Firewall é o principal dispositivo de segurança da NET. Ele é na verdade um sistema, ou um grupo deles, através do qual flui o tráfego de dados entre duas redes distintas. A partir disto pode-se implementar uma segurança que consiste num pacote que determina o que pode ou não passar entre uma rede e outra.
Este sistema, é na maioria das vezes usado contra clientes mal intencionados, os crackers.
Resumidamente o firewall é o seguinte: um HD possuidor de duas placas de rede, uma ligada a rede corporativa e outra ligada à NET e executa o pacote específico de rastreamento, dando chance de conseguir analisar e filtrar o pacote enviado.
Mas o que é e o que não é considerado perigoso?
Isto, quem decidirá será a política de segurança dos administradores do firewall.
Existem 2 tipos de firewall: Um que analisa a camada de rede, o pacote IP, e outro que analisa a camada de aplicação, dentro do pacote IP.
Firewall analisando a camada de rede:
Estes se limitam ao nível de IP. decidindo o destino dos pacotes (aceito ou não), tendo como base: remetente, porta IP utilizada e endereço de destinatário.
Qualquer roteador pode ser configurado para firewall, mas será um firewall simples. Isto fará com que você fique protegido contra lammers comuns, mas pode ser vítima de ataques clássicos e comuns, como por exemplo: O IP Spoofer.
Em máquinas bem configuradas o firewall concede acesso apenas aos computadores considerados de confiança. Para introduzir-se numa máquina bem configurada é necessário fazer com que ela o considere confiável, isto se chama spoonfing, que consiste em mandar pacotes com o endereço legítimos de uma máquina da rede interna. A vítima crerá que o atacante é de confiança e responderá enviando pacotes para o endereço do remetente.
No entanto o cracker deve tomar precauções: a 1º é certificar-se que a máquina legítima não responda aos pacotes. Isto é feito garantindo-se que a máquina esteja off-line. A segunda delas é garantir que aqueles pacotes sejam enviados para a NET, já que a máquina legítima encontra-se dentro da rede interna. Para isto é usado o "source routing", que consiste numa técnica criada para testes e opturação. Ela permite que a máquina que inicia a comunicação especifique qual a rota de todos os pacotes de uma certa conexão, iIsto faz com que os pacotes sejam expedidos da rede para a internet
Firewalls sofisticados não permitem a uso do spoofing e do souce-routing, pois eles, além de rotear o pacotes para seus destinos também mantém informações sobre o estado das conexões e sobre o conteúdo do pacote o que permite saber que não pode se enviar um pacote com endereço pertencente à rede interna à internet. O firewall irá caracterizar isto como um ataque e tomará as devidas providências.
Firewalls sofisticados, ou não, são transparentes e rápidos, pois roteiam tráfegos diretos, mas é exatamente isto que impede de analisar o conteúdo efetivo do pacote e também exige que as máquinas na rede interna possuam um endereço IP válido.
Firewall analisando a camada de aplicação:
Estes normalmente são CPUs de rede de uso geral que rodam programas chamados "proxy serves" . Este tipo de firewall não permite comunicações diretas entre duas redes, pois requer o estabelecimento de duas conexões, uma delas do remetente proxy e a Segunda entre o remetente e o destinatário.
Uma característica que vale averiguar é a de que todo pacote antes de ser ecoado e analisando pelo proxy server, este irá decidir se o pacote deve ou não ser descartado. Vale saber que devido a estas caracteríscas o firewall de aplicação oferece uma segurança maior do o firewall de rede, pois consegue perceber perigo em um pacote que o da rede não conseguiria.
Dois exemplos de coisas que este tipo de defesa pode filtrar são:
O 1º é DEBUG do SMTP que é usado para pedir a um servidor de correio que forneça algumas informações de controle, o que é considerado risco.
Um segundo exemplo são os Proxys FTP, que bloqueiam o acesso de usuários externos, mas mesmo assim, permitem que os funcionários copiem arquivos da NET para a rede.
Cada uma dessas vantagens depende do funcionamento do protocolo de defesa, sendo que, estes, não poderiam ser colocados nos firewall de rede, já que não são capazes de analisar o conteúdo do pacote IP
Firewall de rede são mais transparentes do que os de aplicação, já que os de aplicação exigem a existência de um proxy, além de proibir a comunicação direta entre o servidor e o cliente. É necessário que o programa cliente saiba que deve estabelecer com o proxy e determinar ações. Então basta configurar o browser corretamente. Muitas vezes os clientes não são sofisticados o suficiente, e necessitam de conexões diretas com o servidor, neste caso utiliza o seguinte artifício: o usuário se loga no proxy e este, em vez de solicitar nome e senha (como seria de esperar), solicita o nome do servidor com o qual se deseja a conexão; a partir daí, tudo funciona normalmente.
Vantagens do firewall de aplicação:
- permite uma análise muito mais próxima entre duas redes.
- o fato de que o DNS ser um proxy server permite identificar o nome das máquinas internas e preserve-os, e que um mesmo nome pode identificar duas maquinas da origem de quem a consulta.
- Além disso, o firewall de aplicação protege o endereço original das máquinas internas, já que basta saber o endereço das portas externas do firewall. Isto trás vários benefícios, o simples fato da pessoa não saber o endereço real já da mais segurança. Além disto é que permite o uso de faixas reservadas de endereço que não podem ser utilizadas na NET, isto faz com que seja impossível algum cliente enviar pacotes diretamente às máquinas internas. Além disto, o uso destes endereços possibilita demais endereços do que os concedidos pelos provedores.
Bem, seria difícil dizer qual é o melhor tipo de firewall, esta discurção ainda permanece, mas uma solução entendida pelos melhores sistemas de firewall é adotar os dois tipos. Sendo que os pacotes passam pelos dois níveis de firewall.