O Minimo que Você Precisa Saber sobre Firewall e Segurança

Administração de Redes

A internet é um vasto campo de conhecimento e conteúdo, praticamente tudo pode ser encontrado nela, inúmeros sites e blogs com exatamente o que você quer, sendo muito sedutora a vontade de sair entrando em cada um, sem se preocupar. Porém, com quase a mesma quantidade de conteúdo, existem inúmeros perigos para seu computador ou redes de computadores na internet, e uma das opções mais utilizadas, e mais importantes, para se manter seguro nela é o firewall.

Um firewall é um dispositivo que é como um porteiro de um condomínio, por exemplo, pois ele monitora o trafego de rede para permitir se uma operação de transmissão ou recepção será executada, de acordo com um conjunto de regras. Ou seja, como um porteiro, ele determina o que irá entrar e o que irá sair, de acordo com as regras estabelecidas.

Pode ser baseado tanto em Hardware quanto em Software, ou em ambos, podendo ser, fisicamente, a combinação de um computador, roteador ou um conjunto de computadores e/ou roteadores e o software apropriado.

Independente se é um Hardware ou Software, ele é muito útil para bloquear males como: tentativas de se acessar a rede interna através de um computador de uma rede externa que não são autorizados; programas que enviam dados para a internet de forma sigilosa; Malwares, que se instalam no computador através de determinada porta sem que o usuário saiba; entre diversos outros, que variam entre pequenas ameaças a ameaças que podem danificar ou até mesmo invadir sua rede de forma mais séria.

Como funciona um firewall?

Como discutido anteriormente, um firewall verifica e seleciona quais dados irão entrar na rede interna e quais irão sair para a rede externa, mas essas ações só podem ser feitas através de determinadas políticas, um conjunto de regras, que o firewall deve seguir.

De forma extrema, um firewall pode ser definido para um modo bem restritivo, em que ele é configurado para bloquear todo e qualquer conteúdo que trafega no computador ou na rede. Ao fazer isso, o firewall acaba isolando completamente o computador ou a rede, o que não é nada vantajoso.

Ter uma boa e definida política de rede é de vital importância para a segurança de sua rede, então, essas políticas serão melhores aprofundadas a seguir.

Política de Rede

Uma política de rede ideal é aquela que torna possível o equilíbrio entre as necessidades do usuário e os requerimentos de segurança.

Há dois níveis de política de rede que atuam diretamente no funcionamento do firewall, tanto em seu projeto, quanto em sua instalação e uso de sistema. O nível mais alto define o conteúdo que será permitido ou estritamente proibido, o seu funcionamento e as circunstâncias de inspeção da política. O nível mais baixo se foca em como o firewall realmente vai bloquear ou permitir os acessos definidos no nível mais alto e filtrar os serviços também definidos nele.

Na grande maioria dos casos, uma política de rede não concede acesso de uma rede externa à rede interna, somente em casos muito específicos, porém, até mesmo nesses casos, a utilização de uma autenticação avançada se faz necessária. Em contrapartida, a política para acessos da rede interna à rede externa se mostra muito mais flexível, variando em cada organização.

Autenticação Avançada

Como dito anteriormente, para conceder acesso de uma rede externa à rede interna, é necessária uma autenticação avançada, mas o que seria isso e para que servem?

Como o próprio nome sugere, as autenticações avançadas foram criadas para resolver problemas de invasão, muito frequentes e decorrem da facilidade de descobrimento das senhas de acesso de áreas restritas de determinados sites. Por muitos anos a técnica utilizada para aumentar a segurança contra essas invasões foi a simples utilização de senhas mais complexas, menos óbvias, mas o problema persistiu, pois os invasores possuem a capacidade de descobrir as senhas apenas monitorando a rede, já que essas eram transmitidas sem nenhum tipo de codificação.

Sendo assim, para a tentativa de resolução desses problemas, medidas avançadas de autenticação foram criadas, sendo alguns exemplos: biometria, smartcards, fichas de autenticação, entre outros. Funcionando das mais variadas maneiras, essas medidas possuem algo em comum, que é o fato de que um invasor não pode reutilizar esses métodos.

