Aprendizado e descoberta 3min de Leitura - 25 de agosto de 2015

Entendendo as principais topologias de firewall

Cabos de rede conectados em appliance

This post is also available in: Português English Español

Firewall é um dos ativos de uma arquitetura de segurança, estrategicamente posicionado entre duas ou mais redes, para oferecer a regulamentação e controle do tráfego. Embora esta definição seja simplista, garante a base de entendimento necessária para entendê-lo dentro da perspectiva de uma topologia de rede.

As topologias de firewall nada mais são do que representações físicas e lógicas do posicionamento dos ativos computacionais, e dentro do propósito deste artigo, traremos as principais aplicações de firewalls corporativos.

Vale ressaltar que o escopo deste artigo limita-se ao elemento de segurança firewall. Para a definição de uma topologia ou arquitetura de segurança em profundidade, considere outros elementos fundamentais como IDS/IPS, proxies, etc.

Topologia bastion host

A opção mais comum de uso para firewalls, especialmente em pequenos ambientes, é denominada bastion host. Através desta topologia, o firewall é colocado no meio, entre a internet e o segmento de rede interno.

Topologia de firewall bastion host

Apesar de extremamente simples, é possível visualizar que para o tráfego entrar ou sair da rede protegida, é obrigatório passar pelo firewall. Esta topologia oferece apenas uma camada de segurança real, por conta disso, é necessário avaliar com atenção os cenários onde é recomendada a utilização desta topologia.

Uma vez que o firewall seja comprometido, não há nenhum impedimento do atacante acessar a rede protegida. Independente das quantidades de camadas lógicas presentes no firewall, se o mesmo for comprometido, a rede local poderá ser potencialmente atacada.

Portanto, tenha em mente em utilizar essa arquitetura para pequenas necessidades de acesso à internet, onde não há servidores internos que sejam acessados publicamente pela internet, ou que ofereçam algum tipo de serviço interno valioso para a empresa, como banco de dados, arquivos e outros.

Topologia de subnet com triagem ou screened subnet

Uma topologia muito comum de firewall que preserva flexibilidade e ao mesmo tempo níveis de segurança adequados para boa parte dos ambientes é denominada screened subnet, ou subnet com triagem. Através desta topologia, empresas podem oferecer serviços para a internet, sem comprometer suas redes protegidas.

Topologia de firewall subnet

A base para o funcionamento de uma subnet com triagem é o firewall possuir pelo menos três interfaces de comunicação, para que se possa isolar a internet, as redes protegidas, e por fim, criar um local denominado de zona desmilitarizada, ou DMZ.

Os serviços de rede públicos, como servidores web, servidores de e-mail e outros, são estrategicamente posicionados na DMZ. Caso um atacante comprometa o acesso de algum destes servidores, ainda assim, ele não terá acesso direto as redes protegidas, pois o firewall está interposto nesta arquitetura.

Nos casos em que existirem múltiplas redes protegidas que devem ser diretamente interconectadas pelo firewall, pode-se trabalhar com VLANs associada a um número menor de interfaces físicas. Sobre o ponto de vista de segurança não há nenhum impacto, no entanto, é importante validar se haverá throughput suficiente para atender as demandas de tráfego.

Topologia mult-hommed ou dual firewall

De maneira complementar a topologia de sub-rede com triagem, as arquiteturas mult-hommed são compostas por diversas conexões que permitem segmentar várias redes. Além disso, em muitos casos essas arquiteturas trabalham com dois equipamentos distintos, incrementando ainda mais a segurança do ambiente, uma vez que o comprometimento de um deles não significa o acesso para as redes protegidas.

Topologia de firewall mult-homed

A quantidade de conexões físicas (portas ou interfaces) e lógicas através de VLANs oferecidas por esta topologia permite definir, de maneira muito segregada, como criar a política de segurança adequada para proteger computadores, servidores e outros ativos importantes de uma organização.

É relevante destacar que a topologia final da arquitetura de segurança pode (e deve) misturar os conceitos abordados, permitindo criar uma verdadeira blindagem para sua infraestrutura. A defesa em profundidade, especialmente quando aplicada em dispositivos isolados, oferece níveis interessantes de resiliência em um ambiente diante de um ataque.

Não há uma topologia que possa ser considerada melhor, o entendimento está naquilo que é melhor para a realidade de proteção de sua empresa. Arquiteturas mais complexas exigem maior custo total de propriedade (TCO), tanto para aquisição de tecnologias/produtos quanto mão de obra especializada para continuidade do ambiente.

Que tal? Já consegue identificar qual a arquitetura ou topologia utilizada em sua empresa? Incremente este artigo com comentários sobre este tema.

This post is also available in: Português English Español