Firewall: significado e definição
Um firewall é um sistema de segurança de rede de computadores que restringe o tráfego da Internet para, de ou em uma rede privada.
Esse software ou unidade de hardware-software dedicada funciona bloqueando ou permitindo pacotes de dados seletivamente. Normalmente, seu objetivo é ajudar a evitar atividades mal-intencionadas e impedir que qualquer pessoa, dentro ou fora de uma rede privada, realize atividades não autorizadas na Web.
O que é um firewall?
Os firewalls podem ser vistos como barreiras ou gateways que gerenciam o percurso de atividades da Web permitidas e proibidas em uma rede privada. O termo vem do conceito de paredes físicas como barreiras para retardar a propagação do fogo até que os serviços de emergência possam extingui-lo. Em comparação, os firewalls de segurança de rede são usados para gerenciamento de tráfego da Web. Normalmente, são destinados a retardar a propagação de ameaças da Web.
Os firewalls criam "pontos de obstrução" para afunilar o tráfego da Web, em que ele é analisado de acordo com um conjunto de parâmetros programados e medidas adequadas são tomadas. Alguns firewalls também rastreiam o tráfego e as conexões em registros de auditoria para referenciar o que foi permitido ou bloqueado.
Normalmente, os firewalls são usados para delimitar as fronteiras de uma rede privada ou dos dispositivos host dela. Assim, os firewalls são uma ferramenta de segurança na categoria mais ampla de controle de acesso de usuário. Essas barreiras costumam ser configuradas em dois locais: em computadores dedicados na rede ou nos computadores dos usuários e em outros endpoints (hosts).
Como funcionam os firewalls?
O firewall decide qual tráfego de rede pode passar e qual tráfego é considerado perigoso. Basicamente, ele atua como um filtro, separando o que é bom do que é ruim, o confiável do não confiável. No entanto, antes de entrarmos em detalhes, é útil entender a estrutura das redes baseadas na Web.
O objetivo dos firewalls é proteger as redes privadas e os dispositivos de endpoint contidos nelas, que são conhecidos como hosts de rede. Os hosts de rede são dispositivos que "conversam" com outros hosts na rede. Eles enviam e recebem entre redes internas, bem como saída e entrada entre redes externas.
Os computadores e outros dispositivos de endpoint usam redes para ter acesso à Internet e uns aos outros. Porém, a Internet é segmentada em sub-redes para garantir segurança e privacidade. Os segmentos básicos de sub-rede são os seguintes:
- Redes públicas externas normalmente consistem na Internet pública/global ou em várias extranets.
- Rede privada interna define uma rede doméstica, intranets corporativas e outras redes "fechadas".
- Redes de perímetro detalham redes de fronteira que consistem de hosts bastiões: hosts de computador dedicados com segurança reforçada que estão prontos para resistir a ataques externos. Sendo um espaço seguro entre redes internas e externas, elas também podem ser usadas para hospedar os serviços externos fornecidos pela rede interna (ou seja, servidores para Web, e-mail, FTP, VoIP etc.). São mais seguras do que as redes externas, porém menos seguras do que as internas. Nem sempre estão presentes em redes mais simples, como redes domésticas, mas podem ser usadas com frequência em intranets organizacionais ou nacionais.
Roteadores de filtragem são computadores de gateway especializados colocados em uma rede para segmentá-la. São conhecidos como firewalls domésticos no nível de rede. Os dois modelos de segmento mais comuns são o firewall de host com filtragem e o firewall de sub-rede com filtragem:
- Firewalls de host com filtragem usam um único roteador de filtragem entre as redes externas e internas. Essas são as duas sub-redes desse modelo.
- Firewalls de sub-rede com filtragem usam dois roteadores de filtragem: um conhecido como roteador de acesso entre as redes externa e de perímetro e outro conhecido como roteador interno entre o perímetro e a rede interna. Isso cria três sub-redes, respectivamente.
Tanto o perímetro da rede quanto as próprias máquinas host podem conter um firewall. Para isso, ele é colocado entre um único computador e sua conexão com uma rede privada.
