Firewalls

Os firewalls são outro dispositivo protetores para redes que estarão no caminho de um pentester ou atacante. Os firewalls representam uma barreira ou delineamento lógico entre duas zonas ou áreas de confiança. Em sua forma mais simples, a implementação de um firewall representa a barreira entre uma rede privada e uma rede pública, mas as coisas podem ficar muito mais complicadas a partir daí.

Para a maior parte, nós nos referimos a firewalls como um conceito abstrato, mas na vida real um firewall pode ser um software ou um dispositivo de hardware.

Ao discutir firewalls, é importante entender como eles funcionam e sua colocação em uma rede. Um firewall é um conjunto de programas e serviços localizados no ponto de bloqueio, conhecido por choke point (o local onde o tráfego entra e sai da rede). Ele foi projetado para filtrar todo o tráfego fluindo para dentro e para fora e determinar se esse tráfego deve ser autorizado a continuar. Em muitos casos, o firewall é colocado a uma distância de recursos importantes para que, no caso de comprometer recursos-chave não são afetados negativamente. Se você tomar cuidado o suficiente e fazer o planejamento adequado, juntamente com uma dose saudável de testes, apenas o tráfego que é explicitamente permitido passar será capaz de fazê-lo, com todos os outros tráfego será negado no firewall.

Firewalls também pode ser pensado como um segregador de diferentes zonas de confiança. Isto significa que se você tem duas redes diferentes ou áreas que têm diferentes níveis de confiança colocados sobre eles, o firewall atuará como o limite entre os dois.

Aqui estão alguns detalhes sobre firewalls para estar ciente:

  • Os firewalls são uma forma de IDS, pois todo o tráfego pode ser monitorado e registrado quando ele passa pelo firewall.
  • A configuração de um firewall é obrigatória pela política de segurança da empresa e para acompanhar os objetivos da organização;
  • Os firewalls são normalmente configurados para permitir apenas tipos específicos de tráfego, como protocolos de e-mail, protocolos web ou protocolos de acesso remoto;
  • Em alguns casos, um firewall também pode atuar como uma forma de toque do telefone, permitindo a identificação de tentativas de discar para a rede;
  • Um firewall usa regras que determinam como o tráfego será tratado. As regras existem para o tráfego que entra e sai da rede, e é possível que o tráfego de uma forma não seja permitido ir no sentido contrário;
  • Para o tráfego que passa o firewall, o dispositivo também atua como um roteador, ajudando a guiar o fluxo de tráfego entre as redes;
  • Os firewalls podem filtrar o tráfego com base em uma infinidade de critérios, incluindo destino, origem, protocolo, conteúdo ou aplicativo;
  • No caso de tráfego de natureza maliciosa tentar passar o firewall, um alarme configurado corretamente alertará um administrador do sistema ou outra pessoa, conforme necessário.

Em muitos casos, um firewall funciona em conjunto com um roteador. O motivo por trás desse layout é que colocar um roteador de borda na frente de um firewall pode ajudar a reduzir a carga feita sobre ele, permitindo que ele atue de forma mais eficiente. Também vale a pena mencionar que um NIDS também pode ser instalado ao lado de um firewall para fornecer capacidades de monitoramento adicionais e identificar o quão bem o firewall está funcionando.

Configurações do Firewall

Nem todos os firewalls ou configurações de firewall são criados igualmente, então você precisa estar familiarizado com cada configuração e como ela funciona. Firewalls podem ser configurados e organizados de várias maneiras, cada um oferecendo suas próprias vantagens e desvantagens.

Bastion Host

Um bastion host destina-se a ser o ponto através do qual o tráfego entra e sai da rede. É um sistema de computador que não hospeda nada além do que ele precisa para executar o seu papel definido, que neste caso é proteger os recursos de um ataque. Este tipo de host tem duas interfaces: uma conectada à rede pública e a outra à rede interna.

Screened subnet

Este tipo de configuração usa um único firewall com três interfaces internas. As três interfaces estão conectadas à Internet, à DMZ e à intranet, respectivamente. A vantagem óbvia desta configuração é que as áreas individuais são separadas uma da outra em virtude do fato de que cada uma delas está conectada à sua própria interface. Isto oferece a vantagem de evitar que um compromisso numa área afete uma das outras áreas.

Multihomed

Um firewall multihomed refere-se a duas ou mais redes. Cada interface é conectada ao seu próprio segmento de rede logicamente e fisicamente. Um firewall multihomed é comumente usado para aumentar a eficiência e confiabilidade de uma rede IP. Neste caso, mais de três interfaces estão presentes para permitir subdividir ainda mais os sistemas com base nos objetivos de segurança específicos da organização.

Zona desmilitarizada (DMZ)

Uma DMZ é uma zona entre as redes públicas e privadas de uma organização. Ele é usado para atuar não apenas como uma zona, mas também como uma forma de hospedar serviços que uma empresa deseja disponibilizar publicamente sem permitir o acesso direto à sua própria rede interna.

Uma DMZ é construída através do uso de um firewall. Três ou mais interfaces de rede recebem funções específicas, como rede confiável interna, rede DMZ e rede externa não confiável (Internet).

Tipos de Firewalls

Nem todos os firewalls são os mesmos, e você deve conhecer os vários tipos de firewall e ser capaz de entender como cada um funciona:

Firewall de filtragem de pacotes

Esta é talvez a forma mais simples de firewall. Ele funciona no nível de rede do modelo OSI. Normalmente, esses firewalls são construídos diretamente em um roteador como parte de seu conjunto de recursos padrão. Esse firewall compara as propriedades de um pacote, como endereço de origem e de destino, protocolo e porta. Se um pacote não corresponder a uma regra definida, ele será descartado. Se o pacote corresponder a uma regra, normalmente é permitido passar.

Circuit-Level Gateway

Esta é uma forma mais complexa de firewall que funciona na camada de sessão do modelo OSI. Um firewall de nível de circuito é capaz de detectar se uma sessão solicitada é válida verificando o handshaking TCP entre os pacotes. Estes gateways não filtram pacotes individuais.

Application-Level Firewall

Este firewall analisa as informações do aplicativo para decisões sobre a transmissão dos pacotes.

Um firewall baseado em proxy solicita que a autenticação passe os pacotes porque ele funciona na camada de Aplicação. Um proxy de cache de conteúdo otimiza o desempenho armazenando em cache informações acessadas com freqüência em vez de enviar novas solicitações para os mesmos dados para os servidores.

Stateful Multilayer Inspection Firewall

Este firewall combina os aspectos dos outros três tipos. Ele filtra os pacotes na camada de rede para determinar se os pacotes de sessão são legítimos e avalia o conteúdo dos pacotes na camada de aplicativo.

Certifique-se de conhecer os tipos de firewall e o distinguir uns dos outros. Também não se esqueça de saber qual camada do modelo OSI cada um opera e por que.

Sugestões de livros:

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado.