This post is also available in: Português English Español
Firewalls apresentam-se como um dos principais dispositivos em uma arquitetura de segurança, bem como em uma estratégia de segurança em profundidade, protegendo o perímetro fixo das empresas. A abrangência dos firewalls evoluiu muito ao longo do tempo (veja artigo Firewall: História), e especialmente por isso, conhecer os principais tipos e entender as diferenças são fundamentais para profissionais de segurança.
Ao longo deste material iremos introduzir o conceito, a terminologia, os diferentes tipos, bem como a evolução das tecnologias no decorrer dos anos. Aproveite a leitura e aprimore seus conhecimentos acerca de Firewalls.
Firewall definição e princípios básicos
Firewall nada mais é do que um conceito, que transformado em um ativo diante de uma infraestrutura, tem a capacidade de permitir ou não a passagem de determinados tráfegos. Quando aplicado para um equipamento final, ou endpoint, um firewall determina o que pode entrar e sair em termos de pacotes/informações de rede, permitindo maior controle sobre tal equipamento.
O conceito de Firewall também pode ser aplicado a dispositivos, estrategicamente colocados entre redes, por onde uma comunicação obrigatoriamente precisa passar para chegar até um determinado destino. Nestes casos, mais comum em empresas, provedores e outros, a importância de controle sobre as comunicações é fundamental, regulamentando aquilo que pode ou não trafegar nas redes interconectadas pelo firewall.
Por conta disso, de maneira resumida e simplificada, um firewall nada mais é do que um ativo (software ou hardware) que deve ser colocado em uma posição estratégica dentro de uma topologia de rede, por onde o tráfego precisa obrigatoriamente ser afunilado. Uma vez que isso acontece, este dispositivo passa a ter controle do que pode ou não trafegar na rede.
Para ficar um pouco mais claro, vamos imaginar uma empresa, com topologia bastante simplificada. Esta empresa possui comunicação com a internet, e também conta com uma rede interna. O firewall será um dispositivo conectado diretamente a internet, e também conectado a rede interna. Desta forma, a única maneira possível da rede local acessar a internet, é passando pelo firewall. Neste momento há, portanto, a possibilidade de controle do que pode ou não trafegar no ambiente, tanto da internet para a rede local, quanto no sentido contrário.
Imagine agora um cenário um pouco mais complexo, uma empresa com 2 links com a internet, e 4 redes locais. O firewall pode interconectar estas 4 redes, gerenciando o que deve ou não passar por elas, além de garantir o que pode vir da internet, ou sair da internet, por cada uma das redes ou computadores ligados as mesmas.
Por conta do seu posicionamento e importância, o firewall apresenta-se como uma parede de fogo dentro de uma topologia de rede, especialmente protegendo redes privadas e públicas, mas não somente. O ícone mais associado em imagens para representação de um firewall, não a toa, é uma parede ou muro em chamas.
Tipos de firewall
Os tipos de firewall estão associados a evolução técnica ao longo do tempo, e mais recentemente, também relacionadas ao marketing realizado por empresas para comunicar recursos de segurança em seus produtos. Isso é interessante e, ao mesmo tempo, inspira cuidados, especial ao comparar tecnologias, pois é comum fabricantes tratarem um determinado conceito com nomenclaturas totalmente diferentes.
Faremos um overview das terminologias utilizadas atualmente para diferenciar o propósito de cada uma delas. É importante destacar que muitos dos recursos, mesmo que de primeira ou segunda geração, continuam sendo utilizados por soluções atuais, pois formam a base de controle necessária para o funcionamento dos filtros.
Embora sejam assuntos um pouco mais técnicos trataremos, dentro do possível, em caráter informativo, facilitando o entendimento do funcionamento, propósito e extensão de cada tecnologia ou conceito.
Firewall Stateless e stateful
O conceito por trás da filtragem stateless (sem estado) e stateful (com estado) está relacionada ao formato de filtro de pacotes aplicado. Enquanto os filtros sem estado não tem conhecimento das conexões, tratando cada pacote de maneira independente sobre o ponto de vista da filtragem, firewalls stateful utilizam um mecanismo auxiliar chamado tabela de estados ou conexões, que mantém o registro atualizado do estado de cada conexão que transita pelo dispositivo.
