Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança de Redes I Aula 4: Segurança com �rewalls Apresentação Vamos conhecer um pouco mais sobre os �rewalls e como podem nos ajudar na segurança das redes. Os �rewalls, muito embora estejam projetados como hardwares, também podem ser implementados como um software em um equipamento de processamento, servidor, PC etc. Veremos as possibilidades de �rewalls que temos. Veremos que esses dispositivos também dependem de processo de roteamento para funcionar. Veri�caremos que a função de �rewall pode desempenhada por equipamentos que não foram desenvolvidos para isso, mas que podem ser adaptados. Objetivos De�nir um �rewall convencional e o �rewall de camada 7; Explicar o funcionamento do �rewall no ambiente Linux; Classi�car o �rewall IPtables, o hardering de Sistema Operacional, a virtualização de �rewall e o �rewall de aplicação. O que é um �rewall? Conforme já vimos na Aula 2, um �rewall é um dispositivo que pode ser implementado em um hardware dedicado à função ou em um hardware genérico do tipo PC ou servidor. Mas um �rewall pode ser também o processo que roda em uma plataforma computacional, de conceito aberto, que roda a aplicação de segurança. Ele possui a função básica de �ltrar o tráfego recebido em suas interfaces. Quando a análise dos pacotes for feita mediante regras as estabelecidas e nele con�guradas para esta função, ele descobrirá se o tráfego é nocivo ou não. Necessariamente, não há obrigatoriedade da presença de um hardware de propósito especí�co para sua execução funcional. Ele pode executar seu sistema em uma outra plataforma computacional de cunho geral, do tipo PC ou um hardware de servidor. Esse mecanismo irá proteger uma infraestrutura de rede utilizando-se das funções de �ltrar o tráfego recebido em suas interfaces, impedindo que os dados sejam propagados indiscriminadamente. Vimos, na Aula 2, que sua presença pode e cria delimitações de região, implementando no mínimo três zonas básicas, são elas: 1 Extranet Representada pela Internet 2 Intranet Representada por uma LAN 3 DMZ Zona desmilitarizada, onde se colocam os recursos que podem ser acessados (Fonte: Rawpixel.com / Shutterstock). Zonas básicas de segurança As evoluções que os �rewalls sofreram com o passar do tempo e do avanço tecnológico não deixaram para trás os métodos utilizados nas suas primeiras gerações. Pelo contrário, eles evoluíram adicionando novos métodos e padrões pelos novos modelos de solução de segurança: Tiveram adequações às necessidades apresentadas pelas várias ondas de demanda apresentada pelo mercado de soluções. Dos chamados �rewalls, de camada 3 e 4, tradicionais, vimos, na Aula 2, as variações: 1 Filtro de pacotes 2 Filtro de pacotes com controle de estado 3 Proxy �rewall Além dos chamados �rewalls, de camada 3 e 4, veri�camos, ao longo da Aula 2, que temos os novos modelos de arquitetura denominados Firewalls de Nova Geração (NGFW) ou �rewall de camada 7. Eles também são estruturados em funcionalidades sobre recursos de hardware e softwares, dedicados ou virtualizados, atuando com suas novas implementações diretivas, diretamente sobre a camada de aplicação (camada 7, do já referido modelo OSI), mas também continuam a desenvolver as dinâmicas de segurança sobre as camadas de transporte e rede, analisando os dados contidos nos cabeçalhos de cada um dos níveis (camada 4 e camada 3, do já referido modelo OSI), observando os seu itens corriqueiros como protocolos, portas de serviço e endereçamento de rede (IP, por exemplo). Além disso, os �rewalls, devido à sua aplicação, podem ser classi�cados como: Clique nos botões para ver as informações. É um �rewall instalado na máquina ou incorporado ao Sistema Operacional, controlando o tráfego de entrada/saída somente para aquela estação. Firewall Endpoint É um �rewall que faz a ponte entre os servidores e a Internet. Firewall de Perímetro Optar por uma solução de �rewall para aplicarmos no âmbito das redes corporativas, também conhecido como �rewalls de perímetro, signi�ca darmos um importante passo rumo à questão da solução de segurança. Blindar pura e simplesmente os dados