Baixe o app para aproveitar ainda mais
Prévia do material em texto
Firewalls 1. Definição de firewall Firewall é uma solução de segurança baseada em hardware ou software que, a partir de um conjunto de regras ou instruções, analisa o tráfego de rede para determinar quais operações de transmissão ou recepção de dados (tráfego que sai e tráfego que entra na rede) podem ser executadas. 2. Tipos de Firewall - Quanto à aplicação: 2.1 Firewall Pessoal/Local: "Um aplicativo que intercepta as conexões de entrada e de saída de um computador e, baseando-se em regras padrão ou definidas pelo usuário, decide quais destas conexões podem ser aceitas e quais devem ser recusadas." Os personal firewalls, também denominados de Desktop Firewalls, não devem ser encarados como a solução para todos os problemas de segurança e, sim, como uma fonte adicional de proteção. 2.2 Firewall de Rede Firewalls de rede são aqueles a que nós estamos mais familiarizados. Você pode encontrá-los em roteadores domésticos, protegendo a nossa zona confiável (rede doméstica) de uma zona não confiável (a internet). Em grandes organizações, há configurações similares, mas elas possuem firewalls adicionais para isolar diferentes partes de uma rede, protegendo seus ativos de rede (zonas de confiança). Esses firewalls são projetados para analisar as tentativas de conexão de rede para várias portas de rede, bem como analisar os pacotes de entrada e suas metadados associadas. Com base em regras, o firewall determina o que é e o que não é permitido no ambiente que eles estão protegendo. 2.3 Firewal de Aplicação (proxy service) Firewalls de aplicação possuem o design similar aos firewalls locais e de rede. Eles são tecnologias complementares para as instalações de segurança existentes. Firewalls de aplicação vão além dos metadados dos pacotes que estão sendo transferidos ao nível da rede e focam-se na transferência dos dados reais. Eles são projetados para compreender o tipo de dado permitido dentro de protocolos específicos (SMTP ou HTTP). Existem firewalls específicos para diferentes aplicações, como e-mail ou firewalls de sites. 3 Tipos de Firewall - Quanto ao funcionamento: 3.1 Filtragem de pacotes O trabalho de um firewall pode ser realizado de várias formas. O que define uma metodologia ou outra são fatores como critérios do desenvolvedor, necessidades específicas do que será protegido, características do sistema operacional que o mantém, estrutura da rede e assim por diante. É por isso que podemos encontrar mais de um tipo de firewall. A seguir, os mais conhecidos. Filtragem de pacotes (packet filtering) As primeiras soluções de firewall surgiram na década de 1980 baseando-se em filtragem de pacotesde dados (packet filtering), uma metodologia mais simples e, por isso, mais limitada, embora ofereça um nível de segurança significativo. Para compreender, é importante saber que cada pacote possui um cabeçalho com diversas informações a seu respeito, como endereço IP de origem, endereço IP do destino, tipo de serviço, tamanho, entre outros. O Firewall então analisa estas informações de acordo com as regras estabelecidas para liberar ou não o pacote (seja para sair ou para entrar na máquina/rede), podendo também executar alguma tarefa relacionada, como registrar o acesso (ou tentativa de) em um arquivo de log. A transmissão dos dados é feita com base no padrão TCP/IP (Transmission Control Protocol/Internet Protocol), que é organizado em camadas, como explica este texto sobre endereços IP. A filtragem normalmente se limita às camadas de rede e de transporte: a primeira é onde ocorre o endereçamento dos equipamentos que fazem parte da rede e processos de roteamento, por exemplo; a segunda é onde estão os protocolos que permitem o tráfego de dados, como o TCP e o UDP (User Datagram Protocol). Com base nisso, um firewall de filtragem pode ter, por exemplo, uma regra que permita todo o tráfego da rede local que utilize a porta UDP 123, assim como ter uma política que bloqueia qualquer acesso da rede local por meio da porta TCP 25. 