Firewall

Os sistemas de firewall nasceram no final dos anos 80, fruto da necessidade de criar restrição de acesso entre as redes existentes.

Nesta época a expansão das redes acadêmicas e militares, que culminou com a formação da ARPANET e, posteriormente, a Internet e a popularização dos primeiros computadores tornou-se um prato cheio para a incipiente comunidade hacker.

Casos de invasões de redes, de acessos indevidos a sistemas e de fraudes em sistemas de telefonia começaram a surgir, e foram retratados no filme Jogos de Guerra ("War Games"), de 1983. Em 1988, administradores de rede identificaram o que se tornou a primeira grande infestação de vírus de computador e que ficou conhecido como Internet Worm.

Em menos de 24 horas, o worm escrito por Robert T. Morris Jr disseminou-se por todos os sistemas da então existente Internet (formado exclusivamente por redes de ensino e governamentais), provocando um verdadeiro "apagão" na rede.

Primeira Geração (Filtros de Pacotes)

* A tecnologia foi disseminada em 1988 através de pesquisa sustentada pela DEC;

* Bill Cheswick e Steve Bellovin da AT&T desenvolvem o primeiro modelo para prova de conceito;

* O modelo tratava-se de um filtro de pacotes responsável pela avaliação de pacotes do conjunto de protocolos TCP/IP;

* Apesar do principal protocolo de transporte TCP orientar-se a um estado de conexões, o filtro de pacotes não tinha este objetivo inicialmente (uma possível vulnerabilidade);

Até hoje, este tipo de tecnologia é adotada em equipamentos de rede para permitir configurações de acesso simples (as chamadas "listas de acesso" ou "access lists").
 
O ipchains é exemplo recente de um firewall que utiliza a tecnologia desta geração. Hoje o "ipchains" foi substituído pelo iptables que é nativo do Linux e com maiores recursos.

Regras Típicas na Primeira Geração

* Restringir tráfego baseado no endereço IP de origem ou destino;
* Restringir tráfego através da porta (TCP ou UDP) do serviço.

Segunda Geração (Filtros de Estado de Sessão)

* A tecnologia foi disseminada a partir de estudo desenvolvido no começo dos anos 90 pelo Bell Labs;
* Pelo fato de o principal protocolo de transporte TCP orientar-se por uma tabela de estado nas conexões, os filtros de pacotes não eram suficientemente efetivos se não observassem estas características;
* Foram chamados também de firewall de circuito.

Regras Típicas na Segunda Geração

* Todas as regras da 1.ª Geração;
* Restringir o tráfego para início de conexões (NEW);
* Restringir o tráfego de pacotes que não tenham sido iniciados a partir da rede protegida (ESTABLISHED);
* Restringir o tráfego de pacotes que não tenham número de sequência corretos.

FireWall StateFull:

Armazena o estado das conexões e filtra com base nesse estado. Três estados para uma conexão: – NEW: Novas conexões;- – ESTABLISHED: Conexões já estabelecidas; – RELATED: Conexões relacionadas a outras existentes.

Terceira Geração (Gateway de Aplicação – OSI)

* Baseado nos trabalhos de Gene Spafford (co-autor do livro Practical Unix and Internet Security), Marcos Ranum (fundador da empresa TIS), e Bill Cheswick;

* Também são conhecidos como "Firewall de Aplicação" ou "Firewall Proxy";
* Foi nesta geração que se lançou o primeiro produto comercial em 13 de Junho de 1991—o SEAL da DEC;

* Diversos produtos comerciais surgiram e se popularizaram na década de 90, como os firewalls Raptor, Gauntlet (que tinha sua versão gratuita batizada de TIS) e Sidewinder, entre outros;

* Não confundir com o conceito atual de [[Firewall de Aplicação]]:

Firewalls de camada de Aplicação eram conhecidos desta forma por implementarem o conceito de Proxy e de controle de acesso em um único dispositivo (o Proxy Firewall), ou seja, um sistema capaz de receber uma conexão, decodificar protocolos na camada de aplicação e interceptar a comunicação entre cliente/servidor para aplicar regras de acesso;

Regras Típicas na Terceira Geração

* Todas as regras das gerações anteriores;
* Restringir acesso FTP a usuários anônimos;
* Restringir acesso HTTP para portais de entretenimento;
* Restringir acesso a protocolos desconhecidos na porta 443 (HTTPS).

Quarta Geração e subsequentes

* O firewall consolida-se como uma solução comercial para redes de comunicação TCP/IP;
* Diversas empresas como StoneSoft, Fortinet, SonicWALL, Juniper, Checkpoint e Cisco desenvolvem soluções que ampliam características anteriores:
* Stateful Inspection para inspecionar pacotes e tráfego de dados baseado nas características de cada aplicação, nas informações
associadas a todas as camadas do modelo OSI (e não apenas na camada de rede ou de aplicação) e no estado das conexões e sessões ativas;
* Prevenção de Intrusão para fins de identificar o abuso do protocolo TCP/IP mesmo em conexões aparentemente legítimas;
* Deep Packet Inspection associando as funcionalidades do Stateful Inspection com as técnicas dos dispositivos IPS;
* A partir do início dos anos 2000, a tecnologia de Firewall foi aperfeiçoada para ser aplicada também em estações de trabalho e computadores domésticos (o chamado "Firewall Pessoal"), além do surgimento de soluções de firewall dedicado a servidores e aplicações específicas (como servidores Web e banco de dados).

Classificação

Os sistemas firewall podem ser classificados da seguinte forma:

*Filtros de Pacotes

Estes sistemas analisam individualmente os pacotes à medida em que estes são transmitidos, verificando as informações das camada de enlace (camada 2 do modelo ISO/OSI) e de rede (camada 3 do modelo ISO/OSI).

As regras podem ser formadas indicando os endereços de rede (de origem e/ou destino) e as portas TCP/IP envolvidas na conexão.

A principal desvantagem desse tipo de tecnologia para a segurança reside na falta de controle de estado do pacote, o que permite que agentes maliciosos possam produzir pacotes simulados (com endereço IP falsificado, técnica conhecida como IP Spoofing), fora de contexto ou ainda para serem injetados em uma sessão válida.

Esta tecnologia foi amplamente utilizada nos equipamentos de 1a.Geração (incluindo roteadores), não realizando nenhum tipo de decodificação do protocolo ou análise na camada de aplicação.

Proxy Firewall ou Gateways de Aplicação

Os conceitos de gateways de aplicação (application-level gateways) e "bastion hosts" foram introduzidos por Marcus Ranum em 1995.

Trabalhando como uma espécie de eclusa, o firewall de proxy trabalha recebendo o fluxo de conexão, tratando as requisições como se fossem uma aplicação e originando um novo pedido sob a responsabilidade do mesmo firewall (non-transparent proxy) para o servidor de destino.

A resposta para o pedido é recebida pelo firewall e analisada antes de ser entregue para o solicitante original.

Visualizações: 100518

Pages: 1 2

Pages ( 1 of 2 ): 1 2Next »