ou informações de ameaças (internas e/ou externas) é muito complicado e difícil, caso não adotemos um processo de controle visando cuidar de acesso dos funcionários, tráfego de informações, per�s de acesso, entre outros fatores. Assim, e desta forma, tratamos de segurança de maneira mais adequada, com melhoria na e�ciência a que se propõe uma solução segura. (Fonte: Dragon Images / Shutterstock). Aqui começa o papel do �rewall, que visa a disponibilização de recursos de informação, prevenindo que a rede interna, ou Intranet, seja invadida, afetada e infectada por cibercriminosos. Há, no mercado, diferentes tipos de �rewall, um para cada tipo de situação e necessidade, o que torna o peso da escolha ainda maior. Mas é assim mesmo: Devemos avaliar as demandas e as necessidades para que, com o entendimento do contexto, possamos tomar uma boa decisão dado o grande número de produtos e fabricantes. No caso do mundo corporativo, o �rewall tem sua função dedicada a agir como uma linha de frente, forjando uma barreira entre a chamada de Internet e Intranet. Trata-se, portanto, de uma solução mais robusta e que procura dar uma proteção considerável. Geralmente, as melhores soluções de �rewall corporativo estão ofertadas no mercado a nível hardware dedicado, extraindo deste todo o seu poder de processamento para desempenhar as funções de segurança. Já, quando vemos as soluções baseadas em software, estas �cam posicionadas como soluções complementares às soluções dos �rewalls em hardware. (Fonte: Rawpixel.com / Shutterstock) No �nal, o que se veri�ca é a aplicação de um arranjo de mecanismos, mistos, para alcançarmos patamares mais adequados em termos de composição técnica na arquitetura �nal. Firewall no ambiente Linux O Linux é um ambiente que tem seduzido muitos pro�ssionais da área de tecnologia, e não é de hoje. Ele se propõe a ser uma plataforma aberta, e dessa forma tem se mantido. O Linux não precisa de drivers adicionais, tirando algumas exceções, pois já contamos com muitos drivers incluídos no seu kernel (o núcleo do sistema), de tal forma que temos uma usabilidade imediata de tudo: Plugou um novo periférico, funcionou. Isso é um processo diferenciado e que ajuda muito em sua aceitação e utilização. Esse ambiente possui inúmeras soluções e dentre elas estão as ferramentas de segurança utilizadas para construção de uma camada de proteção baseada em Sistema Operacional Linux. Uma dessas ferramentas refere-se ao pacote de �rewall, que podemos instalar sobre o Linux. Firewall IPtables O nome “IPtables” faz referência à ferramenta de interface com o usuário, que permite uma comodidade no âmbito da interação deste com a referida ferramenta. Ela é intrínseca a todas as distribuições de Linux atualmente. Essa ferramenta viabiliza a construção das chamadas “Regras de �rewall” e composição dos NATs. A ferramenta IPtables dá ao administrador do ambiente Linux a capacidade de controlar o módulo chamado net�lter, que fornece ao Linux as funções de �rewall, Nat e Log dos dados que trafegam pelas interfaces de rede. Na prática, o IPtables é um nome de referência, como dito acima, a uma ferramenta de interface com o usuário, que permite uma melhor interação e controle do módulo net�lter , em que, este sim, desempenha as questões de criação de regras de segurança no ambiente. Essas funções, geralmente são aplicadas ao tráfego na forma de regras de �ltragem e de modi�cação, são chamadas de volta para cada pacote que atravessa a respectiva ferramenta dentro da pilha de rede. Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online "O chamado �rewall IPtables pode funcionar baseado no endereço, porta de origem, destino do pacote, prioridade". (MUNIZ, 2014). https://estacio.webaula.com.br/cursos/go0345/aula4.html O IPtables é declarado, usando o jargão técnico, como um tipo de �rewall que atua a nível de pacotes,tomando as decisões baseadas nos parâmetros de cada pacote tal como: Porta/endereço de origem/destino. Estado da conexão. Protocolo (TCP ou UDP, por exemplo). Exploração de outros parâmetros do pacote. “Ele funciona através da comparação de regras preestabelecidas para saber se