Se você já usa a Internet há algum tempo e, especialmente, se trabalha em uma grande empresa e navega na Web enquanto está no trabalho, provavelmente já ouviu o termo firewall sendo usado. Por exemplo, você costuma ouvir pessoas em empresas dizerem coisas como: “Não posso usar esse site pois eles não o deixam passar pelo firewall”.

Veja também o que é um Hardware!

Além disso, se você tem uma conexão rápida com a Internet em sua casa (uma conexão DSL ou um modem a cabo), pode ter ouvido falar sobre firewalls para sua rede doméstica também. Acontece que uma pequena rede doméstica tem muitos dos mesmos problemas de segurança de uma grande rede corporativa. Portanto, você pode usar um firewall para proteger sua rede doméstica e sua família de sites ofensivos e hackers em potencial.

Basicamente, um firewall é uma barreira para manter as forças destrutivas longe de sua propriedade. Na verdade, é por isso que é chamado de firewall.  Seu trabalho é semelhante a um firewall físico (bombeiro) que impede que um incêndio se espalhe de uma área para outra. Dessa forma, ao ler este artigo, você aprenderá mais sobre firewalls, como funcionam e de quais tipos de ameaças podem protegê-lo.

O que é um Firewall?

Firewall o que é: saiba mais sobre o assunto! – Foto: Reprodução/Tecjump

Um firewall é um sistema que fornece segurança de rede ao filtrar o tráfego de rede de entrada e saída com base em um conjunto de regras definidas pelo usuário. Em geral, o objetivo de um firewall é reduzir ou eliminar a ocorrência de comunicações de rede indesejadas, permitindo que todas as comunicações legítimas fluam livremente. Na maioria das infraestruturas de servidor, os firewalls fornecem uma camada essencial de segurança que, combinada com outras medidas, evita que invasores acessem seus servidores de maneiras maliciosas.

Pacotes de rede TCP

Firewall o que é: saiba mais sobre o assunto! - Foto: Reprodução/TI Fácil
Firewall o que é: saiba mais sobre o assunto! – Foto: Reprodução/TI Fácil

Antes de discutir os diferentes tipos de firewalls, vamos dar uma olhada rápida na aparência do tráfego de rede do Protocolo de Controle de Transporte (TCP).

O tráfego de rede TCP se move em torno de uma rede em pacotes, que são contêineres que consistem em um cabeçalho de pacote – isso contém informações de controle, como endereços de origem e destino e informações de sequência de pacote – e os dados (também conhecidos como carga útil). Embora as informações de controle em cada pacote ajudem a garantir que seus dados associados sejam entregues corretamente, os elementos que eles contêm também fornecem aos firewalls uma variedade de maneiras de comparar os pacotes com as regras do firewall.

É importante observar que o recebimento bem-sucedido dos pacotes TCP de entrada exige que o receptor envie pacotes de confirmação de saída de volta ao remetente. A combinação das informações de controle nos pacotes de entrada e saída pode ser usada para determinar o estado da conexão (por exemplo, novo, estabelecido, relacionado) entre o emissor e o receptor.

Tipos de Firewalls

Firewall o que é: saiba mais sobre o assunto! - Foto: Reprodução/DBios
Firewall o que é: saiba mais sobre o assunto! – Foto: Reprodução/DBios

Vamos discutir rapidamente os três tipos básicos de firewalls de rede: filtragem de pacotes (sem estado), com estado e camada de aplicativo.

Filtragem de pacotes, ou firewalls sem estado, funcionam inspecionando pacotes individuais de forma isolada. Portanto, como tal, eles não sabem do estado da conexão e só podem permitir ou negar pacotes com base em cabeçalhos de pacotes individuais.

Por outro lado, os firewalls com estado são capazes de determinar o estado da conexão dos pacotes, o que os torna muito mais flexíveis do que os firewalls sem estado. Eles trabalham coletando pacotes relacionados até que o estado da conexão possa ser determinado antes que qualquer regra de firewall seja aplicada ao tráfego.

Por fim, os firewalls de aplicativo vão um passo além ao analisar os dados transmitidos, o que permite que o tráfego da rede seja comparado com as regras de firewall específicas de serviços ou aplicativos individuais. Além disso, eles também são conhecidos como firewalls baseados em proxy.

Além do software de firewall, que está disponível em todos os sistemas operacionais modernos, a funcionalidade de firewall também pode ser fornecida por dispositivos de hardware, como roteadores ou dispositivos de firewall. Nossa discussão se concentrará em firewalls de software com estado que são executados nos servidores que pretendem proteger.

Regras de firewall

Firewall o que é: saiba mais sobre o assunto! – Foto: Reprodução/Linux

Conforme mencionado acima, o tráfego de rede que atravessa um firewall é comparado com regras para determinar se deve ser permitido ou não. Uma maneira fácil de explicar a aparência das regras de firewall é mostrar alguns exemplos, então faremos isso agora.

