Firewalls: Definição e Tipos

Prévia do material em texto

Firewalls 
 
 
 
1. Definição de firewall 
 
 
Firewall é uma solução de segurança baseada em hardware ou software que, a 
partir de um conjunto de regras ou instruções, analisa o tráfego de rede para 
determinar quais operações de transmissão ou recepção de dados (tráfego que sai 
e tráfego que entra na rede) podem ser executadas. 
 
 
 
2. Tipos de Firewall - Quanto à aplicação: 
 
 
2.1 Firewall Pessoal/Local: 
 
"Um aplicativo que intercepta as conexões de entrada e de saída de um computador 
e, baseando-se em regras padrão ou definidas pelo usuário, decide quais destas 
conexões podem ser aceitas e quais devem ser recusadas." 
 
Os personal firewalls, também denominados de Desktop Firewalls, não devem ser 
encarados como a solução para todos os problemas de segurança e, sim, como 
uma fonte adicional de proteção. 
 
2.2 Firewall de Rede 
 
Firewalls de rede são aqueles a que nós estamos mais familiarizados. Você pode 
encontrá-los em roteadores domésticos, protegendo a nossa zona confiável (rede 
doméstica) de uma zona não confiável (a internet). Em grandes organizações, há 
configurações similares, mas elas possuem firewalls adicionais para isolar diferentes 
partes de uma rede, protegendo seus ativos de rede (zonas de confiança). 
 
Esses firewalls são projetados para analisar as tentativas de conexão de rede para 
várias portas de rede, bem como analisar os pacotes de entrada e suas metadados 
associadas. Com base em regras, o firewall determina o que é e o que não é 
permitido no ambiente que eles estão protegendo. 
 
 
2.3 Firewal de Aplicação (proxy service) 
 
Firewalls de aplicação possuem o design similar aos firewalls locais e de rede. Eles 
são tecnologias complementares para as instalações de segurança existentes. 
Firewalls de aplicação vão além dos metadados dos pacotes que estão sendo 
transferidos ao nível da rede e focam-se na transferência dos dados reais. Eles são 
projetados para compreender o tipo de dado permitido dentro de protocolos 
específicos (SMTP ou HTTP). Existem firewalls específicos para diferentes 
aplicações, como e-mail ou firewalls de sites. 
 
 
3 Tipos de Firewall - Quanto ao funcionamento: 
 
 
3.1 Filtragem de pacotes 
 
O trabalho de um firewall pode ser realizado de várias formas. O que define uma 
metodologia ou outra são fatores como critérios do desenvolvedor, necessidades 
específicas do que será protegido, características do sistema operacional que o 
mantém, estrutura da rede e assim por diante. É por isso que podemos encontrar 
mais de um tipo de firewall. A seguir, os mais conhecidos. 
 
Filtragem de pacotes (packet filtering) 
 
As primeiras soluções de firewall surgiram na década de 1980 baseando-se em 
filtragem de pacotesde dados (packet filtering), uma metodologia mais simples e, 
por isso, mais limitada, embora ofereça um nível de segurança significativo. 
 
Para compreender, é importante saber que cada pacote possui um cabeçalho com 
diversas informações a seu respeito, como endereço IP de origem, endereço IP do 
destino, tipo de serviço, tamanho, entre outros. O Firewall então analisa estas 
informações de acordo com as regras estabelecidas para liberar ou não o pacote 
(seja para sair ou para entrar na máquina/rede), podendo também executar alguma 
tarefa relacionada, como registrar o acesso (ou tentativa de) em um arquivo de log. 
 
 
A transmissão dos dados é feita com base no padrão TCP/IP (Transmission Control 
Protocol/Internet Protocol), que é organizado em camadas, como explica este texto 
sobre endereços IP. A filtragem normalmente se limita às camadas de rede e de 
transporte: a primeira é onde ocorre o endereçamento dos equipamentos que fazem 
parte da rede e processos de roteamento, por exemplo; a segunda é onde estão os 
protocolos que permitem o tráfego de dados, como o TCP e o UDP (User Datagram 
Protocol). 
 
Com base nisso, um firewall de filtragem pode ter, por exemplo, uma regra que 
permita todo o tráfego da rede local que utilize a porta UDP 123, assim como ter 
uma política que bloqueia qualquer acesso da rede local por meio da porta TCP 25. 
 
 
 
3.2 Filtragem de pacotes com Inspeção de Estado 
 
Tido por alguns especialistas no assunto como uma evolução dos filtros dinâmicos, 
os firewalls deinspeção de estado (stateful inspection) trabalham fazendo uma 
espécie de comparação entre o que está acontecendo e o que é esperado para 
acontecer. 
 
Para tanto, firewalls de inspeção analisam todo o tráfego de dados para encontrar 
estados, isto é, padrões aceitáveis por suas regras e que, a princípio, serão usados 
para manter a comunicação. Estas informações são então mantidas pelo firewall e 
usadas como parâmetro para o tráfego subsequente. 
 