um pacote tem ou não permissão para passar” (MUNIZ, 2014) de uma interface de entrada para uma interface de saída, da mesma forma que um �rewall convencional baseado em hardware; como vimos acima. "Em �rewalls mais restritivos, o pacote net�lter é bloqueado e registrado para que o administrador do sistema tenha conhecimento sobre o que está acontecendo em seu sistema. " (MUNIZ, 2014). Podem ser implementadas inúmeras possibilidades de controle através dos recursos de �ltragem, dando uma boa capacidade e �exibilidade na manipulação dos dados viabilizando ao administrador uma abertura considerável para sua implementação e sua customização. Atenção "O IPtables é uma ferramenta para criar e administrar regras e assim �ltrar pacotes de redes". (MUNIZ, 2014) Sintetizando, na prática, o IPtables serve para “redirecionar portas, trocar um protocolo (como ssl3 para tls1), redirecionar servidores, e serviços” (MUNIZ, 2014), pois é um agente de operação junto ao pacote de serviços net�lter. Além disso, ele viabiliza a criação de regras, conforme visto anteriormente, para que se possa “bloquear usuários na rede, bloquear serviços, de acesso por determinados IP’s, entre outros muitos serviços” (MUNIZ, 2014). De acordo com Muniz (2014), a forma mais comum de se usar o comando IPtables é: iptables [-t table] <opção> chain rule-speci�cation Entre as opções você pode escolher: -P = De�ne uma regra padrão. -A = Adiciona uma nova regra às existentes. Este tem prioridade sobre a -P. -D = Apaga uma regra. -L = Lista as regras existentes. -S = Lista as regras existentes, da forma como foram salvas pelo IPtables. -E = Renomeia uma cadeia (chain). -F = Limpa todas as regras. -I = Insere uma nova regra. -h = Exibe a ajuda. -R = Substitui uma regra. -C = Faz a checagem das regras existentes. -Z = Zera uma regra especí�ca. -N = Cria nova regra com um nome. -X = Exclui uma regra especí�ca pelo seu nome. “Cada opção tem o seu uso especí�co e uma forma de usar. Para consultar todas, basta utilizar: man iptables“ (MUNIZ, 2014), invocando o manual on-line do IPtables. Na tabela a seguir, vamos exempli�car alguns comandos comuns do IPtables: Deletar regra iptables –F Bloquear um IP iptables -A INPUT -s "192.168.254.10" -j DROP Se desejar bloquear para uma interface específica, basta passar o parâmetro -i , fincando assim iptables -A INPUT -i eth0 -s "192.168.254.10" -j DROP Abrir porta para IP's específicos. Ex.: ssh iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 22 -m state -- state NEW,ESTABLISHED -j ACCEPT Balanceamento Balanceando a porta 443 entre 3 diferentes ips iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination 192.168.1.101:443 iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination 192.168.1.102:443 iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination 192.168.1.103:443 Habilitar Acesso ao mysql pela rede local iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT Bloqueando ataques DDOS iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT Redirecionando porta iptables -t nat -A PREROUTING -p tcp -d 192.168.254.136 --dport 422 -j DNAT --to 192.168.254.136:22 Fonte: Muniz, 2014. Algumas peculiaridades do �rewall IPtables Clique no botão acima. Algumas peculiaridades do �rewall IPtables Declaração das portas/endereço de origem/destino para bloqueio. Trabalha com os protocolos TCP/UDP/ICMP (e suas variantes). Opera baseado em interfaces de origem/destino na referência dos pacotes. Trabalha operando em sintonia com os serviços de proxy existentes em uma dada rede. Trabalha levando em conta o tratamento de tráfego, sendo que este �ca segmentado nas chamadas cadeias lógicas ou chain. Limita o número de linhas por regras em uma dada chain. É comprovadamente rápido, estável e seguro — características fundamentais. Implementa autocrítica como módulo para expurgo automático dos pacotes que considerar duvidosos ou malformados. Consegue interagir com módulos externos de expansividade, pois os padrões de código do �rewall assim viabilizam. Viabiliza roteamento de pacotes. Viabiliza priorização de tráfego de pacotes classi�cado para isso em função de especi�cação. Viabiliza