Firewall

Os gateways de aplicações conectam as redes corporativas à Internet através de estações seguras (chamadas de bastion hosts) rodando aplicativos especializados para tratar e filtrar os dados (os proxy firewalls).

Estes gateways, ao receberem as requisições de acesso dos usuários e realizarem uma segunda conexão externa para receber estes dados, acabam por esconder a identidade dos usuários nestas requisições externas, oferecendo uma proteção adicional contra a ação dos crackers.

Desvantagens

* Para cada novo serviço que aparece na Internet, o fabricante deve desenvolver o seu correspondente agente de Proxy. Isto pode demorar meses, tornando o cliente vulnerável enquanto o fabricante não liberta o agente específico.

A instalação, manutenção e atualização dos agentes do Proxy requerem serviços especializados e podem ser bastante complexos e caros;

* Os proxies introduzem perda de desempenho na rede, já que as mensagens devem ser processadas pelo agente do Proxy.

Por exemplo, o serviço FTP manda um pedido ao agente do Proxy para FTP, que por sua vez interpreta a solicitação e fala com o servidor FTP externo para completar o pedido;

* A tecnologia atual permite que o custo de implementação seja bastante reduzido ao utilizar CPUs de alto desempenho e baixo custo, bem como sistemas operacionais abertos (Linux), porém, exige-se manutenção específica para assegurar que seja mantido nível de segurança adequado (ex.: aplicação de correções e configuração adequada dos servidores).

Stateful Firewall (Firewall de Estado de Sessão)

Os firewalls de estado foram introduzidos originalmente em 1991 pela empresa DEC com o produto SEAL, porém, não foi até 1994, com os israelenses da Checkpoint, que a tecnologia ganharia maturidade suficiente.

O produto Firewall-1 utilizava a tecnologia patenteada chamada de Stateful Inspection, que tinha capacidade para identificar o protocolo dos pacotes transitados e "prever" as respostas legítimas.

Na verdade, o firewall guardava o estado de todas as últimas transações efetuadas e inspecionava o tráfego para evitar pacotes ilegítimos.

Posteriormente surgiram vários aperfeiçoamentos, que introduziram o Deep Packet Inspection, também conhecido como tecnologia SMLI (Stateful Multi-Layer Inspection), ou seja Inspeção de Total de todas as camadas do modelo ISO/OSI (7 camadas).

Esta tecnologia permite que o firewall decodifique o pacote, interpretando o tráfego sob a perspectiva do cliente/servidor, ou seja, do protocolo propriamente dito e inclui técnicas específicas de identificação de ataques.

Com a tecnologia SMLI/Deep Packet Inspection, o firewall utiliza mecanismos otimizados de verificação de tráfego para analisá-los sob a perspectiva da tabela de estado de conexões legítimas.

Simultaneamente, os pacotes também vão sendo comparados a padrões legítimos de tráfego para identificar possíveis ataques ou anomalias.

A combinação permite que novos padrões de tráfegos sejam entendidos como serviços e possam ser adicionados às regras válidas em poucos minutos.

Supostamente a manutenção e instalação são mais eficientes (em termos de custo e tempo de execução), pois a solução se concentra no modelo conceitual do TCP/IP.

Porém, com o avançar da tecnologia e dos padrões de tráfego da Internet, projetos complexos de firewall para grandes redes de serviço podem ser tão custosos e demorados quanto uma implementação tradicional.

Firewall de Aplicação

Com a explosão do comércio eletrônico, percebeu-se que mesmo a última tecnologia em filtragem de pacotes para TCP/IP poderia não ser tão efetiva quanto se esperava.

Com todos os investimentos dispendidos em tecnologia de stateful firewalls, os ataques continuavam a prosperar de forma avassaladora. Somente a filtragem dos pacotes de rede não era mais suficiente.

Os ataques passaram a se concentrar nas características (e vulnerabilidades) específicas de cada aplicação. Percebeu-se que havia a necessidade de desenvolver um novo método que pudesse analisar as particularidades de cada protocolo e tomar decisões que pudessem evitar ataques maliciosos contra uma rede.

Apesar de o projeto original do TIS Firewall concebido por Marcos Ranum já se orientar a verificação dos métodos de protocolos de comunicação, o conceito atual de Firewall de Aplicação nasceu principalmente pelo fato de se exigir a concentração de esforços de análise em protocolos específicos, tais como servidores Web e suas conexões de hipertexto HTTP.

A primeira implementação comercial nasceu em 2000 com a empresa israelense Sanctum, porém, o conceito ainda não havia sido amplamente difundido para justificar uma adoção prática.

Se comparado com o modelo tradicional de Firewall — orientado a redes de dados, o Firewall de Aplicação é frequentemente instalado junto à plataforma da aplicação, atuando como uma espécie de procurador para o acesso ao servidor (Proxy).

Alguns projetos de código-aberto, como por exemplo o ModSecurity[2] para servidores Apache, têm por objetivo facilitar a disseminação do conceito para as aplicações Web.

Vantagens

* Pode suprir a deficiência dos modelos tradicionais e mapear todas as transações específicas que acontecem na camada da aplicação Web proprietária;

* Por ser um terminador do tráfego SSL, pode avaliar hipertextos criptografadas (HTTPS) que originalmente passariam despercebidos ou não analisados por firewalls tradicionais de rede;

Desvantagens

* Pelo fato de embutir uma grande capacidade de avaliação técnica dos métodos disponibilizados por uma aplicação (Web), este tipo de firewall exige um grande poder computacional—geralmente traduzido para um grande custo de investimento;

Fonte:  CpdDigital

---