ARQUITETURAS DE FIREWALL

Olá amigos,

Hoje iremos falar de um assunto de suma importância no planejamento e estruturação de uma estratégia de segurança da informação, as ARQUITETURAS DE FIREWALL. Esse tema é importante, pois vai influenciar diretamente no nível de segurança que se deseja estabelecer. Esta é uma das primeiras etapas a serem planejadas quando se deseja projetar um firewall.

Para que possa entender a importância de um bom planejamento de segurança recomendo que leiam os seguintes artigos:

• Tipos de Ataques por camada - Camada Física
• Tipos de Ataques por camada - Camada de Enlace
• Tipos de Ataques por camada - Camada de Rede
• Tipos de Ataques por Camada - Camada de Transporte
• Tipos de Ataques por Camada - Camada de Aplicação
• Tipos de Atacantes - Inimigos digitais em potencial
• Estratégias de segurança e prevenção de ataques

Para manter uma padronização dos nossos artigos usaremos a seguinte estrutura:

1) Estrutura do artigo

• Introdução;
• Dual-homed host architecture;
• Screened host architecture;
• Screened subnet architecture;
•  Bibliografia.

2) Introdução

A arquitetura de um firewall é definida de acordo com as necessidades da organização, tendo tantos níveis de acesso quanto forem necessários. Descrevemos aqui diversas maneiras de reunir componentes de firewall e vamos a falar das principais características de cada arquitetura. Pode-se montar uma arquitetura eficiente utilizando técnicas de rede desmilitarizada (DMZ), os sistemas de detecção de intrusão (IDS), e muitas outras existentes no mercado. Vamos descrever aqui três arquiteturas de firewall, que são: a Dual-homed host architecture, a Screened host architecture e Screened subnet architecture.

3) Dual-homed host architecture

Esta arquitetura é formada por um computador host dual-homed, que tem pelo menos duas interfaces de rede. Um host dual-homed como firewall tem a função de roteamento desativada, ou seja, os pacotes da rede interna protegida não são encaminhados diretamente à uma rede externa ou vice-versa, mas podem se comunicar como o host dual-homed, que separam as redes e para que haja comunicação entre a rede interna e externa é necessário a intermediação de um proxy.

A arquitetura de rede para um firewall de host dual-homed que fica situado entre a internet e uma rede interna é bem simples conforme mostra abaixo.

 

 

Um host dual-homed pode fornecer serviços apenas através de proxies, uma vez que ele não realiza qualquer tipo de roteamento, ou fazendo os usuários se conectarem diretamente ao host o que também não é muito aconcelhável do ponto de vista da segurança, ou mesmo inconveniente para os usuários.

O uso de host dual-homed pode fornecer um nível alto de controle, entretanto a desvantagem clara desta arquitetura é que ele passa a ser o único ponto de falha, logo a segurança deste host deve ser absolutamente impecável. O uso apropriado dessa arquitetura é indicado para algumas das situações abaixo:

 

• 
  
  O tráfego para a Internet é pequeno.
• 
  
  O tráfego para a Internet não é crítico para os negócios.
• 
  
  Nenhum serviço está sendo oferecido a usuários baseados na Internet.
• 
  
  A rede que está sendo protegida não contém dados extremamente valiosos.

4) Screened host architecture

Na arquitetura screened host ou host com triagem, as conexões podem ser abertas da rede interna para Internet, bem como as conexões externas podem ser abertas para a rede interna de forma controlada exclusivamente para os bastion hosts (como exemplo podemos permitir conexões para o servidor web). A filtragem de pacotes acontece no firewall, também chamado de roteador de triagem, que permite apenas certos tipos de conexões, como consultas ao DNS de Internet. Um exemplo desta arquitetura é ilustrada na figura abaixo.

O bastion host deve manter um alto nível de segurança, nele esta justamente o ponto de falha desta arquitetura, caso o bastion host seja invadido, o atacante já estará dentro da rede. Outro problema é o ponto único de acesso que aumenta a probabilidade de parada total da rede. O uso apropriado desta arquitetura é quando:

• 
  
  Poucas conexões estão vindo da Internet. Não é uma arquitetura apropriada se o host de triagem é um servidor web público.
• 
  
  A rede que está sendo protegida tem um nível relativamente alto de segurança de host.

5) Screened subnet architecture

A screened subnet architecture, também conhecida como arquitetura de sub-rede com triagem, adiciona uma nova rede de perímetro, como mostra a Figura abaixo, que isola ainda mais a rede interna da Internet, mais especificamente os bastion hosts, que são máquinas vulneráveis na rede, ainda que haja os melhores esforços para protegê-los.

Nesta arquitetura é possível notar a presença de um ou mais filtro de pacotes, um para a rede interna e o outro para a rede externa, além dos bastion hosts. É muito comum encontrar roteadores de triagem com várias placas de rede. Nesse caso o bastion host fica confinado em uma área conhecida como Zona desmilitarizada (DMZ) aumentando o nível de segurança, uma vez que, para ter acesso à rede interna o atacante terá que passar por dois processos de filtragem. Vejamos outro possível uso desta arquitetura, conforme a ilustração da figura abaixo.

É preciso ficar bem atento na definição dos firewalls, pois qualquer falha pode resultar em uma falsa sensação de segurança. O firewall externo deve permitir que usuários externos tenham acesso apenas aos serviços disponibilizado na DMZ, e o firewall interno deve permitir requisições e respostas apenas aos usuários da rede interna.

Existem outras variações possíveis sobre essas arquiteturas, e uma flexibilidade no modo como você pode configurar e combinar componentes de firewall para melhor atender as necessidades e orçamento da política de segurança a ser adotada.

 

6) Bibliografia

• ZWICHY, Elizabeth D.; COOPER, Simon; CHAPMAN, D. Brent. Construindo Firewalls para a Internet. 2. ed. Rio de Janeiro: Campus, 2000.
• NAKAMURA, Emilio Tissato. Segurança de Redes em Ambientes Cooperativos. 1. Ed. São Paulo: Novatec, 2007.

Espero ter contribuido com mais um pouco de conhecimento para os amantes da segurança da informação e da tecnologia.

Você pode se cadastrar em nosso blog para receber as postagens via FEED ou via E-MAIL, para isso deverá procurar pelos campos de registro na parte superior direita do BLOG. Caso tenham alguma dúvida ou sugestão podem deixar um recado com e-mail, blog, orkut e etc.

O que acharam do artigo? Deixe seu recado informando se foi o suficiente para esclarecer suas dúvidas sobre ARQUITETURA DE FIREWALL.

Um grande ABRAÇO !!!