Você provavelmente sabe que precisa da segurança de um firewall e já possui um programa de gerenciamento do firewall em andamento. Mas o que de fato é segurança de firewall e o que o gerenciamento de um firewall envolve?

A palavra firewall originalmente se refere a um muro (original em inglês), que possui como propósito deter o avanço de um incêndio. Em um mundo digital, o firewall se refere a um dispositivo de rede que bloqueia certos tipos de tráfego, formando uma barreira entre uma rede confiável e uma não confiável.

 

Como funciona um gerenciamento de firewall?

Um programa de gerenciamento de firewall pode ser configurado de duas formas básicas:

  • Uma política default de bloqueio. O administrador lista o que é permitido, todo o resto é bloqueado.
  • Uma política default de permissão. O administrador precisa listar o que deve ser bloqueado, todo o resto é aceito.

Uma política default de bloqueio é sem dúvidas mais segura, mas devido à dificuldade de se configurar e gerenciar uma rede nesse formato, muitos administradores acabam optando pela permissão default. Vamos imaginar por um momento que o seu gerenciamento de firewall utiliza uma política de bloqueio, e você possui apenas alguns serviços permitidos que você quer que os usuários tenham acesso. Por exemplo: você possui um servidor web que você deseja que o usuário geral possa acessar. O que acontece em seguida depende de que tipo de segurança firewall você possui.

 

Packet Filtering Firewall

Esse tipo de firewall possui uma lista de regras de segurança que podem bloquear o tráfego baseado em protocolo de IP, endereço IP e/ou número da porta. Sob esse programa de gerenciamento de firewall, todo tráfego web será permitido, incluindo ataques. Nessa situação, é imprescindível contrar com um IPS em adição ao firewall, de forma a poder diferenciar o tráfego positivo do negativo.

Um firewall de filtro de tráfego não tem como ver a diferença. Um problema adicional com os firewalls de filtro de tráfego é que ele não pode ver a diferença entre um pacote legítimo que retorna e um pacote que se disfarça e diz ser de uma conexão já estabelecida, o que significa que seu sistema de gerenciamento de firewall vai permitir os dois tipos de pacotes na rede.

 

Stateful Firewall

Esse é semelhante ao firewall de pacotes, mas é mais inteligente ao manter a observação sobre as conexões ativas, de forma que você pode definir regras como “apenas permita pacotes na rede que são parte de uma conexão outbound já estabelecida”. Você soluciona a questão da conexão estabelecida, descrito anteriormente, mas ainda não consegue dizer a diferença entre tráfego bom e ruim. Ainda é necessário a presença de um IPS para detectar e bloquear ataques.

 

Deep Packet Inspection Firewall

Um firewall de aplicação de fato examina o dado contido no pacote, de forma que pode procurar por ataques em camadas contidos nas aplicações. Esse tipo de segurança de firewall é similar às tecnologias de IPS, de forma que pode ser capaz de oferecer funcionalidades semelhantes.

Contudo, existem três “poréns”: primeiro, para alguns fabricantes, a definição de “deep” se estende para algum ponto particular no pacote e não necessariamente examina todo o pacote. Isso pode acabar resultando na aceitação de alguns ataques mais elaborados. Em segundo lugar, dependendo do hardware, um firewall pode não ter o poder de processamento necessário para lidar com o deep packet inspection para sua rede. Confira quanto de banda o equipamento pode suportar enquanto realiza esse tipo de função. Por fim, pode ser que firewalls que possuam essa funcionalidade integrada não consigam lidar com todos os tipos de ataque.

 

Application-Aware Firewall

Semelhante ao deep packet inspection, só que o firewall compreende alguns protocolos e pode analisá-los, de forma que as assinaturas ou regras podem endereçar alguns campos específicos no protocolo. A flexibilidade desse tipo de proteção é grande e permite que as assinaturas e as regras sejam tanto específicas quanto compreensivas. Não existem problemas específicos para essa abordagem da segurança, que em geral, é uma melhora do deep packet firewall. Contudo, alguns ataques podem passar despercebidos (falsos negativos), porque as rotinas de segurança não são robustas o suficiente para lidar com as variações de tráfego do mundo real.

 

Application Proxy Firewall

Um application proxy firewall atua como um intermediário para o tráfego de certas aplicações (como HTTP, web, outros), interceptando todas as requisições e validando-as antes de repassá-las. Novamente, um application proxy firewall é similar a certos tipos de IPS. A implementação de um application proxy completo é difícil, e cada proxy atua somente com um tipo de protocolo (web, email, outros).

Para um application proxy firewall ser efetivo, ele precisa compreender e assegurar que as violações de protocolo sejam bloqueadas. Como as implementações de protocolos sendo examinados muitas vezes não seguem o protocolo corretamente, ou porque adicionam suas próprias extensões ao protocolo, isso pode resultar no firewall bloqueando tráfego válido (falsos positivos).

Confira também:

Faça um upgrade em sua segurança com um Next-Generation Firewall