Há pouco tempo publicamos aqui no blog um artigo falando sobre firewall. Assim, nesse artigo apresentamos seu funcionamento e apresentamos dois tipos de firewall distintos. Pois o firewall é um tipo de barreira de segurança que separa seu computador, ou rede interna, de todo dado proveniente de uma rede externa (internet). Enfim, o objetivo dessa separação é impedir que o sistema seja atingido por qualquer tipo de arquivo malicioso, como vírus e malwares provenientes de ataques ransomwares, por exemplo.
“firewall é um tipo de barreira“
Na sua casa por exemplo, você instala portões, grades nas janelas e trancas reforçadas para impedir que os assaltantes consigam entrar e roubar algo. Afinal, o firewall é a tranca do sistema. Ele mantém todas as portas e janelas do computador devidamente lacradas e dessa maneira somente os arquivos autorizados conseguem acessar seu interior. Aliás, no artigo anterior falamos mais sobre isso.
“firewall é a tranca do sistema”
Falamos também que o firewall funciona com base em configurações pré determinadas pelo usuário e apresentamos dois tipos de firewall: o Packet Filtering ou Filtragem de pacotes e o Firewall de aplicação ou proxy de serviços. O primeiro é subdividido em duas categorias e funciona por meio da filtragem de pacotes de dados. Dessa forma, a filtragem analisa informações únicas de cada pacote: endereço IP de origem e destino, tipo de serviço, tamanho e outras características.
Depois de realizar a análise dessas características, o firewall verifica se o pacote de dados está ou não de acordo com as regras pré estabelecidas e libera ou não sua passagem pelo sistema. O segundo, Firewall de aplicação ou proxy de serviços, é uma solução de segurança que atua intermediando absolutamente todos os dados trocados de um computador ou rede interna, com a rede externa (internet).
Esse tipo de firewall geralmente é instalado em servidores potentes pois precisam lidar com um grande número de dados. Mas o que nós não falamos no artigo anterior e vamos falar neste, é sobre ao Proxy transparente e outros tipos de firewall. O Proxy transparente funciona como uma alternativa ao proxy tradicional, já que o tradicional muitas vezes exige uma série de customizações em ferramentas que utilizam a rede, como navegadores, por exemplo. Afinal, essas configurações muitas vezes são inviáveis e a não realização acaba comprometendo a comunicação.
O proxy transparente trabalha sem que boa parte da rede seja capaz de reconhecer sua existência e por isso dispensa qualquer tipo de configuração específica. Todo e qualquer acesso é feito normalmente, mas o proxy é capaz de interceptá-lo sem ser percebido. É como se a comunicação não tivesse barreiras, mas tem.
O proxy transparente também tem suas desvantagens, já que é incapaz de barrar uma atividade maliciosa, como um malware, por exemplo. Para conseguir se comunicar externamente, o malware deveria ser configurado para usar o proxy “normal”, o que geralmente não acontece. Então saindo do Firewall de aplicação (proxy de serviços), vamos conhecer agora mais um tipo de firewall.
* Inspeção de estados (stateful inspection)
O firewall de inspeção de estado pode ser descrito como a evolução dos filtros dinâmicos (citados no artigo anterior). O stateful inspection realiza uma espécie de comparação o que está acontecendo no tempo presente e o que ainda pode acontecer no tempo futuro. Para realizar essa tarefa o firewall de inspeção analisa todo o tráfego de dados com o intuito de encontrar padrões aceitáveis dentro de suas regras, os chamados estados.
Assim as informações encontradas pelo firewall ficam armazenadas e passam a ser utilizadas como parâmetro para um tráfego posterior. Caso o tráfego de dados inicialmente aceito pelo firewall comece a utilizar uma nova porta, por exemplo, a atividade é bloqueada por anormalidade.
As arquiteturas do Firewall
Como são variados os tipos de funcionamento do firewall, a sua implementação também pode se dar de diferentes formas a fim de se adaptar às mais diversas realidades. Sendo assim, nosso papo sobre firewall ainda não acabou. Assim, vamos falar agora sobre a sua arquitetura: a forma como ele é planejado e implementado.
* Arquitetura Dual Homed Host
Um computador chamado dual-homed host fica localizado entre a rede interna e a rede externa. Seu nome se dá pois o host possui pelo menos duas interfaces de rede, uma interna e uma externa. Todo o tráfego de dados passa por este firewall e não há acesso direto da rede interna com a externa (e vice-versa). Por promover um grande controle de dados, qualquer tipo de ameaça identificada dentro desta abordagem pode acabar paralisando o tráfego ou colocando em risco toda a segurança do sistema. Afinal este tipo de arquitetura é comumente utilizada em firewalls do tipo proxy.
* Screened Host
Neste tipo de arquitetura são utilizadas duas máquinas para intermediar a comunicação que ocorre entre a rede interna e a rede externa: uma delas faz o papel do roteador, o screening router, e a outra que fica entre o roteador e a rede interna: o bastion host. O bastion host impede a comunicação entre os lados seja feita de forma direta, atuando como uma camada extra de segurança.
O roteador é responsável por realizar a filtragem dos pacotes e redirecionar o tráfego para o bastion host. O bastion host decide se esses pacotes serão liberados ou não, promovendo assim uma dose extra de segurança. Um bastion host bem configurado e protegido garante a boa segurança do sistema.
* Screened Subnet
Neste tipo de arquitetura o bastion host fica isolado em uma área chamada Demilitarized Zone (DMZ ou Zona Desmilitarizada). Essa área está localizada entre a rede interna e a rede externa. Então, o roteador responsável pela filtragem dos pacotes está entre a DMZ e a rede interna. Enquanto entre a DMZ e a rede externa, existe um segundo tipo de roteador.
Uma arquitetura um tanto quanto segura devido ao grande número de barreiras que devem ser ultrapassados até que se chegue ao sistema interno. A DMZ pode ser configurada de diferentes maneiras, recebendo a implementação de proxies ou até mesmo a adição de mais bastion hosts para requisições específicas. Enfim essa é a arquitetura mais complexa, segura, flexível e consequentemente mais cara entre os tipos de firewall