O que é um firewall de próxima geração (NGFW)?
Um firewall de última geração (NGFW) é um dispositivo de segurança que processa o tráfego de rede e aplica regras para bloquear tráfego potencialmente perigoso. Os NGFWs evoluem e ampliam as capacidades dos firewalls tradicionais . Eles fazem tudo o que os firewalls fazem, mas de forma mais poderosa e com recursos adicionais.
Uma breve analogia
Considere duas agências de segurança aeroportuária. Uma delas verifica se os passageiros não estão incluídos em nenhuma lista no-fly (uma lista de passageiros proibidos de voar nos EUA por motivo de segurança), se suas identidades correspondem ao que está informado em suas passagens e se eles estão indo para destinos a que o aeroporto realmente serve. A segunda, além de verificar as listas no-fly e os demais itens, inspeciona o que os passageiros estão transportando, certificando-se de que eles não tenham itens perigosos ou proibidos. A primeira agência mantém os aeroportos protegidos contra ameaças óbvias; a segunda também identifica ameaças que podem ser menos óbvias.
Um firewall comum é como a primeira agência de segurança: ele bloqueia ou permite a transmissão de dados (passageiros) com base no local para onde serão encaminhados, façam parte ou não de uma conexão de rede legítima, e com base no local de onde vêm. Um NGFW é mais parecido com a segunda agência de segurança: ele inspeciona os dados em um nível mais profundo para identificar e bloquear ameaças que podem estar ocultas no tráfego normal.
Quais são os atributos de um NGFW?
Os NGFWs podem fazer tudo o que os firewalls tradicionais fazem. Isso inclui:
• Filtragem de pacotes: inspeciona cada pacote individual de dados e
bloqueia aqueles considerados perigosos ou inesperados. A filtragem de
pacotes é explicada mais abaixo.
• Inspeção de estado: analisa os pacotes no contexto para se certificar
de que fazem parte de uma conexão de rede legítima.
• Conscientização de VPN: firewalls são capazes de identificar tráfego
VPN criptografado e permitir sua passagem.
Os NGFWs também adicionam vários recursos que os firewalls mais antigos
não possuem. Os NGFWs usam inspeção profunda de pacotes (DPI), além da
filtragem de pacote comum. E de acordo com o Gartner, uma empresa global
de pesquisa e consultoria, um NGFW inclui:
• Conscientização e controle de aplicativos
• Prevenção de intrusões
• Inteligência de ameaças (Threat Intelligence)
• Caminhos para atualização, a fim de adicionar futuros feeds de
informações
• Técnicas para lidar com as ameaças de segurança em constante
evolução
Esses recursos são explicados em detalhes a seguir.
A maioria desses recursos é possível porque, ao contrário dos firewalls
regulares, os NGFWs podem processar o tráfego em várias camadas no
modelo OSI, não apenas nas camadas 3 (camada de rede) e 4 (camada de
transporte). Os NGFWs podem examinar o tráfego HTTP da camada 7
(camada de aplicação) e identificar quais aplicativos estão em uso, por
exemplo. Esse é um recurso importante porque a camada 7 é cada vez mais
usada para ataques com intuído de contornar as políticas de segurança
aplicadas nas camadas 3 e 4 por firewalls tradicionais.
O que são filtragem de pacotes e inspeção profunda de
pacotes (DPI)?
Filtragem de pacotes (Packet Filtering)
Todos os dados que trafegam em uma rede ou pela internet são divididos em
partes menores chamadas de pacotes. Como esses pacotes contêm o
conteúdo que entra em uma rede, os firewalls os inspecionam e decidem se os
bloqueiam ou permitem tendo como base uma política configurada. Todos os
firewalls têm esse recurso de filtragem de pacotes.
A filtragem de pacotes funciona inspecionando os endereços IP de origem e
destino, portas e protocolos associados a cada pacote – em outras palavras, de
onde cada pacote vem, para onde está indo e como chegará lá. Os firewalls
permitem ou bloqueiam pacotes com base nessa avaliação, filtrando os
pacotes não permitidos.
Por exemplo, os invasores às vezes tentam explorar vulnerabilidades
associadas ao Protocolo de Área de Trabalho Remota do Windows (RDP),
enviando pacotes especialmente criados para a porta 3389, usada por este
protocolo. No entanto, um firewall pode inspecionar uma conexão, ver para
qual porta está destinada e bloquear todos os pacotes direcionados a essa
porta – a menos que sejam de um endereço IP especificamente permitido. Isso
envolve a inspeção do tráfego de rede nas camadas 3 (para ver os endereços
IP de origem e destino) e 4 (para ver a porta).
Inspeção profunda de pacotes (DPI – Deep Packet Inspection)
Os NGFWs melhoram a filtragem ao executar a inspeção profunda de pacotes.
Assim como a filtragem de pacotes comum, o DPI envolve a inspeção de cada
pacote individual para ver a origem e destino dos endereços IP e as
respectivas portas de origem e de destino. Todas essas informações estão
contidas nos cabeçalhos das camadas 3 e 4 de um pacote.
Mas, além disso, o DPI também inspeciona o corpo de cada pacote, não
apenas o cabeçalho. Especificamente, o DPI examina os corpos dos pacotes
em busca de assinaturas de malware e outras ameaças potenciais. Ele
compara o conteúdo de cada pacote com o conteúdo conhecido de ataques
maliciosos.
O que é reconhecimento e controle de aplicativos?
Os NGFWs bloqueiam ou permitem pacotes com base em qual aplicativo eles
se destinam. Fazem isso analisando o tráfego na camada 7, a camada de
aplicação. Os firewalls tradicionais não têm esse recurso porque analisam
apenas o tráfego nas camadas 3 e 4.
O reconhecimento de aplicativos permite que os administradores bloqueiem
aqueles que ofereçam potencial risco. Se os dados de um aplicativo não
puderem passar pelo firewall, ele não poderá introduzir ameaças na rede.
De acordo com as definições dos termos do Gartner, tanto essa capacidade
quanto a prevenção de intrusões (descritas abaixo) são elementos do DPI.
O que é prevenção de intrusões?
A prevenção de intrusões analisa o tráfego de entrada, identifica ameaças
conhecidas em potencial e bloqueia essas ameaças. Esse recurso é
frequentemente chamado de sistema de prevenção de intrusão (IPS – Intrusion
Prevention System). NGFWs incluem IPS como parte de seus recursos de DPI.
Os IPS podem usar vários métodos para detectar ameaças, incluindo:
Detecção de assinaturas: consiste na verificação das informações nos
pacotes de entrada e na comparação delas com ameaças conhecidas;
Detecção de anomalias estatísticas: consiste na verificação do tráfego
para detectar mudanças incomuns no comportamento, em comparação
com um perfil comum de conduta;
Detecção de análise de estado do protocolo: semelhante à detecção
de anomalia estatística, mas com foco nos protocolos de rede em uso e
comparando-os ao uso típico do protocolo.
Concluindo, podemos conceituar um firewall de próxima geração como um
dispositivo de segurança que processa o tráfego da rede e aplica regras para
bloquear o fluxo potencialmente perigoso. Os NGFWs são a evolução dos
firewalls tradicionais e expandem os recursos destes. Eles fazem tudo o que os
firewalls tradicionais fazem, mas de forma mais poderosa e com o acréscimo
de recursos aprimorados.
https://www.cloudflare.com/pt-br/learning/security/what-is-next-generation-firewall-ngfw/
