A proteção da sua rede empresarial tornou-se mais crucial do que nunca.
No mundo digitalmente avançado em que vivemos, onde a internet permeia praticamente todos os aspetos das nossas vidas, torna-se difícil imaginar um dia sem internet ou dispositivos que com ela interajam.
Apesar de facilitar as nossas vidas, a internet também alberga inúmeras ameaças online que podem prejudicar uma organização de várias formas. Os *hackers* procuram vulnerabilidades de segurança para injetar vírus e outras intenções maliciosas que podem custar muito dinheiro e reputação a uma empresa.
Gigantes da tecnologia, como o Google e o Facebook, também sofreram este tipo de roubo. Um relatório da CNBC revela que os fraudadores usaram táticas engenhosas para roubar mais de 100 milhões de dólares do Google e do Facebook entre 2013 e 2015.
Graças aos avanços tecnológicos modernos, os *firewalls* foram introduzidos para proteger contra ameaças digitais. Estes são concebidos para salvaguardar dispositivos e dados valiosos, monitorizando e controlando o tráfego de entrada e saída da rede.
Contudo, os *hackers* e as suas ameaças estão em constante evolução, pelo que os *firewalls* também precisam de ser cada vez mais inteligentes para fazer face a novos desafios.
Serão todos os *firewalls* iguais?
Não, nem todos os *firewalls* são construídos da mesma maneira. Eles percorreram um longo caminho desde a década de 1980 e podemos ouvir falar dos seus diferentes tipos, como:
Neste artigo, irei analisar os *firewalls* com estado e sem estado, que frequentemente causam confusão. Cada um deles apresenta vantagens e desvantagens e aplicabilidade distintas, mas ambos são importantes para a proteção da rede.
Vamos, então, explorar estes conceitos em detalhe!
O que é um *firewall* com estado?
Os *firewalls* com estado são capazes de monitorizar todos os aspetos do tráfego de rede, incluindo os seus canais de comunicação e características. São também conhecidos como filtros de pacotes dinâmicos, uma vez que filtram os pacotes de tráfego com base no contexto e no estado.
Mas o que significam estes termos “contexto” e “estado” na linguagem das conexões de rede?
- Contexto – envolve os metadados dos pacotes, incluindo as portas e os endereços IP pertencentes ao ponto final e ao destino, o tamanho do pacote, informações da camada 3 relativas à remontagem e fragmentação, sinalizadores e números para a sequência TCP da camada 4, e muito mais.
- Estado – os *firewalls* aplicam a sua política com base no estado da ligação. Para compreender o estado, consideremos o exemplo da comunicação baseada em TCP. No TCP, 4 *bits* controlam o estado da ligação – SYN, ACK, FIN e RST.
Quando uma ligação é iniciada através de um *handshake* de 3 vias, o TCP indica o sinalizador SYN, que o *firewall* utiliza para assinalar a chegada de uma nova conexão. Em seguida, a ligação recebe o sinalizador SYN+ACK do servidor. A ligação não é estabelecida até que o cliente responda com ACK.
Da mesma forma, ao observar o pacote FIN+ACK ou RST, a ligação é marcada para eliminação imediata, juntamente com pacotes futuros.
Benefícios
- Memória robusta para reter os principais aspetos do tráfego.
- Elevada capacidade para detetar mensagens forjadas ou acessos não autorizados.
- Sistema inteligente para tomar melhores decisões com base em descobertas presentes e passadas.
- Maior capacidade de registo e mitigação de ataques mais forte.
- Necessidade de um menor número de portas para comunicação.
Isto significa que os *firewalls* com estado analisam continuamente todos os pacotes de dados que tentam entrar numa rede. Uma vez que o *firewall* com estado aprova um pedido de tráfego, este pode circular livremente dentro da rede.
No entanto, os *firewalls* com monitorização de estado podem ser vulneráveis a ataques DDoS. O motivo para tal é a maior necessidade de ligação *software*-rede e o elevado poder computacional exigido para a implementação.