a existência de declarações que trabalham como exceções às regras estabelecidas ou parte delas. Trabalha associado a um sistema de Syslog, personalizando alertas sobre as ações cometidas sobre o tráfego: Permissão e bloqueio. Realiza redirecionamento de portas. Trabalha com a técnica de Masquerading (maneira de utilizar uma máquina rodando Linux, com um modem e uma placa de rede, como um roteador para redes de pequeno porte). Tem em sua estrutura o suporte à SNAT (modi�cação do endereço de origem das máquinas para um único IP ou faixa de IPs). Tem em sua estrutura o suporte à DNAT (modi�cação do endereço de destino das máquinas para um único IP ou faixa de IPs). Possui um módulo de contabilização no qual ocorre o registro de pacotes que atravessaram uma interface/regra. Propicia limitação contra, syn �ood, ping �ood, DoS etc. (Fonte: Alexander Supertramp / Shutterstock). Hardering de Sistema Operacional Muitos servidores rodam Sistema Operacional Windows ou Linux. O administrador do ambiente precisa estar sempre veri�cando se o seu sistema está protegido ou descoberto em termos de segurança e fragilidade. Ele deve saber se alguma aplicação, de algum modo, tem alguma porta lógica (SOKET) liberada por falta de Tunning (ajuste de sistema). Baseado nessa preocupação, faz-se uso de um processo de mapeamento das ameaças, mitigando os riscos e executando atividades que visam a correção do que deve e pode ser corrigido. A este conjunto de ações destinadas a preparar o ambiente para determinadas tentativas de ataques ou violação na segurança da informação dá-se o nome de hardering. Muitos elementos de rede, hardware, trazem em si o Linux como o sistema de controle da plataforma. Não é raro de se ver, inclusive em telecomunicações, vários fabricantes colocando o Linux como software de controle e gestão de seus equipamentos. Baseado nisso, a preocupação com o processo de hardering também é válida e se veri�ca como preocupação por parte das empresas desenvolvedoras de produtos para este mercado, por exemplo a Nokia com a seus elementos óticos da família PSS (8, 32, 64 etc.). Passamos a ter o processo de hardering aplicado à rede, e aqui o conceito de rede vai além de uma infraestrutura de computadores de um escritório, prédio ou mundo corporativo. Entra nas infraestruturas de comunicação de grandes operadores, por exemplo. Para entendermos um pouco mais, segue abaixo o conjunto de atividades relacionadas ao hardering: 1. Remover ou desabilitar de nomes ou logins de usuários antigos e sem uso. 2. Estabelecer limites ao software instalado àquele que se destina à função desejada do sistema. 3. Aplicar e manter os patches atualizados, tanto de Sistema Operacional quanto de aplicações. 4. Revisar e modi�car as permissões dos sistemas de arquivos, em especial no que diz respeito à escrita e à execução. 5. Reforçar a segurança do login, impondo uma política de senhas fortes. 6. Criar processo de autenticação AAA. 7. Ter mecanismos que viabilizem a rastreabilidade dos acessos. Decorrente dessas preocupações, vemos surgir pacotes de software para seremaplicados em ambiente do tipo Linux para criar o que o poderia ser uma espécie de “endurecimento do ambiente”. Um exemplo desta camada ou pacote adicional que vem sendo usado nos ambientes Linux (exemplo para ilustrar) é o software dedicado a hardering chamado Bastille. Mas o que é Bastille? Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online O pacote ou programa Bastille desenvolve o processo de hardening, bloqueando um sistema operacional e con�gurando-o proativamente para aumentar a segurança e diminuir sua suscetibilidade a comprometimentos face a eventos de sinistros cibernéticos. O Bastille viabiliza o processo de avaliação do estado atual de proteção de um sistema, relatando, item a item, cada uma das con�gurações de segurança com as quais trabalha e que se faz necessário o Tunning sobre eles. Atualmente, o Bastille suporta as distribuições Red Hat (Fedora Core, Enterprise e Numbered/Classic), SUSE, Debian, Gentoo e Mandrake, juntamente com o HP-UX. Ele também suporta o Mac OS X. A principal função do Bastille é permitir