Firewall – sistema de segurança

Um firewall é uma barreira inteligente entre a sua rede local e a Internet, através da qual só passa tráfego autorizado. Este tráfego é examinado pelo firewall em tempo real e a seleção é feita de acordo com a regra "o que não foi expressamente permitido, é proibido". Para criar as regras com as quais o firewall seleciona o tráfego, selecione os serviços da Internet, os endereços IP e as estações para as quais o tráfego será permitido ou negado.

Toda rede local com conexão dedicada à Internet precisa de proteção. Estatísticas mostram que empresas americanas perderam mais de US$ 5.2 bilhões, nos últimos três anos, devido a ataques de hackers e gangues cibernéticas. É um engano pensar que somente as grandes corporações são alvo de hackers. Qualquer empresa com conexão dedicada à Internet é um alvo pois as ferramentas automáticas de hackers atacam milhares de endereços por hora e penetram no primeiro site desprotegido.

Existem mais de 80.000 sites na própria Internet dedicados a atividades de hacking onde é possivel obter ferramentas para invasão de sistemas.

1ª Geração - Filtros de Pacotes

Esta geração inicial de firewall somente controlava a origem e o destino dos pacotes de mensagens da Internet. Atualmente, a filtragem de pacotes é implementada na maioria dos roteadores e é transparente aos usuários, porém pode ser facilmente contornada com IP Sniffers/Spoofers - técnicas usadas por hackers para iludir os roteadores, com a troca de endereços de origem. Por isto, o uso de roteadores como única defesa para uma rede corporativa não é aconselhável.

2ª Geração - Gateways e Proxies

Gateways para circuitos e aplicações conectam as redes corporativas à Internet através de estações seguras rodando aplicativos especializados para filtrar dados. Estes gateways permitem que usuários se comuniquem com os sistemas seguros através de um proxy, o qual esconde os arquivos e os servidores da ação dos hackers.

Gateways de circuito - focalizados na camada de transporte do TCP/IP, modelo OSI - usam as conexões TCP/IP como proxy. Um circuito proxy é instalado entre o roteador da rede e a Internet e se comunica com a Internet em lugar da rede local. Desta maneira os endereços da rede corporativa ficam escondidos dos hackers, já que só o endereço do proxy é tornado público na Internet.

Gateways de aplicações - que examinam a comunicação entre as aplicações IP - realmente examinam as informações que estão sendo transmitidas. Isto impede tentativas de spoofing de pacotes (que alteram endereços). Os gateways de aplicações também permitem o uso de chaves de segurança, como senhas e pedidos de serviço, pois estas só aparecem dentro da camada de aplicações do modelo OSI.

Desvantagens:

• Há uma demora entre o aparecimento de um novo serviço na Internet e seu correspondente agente de proxy. A instalação, manutenção e upgrade dos agentes de proxy requerem serviços adicionais de gerenciamento do firewall.
• Os proxies introduzem perda de performance na rede, já que as mensagens devem ser processadas duas vezes, pelo gateway e pelo agente de proxy. Por exemplo, o serviço FTP manda um pedido ao agente de proxy para FTP, que por sua vez fala com o servidor interno de FTP para completar o pedido.
• Os gateways são caros e requerem estações UNIX, o que implica em multiplicação de sistemas operacionais.

3ª Geração - Stateful Multi-Layer Inspection

Esta moderna tecnologia permite que o firewall examine cada pacote em todas suas camadas do modelo OSI, desde o transporte até a aplicação, sem necessidade de processar a mensagem.

Com a tecnologia SMLI o firewall usa algoritmos de verificação de tráfego otimizados para altas velocidades de inspeção. Simultaneamente, os pacotes são comparados a padrões conhecidos de pacotes amigáveis. Desta maneira a SMLI oferece a velocidade de um filtro de pacotes junto com a segurança de um gateway de aplicações, sendo totalmente transparente aos usuários e permitindo ao administrador adicionar novos serviços Internet em poucos minutos.

BRmultiaccess

O firewall implementado no BRmultiaccess, trabalha conjuntamente com as tecnologias de terceira geração e IP mascarado garantindo ainda mais segurança a rede interna.

Somente o micro que executa o BRmultiaccess terá um endereço IP válido, as demais máquinas serão configuradas com endereços IP não válidos. Quando uma dessas máquinas requisitar algum dado a INTERNET, estará requisitando primeiramente ao BRmultiaccess que posteriormente requisitará a INTERNET e encaminhará o resultado para a máquina que requisitou. Isso só é possível de ser feito com a utilização da tecnologia IP mascarado, que cria portas dinâmicas no endereço válido para cada conexão. Endereços IP não validos são completamente invisíveis, portanto não há possibilidade alguma de invasão das demais máquinas.

Já utilização da terceira geração de firewall é aplicada para criar filtros de entrada e saída de dados. Em se tratando de firewall somente serviços extremamente necessários são habilitados (HTTP, FTP, POP, SMTP, etc.) e esta habilitação se dá através dos filtros criados no BRmultiaccess.