Tipos de Firewall

Agora que as políticas de rede foram devidamente explicadas, é notável que diversas políticas diferentes são utilizadas para cada objetivo, para se adequarem aos critérios do desenvolvedor, às especificações do que será protegido, à estrutura da rede e diversos outros fatores importantes para a escolha da melhor política de rede.

Para atender à essas vastas opções, existem diversos tipos de firewall que realizam trabalhos específicos, para se adequarem à essas políticas:

Filtragem de pacotes

A filtragem de pacotes de dados (package filtering) surgiu em 1980, uma das primeiras soluções de firewall, com uma metodologia bem simples, consequentemente mais limitada, mesmo que ofereça um significativo nível de segurança.

A filtragem de pacotes geralmente é feita por um roteador de filtragem de pacotes, cada um desses tais pacotes passa pelo roteador e eles possuem um cabeçalho com uma gama informações a seu respeito, por exemplo: endereço de IP de origem, endereço de IP de destino, portas TCP/UDP de origem, portas TCP/UDP de destino, entre outros.

O roteador pode filtrar pacotes baseados em uma ou até em todas essas informações citadas anteriormente, alguns roteadores já verificam de onde veio um pacote e acrescentam isso aos critérios de filtragem.

Ao passar pelo roteador, as informações do pacote são analisadas pelo firewall de acordo com a política estabelecida para a liberação ou bloqueio do pacote, tanto para a saída quanto para a entrada no computador/rede. O firewall também pode executar alguma tarefa que esteja relacionada, como registrar, ou pelo menos tentar registrar, o acesso em um arquivo de log.

Alguns tipos de firewall de filtragem de pacotes possuem a capacidade de guardar o estado da conexão, dessa forma, se um pacote pertence a uma que já é conhecida, ele pode ser encaminhado sem que uma nova consulta à política de acesso de rede seja requisitada.

Guardar o estado da conexão também dificulta muitos tipos de invasão, além de possibilitar o funcionamento de diversos serviços que seriam problemáticos à filtragem de pacotes convencional, como por exemplo: SIP, FTP, H323 e etc.

A transmissão de dados se faz baseada no padrão TCP/IP (Transmission Control Protocol/Internet Protocol), que se organiza em camadas. As camadas de rede e de transporte são onde, geralmente, ocorre a filtragem, sendo a primeira onde ocorre o endereçamento dos dispositivos que integram a rede e processos de roteamento, já na segunda, se encontram os protocolos que permitem o tráfego de dados.

Leia Mais: Entendendo as principais camadas do modelo OSI de forma simples e rápida

Filtragem estática e filtragem dinâmica

Existem dois tipos de firewall de filtragem de pacote, sendo o primeiro utilizando filtragem estática e o segundo, e mais evoluído, utilizando filtragem dinâmica.

  • Filtragem estática

Nesta, utilizando apenas as regras como base, os dados são bloqueados ou liberados, sem dar importância para a ligação que os pacotes podem ter entre eles. Isso pode vir a ser um problema quando certos serviços ou aplicativos dependem de respostas ou requerimentos específicos para inicializar e manter uma transmissão.

Nesse caso, possivelmente os filtros, seguindo as políticas de rede, permitirão o tráfego do serviço, mas ao mesmo tempo bloqueie as respostas/requerimentos que são necessários para o funcionamento da tarefa.

O maior problema é que a segurança pode ser enfraquecida consideravelmente, caso um administrador, para tentar resolver o problema do bloqueio das respostas/requerimentos, diminua a rigidez das políticas de acesso, podendo ocasionar a liberação de pacotes que deveriam, de fato, ser bloqueados pelo firewall.

  • Filtragem dinâmica

Em resposta ao problema da filtragem estática, surgiu a filtragem dinâmica. Com ela, os filtros enxergam os pacotes como inseridos para “gerar” regras que possibilitam a adaptação a determinado cenário, o que permite o tráfego desses pacotes, porém, apenas quando necessário e no período pré-estabelecido. Sendo assim, diminui bastante a possibilidade de respostas/requerimentos serem barrados na filtragem.