que o usuário/administrador do sistema escolha exatamente como proteger o Sistema Operacional, concedendo com isso �exibilidade ao administrador/suporte do ambiente a ser protegido. (Fonte: supercaps / Shutterstock). Atenção O Bastille possui um modo chamado "modo de proteção padrão", através do qual ele interativamente faz perguntas ao usuário, explica os tópicos dessas perguntas e cria uma política com base nas respostas do usuário: Um modo de orientação. Na sequência, o Bastille aplica a política ao sistema mediante ao que foi escolhido no passo a passo. O foco do Bastille possui outro modo denominado "modo de avaliação", no qual ele cria um relatório destinado a ensinar o usuário sobre as con�gurações de segurança disponíveis, além de informar ao usuário quais con�gurações foram reforçadas. O poder de usabilidade do Bastille ajuda seus usuários no fortalecimento dos sistemas e infraestruturas, dando feedback sobre segurança e orientando-os a fazer escolhas equilibradas e informadas, por ser esta outra faceta deste aplicativo: Uma característica educacional. O Bastille se tornou uma parte vital no universo da administração da segurança, por ser uma das ferramentas de proteção mais usadas para Linux e HP-UX (Unix), sendo fornecida pelo fornecedor no SuSE, Debian, Gentoo e HP-UX. Esse pacote de software é abordado em todos os principais livros sobre Linux Security e artigos. A publicação “Linux hardening Guide” do Center for Internet Security recomendou fortemente a empregabilidade do Bastille para que os administradores de redes e sistemas possam ter seus recursos mais bem protegidos. Comentário Temos uma solução disponível que é baseada na customização de kernel de Uunix FreeSD: O chamado PfSense, que é um Sistema Operacional de código aberto baseado em Unix FreeBSD adaptado para ser usado como um �rewall e/ou roteador, além de possuir recursos que muitas vezes só são encontrados em �rewalls comerciais caros, dando a seus usuários uma grande quantidade de funcionalidades embarcadas. Virtualização de �rewall Antes de começarmos a falar sobres virtualização de �rewall, devemos explicar o que vem a ser um processo de virtualização. Este processo está se tornando muito comum em várias empresas e vem sendo adotado em vários setores, inclusive como solução de serviço, principalmente em ambientes de nuvem (cloud). Virtualização é o processo de criar ambientes computacionais virtuais, que funcionam como abstrações do hardware. O ambiente computacional existe em uma camada diferente do hardware em si, mas se comunica com este através de um software chamado hypervisor (por exemplo, se a arquitetura da solução for usá-lo) que cria e executa as máquinas virtuais (VMs). Aqui, as aplicações serão executadas no contexto das máquinas virtuais existentes. Todo esse processo se dará sobre um hardware dedicado a este tipo de design de solução para abrigar as aplicações. Sobre esse tipo de arquitetura, consegue-se com a virtualização, a distribuição equacionada dos recursos computacionais de um ambiente eletrônico, servidor, com seus respectivos módulos (disco, memória, processador etc.), entregando ao domínio lógico da aplicação as facilidades demandas por esta. De forma independente, todas as outras aplicações residentes e virtualizadas neste mesmo ambiente físico de hardware terão sua demanda atendida, pois só podemos virtualizar se houver capacidade para tal. Este conceito e implementação não é nada novo. A IBM, nos anos 1980 já possuía o seu ambiente de mainframe com um Sistema Operacional rodando uma camada chamada VM, onde o “usuário tinha” para si um disco de sistema, uma perfuradora de cartões, uma unidade de leitora de disco, além de uma cota para armazenamento. Através da virtualização, conseguimos fragmentar um hardware em vários domínios lógicos a que chamamos de VMs ou máquinas virtuais e nelas executar aplicações individualizadas como banco de dados, servidor de e-mail, servidor de arquivos, �rewall/proxy etc. Fonte: Mknod A virtualização nos permite, como um processo, a facilidade ou a viabilidade de rodarmos Sistemas Operacionais diferentes ou iguais, sendo de