Para entender melhor, suponha que um aplicativo iniciou um acesso para 
transferência de arquivos entre um cliente e um servidor. Os pacotes de dados 
iniciais informam quais portas TCP serão usadas para esta tarefas. Se de repente o 
tráfego começar a fluir por uma porta não mencionada, o firewall pode então 
detectar esta ocorrência como uma anormalidade e efetuar o bloqueio. 
 
Atualmente conhecido como o firewall tradicional, um firewall com inspeção de 
estado permite ou bloqueia tráfego de acordo com o estado, a porta e o protocolo. 
Ele monitora toda atividade desde o momento em que uma conexão é aberta até 
que ela seja fechada. As decisões de filtragem são tomadas de acordo com as 
regras definidas pelo administrador e com o contexto, o que significa o uso de 
informações de conexões e pacotes anteriores que pertencem à mesma conexão. 
 
 
 
 
 
3.3 Firewall de Gerenciamento unificado de ameaças (UTM) e NGFW 
 
Firewall de Gerenciamento unificado de ameaças (UTM) 
 
Normalmente, um dispositivo UTM combina, de maneira flexível, as funções de um 
firewall com inspeção de estado e prevenção contra intrusões e antivírus. Ele 
também pode incluir serviços adicionais e, às vezes, gerenciamento em nuvem. O 
UTM concentra-se em simplicidade e facilidade de uso. 
 
Firewall de próxima geração (NGFW) 
 
Os firewalls evoluíram para além da simples filtragem de pacotes e inspeção 
stateful. A maioria das empresas está implantando firewall de próxima geração para 
bloquear ameaças modernas, como malware avançado e ataques na camada da 
aplicação. 
 
De acordo com a definição do Gartner, Inc., um firewall de próxima geração deve 
incluir: 
● Recursos padrão de firewall, como inspeção stateful 
● Prevenção de invasão integrada 
● Reconhecimento e controle da aplicação para detectar e bloquear 
aplicativos nocivos 
● Atualização de caminhos para incluir feeds futuros de informação 
● Técnicas para lidar com as ameaças à segurança em evolução 
● Embora esses recursos estejam se tornando cada vez mais a norma 
para a maioria das empresas, os NGFWs podem fazer mais. 
 
 
4. Arquiteturas de Firewall: 
 
4.1 Arquitetura Dual-Homed Host / Screening Router 
 
 
 
 
É a arquitetura mais simples utilizada, caracteriza-se pela presença de um roteador 
de filtro de pacotes entre a rede interna e a internet. Nessa arquitetura existe 
comunicação direta entre múltiplos servidores internos e múltiplos servidores 
externos. A sua zona de risco é proporcional ao número de servidores na rede 
interna e os tipos de serviço de tráfego permitidos pelo roteador. Para cada tipo de 
serviço permitido a zona de risco aumenta consideravelmente. Controle de danos é 
igualmente difícil, já que o administrador da rede teria que verificar cada servidor a 
procura de traços de invasão regularmente. No caso de destruiçãodo firewall tende 
a ficar muito complicado rastrear ou até mesmo notar a invasão. Já a facilidade de 
uso entretando é bem alta, já que o usuário pode acessar diretamente os serviços 
da internet. Essa configuração é um caso de "Aquilo que não é expressamente 
proibido é permitido". 
 
 
4.2 Screened Host 
 
 
 
 
Em geral, arquiteturas desse tipo são altamente seguras. porém não muito simples 
de se implementar. Tipicamente, configura-se um servidor principal com segurança 
reforçada, sendo ele o único ponto de comunicação entre a rede interna e a internet, 
esse servidor é chamado de Bastion Host. Entre o Bastion Host e a internet, utiliza-
se a arquitetura do Screening router. A zona de risco é restrita somente ao Bastion 
Host e o roteador. A estância básica dos Screened Hosts é determinada pelo 
software utilizado no Bastion Host. 
 
 
 
 
 
 
 
4.3 Screened Subnet 
 
 
 
 
 
É considerada a mais segura, pois adiciona uma nova camada de segurança à 
arquitetura Screened Host. Baseia-se na criação de uma sub-rede, geralmente 
chamada de Perimiter Network ou DMZ (Demilitarized Zone), que isola a rede 
interna da externa, sendo ela a responsável por toda a comunicação entre as redes, 
além da criação do Bastion Host. Sendo asssim, uma Screened Subnet é formada 
por um Bastion Host isolado pela sub-rede, um roteador responsável pela 
comunicação entre a rede interna e o bastion host e outro responsável pela 
comunicação entre o bastion host e a rede externa(internet). Para invadi-lo o ataque 
teria que passar por ambos os roteadores.Sendo assim, a zona de risco é reduzida 
drasticamente. A estância básica pode variar, porém como na maioria dos casos 
necessita-se alto nível de segurança utiliza-se a estância "Aquilo que não é 
expressamente permitido é proibido".