede interna da Internet, mais especificamente os bastion hosts, que são máquinas vulneráveis na rede, ainda que haja os melhores esforços para protegê-los. Nesta arquitetura é possível notar a presença de um ou mais filtro de pacotes, um para a rede interna e o outro para a rede externa, além dos bastion hosts. É muito comum encontrar roteadores de triagem com várias placas de rede. Nesse caso o bastion host fica confinado em uma área conhecida como Zona desmilitarizada (DMZ) aumentando o nível de segurança, uma vez que, para ter acesso à rede interna o atacante terá que passar por dois processos de filtragem. Vejamos outro possível uso desta arquitetura, conforme a ilustração da figura abaixo. É preciso ficar bem atento na definição dos firewalls, pois qualquer falha pode resultar em uma falsa sensação de segurança. O firewall externo deve permitir que usuários externos tenham acesso apenas aos serviços disponibilizado na DMZ, e o firewall interno deve permitir requisições e respostas apenas aos usuários da rede interna. Existem outras variações possíveis sobre essas arquiteturas, e uma flexibilidade no modo como você pode configurar e combinar componentes de firewall para melhor atender as necessidades e orçamento da política de segurança a ser adotada. Firewalls pessoais O tópico sobre arquiteturas mostra as opções de configuração de firewalls em redes. Mas, como você provavelmente sabe, há firewalls mais simples destinados a proteger o seu computador, seja ele um desktop, um laptop, um tablet, enfim. São os firewalls pessoais (ou domésticos), que DEVEM ser utilizados por qualquer pessoa. Felizmente, sistemas operacionais atuais para uso doméstico ou em escritório costumam conter firewall interno por padrão, como é o caso de distribuições Linux, do Windows 8 ou do Mac OS X. Além disso, é comum desenvolvedores de antivírus oferecerem outras opções de proteção junto ao software, entre elas, um firewall. Mas, para quem procura uma solução mais eficiente e que permita vários tipos de ajustes, é possível encontrar inúmeras opções, muitas delas gratuitas. Usuários de Windows, por exemplo, podem contar com o ZoneAlarm, com o Comodo, entre outros. Independente de qual seja o seu sistema operacional, vale a pena pesquisar por uma opção que possa atender às suas necessidades. Firewall de hardware Já foi mencionado neste texto o fato de um firewall poder ser uma solução de software ou hardware. Esta informação não está incorreta, mas é necessário um complemento: o hardware nada mais é do que um equipamento com um software de firewall instalado. É possível encontrar, por exemplo, roteadores ou equipamentos semelhantes a estes que exercem a função em questão função. Neste caso, o objetivo normalmente é o de proteger uma rede com tráfego considerável ou com dados muito importantes. Um firewall Netgear modelo FVS318 A vantagem de um firewall de hardware é que o equipamento, por ser desenvolvido especificamente para este fim, é preparado para lidar com grandes volumes de dados e não está sujeito a vulnerabilidades que eventualmente podem ser encontrados em um servidor convencional (por conta de uma falha em outro software, por exemplo). Limitações dos firewalls Lendo este texto, você já deve ter observado que os firewalls têm lá suas limitações, sendo que estas variam conforme o tipo de solução e a arquitetura utilizada. De fato, firewalls são recursos de segurança bastante importantes, mas não são perfeitos em todos os sentidos. Resumindo este aspecto, podemos mencionar as seguintes limitações: Um firewall pode oferecer a segurança desejada, mas comprometer o desempenho da rede (ou mesmo de um computador). Esta situação pode gerar mais gastos para uma ampliação de infraestrutura capaz de superar o problema; A verificação de políticas tem que ser revista periodicamente para não prejudicar o funcionamento de novos serviços; Novos serviços ou protocolos podem não ser devidamente tratados por proxies já implementados; Um firewall pode não ser capaz de impedir uma atividade maliciosa que se origina e se destina à rede interna; Um firewall pode não ser capaz de identificaruma atividade maliciosa que acontece por descuido do usuário - quando este acessa um site falso de um banco ao clicar em um link de uma mensagem de e-mail, por exemplo; Firewalls precisam ser "vigiados". Malwares ou atacantes experientes podem tentar descobrir ou explorar brechas de segurança em soluções do tipo; Um firewall não pode interceptar uma conexão que não passa por ele. Se, por exemplo, um usuário acessar a internet em seu computador a partir de uma conexão 3G (justamente para burlar as restrições da rede, talvez), o firewall não conseguirá interferir.
Compartilhar