Exemplo

Suponha que você tenha um servidor com esta lista de regras de firewall que se aplicam ao tráfego de entrada:

  1. Aceite o tráfego de entrada novo e estabelecido para a interface de rede pública nas portas 80 e 443 (tráfego da web HTTP e HTTPS);
  2. Rejeite o tráfego de entrada de endereços IP de funcionários não técnicos em seu escritório para a porta 22 (SSH);
  3. Aceite o tráfego de entrada novo e estabelecido do intervalo de IP do seu escritório para a interface de rede privada na porta 22 (SSH).

Aceitar, rejeitar ou abandonar

Observe que a primeira palavra em cada um desses exemplos é “aceitar”, “rejeitar” ou “abandonar”. Isso especifica a ação que o firewall deve realizar caso uma parte do tráfego da rede corresponda a uma regra. Aceitar significa permitir a passagem do tráfego, rejeitar significa bloquear o tráfego, mas responder com um erro “inacessível” e descartar significa bloquear o tráfego e não enviar resposta. Por fim, o resto de cada regra consiste na condição em que cada pacote é correspondido.

Acontece que o tráfego de rede é comparado a uma lista de regras de firewall em uma sequência, ou cadeia, do primeiro ao último. Mais especificamente, assim que uma regra é correspondida, a ação associada é aplicada ao tráfego de rede em questão. Em nosso exemplo, se um funcionário da contabilidade tentasse estabelecer uma conexão SSH com o servidor, ele seria rejeitado com base na regra 2, antes mesmo que a regra 3 fosse verificada. Um administrador de sistema, entretanto, seria aceito porque corresponderia apenas à regra 3.

Política padrão

Firewall o que é: saiba mais sobre o assunto! – Foto: Reprodução/Kondado

É típico que uma cadeia de regras de firewall não cubra explicitamente todas as condições possíveis. Por esse motivo, as cadeias de firewall sempre devem ter uma política padrão especificada, que consiste apenas em uma ação (aceitar, rejeitar ou descartar).

Suponha que a política padrão para a cadeia de exemplo acima tenha sido definida como descartar. Se qualquer computador fora do escritório tentar estabelecer uma conexão SSH com o servidor, o tráfego será interrompido porque não atende às condições de nenhuma regra.

Se a política padrão fosse definida para aceitar, qualquer pessoa, exceto seus próprios funcionários não técnicos, seria capaz de estabelecer uma conexão com qualquer serviço aberto em seu servidor. Portanto, este seria um exemplo de um firewall muito mal configurado porque mantém apenas um subconjunto de seus funcionários fora.

Tráfego de entrada e saída

Firewall o que é: saiba mais sobre o assunto! - Foto: Reprodução/Kondado
Firewall o que é: saiba mais sobre o assunto! – Foto: Reprodução/Wix

Como o tráfego de rede, da perspectiva de um servidor, pode ser de entrada ou de saída, um firewall mantém um conjunto distinto de regras para ambos os casos. Dessa forma, o tráfego originado em outro lugar, o tráfego de entrada, é tratado de maneira diferente do tráfego de saída que o servidor envia. É típico que um servidor permita a maior parte do tráfego de saída porque o servidor geralmente é, para si mesmo, confiável. Ainda assim, o conjunto de regras de saída pode ser usado para evitar comunicação indesejada no caso de um servidor ser comprometido por um invasor ou executável malicioso.

Para maximizar os benefícios de segurança de um firewall, você deve identificar todas as maneiras pelas quais deseja que outros sistemas interajam com seu servidor, criar regras que as permitam explicitamente e, em seguida, eliminar todo o outro tráfego. Portanto, lembre-se de que as regras de saída apropriadas devem estar em vigor para que um servidor se permita enviar confirmações de saída para quaisquer conexões de entrada apropriadas. Além disso, como um servidor normalmente precisa iniciar seu próprio tráfego de saída por vários motivos – por exemplo, baixar atualizações ou conectar-se a um banco de dados – é importante incluir esses casos em seu conjunto de regras de saída também.

Escrevendo Regras de Saída

Firewall o que é: saiba mais sobre o assunto! - Foto: Reprodução/Infraestrutura de TI
Firewall o que é: saiba mais sobre o assunto! – Foto: Reprodução/Infraestrutura de TI

Suponha que nosso firewall de exemplo esteja configurado para interromper o tráfego de saída por padrão. Isso significa que nossas regras de aceitação de entrada seriam inúteis sem regras de saída complementares.

Para complementar o exemplo de regras de firewall de entrada (1 e 3), na seção Regras de firewall, e permitir a comunicação adequada nesses endereços e portas, poderíamos usar estas regras de firewall de saída:

  1. Aceite o tráfego de saída estabelecido para a interface de rede pública nas portas 80 e 443 (HTTP e HTTPS);
  2. Aceite o tráfego de saída estabelecido para a interface de rede privada na porta 22 (SSH);

Portanto, observe que não precisamos escrever explicitamente uma regra para o tráfego de entrada que é descartado (regra de entrada 2) porque o servidor não precisa estabelecer ou reconhecer essa conexão.

