O que é Firewall, importância, funcionamento e tipos?

Não há como falar em segurança digital sem falar em firewall, pois ele constitui a primeira e mais fundamental camada de proteção de qualquer dispositivo, usuário e aplicação no universo online.

Ainda que eles estejam profundamente integrados ao nosso quotidiano, nem todo mundo tem o conhecimento adequado do que é um firewall, seu funcionamento e qual o seu papel na proteção das muitas ações online que realizamos o tempo todo.

Ao esclarecermos essas e outras questões associadas ao tema, você se torna mais apto a fazer um melhor uso e aproveitar de modo mais amplo dos benefícios desse fator de segurança tão essencial nos dias de hoje.

O que é um Firewall?

Em tradução literal firewall significa “parede de fogo”, já que a ideia por trás desse conceito de cibersegurança, é análoga a estabelecer uma parede de contenção que impede o alastramento de um incêndio, funcionando como primeira barreira, até que outras medidas sejam adotadas para a mitigação e extinção do fogo. A diferença no mundo digital, é que o firewall tem o papel de barrar possíveis ameaças que se alastram pelas redes de computadores, para afetar os dispositivos que delas fazem parte.

Se os primeiros firewalls visavam a segurança dos usuários e seus dispositivos, hoje eles vão além, mas isso veremos mais à frente.

Atualmente e basicamente, o conceito de firewall é de um sistema que tem por principal função, filtrar o tráfego de dados que circula entre dois pontos de uma rede, permitindo ou bloqueando a passagem de tais dados, com base em um conjunto de regras determinadas pelo administrador dessa rede.

Visto de outra forma, o firewall atua como uma espécie de fiscalização de fronteira, que analisa as pessoas que entram e saem e o que elas levam consigo. Com base na legislação (as regras do firewall), algumas pessoas, bem como os objetos que elas portam, recebem autorização ou são proibidas de adentrar ou deixar o país.

E o mesmo ocorre nos demais países, os quais têm suas próprias legislações, permitindo ou não que ocorra o trânsito de pessoas e o que elas carregam consigo.

Transportando a ideia para o mundo digital, essa “fiscalização” é feita pelos firewalls de cada rede, os quais selecionam quais tráfegos são permitidos e quais não, bem como a natureza dos dados contidos nesse tráfego.

Logo mais isso ficará mais claro, quando falarmos sobre o funcionamento do firewall.

A história do firewall

Os primeiros registros de estudos e pesquisas do conceito de firewall, são da década de 80 e foram usados no contexto das redes corporativas de computadores, nas quais já se pretendia filtrar os pacotes de dados que por elas trafegavam.

O conceito de firewall foi sendo refinado ao longo dos anos e desde que foi implementado em empresas como Digital Equipment Corp e AT&T, já na década de 90.

Nesse ponto da história, as informações se tornam um tanto imprecisas e os nomes daqueles que mereceriam o crédito por serem os pais ou criadores do firewall, variam de acordo com a fonte.

No entanto, independente de quem tenha sido o principal responsável, foi na década de 90 que o conceito começou a ganhar importância, porque na mesma época a Internet também começava a demonstrar seu potencial comercial e a troca de dados entre diversas redes se tornou cada vez mais frequente, bem como a quantidade e variedade de ameaças do mundo digital.

Com isso, passou a ser essencial dispor de uma camada de proteção para filtrar os dados que cresciam volume e importância.

Qual a importância Firewall?

O primeiro passo no entendimento da importância do firewall, é definir o que ele faz e seu papel.

Basicamente um firewall tem como função filtrar todo tráfego de dados entre dois pontos, que podem ser duas redes distintas, uma rede interna ou local e a Internet, ou até mesmo entre dois computadores dentro de uma mesma rede e assim, esses dados precisam ser submetidos ao firewall e às suas regras, para que seja considerado seguro.