- Firewalls de rede envolvem a aplicação de um ou mais firewalls entre redes externas e redes privadas internas. Eles regulam o tráfego de rede de entrada e saída, separando redes públicas externas, como a Internet global, de redes internas, como redes Wi-Fi domésticas, intranets corporativas ou intranets nacionais. Os firewalls de rede podem ser qualquer um dos seguintes tipos de dispositivos: hardware dedicado, software e virtual.
- Firewalls de host ou "firewalls de software" envolvem o uso de firewalls em dispositivos de usuários individuais e outros endpoints de rede privada como uma barreira entre dispositivos na rede. Esses dispositivos, ou hosts, recebem regulação personalizada de tráfego de e para aplicativos de computador específicos. Os firewalls de host podem ser executados em dispositivos locais, como um serviço do sistema operacional ou um aplicativo de segurança de endpoint. Os firewalls de host também podem investigar mais profundamente o tráfego da Web, filtrando com base em HTTP e outros protocolos de rede. Assim, é possível gerenciar qual conteúdo chega à sua máquina, em vez de apenas a origem dele.
Um firewall de rede requer configuração para um amplo escopo de conexões, enquanto um firewall de host pode ser adaptado para atender às necessidades de cada máquina. No entanto, os firewalls de host exigem mais esforço para serem personalizados. Isso significa que os firewalls baseados em rede são ideais para proporcionar uma solução de controle abrangente. Porém, o uso de ambos os firewalls em ambos os locais simultaneamente é ideal para um sistema de segurança em vários níveis.
A filtragem de tráfego por meio de um firewall utiliza regras predefinidas ou dinamicamente aprendidas para permitir e negar tentativas de conexão. Essas regras são a maneira como o firewall regula o fluxo de tráfego da Web por meio da rede privada e dos dispositivos de computador privados. Independentemente do tipo, todos os firewalls podem filtrar por meio de alguma combinação dos seguintes itens:
- Origem: de onde a tentativa de conexão está sendo feita.
- Destino: para onde se destina uma tentativa de conexão.
- Conteúdo: o que a tentativa de conexão está tentando enviar.
- Protocolos de pacote: que "linguagem" a tentativa de conexão está usando para transmitir a mensagem. Entre os protocolos de rede que os hosts usam para "conversar" uns com os outros, os protocolos TCP/IP são usados principalmente para se comunicar pela Internet e em uma intranet ou sub-redes.
- Protocolos de aplicativos: os protocolos comuns incluem HTTP, Telnet, FTP, DNS e SSH.
A origem e o destino são comunicados por endereços e portas de protocolo de Internet (IP). Os endereços IP são nomes de dispositivos exclusivos para cada host. As portas são um subnível de qualquer dispositivo host de origem e destino, semelhante a escritórios em um prédio. Em geral, as portas são atribuídas a propósitos específicos. Portanto, certos protocolos e endereços IP que usam portas incomuns ou desabilitadas podem ser uma fonte de preocupação.
Usando esses identificadores, um firewall pode decidir se um pacote de dados que tenta uma conexão deve ser descartado silenciosamente ou com uma resposta de erro ao remetente ou se deve ser encaminhado.
Tipos de firewall
Diferentes tipos de firewalls incorporam diversos métodos de filtragem. Embora cada tipo tenha sido desenvolvido para suplantar as gerações anteriores de firewalls, grande parte da tecnologia central foi transmitida entre gerações.
Os tipos de firewall são diferenciados por sua abordagem de:
- Rastreamento de conexão
- Regras de filtragem
- Registros de auditoria
Cada tipo opera em um nível diferente do modelo de comunicação padronizado, o modelo Open Systems Interconnection (OSI). Esse modelo fornece uma visão melhor de como cada firewall interage com as conexões.
Firewall de filtragem estática de pacotes
Os firewalls de filtragem estática de pacotes, também conhecidos como firewalls de inspeção sem estado, operam na camada de rede OSI (camada 3). Oferecem filtragem básica verificando todos os pacotes de dados individuais enviados por uma rede, com base na origem deles e para onde estão tentando ir. Particularmente, as conexões aceitas anteriormente não são rastreadas. Isso significa que cada conexão deve ser aprovada novamente com cada pacote de dados enviado.