Por que segurança de firewall?

Firewall o que é: saiba mais sobre o assunto! – Foto: Reprodução/Lumiun

Existem muitas maneiras “criativas” que criminosos usam para acessar ou abusar de computadores desprotegidos:

Login remoto

Quando alguém consegue se conectar ao seu  computador e controlá-lo de alguma forma. Isso pode variar desde a capacidade de visualizar ou acessar seus arquivos até a execução de programas em seu computador.

Backdoors de aplicativos

Alguns programas têm recursos especiais que permitem acesso remoto. Além disso, outros contêm bugs que fornecem uma porta dos fundos, ou acesso oculto, que fornece algum nível de controle do programa.

Sequestro de sessão SMTP

o SMTP é o método mais comum de envio de e-mail pela Internet. Portanto, ao obter acesso a uma lista de endereços de e-mail, uma pessoa pode enviar lixo eletrônico não solicitado (spam) para milhares de usuários. Isso é feito muitas vezes redirecionando o e-mail através do servidor SMTP de um host desavisado, dificultando o rastreamento do remetente real do spam.

Bugs do sistema operacional

Como os aplicativos, alguns sistemas operacionais têm backdoors. Além disso, outros fornecem acesso remoto com controles de segurança insuficientes ou têm bugs dos quais um hacker experiente pode tirar proveito.

Negação de serviço

Você provavelmente já ouviu essa frase usada em reportagens sobre ataques aos principais sites. Portanto, esse tipo de ataque é quase impossível de combater. O que acontece é que o hacker envia uma solicitação ao servidor para se conectar a ele. Quando o servidor responde com uma confirmação e tenta estabelecer uma sessão, ele não consegue encontrar o sistema que fez a solicitação. Ao inundar um servidor com essas solicitações de sessão irrespondíveis, um hacker faz com que o servidor fique lento e “rasteje” ou, eventualmente, trave.

Bombas por e-mail

Uma bomba por e-mail geralmente é um ataque pessoal. Dessa forma, alguém lhe envia o mesmo e-mail centenas ou milhares de vezes até que o seu sistema de e-mail não aceite mais mensagens.

Macros

Para simplificar procedimentos complicados, muitos aplicativos permitem que você crie um script de comandos que o aplicativo pode executar. Dessa forma, este script é conhecido como macro. Os hackers aproveitaram isso para criar suas próprias macros que, dependendo do aplicativo, podem destruir seus dados ou travar seu computador.

Vírus

Provavelmente a ameaça mais conhecida são os vírus de computador. Um vírus é um pequeno programa que pode se auto-copiar em outros computadores. Dessa forma, ele pode se espalhar rapidamente de um sistema para o outro. Além disso, os vírus variam de mensagens inofensivas ao apagamento de todos os seus dados.

Spam

Normalmente inofensivo, mas sempre irritante, o spam é o equivalente eletrônico do lixo eletrônico. O spam pode ser perigoso. Frequentemente, contém links para sites. Tenha cuidado ao clicar neles porque você pode aceitar acidentalmente um cookie que fornece uma porta dos fundos para o seu computador.

Bombas de redirecionamento 

Os hackers podem usar o ICMP para alterar (redirecionar) o caminho que as informações percorrem, enviando-as para um roteador diferente. Portanto, esta é uma das maneiras de configurar um ataque de negação de serviço.

Roteamento de origem

Na maioria dos casos, o caminho que um pacote percorre na Internet (ou qualquer outra rede) é determinado pelos roteadores ao longo desse caminho. Mas a fonte que fornece o pacote pode especificar arbitrariamente a rota que o pacote deve percorrer. Às vezes, os hackers tiram vantagem disso para fazer com que as informações pareçam vir de uma fonte confiável ou mesmo de dentro da rede! A maioria dos produtos de firewall desabilita o roteamento de origem por padrão.

Alguns dos itens na lista acima são difíceis, senão impossíveis, de filtrar usando um firewall. Embora alguns firewalls ofereçam proteção antivírus, vale a pena investir para instalar um software antivírus em cada computador. E, mesmo que seja irritante, algum spam vai passar pelo seu firewall, desde que você aceite o e-mail.

O nível de segurança que você estabelecer determinará quantas dessas ameaças podem ser interrompidas pelo seu firewall. O nível mais alto de segurança seria simplesmente bloquear tudo. Obviamente, isso vai contra o propósito de ter uma conexão com a Internet. Mas uma regra comum é bloquear tudo e, em seguida, começar a selecionar os tipos de tráfego que você permitirá. Além disso, você também pode restringir o tráfego que passa pelo firewall para que apenas certos tipos de informações, como e-mail, possam passar. Essa é uma boa regra para empresas que têm um administrador de rede experiente que entende quais são as necessidades e sabe exatamente qual tráfego permitir.

Gostou? O que achou? Deixe seu comentário. Além disso, não se esqueça de entrar no nosso grupo do Telegram. É só clicar em “Canal do Telegram” que está localizado no canto superior direito da página!