Firewall de aplicação

O firewall de aplicação, também chamado de proxy de serviços (proxy services) e também apenas proxy, funciona como um intermediário entre um computador ou rede interna e uma rede externa, que geralmente é a internet. São usualmente instalados em servidores bem potentes, pois lidam com inúmeras solicitações, e são ótimas opções de segurança, já que não permite que a origem e o destino se comuniquem diretamente.

Como toda a transmissão de dados passa pelo firewall, é possível determinar uma política de acesso que proíba que se acesse um determinado endereço externo ou até mesmo que proíba a comunicação entre um computador interno e determinados serviços remotos, por exemplo.

Também é possível utilizar o proxy para realizar tarefas complementares, por exemplo, como também foi citado na filtragem de pacote, o proxy pode registrar os dados que trafegaram, em um arquivo de log, além disso, também é possível salvar temporariamente, em uma espécie de cache, um conteúdo que seja frequentemente utilizado, como uma página da internet que é muito frequentada pelo usuário, por exemplo, o proxy tornará possível que ela não precise ser chamada no endereço original durante todas as vezes.

A vasta quantidade de serviços e protocolos existentes na internet tornam a implementação do proxy uma dura tarefa. Em certas circunstâncias, o firewall poderá não conseguir ou será muito trabalhoso autorizar ou bloquear alguns acessos.

Uma das grandes desvantagens do proxy é que ele, geralmente, exige que certas configurações sejam feitas em ferramentas utilizadoras da rede para que a comunicação ocorra sem interrupções e problemas, sendo um exemplo dessas ferramentas um navegador de internet. Dependendo do tipo de aplicação, isso pode se tornar muito custoso e até mesmo não viável. Para resolver esse problema, nasceu o proxy transparente.

Proxy Transparente

Com a utilização do proxy transparente, os dispositivos integrantes da rede não perceberão sua existência, logo, nenhuma configuração específica se torna necessária. O proxy transparente causa uma impressão de que a comunicação entre a rede interna e a externa ocorre de forma direta, mas na verdade, ele intercepta o acesso e o responde, de forma imperceptível.

Porém, o proxy transparente possui certa desvantagem em relação a malwares e atividades maliciosas, já que no proxy comum, para uma dessas atividades entrarem na rede interna, ela teria que ser configurada para poder utilizar o proxy, mas como o proxy transparente faz tudo de forma pseudodireta, essa configuração não existe e a atividade acessa a rede normalmente, podendo causar um enorme estrago.

Gateways de aplicação

O gateway de aplicação é o terminal onde o proxy atua, ele pode ser combinado com os roteadores de filtragem de pacotes para formar níveis superiores de segurança e flexibilidade, mais efetivo do que se estivessem atuando separadamente.

Em relação a forma padrão de se permitir o tráfego direto para servidores internos, o gateway de aplicação possui diversas vantagens, como por exemplo:

  • Omissão de informações: o gateway é o único servidor visível para sistemas externos, logo, esses sistemas externos não conseguem ver e saber o nome dos sistemas internos.
  • Autenticação e Login melhorados: antes de alcançar os servidores internos, o tráfego de aplicação pode ser pré-autenticado e também, se feito de uma forma padrão, pode ser logado bem mais eficientemente.
  • Custos reduzidos: tanto o hardware quanto o software de autenticação precisam apenas estar presentes no gateway.
  • Política de acesso mais simples: as políticas de acesso para filtragem de pacote são muito mais simples no gateway, pois essas permitem apenas o tráfego com destino o gateway e nenhum outro.

Por ser bastante flexível, o gateway de aplicação acaba por fornecer um grau de proteção bem maior do que outros dispositivos.

Gateway de circuito

O gateway de circuito realiza o papel de intermediário de conexões TCP (Transmission Control Protocol), realizando a função de um proxy TCP, que seria como um TCP modificado. A transmissão através do firewall é realizada da seguinte forma: ambos os usuários, tanto o de origem, quanto o de destino, se conectam a uma porta TCP, no caso, o usuário de entrada se conecta ao gateway e o de saída em outra conexão TCP, assim, é formado um circuito por conexão TCP nas duas redes, interna e externa, associadas pelo gateway de circuito.