A filtragem se baseia em endereços IP, portas e protocolos de pacote. No mínimo, esses firewalls impedem que duas redes se conectem diretamente sem permissão.
As regras de filtragem são definidas com base em uma lista de controle de acesso criada manualmente. São muito rígidas, e é difícil abranger adequadamente o tráfego indesejado sem comprometer a capacidade de uso da rede. A filtragem estática requer revisão manual contínua para ser usada de forma eficaz. Isso pode ser administrável em redes pequenas, mas pode se tornar rapidamente difícil em redes maiores.
A incapacidade de ler protocolos de aplicativo significa que o conteúdo de uma mensagem entregue em um pacote não pode ser lido. Sem ler o conteúdo, os firewalls de filtragem de pacotes têm qualidade de proteção limitada.
Firewall de gateway em nível de circuito
Os gateways de nível de circuito operam no nível de sessão (camada 5). Esses firewalls verificam pacotes funcionais em uma tentativa de conexão e, se funcionarem bem, permitirão uma conexão aberta persistente entre as duas redes. O firewall para de supervisionar a conexão depois que isso ocorre.
Além da sua abordagem às conexões, o gateway no nível de circuito pode ser semelhante a firewalls de proxy.
A conexão contínua não monitorada é perigosa, pois meios legítimos podem abrir a conexão e, posteriormente, permitir a entrada ininterrupta de um agente mal-intencionado.
Firewall de inspeção com estado
Os firewalls de inspeção com estado, também chamados de firewalls de filtragem dinâmica de pacotes, se diferenciam da filtragem estática por sua capacidade de monitorar conexões em andamento e se lembrar das anteriores. Anteriormente, operavam na camada de transporte (camada 4), mas, hoje em dia, esses firewalls podem monitorar muitas camadas, inclusive a de aplicativo (camada 7).
Assim como o firewall de filtragem estática, os firewalls de inspeção com estado permitem ou bloqueiam o tráfego com base em propriedades técnicas, como protocolos de pacotes específicos, endereços IP ou portas. No entanto, esses firewalls também rastreiam e filtram exclusivamente com base no estado das conexões usando uma tabela de estados.
Esse firewall atualiza as regras de filtragem com base em eventos de conexão anteriores registrados na tabela de estado pelo roteador de filtragem.
Geralmente, as decisões de filtragem são baseadas nas regras do administrador ao configurar o computador e o firewall. No entanto, a tabela de estado permite que esses firewalls dinâmicos tomem suas próprias decisões com base em interações anteriores com as quais "aprenderam". Por exemplo, os tipos de tráfego que causaram interrupções no passado serão filtrados no futuro. A flexibilidade da inspeção com estado a consolidou como um dos tipos de proteção mais difundidos.
Firewall de proxy
Os firewalls de proxy, também conhecidos como firewalls de nível de aplicativo (camada 7), são únicos no que se refere à leitura e à filtragem de protocolos de aplicativos. Eles combinam inspeção em nível de aplicativo, ou "inspeção profunda de pacotes (DPI)" e inspeção com estado.
Um firewall de proxy é tão parecido com uma barreira física real quanto possível. Diferentemente de outros tipos de firewalls, ele atua como dois hosts adicionais entre redes externas e computadores host internos, com um como representante (ou "proxy") para cada rede.
A filtragem se baseia em dados de nível de aplicativo, em vez de apenas endereços IP, portas e protocolos básicos de pacotes (UDP, ICMP), como ocorre em firewalls baseados em pacotes. A leitura e a compreensão de FTP, HTTP, DNS e outros protocolos permitem a investigação mais aprofundada e a filtragem cruzada de muitas características de dados diferentes.
Como um guarda no portão, ele essencialmente analisa e avalia os dados recebidos. Se nenhum problema for detectado, os dados poderão passar para o usuário.
A desvantagem desse tipo de segurança pesada é que às vezes ela interfere nos dados recebidos que não são uma ameaça, gerando atrasos na funcionalidade.