A filtragem do tráfego de dados é bidirecional, ou seja, é exercida sobre os dados que saem (outgoing) e os que chegam (incoming) aos pontos em que o firewall exerce controle (ex: rede interna e Internet) e tem por objetivo permitir que apenas os dados que não satisfaçam nenhuma regra, passem.

Na hipótese de que algum pacote ou tipo de tráfego de dados for equivalente a alguma regra estipulada pelo administrador, ocorre o bloqueio. Em outras palavras, só existem regras para o que não é autorizado.

Sendo assim, por esse comportamento, o firewall se torna importante para garantir:

  • Proteção contra ameaças – impede o tráfego potencialmente nocivo e alguns tipos de ataques de crackers (hackers do mal), como por exemplo, ataques DDoS;

  • Controle de acesso – permite estabelecer quais usuários são autorizados, bem como quais privilégios e recursos podem ser acessados;

  • Prevenção de roubo de dados – impede que dados sensíveis saiam da rede;

  • Monitoramento do tráfego – também serve para análise e registro do tráfego da rede, permitindo identificar atividades suspeitas;

  • Implementação de políticas de segurança – invariavelmente é elemento da infraestrutura, que é necessáro para aplicação e cumprimento da política de segurança da empresa;

  • Conformidade legal – há setores nos quais o uso de firewall é obrigatório, para garantir a segurança dos dados e, portanto, cumprimento de legislação específica.

É vital notar, que conforme mencionamos anteriormente, o firewall é uma camada a mais de segurança e sendo assim, quanto mais camadas houver, mais seguro tende a ser o sistema que é alvo dessa proteção, como por exemplo, os servidores e computadores de uma rede.

Mas podem haver outros dispositivos em uma rede, os quais não é possível ou mesmo não têm recursos de segurança e que dependem de uma proteção externa, como é o caso de alguns dispositivos que integram a Internet das Coisas (IoT), afinal um dos ataques de grandes proporções mais conhecidos, foi baseado em câmeras de segurança, roteadores e gravadores de vídeo (DVR) vulneráveis.

Como funciona um Firewall?

No processo de filtragem feito pelo firewall, o que determina quais dados têm seu trânsito permitido, é um conjunto de regras previamente estabelecidas, que recebe o nome de política de segurança ou regras do firewall.

As regras do firewall determinam apenas quais dados ou comportamentos que signifiquem ameaça à integridade dos dispositivos e usuários que fazem parte de uma rede. Ou se preferir, tudo que consista algum tipo de ameaça ou mesmo apenas algo não permitido, deve ser bloqueado.

Sim, diferente do que algumas explicações fazem supor, não há regras para o que é permitido, mas apenas para o que não é.

Logo, deduz-se que se não é proibido, é permitido.

O papel de um firewall não é apenas controlar e impedir ações maliciosas sobre o conteúdo de uma rede, mas também determinar ações que por alguma razão, quem administra a rede, não deseja que ocorram, como por exemplo, acessos a determinados conteúdos, acessos por parte de determinados endereços IP ou ranges inteiros, algum protocolo de Internet específico ou qualquer tipo de atividade que se queira evitar.

Assim, se por exemplo, o administrador de uma rede de empresa entender que algumas portas possam representar algum tipo de risco ao ambiente, tais portas são bloqueadas e com isso todos os pacotes de dados oriundos ou destinados a essas portas, serão bloqueados.

O bloqueio pode ser baseado em outros parâmetros, como por exemplo, um protocolo e assim, se o SSH for bloqueado, nenhum usuário ou aplicação conseguirão realizar esse tipo de acesso.

Dessa forma, para que quaisquer dados passem pelo firewall, eles não podem satisfazer qualquer regra existente.

Porém, se um pacote de dados chega ao firewall e nenhuma das regras existentes trata de nenhuma das características desse pacote, então ele é tratado por uma regra padrão, que pode determinar seu bloqueio ou liberação, sendo o mais comum a liberação.

Por fim, mas não menos importante, o administrador ou responsável pela segurança, pode determinar conjuntos de regras diferentes para o tráfego que chega à rede e para o que sai da rede.