Para estabelecer esse circuito, uma solicitação deve ser feita pelo usuário de origem ao gateway no firewall, passando como parâmetro o dispositivo e o serviço de destino. No caso de não ser possível estabelecer o circuito, o gateway manda de volta um código que informa o motivo do não estabelecimento. Para fazer essa comunicação com o gateway, é necessário um protocolo simples, sendo esse um local apropriado para implementar um mecanismo de autenticação, por exemplo.

Firewall de Inspeção de Estados

Considerado por especialistas como a evolução dos filtros dinâmicos, os firewalls de inspeção de estados trabalham com base na comparação entre o que deveria ocorrer e o que está ocorrendo de fato. Ele bloqueia ou permite o acesso com base no estado, na porta e no protocolo.

O firewall de inspeção de estados monitora todas as atividades desde o momento em que uma conexão é aberta, até a mesma ser fechada. Além de seguir a política de acesso definida pelo administrador, o firewall também utiliza as informações de pacotes e conexões utilizadas anteriormente, pertencentes à mesma conexão.

Firewall de gerenciamento unificado de ameaças (UTM)

Geralmente, esse firewall possui as mesmas funções de um firewall de inspeção de estados, mas combinado, de forma bem flexível, com prevenção de intrusos e antivírus. Há a possibilidade de ter incluso alguns serviços adicionais, inclusive gerenciamento em nuvem. Ele se concentra, principalmente, em facilidade de se utilizar e em simplicidade.

Firewall de próxima geração (NGFW)

A maioria das empresas tem utilizado esse firewall para bloquear ameaças modernas, tendo em vista que esse firewall é uma evolução se comparado aos anteriores, realizando muito mais que apenas filtragem de pacote e inspeção de estados.

São funcionalidades inclusas nesse tipo de firewall:

  • Recursos padrão de firewall, como os citados acima, filtragem de pacote e inspeção de estados;
  • Previsão de invasão integrada;
  • Métodos para se lidar com ameaças à segurança em evolução;
  • Bloqueio e detecção de aplicativos nocivos através de controle e reconhecimento da aplicação;
  • Atualização de rotas para incluir feeds futuros de informação.

Firewall de próxima geração(NGFW) focado em ameaças

Os NGFW focados em ameaças possuem todas as funcionalidades de um NGFW comum, porém, com algumas adições, como detecção e remediação avançadas de ameaça. Com esse firewall, é possível:

  • Com a automação de segurança inteligente é possível reagir rapidamente a ataques, pois ela define políticas de acesso e fortalece defesas de forma dinâmica;
  • Melhor detecção de atividades suspeitas e evasivas com a relação conjunta de eventos de rede e endpoint;
  • Reduzir a complexidade em relação a políticas unificadas, essas que oferecem proteção durante todo o ciclo do ataque, além disso, também facilitar a administração;
  • Com o reconhecimento completo de contexto é possível saber exatamente quais recursos sofrem mais riscos;
  • Diminuir consideravelmente o tempo entre a detecção e a limpeza através de segurança retrospectiva, essa monitora de forma contínua as atividades e comportamentos suspeitos, até mesmo depois da inspeção inicial.

Arquitetura do firewall

Com a grande quantidade de tipos de firewall, eles podem ser implementados e projetados de diversas formas, o que caracteriza a arquitetura do firewall. Existem, de uma maneira geral, 3 tipos de arquitetura de firewall, que serão abordadas a seguir:

Arquitetura Dual-Homed Host

Nesse caso, um computador fica entre a rede interna e a rede externar, geralmente a internet. Esse computador se chama dual-homed host, pois ele possui ao menos duas interfaces de rede, uma para cada extremidade.

Por possuir duas interfaces de rede, possui apenas um caminho de comunicação, logo, todo o tráfego é interceptado por esse firewall, não havendo nenhum meio das duas redes se comunicarem diretamente.

