This post is also available in: Português English Español
Firewall é um dos ativos de uma arquitetura de segurança, estrategicamente posicionado entre duas ou mais redes, para oferecer a regulamentação e controle do tráfego. Embora esta definição seja simplista, garante a base de entendimento necessária para entendê-lo dentro da perspectiva de uma topologia de rede.
As topologias de firewall nada mais são do que representações físicas e lógicas do posicionamento dos ativos computacionais, e dentro do propósito deste artigo, traremos as principais aplicações de firewalls corporativos.
Vale ressaltar que o escopo deste artigo limita-se ao elemento de segurança firewall. Para a definição de uma topologia ou arquitetura de segurança em profundidade, considere outros elementos fundamentais como IDS/IPS, proxies, etc.
Topologia bastion host
A opção mais comum de uso para firewalls, especialmente em pequenos ambientes, é denominada bastion host. Através desta topologia, o firewall é colocado no meio, entre a internet e o segmento de rede interno.
Apesar de extremamente simples, é possível visualizar que para o tráfego entrar ou sair da rede protegida, é obrigatório passar pelo firewall. Esta topologia oferece apenas uma camada de segurança real, por conta disso, é necessário avaliar com atenção os cenários onde é recomendada a utilização desta topologia.
Uma vez que o firewall seja comprometido, não há nenhum impedimento do atacante acessar a rede protegida. Independente das quantidades de camadas lógicas presentes no firewall, se o mesmo for comprometido, a rede local poderá ser potencialmente atacada.
Portanto, tenha em mente em utilizar essa arquitetura para pequenas necessidades de acesso à internet, onde não há servidores internos que sejam acessados publicamente pela internet, ou que ofereçam algum tipo de serviço interno valioso para a empresa, como banco de dados, arquivos e outros.
Topologia de subnet com triagem ou screened subnet
Uma topologia muito comum de firewall que preserva flexibilidade e ao mesmo tempo níveis de segurança adequados para boa parte dos ambientes é denominada screened subnet, ou subnet com triagem. Através desta topologia, empresas podem oferecer serviços para a internet, sem comprometer suas redes protegidas.
A base para o funcionamento de uma subnet com triagem é o firewall possuir pelo menos três interfaces de comunicação, para que se possa isolar a internet, as redes protegidas, e por fim, criar um local denominado de zona desmilitarizada, ou DMZ.
Os serviços de rede públicos, como servidores web, servidores de e-mail e outros, são estrategicamente posicionados na DMZ. Caso um atacante comprometa o acesso de algum destes servidores, ainda assim, ele não terá acesso direto as redes protegidas, pois o firewall está interposto nesta arquitetura.
Nos casos em que existirem múltiplas redes protegidas que devem ser diretamente interconectadas pelo firewall, pode-se trabalhar com VLANs associada a um número menor de interfaces físicas. Sobre o ponto de vista de segurança não há nenhum impacto, no entanto, é importante validar se haverá throughput suficiente para atender as demandas de tráfego.
Topologia mult-hommed ou dual firewall
De maneira complementar a topologia de sub-rede com triagem, as arquiteturas mult-hommed são compostas por diversas conexões que permitem segmentar várias redes. Além disso, em muitos casos essas arquiteturas trabalham com dois equipamentos distintos, incrementando ainda mais a segurança do ambiente, uma vez que o comprometimento de um deles não significa o acesso para as redes protegidas.
A quantidade de conexões físicas (portas ou interfaces) e lógicas através de VLANs oferecidas por esta topologia permite definir, de maneira muito segregada, como criar a política de segurança adequada para proteger computadores, servidores e outros ativos importantes de uma organização.
É relevante destacar que a topologia final da arquitetura de segurança pode (e deve) misturar os conceitos abordados, permitindo criar uma verdadeira blindagem para sua infraestrutura. A defesa em profundidade, especialmente quando aplicada em dispositivos isolados, oferece níveis interessantes de resiliência em um ambiente diante de um ataque.
Não há uma topologia que possa ser considerada melhor, o entendimento está naquilo que é melhor para a realidade de proteção de sua empresa. Arquiteturas mais complexas exigem maior custo total de propriedade (TCO), tanto para aquisição de tecnologias/produtos quanto mão de obra especializada para continuidade do ambiente.
Que tal? Já consegue identificar qual a arquitetura ou topologia utilizada em sua empresa? Incremente este artigo com comentários sobre este tema.
This post is also available in: Português English Español