Na prática, essa diferença permite que os firewalls stateful produzam economias de número de regras, maior velocidade na validação das regras e especialmente, maior segurança para o ambiente, uma vez que avaliam outros dados da conexão além de endereços e portas, dependendo do protocolo de transporte utilizado.
Consideramos então que stateful seja uma evolução natural do mecanismo stateless, mas ambos, continuam em uso até os dias atuais e compõem elemento essencial para soluções de segurança da informação.
Firewall Proxy
O termo firewall proxy, ou simplesmente proxy, é aplicado para controles mais especializados sobre um determinado protocolo de aplicação. Os proxies funcionam de maneira complementar em uma arquitetura de segurança, oferecendo um controle mais aprofundado de acordo com os comportamentos e características do protocolo suportado.
O exemplo que podemos trazer como mais comum, facilitando o entendimento, trata-se do controle de navegação, onde pode-se gerenciar os acessos aos sites de acordo com diversos parâmetros, como usuários, endereços, horários e outros. Enquanto um firewall stateless e stateful atuaria permitindo ou bloqueando o acesso a porta utilizada para navegação (atuando até a camada 4), o proxy HTTP tem a visibilidade da última camada oferecendo, portanto, maior flexibilidade para aplicação de políticas de acesso.
Em muitos casos, os proxies de aplicação atuam de maneira transparente em uma arquitetura de segurança, onde o tráfego para a porta associada ao serviço é automaticamente direcionado para o proxy, onde os controles são aplicados de acordo com a necessidade da empresa. Em outros casos, porém, é necessário configuração, ou intervenção manual, para que se tenha acesso ao proxy e uso do serviço.
Outro exemplo interessante de integração e complementariedade de firewalls stateful com proxy é que, caso o último seja manual e não esteja devidamente configurado em um dispositivo (computador, tablet, smartphone etc.), o filtro de pacotes com estado pode bloquear o acesso, forçando que determinada aplicação só funcione através do proxy.
Pela diversidade de aplicações e serviços, não é comum e nem necessário haver proxies para cada serviço. Portanto, é mais comum visualizar proxies atuando de maneira especializada nos protocolos HTTP, FTP, IMAP, POP3, SMTP e outros. Os proxies podem atuar tanto no sentido de saída de conexões, quanto de entrada, nestes casos mais conhecidos como proxies reversos.
Um proxy reverso permite centralizar um conjunto de aplicações e publicá-las para a rede, com base no que é requisitado, o proxy direciona para o ativo que tem determinada informação ou aplicação. Como todo tráfego acaba sendo afunilado no proxy, ataques podem ser detectados antes do pacote ser encaminhado para a aplicação de fato.
É bastante comum a utilização de proxy reverso para publicação de aplicações web na internet, onde o servidor não é diretamente exposto, e todo tráfego passa por uma camada intermediária de segurança. Outros recursos comumente utilizados em arquiteturas de proxy reverso é o balanceamento de carga, compactação de tráfego, que permitem a construção de ambientes altamente disponíveis e taxas consideráveis de economia de banda.
Deep Packet Inspection ou Inspeção Profunda de Pacote (DPI)
Os desafios de segurança ao longo do tempo cresceram de tal forma que analisar e filtrar os pacotes com base nas informações do cabeçalho se tornaram insuficientes para garantir a integridade dos ambientes, uma vez que os ataques estavam cada vez mais direcionados para a camada de aplicação. Os sistemas de detecção de intrusão (IDS) e posteriormente a evolução para sistemas de prevenção de intrusão (IPS) adicionaram o conceito de inspeção profunda de pacote, ou inspeção profunda de conteúdo.
Através deste conceito, os pacotes não passam mais a ser analisados somente baseados nas informações armazenadas em seus cabeçalhos, mas especialmente em seu conteúdo. Com um modelo baseado em assinaturas, os dados dos pacotes são analisados e caso seja identificado algum comportamento anômalo ou ataque, uma ação é tomada, registrando o evento, bloqueando a conexão, entre outras facilidades.
