FIREWALL – PARTE 1

Switch

O Firewall é uma solução de segurança que visa bloquear todo tráfego de dados indesejados e permitir apenas os necessários. Ele faz isso por analisar todo tráfego de dados que passa por ele, então utiliza um conjunto de políticas, ou seja, instruções impondo regras que o torna capaz de determinar quais operações de transmissão ou recepção podem ser executadas. Assim, este importantíssimo sistema de segurança acaba atuando como uma verdadeira barreira de fogo contra ações maliciosas provenientes de softwares ou pessoas. O Firewall pode ser instalado em uma rede como uma solução em software, instalado em um sistema operacional, ou um dispositivo físico, ou seja, um hardware. Para ambientes corporativos, recomenda-se a combinação de ambas as soluções atuando em conjunto.

Muitos sistemas de firewall, podem usar uma ou mais destas técnicas combinadas:

Filtragem de Pacotes: técnica que analisa cada pacote ao tentar entrar ou tentar sair de uma rede, podendo permitir ou banir a sua passagem, com em base na política pré-definida. Esta técnica é muito eficaz e transparente aos usuários, mas difícil de configurar. Porém, pode ser vencido com uma técnica de ataque conhecida como “IP spoofing” (Falsificação de endereço IP). Esta técnica de invasão é utilizada para se obter acesso não autorizado aos dispositivos em uma rede, onde o invasor se comunica utilizando um endereço IP de um dispositivo confiável para a rede. Provavelmente, o invasor utilizou outras técnicas de varredura, tais como softwares de Port Scanner e/ou Packet sniffer, para localizar endereços IP válidos e existentes na rede. Em seguida, modifica os cabeçalhos dos pacotes falsos enviados a rede, a fim se disfarçar como se fosse um dispositivo confiável na própria rede.

Gateway de aplicação: São mecanismos de segurança que atendem serviços específicos tais como FTP ou Telnet, negociando a conexão entre o aplicativo de rede instalado em um computador e outro computador remoto. Embora muito eficaz, omitindo o endereço IP real do computador e exibindo o próprio endereço IP da Interface do Firewall. Por causa desta intermediação degrada o desempenho.

Cirtuit-level gateway: É um mecanismo de segurança, que atua na camada de sessão do modelo OSI, provendo conexões UDP e TCP seguras. Ele fica analisando cada conexão que está sendo estabelecida. Após a concretização da sessão, esta técnica é capaz de validá-la. Após esta validação na sessão estabelecida, os pacotes fluem entre os dois hosts sem qualquer verificação acional. Porém, não se filtram pacotes individuais e isso torna este mecanismo vulnerável.  Enquanto a sessão está estabelecida, qualquer aplicativo pode utilizá-la sem enfrentar qualquer avaliação pelo mecanismo.

Servidor Proxy: É um servidor com capacidade de interceptar mensagens que entram ou saem de uma rede, filtrando o conteúdo com base em políticas. O servidor proxy esconde de forma efetiva os endereços IP verdadeiros em uma rede. Outro detalhe importante é a capacidade de melhorar significativamente o desempenho para a navegação na internet para os usuários da rede corporativa. Isso ocorre porque durante o acesso bem sucedido a uma página, uma cópia dela é armazenada por um tempo em cache. Assim, na tentava seguinte de se efetivar um novo acesso a mesma página, visto que ela será trazida do cache, será carregada muito mais rápida. Desta forma acessos simultâneos e/ou frequentes a mesma página é muito rápida aos usuários.

É importante saber que o Firewall não é a mesma coisa que um antivírus ou antimalware. Entretanto, muitas soluções de segurança provêm um pacote contendo ambas as ferramentas aliadas para combater qualquer influência digital negativa e indesejada.

Para um sistema de Firewall funcionar de forma efetiva:

  • Todo tráfego que entra ou sai de uma rede deverá obrigatoriamente passar pelo sistema de Firewall.
  • Somente tráfego autorizado, conforme política de firewall, deverá ter permissão de passar.
  • Além disso, o próprio firewall deve ser imune a invasões.

Para se configurar um firewall, naturalmente você deve saber o que são os protocolos de rede, visto que as políticas normalmente são aplicadas a estes protocolos.

O funcionamento do Firewall envolve normalmente verificar os pacotes da camada de rede e de transporte, seus cabeçalhos, de acordo com as regras e políticas configuradas.

Portanto, são verificados os protocolos da camada de rede (Exemplo: IP, ICMP), os endereços IP de origem e os endereços IP de destino dos pacotes, os protocolos da camada de transporte (TCP e UDP) e as portas de comunicação de origem e as portas de comunicação de destinos para estes protocolos. Além disso, se o Firewall for do tipo Stateful, também serão verificadas as Flags do protocolo TCP em cada cabeçalho dos pacotes.

