Este artigo tem finalidade acadêmica e informativa onde serão apresentados de forma breve os firewall o packet filtering, o stateful packet filtering e o application gateway. Além dos facilitadores ACL (Access Control Lists) e os IDS (Intrusion Detection System). E por fim dois exemplos de firewall sob hardware Cisco Adaptive Security Appliances (ASAs), em específico a série ASA 5500, e sob software com o pfSense com uma comparação simples entre as vantagens de cada firewall.
Tipos de Firewalls
O firewall é um recurso que apoia a proteção de uma rede de computadores e tem o papel de separar a parte protegida e interna da rede da parte externa e desprotegida que pode ser a própria internet [1][2]. Para realizar a proteção da rede podem ser verificados três tipos de firewall, que serão apresentados em seus nomes em língua inglesa, fato que os torna universal para a área de computação: packet filtering, stateful packet filtering e o application gateway.
Os firewalls packet filtering ou static packet filters realizam a proteção da rede através da verificação dos endereços IP (Internet Protocol) e das portas TCP (Transmission Control Protocol) / UDP (User Datagram Protocol) [2]. Os packet filtering inspecionam os pacotes transmitidos por TCP ou UDP [4]. Essas inspeções funcionam pela aplicação de regras para validação de acesso dos pacotes. As regras de acesso utilizam as ACL (Access Control List) para então determinarem o que será permitido ou bloqueado no tráfego dos pacotes [2][3].
Em relação à defesa, o packet filtering se mostra mais eficiente para tratar dados estáticos. Os dados verificados nas regras de acesso em geral validam os cabeçalhos dos pacotes, mas em alguns casos somente essa verificação pode não se mostrar suficiente. Uma forma complementar de realizar uma validação é a utilização do firewall stateful packet filtering [3].
O tipo de firewall stateful packet filtering (SPF), também encontrado como stateful inspection [2] ou stateful packet-filters [3]. Este tipo de firewall avalia cada pacote individualmente, de acordo ao contexto e fluxo de comunicação [2]. O firewall SPF analisa os dados do cabeçalho do pacote, contudo ele é integrado por uma tabela de histórico de operações passadas que armazena os dados dos pacotes trafegados. Esta tabela guarda o estado das sessões TCP podendo conter o ACK (Acknowledges received data — reconhecimento de dados recebidos), SEQ (sequence prediction attack — ataque de predição de sequência, buscando antecipar que os números de sequência de trocas de pacotes podem servir como tentativa de ataques por interceptadores de pacotes), informações das portas usadas na comunicação dos pacotes. Este tipo de firewall pode ainda manter dados em sessões virtuais sobre pacotes trafegados em protocolos não orientados a conexão como o UDP [2].
O filtro proposto pelo SPF verifica as camadas OSI de transporte e sessão. Assim são verificados os IPs remoto e local, a porta de comunicação remota e local, e o protocolo de transporte. O stateful também pode oferecer a filtragem para receber respostas se elas estiverem registradas. Por exemplo, se houver uma requisição DNS (Domain Name System) então uma resposta de DNS será aceita. O mesmo aconteceria para o Telnet onde seria registrado o número da sequência e ACK [2].
Por fim, o application gateway também conhecido por outros nomes como Application-level gateway ou application-layer gateway. Este tipo de firewall é responsável por garantir a segurança na camada de aplicação, verificado os pacotes de entrada e saída transmitidos pelas aplicações [4]. Esse tipo de firewall cuida das aplicações que se comunicam com a internet como aplicativos de correio eletrônico, transferência de arquivos e outros. No caso do correio eletrônico, por exemplo, a verificação de segurança ocorre pela validação do cabeçalho, tamanho e conteúdo das mensagens. Neste último palavras configuradas como inadequadas ou impróprias podem automaticamente configurar o bloqueio da mensagem [4]. O application gateway avalia os pacotes que tem a ver com os protocolos da camada de aplicação. Os critérios de avaliação levam tem conta: autenticação de usuário e regras de autorização, avaliação de cabeçalhos e regras de aplicação, tabelas de associação e auditoria [2].
Facilitadores ACL e IDS
Os firewalls podem se utilizar de alguns recursos auxiliares para aplicar as devidas proteções a rede de computadores, entre eles as ACL (Access Control Lists) e os IDS (Intrusion Detection System).
Uma ACL, citada anteriormente, pode ser utilizada por um firewall do tipo packet filtering, como um recurso auxiliador para verificar a permissão ou negação de um pacote. A ACL se configura como uma tabela que pode possuir dados como a permissão (sim ou não), um IP de origem, um IP de destino, o protocolo, a porta de origem, a porta de destino, ações realizadas e um registro de referência [3][2]. Após a verificação da ACL o firewall pode tomar as decisões de permissão da rede [1]. Esta listas resultantes da verificação de permissão ou negação de um pacote costumam ser chamadas respectivamente pelos termos whitelist e blacklist. Atualmente estes termos encaram tendências sociais para serem modificados por nomenclaturas mais inclusivas [5][6][7].
