top of page
Buscar

Firewalls: O que São e Como Funcionam

Atualizado: 20 de jun. de 2024


Firewalls: O que São e Como Funcionam

Firewall - O que É e o que Faz?

Este dispositivo vem sendo usado desde o começo dos anos 90, e ultimamente tem passado por uma evolução tecnológica bastante grande.


Ele é a primeira linha de defesa contra ataques cibernéticos, fazendo a interceptação do tráfego. Pode ser composto só de hardware, software+hardware ou só software.


Basicamente, o firewall filtra e controla o tráfego que entra ou sai de uma rede - os chamados “pacotes”, e é configurado de acordo com as Políticas de Segurança da empresa.


Estas políticas impõem regras de acesso a este tráfego. Essas ações restritivas são chamadas de “Access Control Lists”, em português “Listas de Controle de Acesso”.


Os pacotes vindos da rede insegura (internet) são chamados de “Inbound”. Os pacotes que saem da rede segura (LAN) são chamados de “Outbound”.


O uso de firewalls é essencial quando se implementa um projeto de segurança visando Defesa em Profundidade.


Além do firewall, a segmentação da rede faz parte desta camada lógica de proteção.


Tipos Básicos de Firewall

Os Firewalls podem ser categorizados em 2 tipos básicos:

  • Stateless: Nesta 1ª geração de firewalls, a filtragem dos pacotes prioriza a inspeção dos dados e os endereços de origem e de destino (IPs), além de analisar os Ports de serviços

  • Stateful: Na 2ª geração, além de analisar o tráfego conforme acima, estes dispositivos analisam os estados das conexões Inbound e Outbound.

Os firewalls Stateful são configurados de forma que todas as conexões sejam registradas e identificadas, de acordo com uma Tabela de Rastreamento ativa no dispositivo (RAM).


Como os Pacotes são Tratados

É importante saber que cada pacote possui um cabeçalho - chamado de “Header”, e que esse cabeçalho pode conter informações diferentes.


Quando um firewall inspeciona um pacote, ele verifica esse cabeçalho.


Geralmente ele informa os endereços de origem (source) e destino (destination), o protocolo usado na conexão (TCP, UDP, ICMP, etc) e o número do Port.


Existem 3 diferentes modos de tratar um pacote que entra ou sai, de acordo com o cabeçalho:

  • Allow (Permitir)

  • Block (Bloquear)

  • Drop (Descartar)

Na tabela de rastreamento, as regras são definidas, e cada pacote que entra é comparado às configurações.


Caso as características do pacote coincidirem com alguma das regras estipuladas, a ação que foi definida para determinada regra será executada.


Caso contrário, o pacote será descartado e o próximo pacote será verificado na sequência. Veja na imagem como é o funcionamento básico de um firewall:


Esquema do funcionamento de firewall - verificação de protocolos, Ports e regras estipuladas

Os 4 Estados de uma Conexão

Conexão é a comunicação (via internet) entre máquinas/interfaces - geralmente cliente/servidor ou usuários de intranet. Existem quatro tipos de estados de uma conexão:

  1. New (Nova): Trata-se de uma conexão nova, iniciada pelo pacote, ou uma conexão na qual ainda não se tenham observado pacotes em ambas as direções

  2. Established (Estabelecida): O pacote faz parte de uma conexão previamente estabelecida

  3. Related (Relacionada): O pacote faz uma conexão que é relacionada à outra já existente, como numa conexão FTP

  4. Invalid (Inválida): O pacote não foi identificado em nenhuma conexão existente na Tabela de Rastreamento de Conexões


A 3ª Geração de Firewalls

Como vimos, a 1ª geração de dispositivos controlava o tráfego levando em consideração os IPs e Ports. Hoje em dia, até o tipo de conteúdo é verificado e analisado.


Com o crescente aumento do uso da internet pelas empresas e usuários comuns, novas funções tiveram que ser implementadas na 1ª geração de firewalls.


Isto porquê, com as ameaças constantes à segurança do ambiente cibernético, a identificação e mitigação dessas novas ameaças forçou a implementação da 2ª e 3ª gerações de firewalls.


