O que é um firewall ?
Um
firewall é qualquer dispositivo projetado para impedir que estranhos acessem
sua rede. Esse dispositivo geralmente é um computador independente
(standalone),
um roteador ou um firewall em uma caixa (dispositivo de hardware proprietário).
A unidade serve como o único ponto de entrada para seu site e avalia cada
solicitação de conexão quando é recebida. Somente solicitações de conexão
de hosts autorizados são processadas; as demais solicitações de conexão são
descartadas.
A
maioria dos firewalls realiza isso verificando o endereço de origem. Por
exemplo, se você não quer que as pessoas de www.xxx.com se conectem ao seu
site, você pode impedir seu acesso bloqueando solicitações de conexão de 200.200.200.200. Na sua ponta, eles vêem uma mensagem que informa "Conexão
Recusada" ou algo semelhante (ou é possível que eles simplesmente não
recebam nenhum aviso; sua conexão é meramente terminada).
Outras tarefas realizadas por firewalls
Os
firewalls podem analisar pacotes recebidos de vários protocolos. Com base nessa
análise, um firewall pode empreender várias ações. Os firewalls são portanto
capazes de realizar avaliações condicionais. ("Se esse tipo de pacote for
encontrado, farei isso".)
Essas
construções condicionais são chamadas regras. Geralmente, quando monta um
firewall, você o equipa com regras que espelham diretivas de acesso em sua própria
organização.
Por
exemplo, imagine que você tem dois departamentos, um de contabilidade e outro
de vendas. A diretiva da empresa exige que apenas o departamento de vendas deva
ter acesso ao seu site da Web. Para impor essa diretiva, você fornece ao seu
firewall a regra que as solicitações de conexão da contabilidade são
negadas.
A
esse respeito, os firewalls são para as redes o que os esquemas de privilégio
de usuário são para os sistemas operacionais. Por exemplo, o Windows NT
permite especificar quais usuários podem acessar um dado arquivo ou diretório.
Isso é controle de acesso arbitrário no nível do sistema operacional. De
maneira semelhante, os firewalls permitem que você aplique tal controle de
acesso para suas estações de trabalho em rede e para seu site da Web.
Entretanto,
essa verificação de acesso é apenas uma parte do que os firewalls modernos
podem fazer. Por exemplo, a maioria dos firewalls comerciais permite verificar
conteúdo. Você pode explorar essa capacidade para bloquear Java, JavaScript,
VBScript e scripts ActiveX e cookies no firewall. De fato, você pode até criar
regras para bloquear determinadas assinaturas de ataque.
No sentido
mais geral, um firewall consiste em software e hardware. O software pode ser
proprietário, shareware ou freeware. O hardware pode ser qualquer hardware
que suporta o software.
Tipos
de firewalls
Os
firewalls dividem-se em duas categorias básicas:
·
Firewalls de nível
de rede
· Firewalls de
gateway de aplicativo Vamos examinar brevemente cada um.
Os
firewalls de nível de rede são geralmente roteadores com capacidades poderosas
de filtragem de pacote. Utilizando um firewall de nível de rede, você pode
conceder ou negar acesso ao seu site com base em diversas variáveis, incluindo:
·
Endereço
de origem Protocolo
·
Número de
porta Conteúdo
Os
firewalls baseados em roteador são populares porque são facilmente
implementados. (Você simplesmente conecta um, fornece algumas regras e você
terminou.) Além disso, a maioria dos roteadores novos faz um trabalho esplêndido
de tratamento de interfaces duais (onde IPs de fora devem ser traduzidos para
algum outro protocolo interno).
Adicionalmente,
um firewall baseado em roteador é uma solução de perímetro. Isto é, os
roteadores são dispositivos externos, então eles eliminam a necessidade de
interromper a operação normal da rede. Se você utiliza um firewall baseado em
roteador, você não tem de configurar várias máquinas (ou vários serviços)
para interfacear com ele.
Por
último, os roteadores oferecem uma solução integrada; se sua rede está
permanentemente conectada à Internet, você precisará de um roteador de
qualquer
jeito, então por que não matar dois coelhos numa só tacada?
Por
outro lado, firewalls baseados em roteador têm várias deficiências. Primeiro
é que muitos roteadores sejam vulneráveis a ataques de personificação, ou
spoofing (embora os fornecedores de roteador estejam desenvolvendo soluções
para isso). De um ponto de vista puramente prático, o desempenho do roteador
cai dramaticamente quando você impõe procedimentos de filtragem excessivamente
rigorosos. (O desempenho do roteador pode ou não ser uma questão, dependendo
de quanto tráfego de fora você antecipa receber.)
Firewalls de aplicativo proxy (gateways de aplicativo)
Outro tipo de
firewall é o firewall de aplicativo proxy (às vezes referido como um gateway
de aplicativo). Quando um usuário remoto entra em contato com uma rede
executando um gateway de aplicativo, o gateway gerência (proxies) a conexão.
Nesse caso, pacotes de IP não são encaminhados à rede interna. Em vez disso,
um tipo de tradução ocorre, com o gateway agindo como canal e intérprete.
A
vantagem de gateways de aplicativo é que eles impedem o
tunelamento de pacotes de IP em sua rede. A desvantagem é que eles exigem
overheads altos e envolvimento substancial de sua parte. Um aplicativo proxy
deve ser configurado para cada serviço na rede, incluindo FTP, Telnet, HTTP,
correio, notícia etc. Adicionalmente, usuários internos devem utilizar
clientes cientes de proxy. (Se eles utilizarem, você terá de adotar novas
diretivas e procedimentos.)
Uma
desvantagem de gateways de aplicativo é que, no caso de protocolos
cliente-servidor como Telnet, são necessários dois passos para enviar ou
receber
uma conexão. Alguns gateways de aplicativo exigem clientes modificados, que
podem ser vistos como uma desvantagem ou uma vantagem, dependendo de os
clientes modificados tornarem ou não mais fácil utilizar o firewall. Um
gateway de aplicativo de Telnet necessariamente não exigiria um cliente de
Telnet modificado, mas exigiria uma modificação no comportamento dos usuários:
estes teriam de se conectar (mas não efetuar logon) com o firewall em oposição
a se conectar diretamente com o host. Mas um cliente modificado de Telnet pode
tornar o firewall transparente permitindo que um usuário especifique o sistema
alvo (em oposição ao firewall) no comando telnet. O firewall serviria como a
rota para o sistema de destino e portanto interceptaria a conexão e então
realizaria os passos adicionais conforme necessário (por exemplo, consultar uma
senha de uma única vez). O comportamento do usuário permanece o mesmo, mas ao
custo de exigir um cliente modificado em cada sistema.