| Linha 21: | Linha 21: | ||
= Arquitetura = | = Arquitetura = | ||
<br> | <br> | ||
Dual-Homed host architecture | |||
É a arquitetura formada por um equipamento que tem duas interfaces de rede e funciona como um separador entre as duas redes. Os sistemas internos têm de ser conectados ao firewall para que possam se comunicar com os servidores externos e vice-versa, mas nunca diretamente. Assim, as comunicações são realizadas por meio de proxies ou conexões em duas etapas, nas quais o usuário se conecta primeiramente ao host dual-homed, para depois se conectar ao servidor externo. Essa última abordagem causa problemas, principalmente para o usuário, pois o processo de acesso externo não é transparente, o que acaba influindo na produtividade dos usuários. A desvantagem mais expressiva, por sua vez, é que qualquer problema com o dual-homed - uma invasão, por exemplo - pode pôr em risco a segurança da rede ou mesmo paralisar o tráfego. Por esta razão, o seu uso pode não ser adequado em redes cujo acesso à internet é essencial. | |||
Screened host architecture | |||
Essa arquitetura é formada por um filtro de pacotes e um bastion host. O filtro deve ter regras que permitam o tráfego para a rede interna somente por meio do bastion host, de modo que os usuários externos que queiram acessar um sistema da rede interna devem, primeiramente, se conectar ao bastion host. O bastion host pode funcionar também como um proxy, exigindo, assim, que os usuários internos acessem a Internet por meio dele. Outra possibilidade é a de usuários internos acessarem serviços externos por meio de regras no filtro de pacotes do bastion host. Essas duas possibilidades também podem ser mescladas, resultando no firewall híbrido. | |||
Perceba então que se trata de uma camada extra de segurança: a comunicação ocorre no sentido rede interna - bastion host - screening router - rede externa e vice-versa. | |||
Caso o bastion host ofereça serviços para a Internet, como um servidor Web, o filtro de pacotes deve permitir o acesso a ele somente na porta TCP correspondente, que é a porta 80, no caso do HTTP. Um problema que pode ocorrer nessa arquitetura é que, se o bastion host for comprometido, o invasor já estará dentro da rede interna da organização. Outro problema é que o filtro de pacotes e o bastion host formam um único ponto de falha, de modo que, se ele for atacado, a comunicação da organização com a Internet ficará comprometida e a rede interna ficará à mercê do invasor. | |||
Screened Subnet architecture | |||
Essa arquitetura aumenta o nível de segurança com relação à arquitetura screened host ao adicionar a rede DMZ (Demilitarized Zone - Zona Desmilitarizada). Se, antes, um ataque ao bastion host significava que o invasor já estaria com a rede interna disponível para ele, isso não ocorre na arquitetura screened subnet. O bastion host fica na DMZ, que é uma zona de confinamento entre a rede externa e a rede interna, que fica entre dois filtros. A DMZ evita que um ataque ao bastion host resulte, por exemplo, na utilização de um sniffer para a captura de pacotes de usuários internos. Um ponto importante da arquitetura é a definição dos filtros internos e externos. | |||
Note que esta arquitetura se mostra bastante segura, uma vez que, caso o invasor passe pelo primeiro roteador, terá ainda que lidar com a zona desmilitarizada. Esta inclusive pode ser configurada de diversas formas, com a implementação de proxies ou com a adição de mais bastion hosts para lidar com requisições específicas, por exemplo. | |||
Qualquer falha em sua definição ou implementação pode resultar em uma falsa sensação de segurança. O filtro externo deve permitir o tráfego dos serviços disponíveis na DMZ, bem como o tráfego das requisições dos usuários internos. Já o filtro interno deve permitir somente a passagem das requisições e respostas dos serviços permitidos para os usuários internos. Permitir o tráfego do bastion host para a rede interna poderia comprometer a segurança da rede interna, caso ele seja atacado, além de ser desnecessário. Uma variação muito comum dessa arquitetura é a utilização de um equipamento com três interfaces de rede, uma para a rede externa, outra para a rede interna e a terceira para a rede DMZ . Os filtros funcionariam em cada interface, sendo, portanto, conceitualmente, uma arquitetura screened subnet. | |||
O nível segurança e a flexibilidade de configuração fazem da Screened Subnet uma arquitetura normalmente mais complexa e, consequentemente, mais cara. | |||