Enquanto estivermos seguindo uma linha de raciocínio sobre firewalls, vamos estudar em cima de soluções de Firewall orientado a Interfaces. Mas, quando se planeja a configuração de um sistema de Firewall, é importante ter uma noção de Zoneamento. Existe até uma técnica original elaborada pela Cisco, em seus dispositivos de firewalls orientados a zonas (ZFW), onde se nomeia um “contexto” ou um “escopo”, visando simplificar o entendimento do cenário e ainda prover mais flexibilidade técnica, permitindo uma maior granularidade das configurações. Nestes tipos de Firewall (ZFW), você cria políticas e aplica a cada zona criada. Depois de configurar zonas e somente depois, deve se atribuir interfaces a elas. Isto quer dizer que, as zonas são criadas antes de ser criar políticas de firewall. Inclusive, você poderá adicionar mais de uma interface a cada zona, a fim de atender a necessidades específicas. Mas uma mesma interface não pode ser membro de duas zonas diferentes. Claro que não se deve confundir o zoneamento de Firewall orientado a Zonas (ZFW) com a forma de se organizar um Firewall utilizando a habilidade de nomear uma “interface” em um sistema de firewall orientado a interfaces. Mas o assunto sobre zoneamento vai muito além desta breve menção e por isso poderá ser base para outo Post.

No caso dos Firewalls orientados a interfaces, podemos pensar no zoneamento e defini-las como interfaces de entrada e interfaces de saída, ou interfaces de rede Interna e interfaces de rede Externa. Nestes casos, os mecanismos de segurança irão atuar com base nos dados que trafegam nestas interfaces, e conforme a direção seguida pelo fluxo dos pacotes. Por conta disso, você deve saber a que “contexto” se a interface: Rede Interna ou Rede Externa, Interface de Entrada ou Interface de Saída. Para complicar mais um pouco, lembre-se que cada interface possibilita o tráfego em duas direções: Entrada e Saída. Onde “Entrada” se refere ao trafego entrante, e “Saída” ao tráfego sainte. Assim, políticas ou regras são aplicadas a estas interfaces, na direção de entrada ou saída conforme o cenário aplicado. Por isso, temos regras conhecidas como de entrada ou de saída:

  • Regras de entrada: Boqueiam ou liberam explicitamente todo tráfego que tenta entrar pela interface.
  • Regras de saída: Bloqueiam o liberam explicitamente todo tráfego que tenta sair a partir da interface. Ou todo trafego que está se está tentando retransmitir, sendo gerada pelo Firewall, na rede conectada a Interface pela qual se tenta encaminhar os pacotes.

Com base nisso, já podemos entender as tabelas de configurações de um firewall. Mas há ainda outro detalhe que define o rigor da aplicação das políticas. A estratégia de se configurá-las envolve escolher entre dois caminhos, portanto pergunte-se: será pelo método mais restritivo ou permissivo? O que significam?

O método mais restritivo define que todo trafego que não for explicitamente permitido é proibido. Já o método mais permissivo segue na linha oposta, ou seja, todo tráfego que não é explicitamente proibido é permitido. Pode acontecer de haver conjunto de políticas hibridas, mas isso pode dificultar a administração.

Vamos olhar para um cenário de exemplo em um Firewall orientado a interfaces. A seguinte tabela apresenta uma configuração muito semelhante ao que se encontra nos softwares de sistema de firewall. Esta configuração está utilizando o método mais restritivo:

Regras de Firewall
Regra
Origem
Destino
Protocolo
Portas
Interface
Direção
Ação
O que faz
1 192.168.1.0/24 Qualquer TCP 80 WAN Saída Permitir Permite acesso a Web
2 192.168.1.1 189.47.47.2 TCP 21 WAN Saída Permitir Acesso remoto ao Servidor Windows
3 Qualquer Qualquer Todos Todas WAN Saída Bloquear Bloqueia todo trafego na saída que não foi especificado explicitamente.

Note que neste método, o tráfego de pacotes que tentará sair pela interface de zona WAN, será submetido a três regras em ordem crescente. Se determinado pacote não se enquadrar a nenhuma das regras, será rigorosamente descartado conforme a última. O mesmo se dá se invertermos a tabela. Ainda, utilizando o método mais restritivo, restringimos quem pode entrar na zona de rede LAN. Todo tráfego de pacotes será filtrado ao entrar na Interface da zona WAN e aquele que não se enquadrar a nenhuma das regras, será rigorosamente descartado conforme a ultima regra.

Regras de Firewall
Regra
Origem
Destino
Protocolo
Portas
Interface
Direção
Ação
O que faz
1 Qualquer 192.168.1.10 TCP 80 WAN Entrada Permitir Permite acesso ao servidor Web
2 189.47.47.5 192.168.1.12 TCP 3389 WAN Entrada Permitir Acesso remoto ao Servidor Windows
3 Qualquer Qualquer Todos Todas WAN Entrada Bloquear Bloqueia todo trafego na Entrada que não foi especificado explicitamente.

Na parte 2, pretendo abranger a aplicação do método mais permissivo, regras com NAT, etc.

[]’s

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.