versões diferentes em um mesmo ambiente físico, conforme dito acima. Além disso, podemos contar com o recurso de isolamento lógico completo entre os ambientes virtualizados. Neste método ou processo, é possível a execução de uma dada aplicação hipotética por uma máquina virtual, sendo esta ação total e completamente invisível para uma aplicação em outra máquina virtual. Com esse método temos um melhor aproveitamento do hardware dos servidores, pois estes passam a ser compartilhados com várias aplicações, evitando períodos de ociosidade: Ganha-se com isso, pois há ainda a redução de custos de energia, climatização e espaços destinados a racks. Os custos caem. Muitas vezes acontece de termos a capacidade computacional de um dado servidor, por exemplo, com baixo aproveitamento, conforme vimos anteriormente. Esse tipo de incoerência faz com que se tenha sala entupidas, literalmente, de servidores físicos, operando muito abaixo de sua capacidade máxima, fazendo com que sobre poder de computação por ambiente de hardware. Isso gera aumento de custos de vários pontos: Energia, climatização, contrato de manutenção e suporte do hardware etc. O processo da virtualização veio de encontro desse desperdício computacional, equacionando melhor a utilização do hardware. A criação de máquinas virtuais, que são cada uma um ambiente independente, com recursos dedicados às suas demandas, mas com compartilhamento funcional do mesmo hardware, colabora para melhor utilização de seus recursos. A exploração dos recursos de hardware em contexto de compartilhamento com várias aplicações deu e continua dando muito certo, e o mercado de tecnologia agradece até o presente momento. Isso entrou na moda no início dos anos 2000 e passou a ser incorporado como solução para várias demandas e ambientes. Um dos processos ou aplicação que foi virtualizada nessa linha foi o da criação de �rewalls virtualizados, os quais passaram a poder estar rodando em servidores dentro do próprio ambiente ou em soluções de computação da nuvem. (Fonte: TierneyMJ / Shutterstock). Na prática, a virtualização de um �rewall nada mais é do que o novo escopo de serviços que estão sendo vendidos, mas que já praticamos há tempo: A virtualização de uma função de rede ou a chamada NFV. As funções de rede estão sendo executadas por dispositivos de hardware e estão cada vez mais sendo virtualizadas como soluções de virtualização, o que é uma progressão natural deste processo, da virtualização, do servidor e da virtualização de rede. Funções de rede estão sendo virtualizadas numa curva de crescimento muito grande. Dentre as funções de rede virtualizadas hoje em dia, destacam-se as do campo de segurança e são elas: 1 Firewall 2 Antivírus 3 DDoS (negação de serviço em distribuído) 4 IPS/IDS (sistema de detecçãode intrusão/sistema de prevenção contra intrusão) Firewall de aplicação ou FWNG Hoje em dia, temos que ganhar nos processos de instalação de aplicações e para obtermos esses ganhos e minimizar as limitações, criou-se um novo formato para as aplicações que passaram a utilizar largamente o protocolo HTTP, dentro das características de interface web. As aplicações ganharam várias funções baseadas neste tipo de solução. Baseada nisso, também surgiu a necessidade de veri�cações de segurança a nível das aplicações circulantes e, com isso, originaram-se a técnica e o conceito de inspeção e análise dos pacotes na camada de aplicação (camada 7 do já mencionado modelo OSI). Sobre esta prática, consegue-se identi�car a ocorrência de padrões ou comportamentos que sugerem ataques. São feitas análises não apenas nos cabeçalhos, mas também a nível dos campos de informações ou dados, contidos nos pacotes. Os ganhos são muito expressivos, indo além da rastreabilidade e da visibilidade, mas possibilitando a criação de um novo universo de regras que considera controles baseados no tipo de aplicação. Exemplo Uma dada aplicação X utiliza-se do protocolo https, sendo que com o �rewall de aplicação agora se consegue perceber, o local de destino saindo dos parâmetros básico de até então (IP, protocolo, porta de serviço — https), mas agora indo no nível de se