Alguns firewalls bloqueiam o tráfego com base em protocolos vulneráveis - como o ICMP (tráfego PING). Anti-virus também podem ser instalados num firewall.


Os firewalls da 3ª geração também são conhecidos como Application Firewalls, Application-Layer Gateways, ou como Proxy-Based ou Reverse-Proxy.


Eles conseguem detectar de onde está vindo o tráfego (Torrent, YouTube, Skype, etc).


Além disso, identificam e inspecionam websites, aplicações ou serviços que se utilizam de técnicas de mascaramento, como criptografia e Ports não-padrão.


Aplicam regras mais específicas para certos tipos comuns de ataque ou malware. Conseguem detectar padrões e bloquear domínios, malwares e spams.


Alguns ainda fazem a validação das informações do usuário - obtidas através dos servidores de autenticação corporativa, usando outro método de autenticação, antes de liberar o acesso.


Firewalls Next-Generation

Os firewalls tradicionais, também conhecidos como “legacy”, apresentam vulnerabilidades em face ao atual cenário de cyber ameaças.


Usuários cada vez mais querem acessar aplicações usando uma ampla variedade de dispositivos, entretanto tomando quase nenhuma medida de segurança.


Os firewalls “Próxima Geração” inspecionam o tráfego - incluindo as aplicações (APP-ID), ameaças (conhecidas e desconhecidas) e conteúdo (Content-ID).


Tudo isso é associado ao respectivo usuário (User-ID), independentemente de sua localização ou de qual dispositivo esteja usando (laptop, smartphone, etc).


Alguns fornecedores dessa solução são: Palo Alto, Juniper, Cisco, além de soluções em Nuvem (Cloud-Based) como o Cloud-Flare.


Versões destes firewalls podem ser encontradas em forma de hardware, virtualizados ou 5G-Ready.


A Visão adotada pela CyberSegurança

Em relação à filtragem dos pacotes, os profissionais de CyberSegurança sempre levam em consideração os pilares da Segurança da Informação: Confidencialidade, Integridade e Disponibilidade dos dados.


O fato é que, quando se trata de Segurança da Informação, a tratativa sempre é restritiva por padrão. Adota-se o “Zero Trust Security Model” - Modelo de Segurança Zero Confiabilidade.


Ou seja, não se questiona quais conexões devem ser liberadas, mas sim assume-se que todas elas devem ser bloqueadas, liberando o estritamente necessário, de acordo com as Políticas de Segurança.


Descartam-se todos os pacotes que não correspondem a quaisquer das regras estipuladas. Esse processo é conhecido como “White Listing”.


Além disso, é imprescindível configurar o firewall de forma que os logs (trilhas para auditoria) sejam gerados. Todos as tentativas de conexão são armazenadas para posterior verificação.


Prós e Contras do Uso de Firewalls

Existem vários tipos de firewalls: Network/Port-Based, Personal/Host-Based, Operating System e os chamados HIPS (Host-Based Intrusion Prevention Systems).


No entanto, é dito que um firewall só é bom se as regras que ele especifica estiverem apropriadamente determinadas.


A força da sua lista de endereços/IPs controlados ajuda a aumentar a força do firewall.

Mas existem outros pontos a levar em consideração, como:

  • A quantidade e os tipos de dispositivos conectados

  • O aumento dos ataques cibernéticos - em frequência, variedade e sofisticação

  • Novas vulnerabilidades que ainda não tiveram seus padrões detectados

  • Brechas de segurança em dispositivos IoT

  • Quantidade de regras estipuladas, evitando dispêndio de muitos recursos

Pelo que vimos, os contras na verdade não existem. O que pode acontecer são más configurações e falhas na estipulação das regras de acesso.


Ou seja, apesar de ser um dispositivo/software, a ação do firewall ainda depende de intervenção humana.


Para escolher um equipamento ou solução tecnológica, precisamos aprender, pesquisar e estar atualizados.


NOS VEMOS NOS PRÓXIMOS POSTS!

2023 - Criado e Desenvolvido por TheWebGuardian - Blog Informativo sem fins lucrativos.

bottom of page