Por Felipe Torquato

Firewall é uma solução de segurança que, a partir de um conjunto de regras ou instruções, analisa o tráfego de rede para determinar quais operações de transmissão ou recepção de dados podem ser executadas. A sua missão consiste basicamente em bloquear tráfego indesejado de dados e liberar acessos necessários. Um firewall pode impedir uma série de ações maliciosas: um malware que utiliza determinada porta para se instalar em um computador sem o usuário saber, um programa que envia dados sigilosos para a internet, uma tentativa de acesso à rede a partir de computadores externos não autorizados, entre outros.

Os pacotes podem trafegar em duas direções ao longo de uma interface de rede. O tráfego de entrada é o que flui para dentro através de uma interface local, a partir de outra máquina. O tráfego de saída é aquele que flui para fora através de uma interface local, para outro host. Por exemplo, imagine que o seu computador está comprometido por um vírus ou um Cavalo de Tróia que tenta se conectar a outro servidor, a fim de vazar dados confidenciais, como um keylogger. Um firewall que policia conexões de saída pode alertar o usuário para o fato, permitindo-o determinar se a conexão deve ou não ser autorizada.

Uma conexão TCP exige que o tráfego flua em ambos os sentidos, pois, de outra forma, não haveria como dois hosts se comunicarem. No entanto, a conexão pode ser iniciada pela sua abertura de fluxo de pacotes, em qualquer direção. Por exemplo, você pode iniciar uma conexão em sua capacidade como um cliente – por meio de abertura de uma conexão com um servidor HTTP, enquanto navega na web – ou outro host pode iniciar uma conexão para você, caso você estiver acessando uma máquina remotamente com o Remote Desktop Connection.

No caso dos firewalls, existe a questão de se saber se o tráfego de filtros de firewall é de entrada, saída ou ambos. Alguns firewalls, como o firewall incluído no XP, não tem capacidade para policiar efetivamente as conexões de saída, e acaba focando na filtragem do tráfego de entrada que não é autorizado. Ou seja, qualquer pacote de entrada que não está relacionado a uma conexão que você já estabeleceu como um cliente é bloqueada.

A análise do negócio envolvido é crucial para o tipo e posicionamento do firewall utilizado. Imagine um ambiente o qual os serviços críticos para o negócio encontram-se na DMZ. Podemos utilizar 2 firewalls, sendo que um deles está exclusivamente dedicado para monitorar as regras da DMZ, enquanto o outro está focado na rede interna. Já em um ambiente em que a fuga de informações é de extrema importância, um firewall com foco nas regras de saída é mais indicado.

O que se deve compreender é que o firewall é parte da segurança e não a segurança em si. Da mesma forma que acontece em um prédio, por exemplo: muros, portões, câmeras de vigilância e alarmes fazem a segurança de maneira conjunta, havendo menos eficiência se apenas um ou outro item for utilizado.

CTA MSS Real Protect