Firewall de última geração (NGFW)
As ameaças em evolução continuam a exigir soluções mais intensas, e os firewalls de última geração estão preparados para essa questão, combinando os recursos de um firewall tradicional com sistemas de prevenção de invasões de rede.
Os firewalls de última geração específicos para determinadas ameaças foram projetados para examinar e identificar ameaças específicas, como malware avançado, em um nível mais granular. Mais usados por empresas e redes sofisticadas, eles fornecem uma solução holística para filtrar ameaças.
Firewall híbrido
Como o nome indica, os firewalls híbridos usam dois ou mais tipos de firewall em uma única rede privada.
Quem inventou os firewalls?
A invenção do firewall deve ser encarada como um processo em andamento. O motivo disso é que ela está em constante evolução, e vários criadores participaram do seu desenvolvimento e evolução.
Do final dos anos 80 até meados dos anos 90, cada criador expandiu vários componentes e versões relacionados aos firewalls antes que eles se tornassem o produto usado como base para todos os firewalls modernos.
Brian Reid, Paul Vixie e Jeff Mogul
No final da década de 80, Mogul, Reid e Vixie trabalhavam na Digital Equipment Corp (DEC) no desenvolvimento de tecnologia de filtragem de pacotes que se tornaria valiosa em futuros firewalls. Isso levou ao conceito de inspecionar conexões externas antes de entrar em contato com computadores em uma rede interna. Embora alguns possam considerar esse filtro de pacotes como o primeiro firewall, tratava-se de uma tecnologia de componentes que sustentava os verdadeiros sistemas de firewall que estavam por vir.
David Presotto, Janardan Sharma, Kshitiji Nigam, William Cheswick e Steven Bellovin
Do final dos anos 80 até o início dos anos 90, vários funcionários da AT&T Bell Labs pesquisaram e desenvolveram o conceito inicial do firewall de gateway em nível de circuito. Esse foi o primeiro firewall a inspecionar e permitir conexões contínuas, em vez de reautorizar repetidamente após cada pacote de dados. Presotto, Sharma e Nigam desenvolveram o gateway em nível de circuito entre 1989 e 1990 e foram seguidos pelo trabalho de Cheswick e Bellovin com tecnologia de firewall em 1991.
Marcus Ranum
Entre 1991 e 1992, na DEC, Ranum inventou os proxies de segurança, que se tornaram um componente vital do primeiro produto de firewall de camada de aplicativo: o Secure External Access Link (SEAL) baseado em proxy, de 1991. Essa foi uma expansão do trabalho de Reid, Vixie e Mogul na DEC e foi o primeiro firewall lançado comercialmente.
Gil Shwed e Nir Zuk
Entre 1993 e 1994, na Check Point, o fundador da empresa, Gil Shwed, e um prolífico desenvolvedor, Nir Zuk, tiveram papéis significativos no desenvolvimento do primeiro produto de firewall fácil de usar e amplamente adotado: o Firewall-1. Gil Shwed inventou e registrou a patente nos EUA da inspeção com estado, em 1993. Isso foi seguido pelo trabalho de Nir Zuk em uma interface gráfica fácil de usar para o Firewall-1 de 1994, que foi vital na adoção mais ampla de firewalls em empresas e residências para o futuro em perspectiva.
Esses desenvolvimentos foram essenciais para moldar o produto de firewall que conhecemos hoje. Cada um foi usado de alguma forma em muitas soluções de segurança virtual.
Importância dos firewalls
Qual é a finalidade de um firewall e por que eles são importantes? Redes sem proteção são vulneráveis a qualquer tráfego que tente acessar seus sistemas. Nocivo ou não, o tráfego de rede sempre deve ser inspecionado.
A conexão de computadores pessoais a outros sistemas de TI ou à Internet propicia uma série de benefícios, incluindo fácil colaboração com outras pessoas, combinação de recursos e maior criatividade. No entanto, isso pode vir ao custo de proteção completa da rede e do dispositivo. Invasões, roubo de identidade, malware e fraude on-line são ameaças comuns que os usuários podem enfrentar quando se expõem conectando seus computadores a uma rede ou à Internet.