saber que produto está usando o protocolo, se é o Dropbox, ou Spotify, ou Net�ix, ou YouTube etc. Na fase anterior fazia-se necessário o mapeamento das redes (IP) e portas (sokets) que os serviços utilizavam, mas, em muitos e muitos casos, esse processo ou procedimento se mostrava ine�ciente. Na fase atual, da rede ou dos sokets, os �rewalls ditos de aplicação possibilitarão uma análise sobre padrões de comportamentos de uma dada aplicação e, em função disso, serão criados �ltros para esta aplicabilidade. É um processo muito vantajoso em relação ao que se ganha com essa inovação. Com essa nova arquitetura, consegue-se obter mais e melhores condições para atribuir altos ganhos nas questões de segurança, melhorando o desempenho das rotinas de gerenciamento prático estabelecidas para este �m: Security. Os ganhos são muitos com esse tipo de �rewall e cito monitoramento de uso de aplicativos na dinâmica de troca de arquivos via torrentes, por exemplo, livros, música. Esse tipo de dinâmica causa muito prejuízo para as empresas, pois os acessos saem de seus domínios, por conta dos abusos da usabilidade feita por funcionários. Com essa nova prática, evita-se que se possa fazer uso de certos aplicativos, que vão escondidos dentro de aplicações. Um novo universo sobre controles e permissões se abre devido à capacidade de usabilidade desses novos mecanismos. Os administradores passam a criar regras de segurança que vão além dos parâmetros de crítica convencionais, chegando às críticas de aplicações, mas, sobretudo, mantendo os costumeiros parâmetros de endereçamentos, protocolo e sokets. / (Fonte: Den Rise / Shutterstock). Deve �car claro que esse novo modelo de arquitetura de solução de segurança, usando �rewalls de camada 7, tem sua funcionalidade baseada e fundamentada no que pode ser feito a nível de controle sobre a aplicação em questão. A aplicação precisa ser reconhecida pelo sistema de segurança de �rewall de camada 7, pois, do contrário, não se conseguirá a execução da funcionalidade esperada: Inspeção a nível de aplicação, pois não se saberá o que bloquear. A e�ciência da ferramenta depende diretamente da visibilidade que esta possui sobre o campo de informação e do reconhecimento acerca da aplicação. Sem isso, nada funcionará e o controle sobre as aplicações �cará comprometido e se tornará inexistente. Os �rewalls de camada, mais do que os seus antecessores, precisam sofrer atualizações sistemáticas, pois aplicações podem ser atualizadas e não serem mais reconhecidas por essas plataformas. Logo, o produto deve ser constantemente atualizado. A falta de atualização pode elevar muito o tempo de resposta frente às mudanças ocorridas nas aplicações. Atividades 1. Como podemos classi�car os �rewalls de Aplicação? 2. O que é IPtables? 3. A que nível no pacote atua o �rewall IPtables tomando suas decisões? 4. No ambiente Linux, o que a técnica de Masquerading? 5. O que é hardering? 6. O que realizamos com o processo de virtualização? Notas Net�lter O net�lter é um conjunto de ferramentas, residentes no kernel do Linux, e que permite que os módulos do núcleo, especí�cos, desenvolvam suas funções de registro de retorno com a pilha de rede no kernel. Referências BR-LINUX.ORG. IP Masquerading. [S. l.]: BR-Linux.org, [20--]. Disponível em: br-linux.org/artigos/rede_ipmasq.htm. Acesso em: 16 nov. 2019. KUROSE, Jim; ROSS, Keith. Redes de computadores e a Internet: uma abordagem top-down. 6. ed. São Paulo: Pearson, 2013. MUNIZ, Vinicius. O que é Iptables, para que serve e como usar? [S. l.]: ViniciusMuniz.com, 2014. Disponível em: viniciusmuniz.com/pt/o-que-e-iptables-para-que-server-como-usar/. Acesso em: 16 nov. 2019. STALLINGS, William. Criptogra�a e segurança de redes: princípios e práticas. 6. ed. São Paulo: Pearson, 2014. Próxima aula Zonas de segurança; De�nição e funcionamento da criptogra�a; Criptogra�a nas conexões. Explore mais Pesquise na Internet sites, vídeos e artigos relacionados ao conteúdo visto. Em caso de dúvidas, converse com seu professor on-line por meio dos recursos disponíveis no ambiente de aprendizagem. javascript:void(0); javascript:void(0);
Compartilhar