Firewall cooperativo | |||
O firewall cooperativo é uma arquitetura em que são inseridos novos componentes, como a VPN, o IDS e a PKI. As três arquiteturas clássicas tratam de questões importantes, e na arquitetura do firewall cooperativo, elas serão estendidas às situações encontradas em ambientes cooperativos. A utilização de proxies na arquitetura, por exemplo, vem sendo bem empregada nas organizações. Os firewalls internos também têm uma importância cada vez maior dentro das organizações, ao separar e filtrar as comunicações entre departamentos internos diferentes. No contexto dos ambientes cooperativos, essa importância é maior ainda, pois trabalhos colaborativos entre duas organizações diferentes, por exemplo, podem requerer uma arquitetura mais bem elaborada, caracterizada pelo ‘muro’ cada vez mais complexo que deve proteger a organização. Os bolsões de segurança mostram de forma clara a situação encontrada no exemplo dos trabalhos colaborativos. | |||
= Tipos = | = Tipos = | ||
Edição das 07h50min de 25 de abril de 2016
Esta pesquisa deve fornecer um conteúdo atualizado sobre o tema acima. Não esqueça de incluir as referëncias (fontes) no último item, reforçando que não deve ser um Copy/Paste e sim uma síntese das pesquisas que fizer.
Conceito
Firewall é um software ou um hardware que verifica informações provenientes da Internet ou de uma rede, e as bloqueia ou permite que elas cheguem ao seu computador, dependendo das configurações do firewall.
Um firewall pode ajudar a impedir que hackers ou softwares mal-intencionados (como worms) obtenham acesso ao seu computador através de uma rede ou da Internet. Um firewall também pode ajudar a impedir o computador de enviar software mal-intencionado para outros computadores.
Outros conceitos importantes
- Filtros: Os filtros realizam o roteamento de pacotes de maneira seletiva, ou seja, aceitam ou descartam pacotes por meio da análise das informações de seus cabeçalhos. Essa decisão é tomada de acordo com as regras de filtragem definidas na política de segurança da organização. Os filtros podem, além de analisar os pacotes comparando um conjunto de regras de filtragem estáticas com as informações dos cabeçalhos dos mesmos, tomar decisões com base nos estados das conexões.
- Proxies: Os proxies são sistemas que atuam como um gateway entre duas redes, permitindo as requisições dos usuários internos e as respostas dessas requisições, de acordo com a política de segurança definida. Eles podem atuar simplesmente como um relay, podendo também realizar uma filtragem mais apurada dos pacotes, por atuar na camada de aplicação do modelo International Organization for Standadization/Open Systems Interconnection (ISO/OSI).
- Bastion Hosts: Os bastion hosts são os equipamentos em que são instalados os serviços a serem oferecidos para a Internet. Como estão em contato direto com as conexões externas, os bastion hosts devem ser protegidos da melhor maneira possível. Essa máxima proteção possível significa que o bastion host deve executar apenas os serviços e aplicações essenciais, bem como executar sempre a última versão desses serviços e aplicações, sempre com os patches de segurança instalados imediatamente após sua criação.
- Zona desmilitarizada: A zona desmilitarizada (DeMilitarized Zone — DMZ), ou perimeter network, é uma rede que fica entre a rede interna, que deve ser protegida, e a rede externa. Essa segmentação faz com que, caso algum equipamento dessa rede desmilitarizada (um bastion host) seja comprometido, a rede interna continue intacta e segura.
Arquitetura
Dual-Homed host architecture
É a arquitetura formada por um equipamento que tem duas interfaces de rede e funciona como um separador entre as duas redes. Os sistemas internos têm de ser conectados ao firewall para que possam se comunicar com os servidores externos e vice-versa, mas nunca diretamente. Assim, as comunicações são realizadas por meio de proxies ou conexões em duas etapas, nas quais o usuário se conecta primeiramente ao host dual-homed, para depois se conectar ao servidor externo. Essa última abordagem causa problemas, principalmente para o usuário, pois o processo de acesso externo não é transparente, o que acaba influindo na produtividade dos usuários. A desvantagem mais expressiva, por sua vez, é que qualquer problema com o dual-homed - uma invasão, por exemplo - pode pôr em risco a segurança da rede ou mesmo paralisar o tráfego. Por esta razão, o seu uso pode não ser adequado em redes cujo acesso à internet é essencial.