Uma vez descobertos por um agente mal-intencionado, sua rede e seus dispositivos podem ser facilmente encontrados, rapidamente acessados e expostos a repetidas ameaças. Conexões com a Internet 24 horas por dia aumentam o risco disso (já que sua rede pode ser acessada a qualquer momento).
A proteção proativa é fundamental quando qualquer tipo de rede é usada. Usando um firewall, os usuários podem proteger sua rede contra os piores perigos.
O que a segurança do firewall faz?
O que um firewall faz e contra o que ele pode proteger? O conceito de firewall de segurança de rede destina-se a restringir a superfície de ataque da rede a um único ponto de contato. Em vez de cada host em uma rede ser exposto diretamente à internet global, primeiro todo o tráfego deve entrar em contato com o firewall. Como isso também funciona da maneira inversa, o firewall pode filtrar e bloquear o tráfego não permitido, de entrada ou de saída. Além disso, os firewalls são usados para criar uma trilha de auditoria de tentativas de conexão de rede, a fim de promover a conscientização de segurança.
Como a filtragem de tráfego pode ser um conjunto de regras estabelecido pelos proprietários de uma rede privada, isso cria casos de uso personalizados para firewalls. Os casos de uso populares envolvem o gerenciamento dos seguintes itens:
- Infiltração de agentes mal-intencionados: conexões indesejadas de uma fonte de comportamento estranho podem ser bloqueadas. Isso pode evitar espionagem e ameaças persistentes avançadas (APTs).
- Controles para pais: os pais podem impedir que seus filhos vejam conteúdo explícito na Web.
- Restrições de navegação na Web no local de trabalho: os empregadores podem impedir que os funcionários usem as redes da empresa para acessar determinados serviços e conteúdo, como mídia social.
- Intranet controlada nacionalmente: os governos nacionais podem bloquear o acesso de residentes internos a conteúdo e serviços da Web que são potencialmente dissidentes à liderança de uma nação ou a seus valores.
No entanto, os firewalls são menos eficazes nos seguintes aspectos:
- Identificar explorações de processos de rede legítimos: os firewalls não preveem a intenção humana. Portanto, não podem determinar se uma conexão "legítima" é destinada a fins mal-intencionados. Por exemplo, a fraude de endereço IP (falsificação de IP) ocorre porque os firewalls não validam os IPs de origem e destino.
- Impedir conexões que não passam pelo firewall: firewalls em nível de rede, por si sós, não impedirão a atividade interna mal-intencionada. Os firewalls internos, assim como aqueles baseados em host, precisarão estar presentes além do firewall de perímetro, para particionar a rede e retardar a propagação de "incêndios" internos.
- Fornecer proteção adequada contra malware: embora as conexões com código mal-intencionado possam ser interrompidas se não forem permitidas, uma conexão considerada aceitável ainda pode levar essas ameaças à sua rede. Se um firewall ignorar uma conexão como resultado de configuração incorreta ou exploração, um pacote de proteção antivírus ainda será necessário para limpar qualquer malware que penetrar.
Exemplos de firewall
Na prática, as aplicações reais dos firewalls têm atraído elogios e controvérsias. Embora haja um longo histórico de conquistas de firewall, esse tipo de segurança deve ser implementado corretamente para evitar explorações. Além disso, sabe-se que os firewalls têm sido usados de maneiras eticamente questionáveis.
Grande Firewall da China, censura da Internet
Desde cerca de 2000, a China tem estruturas de firewall internas para criar sua intranet cuidadosamente monitorada. Por natureza, os firewalls permitem a criação de uma versão personalizada da Internet global em uma nação. Eles fazem isso impedindo que determinados serviços e informações sejam usados ou acessados na intranet nacional.
A vigilância e a censura nacionais permitem a supressão contínua da liberdade de expressão, mantendo a imagem do seu governo. Além disso, o firewall da China permite que o governo limite os serviços de Internet a empresas locais. Isso torna o controle sobre itens como mecanismos de pesquisa e serviços de e-mail muito mais fácil de regular em favor dos objetivos do governo.
