Um firewall pode ser baseado em software ou hardware baseado usado para ajudar a manter a rede segura. O seu principal objetivo está em de controlar o tráfego da rede de entrada e saída através da análise dos pacotes de dados com base em conjunto de regras pré-determinada. O firewall estabelece ponte entre rede interna e externa, como a internet, por exemplo, que não simboliza ambiente com alto nível de segurança. Muitos computadores e sistemas operacionais incluem firewalls baseados em software para proteção contra ameaças da internet. Roteadores passam dados entre redes para conter componentes de firewall, que podem executar funções básicas de roteamento.
Roteadores e Firewall
O termo firewall originalmente se referia a um muro destinado a confinar o fogo ou incêndio potencial dentro de um edifício. Posteriormente utilizações referem-se a estruturas semelhantes, tais como a folha de metal que separa o compartimento do motor de um veículo ou de uma aeronave a partir do compartimento de passageiros. Tecnologia firewall surgiu ao final de 1980, quando a Internet era tecnologia nova em termos de uso e conectividade global. Antecessores firewalls para segurança de rede foram os roteadores usados no final dos anos oitenta. O primeiro artigo publicado referente ao termo foi no ano de 1988, quando os engenheiros da Digital Equipment desenvolveram sistemas de filtros conhecidos como pacotes firewalls.
Bill Cheswick e Steve Bellovin: Laboratórios Bell
Este sistema bastante básico foi primeira geração do que se tornou a principal característica de segurança técnica envolvida com a internet. Nos Laboratórios Bell, da AT & T, Bill Cheswick e Steve Bellovin continuavam a pesquisa em filtragem de pacotes ao desenvolver modelo de trabalho para a própria empresa com base na arquitetura original da primeira geração. Os filtros de pacotes agem inspecionando os “pacotes” de transferência entre computadores na Internet. Se coincidir com o conjunto de filtro de pacotes de regras, eles podem cair (silenciosamente descartar) ou rejeitar (descartar e enviar “respostas de erro” para a fonte) o pacote. Este tipo de filtragem de pacotes não presta atenção se pacote faz parte de córrego existente no tráfego (ou seja, não armazena nenhuma informação sobre o “estado” da conexão). Em vez disso, filtra cada pacote com base apenas no conjunto informático contido no pacote próprio.
Bill Cheswick e Steve Bellovin: Laboratórios Bell
Protocolos Firewalls
Protocolos TCP e UDP constituem na maioria da comunicação através da Internet, e porque tráfego deles usa por convenção algumas portas conhecidas para determinados tipos de tráfego, um filtro de pacotes “sem estado” pode distinguir os controles do tipo de tráfego. Firewalls de filtragem estão nas três primeiras camadas do modelo de referência OSI, o que significa que a maior parte do trabalho é feita entre rede e camadas físicas, com um pouco de espreitar para a camada de transporte ao descobrir números de porta de origem e destino.
Segunda Geração: Filtros Stateful
De 1989-1990 três colegas da AT & T Bell Laboratories, Dave Presetto, Janardan Sharma e Kshitij Nigam, desenvolveram a segunda geração de firewalls, chamando-os de circuito de nível. A segunda geração de firewalls executa o trabalho dos antecessores de primeira geração, mas operam até a camada4 (camada de transporte) do modelo OSI. Isto é conseguido através de pacotes de retenção até que haja informação suficiente disponível para fazer julgamento sobre o estado. Conhecida como Stateful Packet Inspection, grava todas as ligações que passam e determinam se o pacote representa início da conexão. Apesar de regras estáticas ainda serem usadas, estas regras podem agora conter estado de conexão como critérios de teste. Certos da negação de serviço os ataques bombardeiam o firewall com milhares de pacotes de conexão falsos para executar massacres, preenchendo a memória de estado de conexão.
Terceira Geração: Camada de Aplicação
Marcus Ranum, Xu Wei e Pedro Churchyard desenvolveram firewall de aplicativo conhecido como Toolkit (FWTK). Em junho de 1994, Xu Wei estendeu o FWTK com o aprimoramento do Kernel do filtro de IP e da tomada transparente. Este foi conhecido como o primeiro firewall de aplicação transparente lançado como produto comercial. Firewall foi classificado como um dos o número 1 durante 1995-1998. O principal benefício da aplicação de camada de filtragem pode “entender” certas aplicações e protocolos, tais como:
- File Transfer Protocol (FTP)
- Domain Name System (DNS)
- Hypertext Transfer Protocol (HTTP)
Funcionalidade útil capaz de detectar protocolo indesejado a tentar ignorar o firewall em porta permitida ou detectar se o protocolo está sendo abusado de alguma forma prejudicial. A partir de 2012, o chamado firewall de próxima geração (NGFW) nada mais é do que o aprofundamento do pedido de inspeção em pilha. Existem diferentes tipos de firewalls, dependendo de onde a comunicação está ocorrendo, onde é interceptada e do estado em que está sendo rastreados.
Camada de Rede ou Pacote dos Filtros
Firewalls de camada de rede, também chamado de filtros de pacotes, operam em nível baixo do TCP / IP na pilha de protocolo, não permitindo que os pacotes passem pelo firewall, a menos que corresponda ao conjunto de regras estabelecidas. O administrador pode definir as regras padrões a serem aplicadas. O “filtro de pacotes” surgiu no contexto de sistemas operacionais BSD. Possuem duas subcategorias, com “estado” e “sem estado”. Stateful firewalls mantêm o contexto sobre sessões ativas e usam as “informações de estado” para acelerar o processamento de pacotes. Qualquer conexão de rede existente pode ser descrito por várias propriedades, incluindo fonte e endereço IP de destino, portas UDP, TCP e na fase atual de vida da conexão.
Camada de Rede ou Pacote dos Filtros
Se o pacote não corresponder à conexão existente, será avaliado de acordo com o conjunto de regras para novas conexões. Se o pacote corresponde à conexão existente em base na comparação com a mesa do firewall do estado, será permitida a passagem sem transformação. Firewall requer menos memória e pode ser mais rápido para filtros simples que requerem menos tempo para filtrar do que olhar à sessão. Eles também podem ser necessários para a filtragem de protocolos de rede sem estado que não possuem conceito de sessão. No entanto, não podem tomar decisões mais complexas com base no que as comunicações alcançadas entre hosts estágio.
Artigo escrito por Renato Duarte Plantier