No que se baseia um Firewall?

Um firewall pode ser baseado em software ou hardware.

Um firewall é tipicamente um software, quando o mecanismo de segurança responsável pela filtragem de dados, é um programa. O exemplo, mais conhecido dessa utilização, é o firewall nativo do sistema operacional Windows.

Já o firewall como hardware, é um dispositivo físico que normalmente é parte de redes de computadores e pelo qual todos os dados da rede trafegam, a fim de que sejam avaliados quanto a sua natureza e confrontados com as regras que integram a política de segurança.

Atualmente, os roteadores Wi-Fi domésticos e das empresas, funcionam e têm funções de firewall também.

Porém se formos rigorosos, em certa medida um firewall sempre é uma combinação de hardware e firewall.

No caso de software, ele precisa do hardware (processador, memória, placa de rede, cabos, etc) para atuar.

Quando consiste de um dispositivo físico especialmente destinado ao trabalho de filtragem, ou seja, é hardware, dentro dele existe um software que contém as regras, bem como as funções que possibilitam sua personalização pelo administrador e que também é um software.

Quais os tipos de Firewall?

Há vários tipos de firewall, cujas diferenças existem para atender diferentes demandas, situações e até mesmo possibilidades de investimento.

Não vamos abordar todas as variantes existentes, visto que algumas são destinadas a cenários bastantes específicos e, portanto, não disponíveis a todas as realidades. Vamos nos restringir aos tipos mais comuns e que por isso, são os mais adotados.

Os mais comuns tipos de firewall, são:

Firewall de filtro de pacotes

Esse tipo de firewall, todos os pacotes que chegam ao firewall, são avaliados e confrontados com a lista de regras existentes, com base no conteúdo de cada pacote (endereço IP de origem e de destino, portas de comunicação utilizadas, protocolo usado, interface da rede, etc).

Assim, o cabeçalho do pacote é lido e comparado com a primeira regra. Se há pertinência entre regra e pacote, a ação contida na regra é aplicada e as demais são descartadas.

Se não há correspondência, a regra seguinte é avaliada e assim, sucessivamente até a última regra, decidindo assim se o pacote é liberado ou bloqueado.

Como vimos anteriormente, se nenhuma regra é pertinente, então a regra padrão é aplicada.

A grande desvantagem desse tipo de firewall, é a degradação no desempenho, visto que 100% dos pacotes são avaliados e particularmente no caso de muitas regras, o tráfego pode ter sua velocidade reduzida de forma importante.

Além disso, há problemas com análise de dados de todas as camadas do modelo OSI, logs limitados e autenticação de usuários.

Gateways no nível de circuito (circuit-level gateways)

Um firewall baseado nesse princípio, opera na camada 5 de sessão do modelo OSI.

Os gateways no nível de circuito identificam conteúdos maliciosos ao monitorar e controlar como são estabelecidas as conexões TCP/IP (handshake) e outros mecanismos de inicialização de um protocolo de rede, para conferir se a sessão iniciada é genuína, isto é, se o sistema remoto que tenta estabelecer a conexão, é confiável.

Para tanto, esse tipo se baseia em:

  • Checa se a conexão é legítima, analisando apenas os pacotes de dados responsáveis por estabelecer a conexão;

  • Permite ou bloqueia conexões com base no estado da conexão, garantindo apenas conexões autorizadas (não previstas nas regras).

Consiste de um tipo útil para prevenir ataques como o "IP Spoofing" e "Session Hijacking".

O método, todavia, não inspeciona os demais pacotes e tampouco seus conteúdos.

Filtro de estado de sessão

Também conhecido no meio como Statefull Inspection Firewall, ele consiste de um aprimoramento dos tipos anteriores.

Nesse tipo, o firewall em vez de se limitar a análise de pacotes, é feito o exame do status das conexões ativas desde o momento em que elas são estabelecidas, até o seu encerramento, para determinar a liberação ou bloqueio dos pacotes.

