A segurança da informação é comumente encarada como um processo e não como um produto. Entretanto, implementações de segurança padronizadas geralmente utilizam alguma forma de mecanismo dedicado a controlar os privilégios de acesso e a restringir recursos de rede a usuários que são autorizados, identificáveis e rastreáveis. O Red Hat Enterprise Linux inclui muitas ferramentas poderosas para auxiliar administradores e engenheiros de segurança em questões de controle de acesso em nível de rede.
Os firewalls são um dos componentes centrais da implementação de segurança na rede. Diversos fabricantes comercializam soluções de firewall para suprir todos os nichos do mercado: de usuários domésticos protegendo um PC até soluções de centro de dados para proteger informações corporativas vitais. Firewalls podem ser soluções de hardware ligados intermitentemente, como as aplicações de firewall da Cisco, Nokia e Sonicwall. Também há soluções de software de firewall proprietárias desenvolvidas para os mercados doméstico e corporativo por fabricantes como Checkpoint, McAfee e Symantec.
Além das diferenças entre hardware e software de firewall, também há diferenças na maneira como os firewalls funcionam, que separam uma solução da outra. A Tabela 3.2, “Tipos de Firewall”detalha três tipos comuns de firewalls e como eles funcionam:
|
Método
|
Descrição
|
Vantagens
|
Desvantagens
|
|
NAT
|
Conversão de Endereços de Rede (Network Address Translation - NAT) insere sub-redes IP internas por trás de um ou um pequeno grupo de endereços IP públicos, mascarando todos os pedidos para uma fonte ao invés de várias.
|
| · Pode ser configurado de forma transparente em máquinas de uma LAN |
| · A proteção de muitas máquinas e serviços atrás de uma ou mais endereços IT externos, simplificam tarefas de administração. |
| · A restrição de acesso ao usuário para e de uma LAN pode ser configurado ao abrir e fechar portas em um NAT firewall/gateway |
|
| · Não pode evitar atividades maldosas uma vez que usuários se conectam a um serviço fora do firewall |
|
|
Filtro de Pacotes
|
Um firewall de filtragem de pacotes lê cada pacote de dados que passa por dentro e por fora de uma LAN. Pode ler e processar pacotes pela informação do cabeçalho e filtrar o pacote baseado em conjuntos de regras programáveis implementadas pelo administrador do firewall. O kernel do Linux tem a funcionalidade embutida de filtragem de pacotes através do sub-sistema Netfilter do kernel.
|
| · Padronizável através do utilitário de frente de linha iptables |
| · Não requer qualquer padronização no lado do cliente, assim como a atividade de rede é filtrada em nível roteador ao invés de nível de aplicativo |
| · Como os pacotes não são transmitidos através de um proxy, o desempenho da rede é mais rápido devido à conexão direta de cliente ao host remoto. |
|
| · Não filtra pacotes para conteúdo como o proxy firewalls |
| · Processa pacotes na camada de protocolo, mas não encontra pacotes de filtro em uma camada de aplicativo |
| · Arquiteturas de rede complexas podem fazer com que o estabelecimento de regras de filtragem de pacotes se torne difícil, especialmente se for usado com o mascaramento do IP ou sub-redes locais e redes DMZ. |
|
|
Proxy
|
Firewalls de proxy filtram todos os pedidos de um determinado protocolo ou tipo dos clientes LAN para uma máquina proxy, que então faz estes pedidos à Internet representando o cliente local. Uma máquina proxy atua como um buffer entre usuários remotos maldosos e as máquinas dos clientes internos da rede.
|
| · Oferece aos administradores, controle sob quais aplicativos e protocolos funcionam fora da LAN |
| · Alguns servidores proxy podem efetuar o cache de dados acessados freqüentemente localmente ao invés de ter que usar uma conexão de Internet para solicitá-lo. Isto ajuda a reduzir o consumo da largura de banda. |
| · Os serviços proxy podem ser autenticados e monitorados de perto, permitindo um controle mais acirrado sob a utilização dos recursos na rede. |
|
| · Os proxies são geralmente aplicativos específicos (HTTP, Telnet, etc.) ou protocolos restritos ( a maioria dos proxies funcionam somente com serviços conectados TCP) |
| · Os serviços de aplicativos não podem rodar atrás de um proxy, pois seus servidores de aplicativos devem usar uma forma diferenciada de segurança de rede. |
| · Os proxies podem se tornar um gargalo de rede, pois todas as solicitações e transmissões são passadas através de uma fonte ao invés de vir diretamente de um cliente para um serviço remoto. |
|
Tabela 3.2. Tipos de Firewall