Similarmente aos proxies, a capacidade de analisar aplicações por parte de IDS/IPS não é necessariamente ampla, pois é mandatório conhecer o comportamento do protocolo para inserir as análises e comparações com base no conhecimento existente da solução (assinaturas). Como uma porção muito maior de informações são armazenadas na área de dados de um pacote, é comum que esse mecanismo ofereça maior consumo de recursos computacionais, especialmente CPU.
Ratificando a importância de vários elementos de segurança em uma arquitetura realmente robusta, mesmo os proxies atuando em sua grande parte na área de cabeçalho da camada de aplicação, a área de dados de maneira geral não é visualizada. O conceito de DPI, presente em IDS/IPS permite acrescentar essa visibilidade e consequentemente ter um ambiente de segurança mais robusto, menos suscetível a ataques.
Unified Threat Management ou Gerenciamento Unificado de Ameaças (UTM)
A percepção de que era necessário adicionar cada vez mais mecanismos de segurança da informação em uma única solução, trabalhando de maneira integrada (ou não), para construir ambientes mais seguros, fez surgir naturalmente o conceito de UTM, ou Gerenciamento Unificado de Ameaças.
Trata-se, acima de tudo, de uma classificação comercial para soluções que possuem filtro de pacotes, proxies, VPN, IDS/IPS, antivírus e outras características, dentro de uma mesma solução ou caixa. Isso permitiu que os fabricantes criassem materiais publicitários buscando diferenciar as soluções apresentadas ao mercado.
Embora reunir tantos elementos complementares em uma única caixa possa parecer uma solução fundamental para os desafios de segurança, existem tantas outras implicações que tornam a implantação por si só bastante complexa: quanto mais elementos de segurança, mais recursos de hardware são necessários. Dependendo do tamanho da organização, UTMs podem representar um problema para a performance, ou até mesmo o orçamento, uma vez que exigem hardwares altamente robustos para atender a demanda gerada pelos usuários.
[rev_slider alias=”horizontal-blog-firewall-definicao”][/rev_slider]
Next Generation Firewall ou Firewall de próxima geração
NGFW ou Firewall de próxima geração pode ser entendido como um sucessor dos UTMs, especialmente no que diz respeito ao desafio de garantir segurança em profundidade para os ambientes, sem impactar na utilização dos recursos computacionais. Para isso, a fundamental contribuição do NGFW é a aplicação de políticas de segurança baseadas no conhecimento das aplicações, bem como ataques associados as mesmas.
As premissas básicas para classificar um firewall como sendo de próxima geração é o recurso de visibilidade e controle baseado por aplicação, além de inspeção de conteúdo SSL/SSH, controle web baseado em categorias, integração de antivírus e capacidade de comunicação com serviços de terceiros, como o Active Directory.
Os mecanismos de segurança citados anteriormente continuam presentes na arquitetura de um NGFW, como filtragem stateful, recursos de NAT/PAT, IPS, proxies e outros. A grande diferença, no entanto, é a simplificação no gerenciamento de segurança oferecido através da visibilidade das aplicações.
Este conceito de visibilidade de aplicação, evoluindo o exemplo citado referente ao tráfego HTTP, trata-se da capacidade de diferenciar os recursos do Facebook em fotos, vídeos, jogos, publicidade, chat, like, compartilhamento e permitir que a política de segurança possa levar em consideração esse nível de granularidade, e não somente permitir ou negar o acesso ao endereço facebook.com.
Outro aspecto fundamental de um NGFW é detectar o tipo de aplicação baseado no tráfego, e não necessariamente na porta e protocolo utilizado na comunicação. Isso quer dizer que, independentemente se um aplicativo usar a sua porta padrão ou não, o tráfego será devidamente identificado e a política aplicada.
Você já consegue identificar o tipo de firewall utilizado em sua empresa? Comente conosco suas experiências e veja como tecnologias atuais podem fazer mais por sua empresa. Não deixe também de ler nosso artigo sobre as principais diferenças entre UTM e NGFW.