Screened host architecture
Essa arquitetura é formada por um filtro de pacotes e um bastion host. O filtro deve ter regras que permitam o tráfego para a rede interna somente por meio do bastion host, de modo que os usuários externos que queiram acessar um sistema da rede interna devem, primeiramente, se conectar ao bastion host. O bastion host pode funcionar também como um proxy, exigindo, assim, que os usuários internos acessem a Internet por meio dele. Outra possibilidade é a de usuários internos acessarem serviços externos por meio de regras no filtro de pacotes do bastion host. Essas duas possibilidades também podem ser mescladas, resultando no firewall híbrido. Perceba então que se trata de uma camada extra de segurança: a comunicação ocorre no sentido rede interna - bastion host - screening router - rede externa e vice-versa. Caso o bastion host ofereça serviços para a Internet, como um servidor Web, o filtro de pacotes deve permitir o acesso a ele somente na porta TCP correspondente, que é a porta 80, no caso do HTTP. Um problema que pode ocorrer nessa arquitetura é que, se o bastion host for comprometido, o invasor já estará dentro da rede interna da organização. Outro problema é que o filtro de pacotes e o bastion host formam um único ponto de falha, de modo que, se ele for atacado, a comunicação da organização com a Internet ficará comprometida e a rede interna ficará à mercê do invasor.
Screened Subnet architecture
Essa arquitetura aumenta o nível de segurança com relação à arquitetura screened host ao adicionar a rede DMZ (Demilitarized Zone - Zona Desmilitarizada). Se, antes, um ataque ao bastion host significava que o invasor já estaria com a rede interna disponível para ele, isso não ocorre na arquitetura screened subnet. O bastion host fica na DMZ, que é uma zona de confinamento entre a rede externa e a rede interna, que fica entre dois filtros. A DMZ evita que um ataque ao bastion host resulte, por exemplo, na utilização de um sniffer para a captura de pacotes de usuários internos. Um ponto importante da arquitetura é a definição dos filtros internos e externos. Note que esta arquitetura se mostra bastante segura, uma vez que, caso o invasor passe pelo primeiro roteador, terá ainda que lidar com a zona desmilitarizada. Esta inclusive pode ser configurada de diversas formas, com a implementação de proxies ou com a adição de mais bastion hosts para lidar com requisições específicas, por exemplo. Qualquer falha em sua definição ou implementação pode resultar em uma falsa sensação de segurança. O filtro externo deve permitir o tráfego dos serviços disponíveis na DMZ, bem como o tráfego das requisições dos usuários internos. Já o filtro interno deve permitir somente a passagem das requisições e respostas dos serviços permitidos para os usuários internos. Permitir o tráfego do bastion host para a rede interna poderia comprometer a segurança da rede interna, caso ele seja atacado, além de ser desnecessário. Uma variação muito comum dessa arquitetura é a utilização de um equipamento com três interfaces de rede, uma para a rede externa, outra para a rede interna e a terceira para a rede DMZ . Os filtros funcionariam em cada interface, sendo, portanto, conceitualmente, uma arquitetura screened subnet. O nível segurança e a flexibilidade de configuração fazem da Screened Subnet uma arquitetura normalmente mais complexa e, consequentemente, mais cara.
Firewall cooperativo
O firewall cooperativo é uma arquitetura em que são inseridos novos componentes, como a VPN, o IDS e a PKI. As três arquiteturas clássicas tratam de questões importantes, e na arquitetura do firewall cooperativo, elas serão estendidas às situações encontradas em ambientes cooperativos. A utilização de proxies na arquitetura, por exemplo, vem sendo bem empregada nas organizações. Os firewalls internos também têm uma importância cada vez maior dentro das organizações, ao separar e filtrar as comunicações entre departamentos internos diferentes. No contexto dos ambientes cooperativos, essa importância é maior ainda, pois trabalhos colaborativos entre duas organizações diferentes, por exemplo, podem requerer uma arquitetura mais bem elaborada, caracterizada pelo ‘muro’ cada vez mais complexo que deve proteger a organização. Os bolsões de segurança mostram de forma clara a situação encontrada no exemplo dos trabalhos colaborativos.
Tipos
Classificação
Softwares
Benefícios
Desvantagens