Existem alguns tipos diferentes de ACL como as Standard Acess list (lista de acesso padrão) ou a Extended Acess List (lista de acesso estendida). A Standard IP acess list filtra dados mais rapidamente por se utilizarem apenas os IPs de origem como elementos para validação frente as regras do firewall. Já as Extended Acess List aumentam a precisão da validação, pois utilizam os IPs de origem e destino, os tipos de protocolos e portas dos pacotes trafegados na rede. [1].
Quanto ao IDS (Intrusion Detection System), que são sistemas de detecção de intrusos, podem realizar análise de log de segurança de automática, caracterizando assim o monitoramento da rede de computadores [1]. De forma geral, o IDS escuta o tráfego da rede e realizada a verificação da consistência dos dados que transitam pelas portas, identificando possíveis ataques de negação de serviço ou outros [3].
Firewall, software e hardware.
Os firewalls podem se caracterizar por hardware ou por software sobre alguns dispositivo na rede. Na linha de software existem várias soluções como, por exemplo, o módulo Netfilter do Linux, onde o iptables pode assumir algumas operações de filtro de pacotes [1] ou pfSense que é uma distribuição Linux do FreeBSD, software livre e open source adaptado para ser utilizado como um roteador e firewall com interface gráfica para o usuário. Por se tratar de um software especificamente projetado para servir como um firewall o pfSense será abordado como exemplo de solução de firewall em software [8].
O pfSense tem suporte para rede wireless e quanto ao desempenho este firewall ainda tem certa dificuldade de lidar com altas taxas de pacotes por segundo [8]. Atualmente o pfSense já suporta plenamente a arquitetura de hardware 64bit e as máquinas já tinham bom funcionamento com 4 GB de RAM.
Quanto ao tipo, o pfSense é um firewall stateful packet filtering. Assim, logo que uma conexão atende as regras de segurança suas informações são armazenadas em uma tabela de estado. Além de permitir a comunicação por diferentes protocolos como ICMP (Internet Control Message Protocol), TCP e UDP. Uso de ACLs com pfSense depende do pacote Squid Proxy Server que contém o Squidguard responsável por realizar os filtros de conteúdos [8] que pode usar como base as ACLs.
O controle de entradas e saída de pacotes precisa ser devidamente configurado e o controle de saída conta com o suporte para encaminhamento dos logs para um servidor syslog. Dois pacotes que podem analisar os dados de log do pfSense são o fwanalog1 e o Hatchet2. Contudo, ainda é possível pessoalmente implementar um script para fazer essas análises. Em relação a IDS é recomendado o uso do OSSEC que pode realizar a leitura do syslog e indicar possíveis anormalidades [8]. Outro aspecto é que o pfSense não tem recurso do tipo de firewall application gateway.
Algumas soluções na linha de firewall em relação a hardware podem ser encontradas nas séries de produtos da Cisco, como o “Adaptive Security Appliances” (ASAs) [3]. O ASA 5500 [9] conta com a mesma capacidade de recursos do Cisco PIX Firewall [10] que possuem um software embarcado, específico para dispositivos Cisco. Nos dispositivos que contam com essa tecnologia utilizam Extended Acess List [11] e os pacotes são testados exaustivamente pelo algoritmo Adaptive Security [12]. Entre os dispositivos, o ASA 5500, por exemplo, apresenta a inspeção de tráfego de aplicativo como política global e conta com IDS para serviços como HTTP (World Wide Web), e correio eletrônico, FTP (File Transfer Protocol), SNMP (Simple Network Management Protocol) e Telnet [13].
Comparando as soluções em software e hardware, cabem alguns destaques para cada uma das soluções separada e por fim apresentar algumas pontuações quantas as duas alternativas. Em relação às soluções os dispositivos Cisco ASA com PIX Firewall apresentam a facilidade de manutenção uma vez que o hardware e o software embarcado já implementam a gama de diferentes tipos de firewall, Extended Acess List e IDS e alto desempenho. De acordo a capacidade e desempenho da versão específica da série existe uma variação de preço entre R$1.500 até R$65,000 [14].
Em relação às solução em software, o pfSense é open source, mas requerer o conhecimento especializado de algum ou alguns profissionais para realizar as configurações básicas, por exemplo, gestão do hardware para suporte da capacidade e desempenho de trabalho. Outro conhecimento necessário está relação a integrar pacotes ou mesmo adicionar softwares complementares para estender o funcionamento do pfSense. Neste contexto é necessário o conhecimento do Squid Proxy Server e Squidguard dada a necessidade do uso das facilidades do ACLs, conhecer o OSSEC para implementar o facilitador IDS. O pfSense também não integra a opção de application gateway, assim outro firewall precisaria assumir a gestão desse aspecto de segurança da rede.