Dessa forma, o que se avalia é a confiabilidade da conexão, com base também em um conjunto de regras que analisa portas, tipo de protocolo usado, estado da conexão, entre outros aspectos.

O princípio de confrontação com as regras é o mesmo, para então determinar se a conexão pode ser estabelecida ou derrubada.

Firewall de proxy

Basicamente esse tipo – às vezes também chamado de gateway de aplicação – consiste de um outro servidor que faz a intermediação entre conexões entre dois pontos, que podem ser um usuário e um outro web server, que hospeda um site, por exemplo.

Outra característica, é que seu trabalho controla o acesso a aplicativos e serviços específicos, e não a redes inteiras.

Pelo volume de dados que trafegam, bem como pela necessidade de uma avaliação bem mais profunda e acurada dos dados, os proxys são servidores bastante potentes, o que por sua vez também faz com que o trabalho desse tipo vá além de simples filtragem de dados, como por exemplo, registros mais detalhados de logs, serviços de cache para endereços muito acessados, entre outros tipos de funções e ações.

Firewall de aplicativos da Web (WAF)

Um gateway ou firewall de aplicativos da Web, é semelhante a um servidor proxy e, portanto, ele funciona de modo inverso ao firewall “tradicional”, ou seja, em vez de proteger uma rede de possíveis ameaças Web, os WAFs ajudam a proteger os aplicativos da Web de usuários que executem ações potencialmente nocivas.

Assim como um servidor proxy, o endereço IP do gateway do aplicativo da Web, é o único que é possível ver do lado de fora, objetivando ocultar a rede interna.

Esse tipo opera filtrando e monitorando o tráfego HTTP entre um aplicativo web e a Internet (usuários ou outros aplicativos também).

São indicados como proteção para ataques como cross-site forgery, cross-site-scripting (XSS), file injection e SQL injection e ataque DDoS, por exemplo.

Firewall de última geração (NGFW)

NGFW é a sigla de Next Generation FireWall e que une as melhores funções e ferramentas que há nos outros tipos de firewall.

Sendo assim, um NGFW geralmente combina a filtragem de pacotes, a inspeção de estado (Statefull Inspection Firewall), inclui inspeções mais aprofundadas no conteúdo dos pacotes, bem como identificação de várias classes de malwares.

A filtragem de malwares só é possível, porque ele consegue analisar os dados reais de cada pacote, além de filtrar o tráfego de dados que ocorre em todos os níveis das camada OSI.

UTM (Gerenciamento Unificado de Ameaças)

O Unified Threat Management, que é o termo relativo à sigla desse tipo de firewall, na verdade é muito mais do que um simples firewall e consiste de um conjunto de sistemas de segurança, do qual o firewall é apenas um integrante e atua no sentido de oferecer um ambiente seguro muito mais abrangente.

Normalmente um único dispositivo concentra várias funções de segurança como firewall, antivírus, controle de SPAM, detecção e prevenção de invasões, filtragem de conteúdo e prevenção de vazamento de dados, entre outras possibilidades.

Resumindo, a unidade realiza a filtragem dos dados em relação a uma lista bastante extensa de situações e condições e dessa forma o bloqueio ou liberação do tráfego de dados é muito mais amplo, bem como os benefícios que esse tipo de solução representa em relação à segurança, contra uma ampla gama de ameaças.

Conclusão

O firewall é uma solução tecnológica que é implementada como software e/ou hardware, em redes de diferentes portes e até mesmo isoladamente em apenas um dispositivo, e que tem como papel filtrar o tráfego existentes entre dois pontos e a partir da avaliação desse tráfego e sua comparação com regras previamente estabelecidas, determinar se ele é autorizável ou não, se é seguro ou não.

Artigos relacionados

Internet
O que é Big Data? Por que ele é importante atualmente?
Tecnologia
O que é Nanotecnologia, aplicações comuns e vantagens?
Tecnologia
O que é e quais as vantagens das conexões LAN to LAN?

Comentários ({{totalComentarios}})