3.2 Filtragem de pacotes com Inspeção de Estado Tido por alguns especialistas no assunto como uma evolução dos filtros dinâmicos, os firewalls deinspeção de estado (stateful inspection) trabalham fazendo uma espécie de comparação entre o que está acontecendo e o que é esperado para acontecer. Para tanto, firewalls de inspeção analisam todo o tráfego de dados para encontrar estados, isto é, padrões aceitáveis por suas regras e que, a princípio, serão usados para manter a comunicação. Estas informações são então mantidas pelo firewall e usadas como parâmetro para o tráfego subsequente. Para entender melhor, suponha que um aplicativo iniciou um acesso para transferência de arquivos entre um cliente e um servidor. Os pacotes de dados iniciais informam quais portas TCP serão usadas para esta tarefas. Se de repente o tráfego começar a fluir por uma porta não mencionada, o firewall pode então detectar esta ocorrência como uma anormalidade e efetuar o bloqueio. Atualmente conhecido como o firewall tradicional, um firewall com inspeção de estado permite ou bloqueia tráfego de acordo com o estado, a porta e o protocolo. Ele monitora toda atividade desde o momento em que uma conexão é aberta até que ela seja fechada. As decisões de filtragem são tomadas de acordo com as regras definidas pelo administrador e com o contexto, o que significa o uso de informações de conexões e pacotes anteriores que pertencem à mesma conexão. 3.3 Firewall de Gerenciamento unificado de ameaças (UTM) e NGFW Firewall de Gerenciamento unificado de ameaças (UTM) Normalmente, um dispositivo UTM combina, de maneira flexível, as funções de um firewall com inspeção de estado e prevenção contra intrusões e antivírus. Ele também pode incluir serviços adicionais e, às vezes, gerenciamento em nuvem. O UTM concentra-se em simplicidade e facilidade de uso. Firewall de próxima geração (NGFW) Os firewalls evoluíram para além da simples filtragem de pacotes e inspeção stateful. A maioria das empresas está implantando firewall de próxima geração para bloquear ameaças modernas, como malware avançado e ataques na camada da aplicação. De acordo com a definição do Gartner, Inc., um firewall de próxima geração deve incluir: ● Recursos padrão de firewall, como inspeção stateful ● Prevenção de invasão integrada ● Reconhecimento e controle da aplicação para detectar e bloquear aplicativos nocivos ● Atualização de caminhos para incluir feeds futuros de informação ● Técnicas para lidar com as ameaças à segurança em evolução ● Embora esses recursos estejam se tornando cada vez mais a norma para a maioria das empresas, os NGFWs podem fazer mais. 4. Arquiteturas de Firewall: 4.1 Arquitetura Dual-Homed Host / Screening Router É a arquitetura mais simples utilizada, caracteriza-se pela presença de um roteador de filtro de pacotes entre a rede interna e a internet. Nessa arquitetura existe comunicação direta entre múltiplos servidores internos e múltiplos servidores externos. A sua zona de risco é proporcional ao número de servidores na rede interna e os tipos de serviço de tráfego permitidos pelo roteador. Para cada tipo de serviço permitido a zona de risco aumenta consideravelmente. Controle de danos é igualmente difícil, já que o administrador da rede teria que verificar cada servidor a procura de traços de invasão regularmente. No caso de destruiçãodo firewall tende a ficar muito complicado rastrear ou até mesmo notar a invasão. Já a facilidade de uso entretando é bem alta, já que o usuário pode acessar diretamente os serviços da internet. Essa configuração é um caso de "Aquilo que não é expressamente proibido é permitido". 4.2 Screened Host Em geral, arquiteturas desse tipo são altamente seguras. porém não muito simples de se implementar. Tipicamente, configura-se um servidor principal com segurança reforçada, sendo ele o único ponto de comunicação entre a rede interna e a internet, esse servidor é chamado de Bastion Host. Entre o Bastion Host e a internet, utiliza- se a arquitetura do Screening router. A zona de risco é restrita somente ao Bastion Host e o roteador. A estância básica dos Screened Hosts é determinada pelo software utilizado no Bastion Host. 4.3 Screened Subnet É considerada a mais segura, pois adiciona uma nova camada de segurança à arquitetura Screened Host. Baseia-se na criação de uma sub-rede, geralmente chamada de Perimiter Network ou DMZ (Demilitarized Zone), que isola a rede interna da externa, sendo ela a responsável por toda a comunicação entre as redes, além da criação do Bastion Host. Sendo asssim, uma Screened Subnet é formada por um Bastion Host isolado pela sub-rede, um roteador responsável pela comunicação entre a rede interna e o bastion host e outro responsável pela comunicação entre o bastion host e a rede externa(internet). Para invadi-lo o ataque teria que passar por ambos os roteadores.Sendo assim, a zona de risco é reduzida drasticamente. A estância básica pode variar, porém como na maioria dos casos necessita-se alto nível de segurança utiliza-se a estância "Aquilo que não é expressamente permitido é proibido".
Compartilhar