Pontuando as soluções em hardware e em software, ambas têm vantagens e desvantagens. Quanto a solução em hardware, como para a linha Cisco ASA 5500, é uma hardware que promove bastante recursos integrados, dispondo dos recursos packet filtering, application gateway, ACLs, IDS. Em relação ao pfSense para estender os recursos application gateway, ACLs e IDS são necessárias integrações e conhecimento de cada ferramenta indicada na configuração do pfSense. A gama de recursos integrados do Cisco ASA 5500 tem um custo que pode ser impactante dependendo do tamanho da rede de computadores e pode acabar não compensando o investimento. Já na solução em software, o pfSense precisa ser instalado em alguma estação de trabalho, mas não requer um hardware de alto desempenho, o que sugere um custo menor comparado ao Cisco ASA 5500. Assim, escolher entre um firewall por hardware ou por software depende das necessidades da redes, recursos financeiros e dos profissionais disponíveis.
Recapitulando, o firewall constitui recursos de rede, físicos ou de software que proporcionam segurança para a rede de computadores diferenciando o ambiente interno do externo e três tipos foram verificados. O packet filtering utilizasse das regras de segurança de rede e podem utilizar as ACL, como um facilitador para a proteção da rede. O stateful packet filtering tem como suporte a tabela com os dados dos pacotes trafegados para as decisões de permissão ou bloqueio de pacotes. Já o application gateway cuida da segurança em virtude dos pacotes trafegados através dos protocolos da camada de aplicação. Outro facilitador para a segurança das redes de computadores é o IDS que monitora os dados transmitidos na rede verificando e alertando sobre anomalias. Escolher entre um firewall por hardware ou por software requer que as diferentes necessidades da rede em questão sejam avaliadas frente as características e facilidades das soluções destas ou de outras linhas de firewall disponíveis para se tomar as melhores decisões.
Referências
[1] DE SOUSA, Lindenberg Barros. Gerenciamento e segurança de redes. SESI SENAI Editora, Sep 12, 2017 – Computers.
[2] DE MORAES, Alexandre Fernandes. Firewalls Segurança no controle de acesso. Saraiva Educação SA, 2005.
[3] ANDERSON, Al; BENEDETTI, Ryan. Head first networking. ” O’Reilly Media, Inc.”, 2009.
[4] TANENBAUM, Andrew S. Redes de computadores. Quarta edição. Editora Campus, 2003.
[5] IBM. Words Matter: Driving Thoughtful Change Toward Inclusive Language in Technology Disponível em: <https://www.ibm.com/blogs/think/2020/08/words-matter-driving-thoughtful-change-toward-inclusive-language-in-technology/>. Acesso em: 05/12/2020.
[6] BBC. GitHub abandons ‘master’ term to avoid slavery row. Disponível em: <https://www.bbc.com/news/technology-53050955>. Acesso em: 05/12/2020.
[7] TAHERI, Pooya. Using Inclusive Language in the Applied-Science Academic Environments. Technium Social Sciences Journal, v. 9, p. 151, 2020.
[8] BUECHLER, Christopher M.; PINGLE, Jim. pfSense: The definitive guide. Reed Media Services, 2009.
[9] CISCO. Cisco ASA 5500 Series Adaptive Security Appliances Data Sheet. Disponível em: <https://www.cisco.com/c/en/us/products/security/asa-5500-series-next-generation-firewalls/data_sheet_c78-345385.html>. Acesso em: 05/12/2020.
[10] CISCO. PIX Firewall Features. Disponível em: <https://www.cisco.com/en/US/docs/security/pix/pix30/user/guide/pixugint.html#wp1710>. Acesso em: 05/12/2020.
[11] CISCO. ACL Concepts. Disponível em: <https://www.cisco.com/c/en/us/support/docs/security/ios-firewall/23602-confaccesslists.html#topic1>. Acesso em: 05/12/2020.
[12] CISCO. PIX Firewall Adaptive Security. Disponível em: < https://www.cisco.com/en/US/docs/security/pix/pix30/user/guide/pixugint.html>. Acesso em: 05/12/2020.
[13] CISCO. Cisco Security Appliance Command Line Configuration Guide, Version 7.2. Disponível em: https://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/inspect.html?referring_site=bodynav>. Acesso em: 05/12/2020.
[14] ITPRICE. CISCO GPL 2020. Disponível em: https://itprice.com/cisco-gpl/asa%205500%20cisco%20firewall>. Acesso em: 05/12/2020.