O que é um *firewall* sem estado?
Os *firewalls* sem estado utilizam informações como origem, endereço de destino, entre outros, para verificar a existência de eventuais ameaças. Ao detetar uma possível ameaça, o *firewall* bloqueia-a. Existem regras predefinidas que os *firewalls* aplicam ao decidir se o tráfego deve ser permitido ou não.
Uma vez que os *firewalls* sem estado não foram concebidos para considerar tantos detalhes como os *firewalls* com estado, são menos rigorosos.
Por exemplo, um *firewall* sem estado não pode ter em conta o padrão completo em que os pacotes estão a entrar. Em vez disso, irá inspecionar cada pacote isoladamente. Além disso, também não consegue distinguir entre diferentes tipos de tráfego ao nível da aplicação, incluindo HTTPS, HTTP, SSH, FTP, VoIP, etc.
Consequentemente, os *firewalls* sem estado são suscetíveis a ataques online distribuídos por diferentes pacotes.
Benefícios
- Funciona bem em caso de tráfego intenso.
- São rápidos.
- Geralmente, são mais económicos do que os *firewalls* com estado.
Como já deve ter adivinhado, um *firewall* sem estado não inspeciona todo o tráfego ou pacotes, e não consegue identificar os tipos de tráfego.
Qual o melhor *firewall* – com estado ou sem estado?
E chegamos à parte interessante!
Depois de ler as vantagens de ambos os tipos de *firewall*, pode optar por qualquer um deles consoante as suas necessidades.
Mas, se ainda tiver dúvidas, vamos simplificar a decisão com base nas suas necessidades pessoais ou empresariais.
Pequenas empresas
Para as pequenas empresas, o principal objetivo ao adquirir um *firewall* é proteger os sistemas e os documentos de pessoas mal-intencionadas. Além disso, também dispõem de um orçamento limitado.
Uma vez que os volumes de tráfego são mais baixos para as empresas de menor dimensão, significa que as ameaças recebidas também serão mais reduzidas ou mais espaçadas, por assim dizer.
Assim sendo, os *firewalls* sem estado poderão ser uma opção adequada, caso tenha uma pequena empresa. O seu desempenho rápido, juntamente com a capacidade de gerir grandes volumes de tráfego, podem ser o melhor investimento para o seu dinheiro.
Grandes empresas
As grandes empresas possuem muitos sistemas e dados, incluindo dados altamente confidenciais que não podem ser expostos de forma alguma. Tal poderia prejudicar a sua reputação e o seu património. Para além disso, também têm um volume de tráfego de saída e de entradas suspeitas mais elevado que necessita de ser monitorizado.
Para estes casos, os *firewalls* com monitorização de estado seriam a melhor opção. Os *firewalls* robustos com funcionalidades sofisticadas podem proteger melhor os seus ativos extensos, fornecendo uma densa camada de segurança para mitigar ataques.
Outros cenários
- Para um pequeno escritório composto por poucos colaboradores de confiança que necessitam de funcionalidades de encaminhamento, podem usar-se *firewalls* sem estado.
- Pode utilizar um *firewall* sem estado numa rede de confiança que resida entre uma VLAN, certificando-se de que um *firewall* com estado já se encontra a monitorizar o tráfego externo.
Algumas perguntas frequentes
Um único *firewall* pode funcionar como com estado e sem estado?
Não. Um *firewall* pode ser com ou sem estado.
O HTTP é sem estado ou com estado?
Sem estado. O servidor esquece tudo sobre o estado do navegador ou do cliente. Devido às aplicações Web, o HTTP aparenta ser com estado, mas, na realidade, é sem estado.
O *firewall* do Windows é um *firewall* com estado ou sem estado?
O *Firewall* do Windows (WF) é com estado. Monitoriza automaticamente as suas ligações para garantir que apenas os dados de confiança são permitidos.
Conclusão
Escolha o que melhor se adapta às suas necessidades para proteger a sua rede através de *firewalls*, salvaguardando todos os seus sistemas e dados.