A maior desvantagem dessa arquitetura é o fato de que, se o Dual-Homed Host tiver algum tipo de problema, toda a rede pode ficar em risco de segurança, podendo até mesmo paralisar todo o tráfego, logo, esse tipo de arquitetura de firewall não é recomendada para o caso em que acessar a internet seja de grande importância.

O tipo de firewall que usa essa arquitetura é o firewall de aplicação, ou proxy.

Arquitetura Screened Host

Nesta arquitetura, não há apenas um dispositivo servindo como intermediário entre as duas redes e sim dois dispositivos, um realizando as funções de um roteador (screening router) e outro chamado de bastion host.

O bastion host tem a função de ser uma camada extra de segurança, sendo posicionado entre a rede interna e o roteador, esse que finalmente leva os dados a rede externa.

A função do roteador é realizar filtragem de pacote, redirecionando os dados para o bastion host e esse é quem bloqueia ou permite a passagem dos dados para a rede interna, mesmo que o roteador já tenha permitido a passagem.

O maior perigo nessa arquitetura é a falha do bastion host, o que pode comprometer toda a rede, então é de vital importância mantê-lo bem seguro.

Arquitetura Screened Subnet

Nessa arquitetura também se faz presente o bastion host, porém, ele fica bem isolado numa área conhecida como DMZ (Demilitarized Zone).

A DMZ está localizada entre a rede interna e a rede externa, e para cada rede, possui um roteador na extremidade, para realizar a filtragem de pacote, enquanto o bastion host fica localizado no meio, dentro da DMZ.

Um grau de segurança maior é notado nessa arquitetura, pois caso haja algum problema em um dos roteadores, ainda há a DMZ para bloquear os acessos. Além disso, a DMZ pode ser configurada de forma a aumentar ainda mais a segurança, colocando-se mais bastion hosts ou com adição de proxies.

Por ser tão flexível e segura, essa arquitetura também é a mais cara.

Desvantagens e Limitações do Firewall

Diversas vantagens sobre os firewalls foram discutidas ao longo desse artigo, porém, como nada é perfeito, o firewall também possui diversas desvantagens e limitações:

  • Um firewall pode não proteger contra ataques internos;
  • Também não protege a rede contra conexões que não passam por eles;
  • Não protege completamente contra vírus;
  • A autoconfiguração não ocorre corretamente;
  • Está sujeito a novas vulnerabilidades;
  • Deve-se sempre revisar as políticas de acesso para não comprometer o funcionamento de novos serviços;
  • Não identifica atividades maliciosas originárias por descuido do usuário;
  • Precisam ser devidamente “vigiados”, pois atacantes e malwares podem descobrir e explorar brechas existentes nas políticas de acesso.

Conclusão

Tudo o que foi apresentado aqui, principalmente as arquiteturas de firewall, se referiam a firewalls de redes, mas existem também, firewalls simples para uso pessoal, com a simples tarefa de proteger seu computador e que deve ser utilizado por todos os usuários de computadores.

Usualmente, todos os sistemas operacionais de hoje em dia, destinados a uso pessoal, já possuem um firewall interno padrão, por exemplo o Linux, o Windows 10 e o MAC OS X. Também é muito usual os desenvolvedores de antivírus oferecerem outras opções de firewall junto ao software.

Foi mencionado no início que o firewall pode ser baseado tanto em software, quanto em hardware, mas a verdade é o hardware é apenas um equipamento com o software instalado e nada mais.

A principal função de um firewall de hardware é a proteção de uma rede com uma quantidade consideravelmente grande de tráfego ou que possua dados de grande importância.

A principal vantagem desse dispositivo é que ele foi feito para lidar com uma grande quantidade de dados, já que ele foi produzido para esse fim, logo, problemas comuns que ocorrem em servidores usuais, raramente poderão ocorrer com esse.

Gabriel Costa Couto

Técnico em Eletrotécnica e estudante de Engenharia de Controle e Automação. Colaborador do Web Póvoa nas horas vagas.