A China tem presenciado um protesto interno contínuo contra essa censura. O uso de redes privadas virtuais e proxies para ultrapassar o firewall nacional permitiu que muitos expressassem sua insatisfação.
Agência federal dos EUA relacionada à Covid-19 comprometida devido a deficiências no trabalho remoto
Em 2020, um firewall mal configurado foi apenas uma das muitas falhas de segurança que levaram à violação anônima de uma agência federal dos Estados Unidos.
Acredita-se que um agente de um estado-nação tenha explorado uma série de vulnerabilidades na segurança virtual da agência norte-americana. Entre os muitos problemas de segurança citados, o firewall em uso tinha muitas portas de saída que estavam inadequadamente abertas ao tráfego. Além de ser mal mantida, a rede da agência provavelmente enfrentou novos desafios com o trabalho remoto. Uma vez na rede, o invasor se comportou de forma a mostrar a clara intenção de aproveitar outros caminhos abertos para outras agências. Esse tipo de esforço coloca em risco de violação de segurança não apenas a agência infiltrada, mas também muitas outras.
Exploração de firewall sem patches de operador da rede elétrica dos EUA
Em 2019, um provedor de operações de rede elétrica dos Estados Unidos foi afetado por uma vulnerabilidade de negação de serviço (DoS) explorada por hackers. Os firewalls na rede de perímetro ficaram bloqueados em um loop de exploração de reinicialização por cerca de dez horas.
Mais tarde, isso foi considerado resultado de uma vulnerabilidade de firmware conhecida, mas não corrigida, nos firewalls. Um procedimento operacional padrão para verificar as atualizações antes da implementação ainda não havia sido adotado, causando atrasos nas atualizações e um inevitável problema de segurança. Felizmente, o problema de segurança não levou a nenhuma penetração significativa na rede.
Esses eventos ressaltam a importância de atualizações regulares de software. Sem elas, os firewalls são mais um sistema de segurança de rede que pode ser explorado.
Como usar a proteção por firewall
A configuração e a manutenção adequadas do firewall são essenciais para manter sua rede e seus dispositivos protegidos. Veja algumas dicas para orientar suas práticas de segurança de rede de firewall:
- Sempre atualize seus firewalls o mais rápido possível: os patches de firmware e software mantêm o firewall atualizado contra quaisquer vulnerabilidades recém-descobertas. Em geral, os usuários de firewall pessoal e doméstico podem atualizar imediatamente com segurança. Organizações maiores podem precisar verificar primeiro a configuração e a compatibilidade da rede. No entanto, todos devem ter processos em vigor para atualizar prontamente.
- Use proteção antivírus: por si sós, os firewalls não são projetados para impedir malware e outras infecções. Eles podem ultrapassar as proteções do firewall, e você precisará de uma solução de segurança projetada para desabilitá-los e removê-los. O Kaspersky Premium pode protegê-lo em seus dispositivos pessoais, e nossas muitas soluções de segurança empresarial podem proteger qualquer host de rede que você queira manter em segurança.
- Limite portas e hosts acessíveis com uma lista de permissões: padrão para negação de conexão para tráfego de entrada. Limite as conexões de entrada e saída a uma lista de permissões restrita de endereços IP confiáveis. Reduza os privilégios de acesso do usuário às necessidades. É mais fácil manter a segurança habilitando o acesso quando necessário do que revogar e mitigar danos após um incidente.
- Rede segmentada: o movimento lateral de agentes mal-intencionados é um perigo claro que pode ser refreado com a limitação interna da comunicação cruzada.
- Tenha redundâncias de rede ativas para evitar tempo de inatividade: backups de dados para hosts de rede e outros sistemas essenciais podem evitar perda de dados e produtividade durante um incidente.
O Kaspersky Endpoint Security recebeu três prêmios AV-TEST pelo melhor desempenho, proteção e capacidade de uso para um produto de segurança de endpoint corporativo em 2021. Em todos os testes, o Kaspersky Endpoint Security apresentou excelente desempenho, proteção e capacidade de uso para empresas.
Links relacionados: