Este artigo tem finalidade acadêmica e informativa onde serão apresentados de forma breve os firewall o packet filtering, o stateful packet filtering e o application gateway. Além dos facilitadores ACL (Access Control Lists) e os IDS (Intrusion Detection System). E por fim dois exemplos de firewall sob hardware Cisco Adaptive Security Appliances (ASAs), em específico a série ASA 5500, e sob software com o pfSense com uma comparação simples entre as vantagens de cada firewall. Tipos de Firewalls O firewall é um recurso que apoia a proteção de uma rede de computadores e tem o papel de separar a parte protegida e interna da rede da parte externa e desprotegida que pode ser a própria internet [1][2]. Para realizar a proteção da rede podem ser verificados três tipos de firewall, que serão apresentados em seus nomes em língua inglesa, fato que os torna universal para a área de computação: packet filtering, stateful packet filtering e o application gateway. Os firewalls packet filtering ou static packet filters realizam a proteção da rede através da verificação dos endereços IP (Internet Protocol) e das portas TCP (Transmission Control Protocol) / UDP (User Datagram Protocol) [2]. Os packet filtering inspecionam os pacotes transmitidos por TCP ou UDP [4]. Essas inspeções funcionam pela aplicação de regras para validação de acesso dos pacotes. As regras de acesso utilizam as ACL (Access Control List) para então determinarem o que será permitido ou bloqueado no tráfego dos pacotes [2][3]. Em relação à defesa, o packet filtering se mostra mais eficiente para tratar dados estáticos. Os dados verificados nas regras de acesso em geral validam os cabeçalhos dos pacotes, mas em alguns casos somente essa verificação pode não se mostrar suficiente. Uma forma complementar de realizar uma validação é a utilização do firewall stateful packet filtering [3]. O tipo de firewall stateful packet filtering (SPF), também encontrado como stateful inspection [2] ou stateful packet-filters [3]. Este tipo de firewall avalia cada pacote individualmente, de acordo ao contexto e fluxo de comunicação [2]. O firewall SPF analisa os dados do cabeçalho do pacote, contudo ele é integrado por uma tabela de histórico de operações passadas que armazena os dados dos pacotes trafegados. Esta tabela guarda o estado das sessões TCP podendo conter o ACK (Acknowledges received data — reconhecimento de dados recebidos), SEQ (sequence prediction attack — ataque de predição de sequência, buscando antecipar que os números de sequência de trocas de pacotes podem servir como tentativa de ataques por interceptadores de pacotes), informações das portas usadas na comunicação dos pacotes. Este tipo de firewall pode ainda manter dados em sessões virtuais sobre pacotes trafegados em protocolos não orientados a conexão como o UDP [2]. O filtro proposto pelo SPF verifica as camadas OSI de transporte e sessão. Assim são verificados os IPs remoto e local, a porta de comunicação remota e local, e o protocolo de transporte. O stateful também pode oferecer a filtragem para receber respostas se elas estiverem registradas. Por exemplo, se houver uma requisição DNS (Domain Name System) então uma resposta de DNS será aceita. O mesmo aconteceria para o Telnet onde seria registrado o número da sequência e ACK [2]. Por fim, o application gateway também conhecido por outros nomes como Application-level gateway ou application-layer gateway. Este tipo de firewall é responsável por garantir a segurança na camada de aplicação, verificado os pacotes de entrada e saída transmitidos pelas aplicações [4]. Esse tipo de firewall cuida das aplicações que se comunicam com a internet como aplicativos de correio eletrônico, transferência de arquivos e outros. No caso do correio eletrônico, por exemplo, a verificação de segurança ocorre pela validação do cabeçalho, tamanho e conteúdo das mensagens. Neste último palavras configuradas como inadequadas ou impróprias podem automaticamente configurar o bloqueio da mensagem [4]. O application gateway avalia os pacotes que tem a ver com os protocolos da camada de aplicação. Os critérios de avaliação levam tem conta: autenticação de usuário e regras de autorização, avaliação de cabeçalhos e regras de aplicação, tabelas de associação e auditoria [2]. Facilitadores ACL e IDS Os firewalls podem se utilizar de alguns recursos auxiliares para aplicar as devidas proteções a rede de computadores, entre eles as ACL (Access Control Lists) e os IDS (Intrusion Detection System). Uma ACL, citada anteriormente, pode ser utilizada por um firewall do tipo packet filtering, como um recurso auxiliador para verificar a permissão ou negação de um pacote. A ACL se configura como uma tabela que pode possuir dados como a permissão (sim ou não), um IP de origem, um IP de destino, o protocolo, a porta de origem, a porta de destino, ações realizadas e um registro de referência [3][2]. Após a verificação da ACL o firewall pode tomar as decisões de permissão da rede [1]. Esta listas resultantes da verificação de permissão ou negação de um pacote costumam ser chamadas respectivamente pelos termos whitelist e blacklist. Atualmente estes termos encaram tendências sociais para serem modificados por nomenclaturas mais inclusivas [5][6][7]. Existem alguns tipos diferentes de ACL como as Standard Acess list (lista de acesso padrão) ou a Extended Acess List (lista de acesso estendida). A Standard IP acess list filtra dados mais rapidamente por se utilizarem apenas os IPs de origem como elementos para validação frente as regras do firewall. Já as Extended Acess List aumentam a precisão da validação, pois utilizam os IPs de origem e destino, os tipos de protocolos e portas dos pacotes trafegados na rede. [1]. Quanto ao IDS (Intrusion Detection System), que são sistemas de detecção de intrusos, podem realizar análise de log de segurança de automática, caracterizando assim o monitoramento da rede de computadores [1]. De forma geral, o IDS escuta o tráfego da rede e realizada a verificação da consistência dos dados que transitam pelas portas, identificando possíveis ataques de negação de serviço ou outros [3]. Firewall, software e hardware. Os firewalls podem se caracterizar por hardware ou por software sobre alguns dispositivo na rede. Na linha de software existem várias soluções como, por exemplo, o módulo
Internet Evolution
The Internet was a military origin on the first net kwon Arpanet with objective was exchange U.S. military data. It was about 1969. But in 1983, U.S Defense Department carried about nonmilitary data like university and labs favored the change of propose about Arpanet. After, in 1984, its name was renamed for Internet. After this fact the Internet was growing significative. But a mark of Internet was a develop of World Wide Web (WWW) by Tim Berners-Lee in 1990. The WWW provides a visualization of web documents on Internet written about Hypertext Markup Language HTML. These documents can be shared on Internet and charge different kind of content. Today website, social networks, site of services, news and others are built by HTML together someone programming language. This phase is called Internet 3.0 where the interaction by web documents occur between humans and software with high data volumes. The future of Internet suggests many changes. A common tendency is mobile or other apps get, no more documents, but data on data provides on Internet. Tim written a structure for machine understanding semantically difference from word means like nails (fingernails or nails used in construction). Internet of things propose that commons home appliances connect by Internet like Fridge exchanging data with food supplier when milk finish by example. The Arpanet, the first computer network was used only by five U.S military group and It was a little parcel of potential of Internet has been shown today. In 1983, U.S Defense Department carried about nonmilitary data came from university and labs favored the change of Arpanet to Internet. But a mark of Internet was a development of World Wide Web (WWW) by Tim Berners-Lee in 1990 when computer connected on Internet had been starting to grow. The WWW provides new forms of communication about Hypertext Markup Language (HTML). Sites of services like e-commerce and bank are built by HTML together some programming language and provide interaction between humans and web systems. Before I do informatics graduate I felt insecure about use personal data on Internet to do buy or bank transactions but today I can check security and I’m an enthusiastic for buying, banking or studding on Internet. The future of Internet suggests many changes for communication. It’s fascinated. The Pc Internet access was changed by mobile. If you want to speak someone you’re expect to call or write by WhatsApp, no more a single cell phone call. People are asking about your Instagram, Facebook for social contact or LinkedIn by professional contact. Who aren’t following these tendencies are losing information and opportunities.
