O que é um NGFW (Next-Generation Firewall)?
Sim, eu sei... estamos em 2017 e NGFWs não são mais surpresa alguma. Ainda assim, muita gente ainda me pergunta: o que é um NGFW (e qual a diferença entre um Firewall e um NGFW?
Vamos entender!
Comecemos com um Firewall Tradicional (aquele que não é NG): o Firewall Tradicional tem como principal característica o fato de entender regras que sejam baseadas em (1) Endereço de IP e (2) Porta. Ou seja, suas funções limitam-se à Camada 3 (Redes) e Camada 4 (Transporte) do Modelo OSI.
Isso traz algumas limitações, entre elas:
Não entende o que são Aplicações
Não entende o que são URLs
Não entende o que são Usuários
Não sabe o que é Payload do Pacote
Essas são, de fato, as maiores limitações de um Firewall Tradicional. Por não saber o que são aplicações e URLs, o bloqueio das mesmas deve ser feito nas Camadas 3 e/ou 4. A Camada 4 tradicionalmente não serve, afinal de contas na Web praticamente tudo é porta 80 (HTTP) ou porta 443 (HTTPS). Resta-nos a Camada 3: para fazer bloqueio de qualquer aplicação ou URL é necessário saber todos os IPs que estão associados àquela aplicação. Por exemplo: para bloquear Facebook em um Firewall Tradicional deve-se buscar pelos IPs de todos os servidores do Facebook (que são milhares e mudam a cada dia/semana) e, manualmente, adicioná-los a uma ACL no Firewall. Isso obviamente não escala e é ingerenciável.
Outro problema é que os Firewalls não entendem o que são usuários e, como consequência, os Logs e Relatórios são todos gerados com endereços de IPs que dizem muito menos do que usuários. Uma coisa é ver que os IPs 192.168.43.0/24 tiveram acessos suspeitos. Outra é saber que o Grupo do AD (Active Directory) de Finanças teve acessos suspeitos!
Finalmente, o Firewall não têm idéia do que é Payload (Conteúdo) do pacote. Para o Firewall tradicional, o que interessa são Headers (cabeçalhos) e todas as decisões devem ser tomadas baseado nisso.
Os Firewalls de Nova Geração (NGFW) existem, majoritariamente para resolver esses 4 problemas com funções que veremos a seguir. Mas antes lhes adianto o seguinte:
A maior diferença entre um Firewall Tradicional e um NGFW é que o último consegue subir até a Camada 7 do Modelo OSI para a criação de regras e dar maior visão.
Além disso, é fundamental entender que não existe um consenso quanto a quais são as Funções (Features) que fazem de um NGFW um NGFW... No entanto, escrevo na sequência as 4 principais funções que um NGFW deve ter para assim ser considerado.
Visão de Usuários
Através de Integração com o AD/LDAP o NGFW tem visão de usuários. Dessa forma, podemos criar regras no equipamento que levem em conta os Grupos do AD ou ainda os Usuários do AD. Soma-se isso às funções abaixo e podemos criar regras poderosas como por exemplo:
Grupo de Engenharia NÃO pode ter acesso ao Google Drive
Grupo de Finanças e Grupo de Marketing PODEM ter acesso ao Facebook
Usuário João NÃO pode utilizar o Skype
...
Com isso, além de simplificar a criação de regras por abstrair o uso de IP, a visão de Usuários simplifica os relatórios e logs, já que é mais interessante saber que o CEO José foi atacado, ao invés de saber que o 192.168.102.17 foi atacado.
AVC (Controle e Visão de Aplicações)
Pense nas milhares e milhares de aplicações que temos hoje... Facebook, Skype, Google Drive, Box, Instagram... AVC é fundamental para que possamos fazer permissões e bloqueios de forma granular e escalável.
Para saber mais sobre como AVC funciona clique AQUI e veja nosso Post sobre o assunto.
Para que AVC funcione é necessário subir até a Camada 7, algo que um Firewall Tradicional não consegue fazer e que, ao mesmo tempo, todo e qualquer NGFW hoje deve ser capaz de fazer. Essa função, aliada à visão de usuários, é muito poderosa.
Uma vez para bloquear algo como Facebook para o Grupo de Finanças teríamos que fazer algo assim:
Block se Origem = 192.168.10.0/24 e Destino = 15.12.19.23
Block se Origem = 192.168.10.0/24 e Destino = 15.12.19.67
Block se Origem = 192.168.10.0/24 e Destino = 15.12.19.28
Block se Origem = 192.168.10.0/24 e Destino = 15.12.19.56
...
...
x1000
*Nota: esses endereços não são do Facebook de verdade.
Ou seja: na Origem tínhamos que colocar a subnet do grupo que representa a Engenharia e no Destino todos os endereços de IP que pertencem ao Facebook. Trabalhoso, né?!
Em um NGFW a história seria mais ou menos assim:
1. Selecionar a ação e o Grupo do AD Finanças (equivalente à subnet 192.168.10.0/24)
2. Selecionar a Aplicação que se deseja bloquear
Pronto, essa configuração é suficiente para bloquear a aplicação Facebook para todo e qualquer usuário que pertença ao grupo de Finanças.
Muito mais simples, não é? E isso só é possível graças ao NGFW*.
*Nota: Existem outros equipamentos em uma rede que podem fazer AVC, como Proxy, Soluções de Endpoint e até Roteadores.
Filtro URL
Chegamos agora ao Filtro URL, outra função que todo e qualquer NGFW deve possuir.
Filtro URL tem a ver com 2 coisas:
Categorias
Reputação
É isso mesmo.
Categorias nada mais são do que agrupamentos de URLs dentro de baldes de classificação. As soluções pegam milhares, milhões e, às vezes, bilhões de URLs e as colocam dentro de seu balde específico. Twitter? Rede Social. Google? Mecanismo de Busca. Pokerstars? Aposta. E por aí vai.
Quando pensamos em categoria, tradicionalmente estamos pensando mais em produtividade: "não pode pornografia", "não pode sites de aposta", "não pode site de games"... decisões que são tomadas na expectativa de que o colaborador trabalhe mais e mais. Particularmente, não enxergo isso como "segurança", mas sim produtividade, salvo algumas exceções, como sites de Proxy, sites de SPAM, sites de Adware e Spyware, etc.
Reputação tem a ver com Segurança. Reputação tem a ver com o quão boa ou ruim uma URL é. Isso pode varias de uma classificação de 1 a 5, como na figura abaixo ou de 0 a 10 em outras soluções. Mas a lógica é a mesma: uma página vai ser analisada, buscando por scripts maliciosos, arquivos associados a malware, conteúdos dinâmicos suspeitos e terá uma nota atribuída. Um bom exemplo é pensar no Pokerstars.com, um site tradicional de Poker Online: O Pokerstars é um site de Aposta, algo que tradicionalmente as empresas buscam bloquear. No entanto, é um site com reputação entre 9-10, ou seja, com uma excelente reputação. Do ponto de vista de segurança, não há nada de errado com a página.
Na figura abaixo observa-se uma hipotética criação de regra que é composta de Categoria e Reputação.
Por fim, é importante entender que a função de Filtro URL tradicionalmente foi executada por um Proxy. Agora, trazendo essa função para o NGFW, muitas empresas estão optando por remover o Proxy da sua rede e utilizar apenas o NGFW com essa feature. É importante notar, no entanto, que um Proxy tradicionalmente permite MUITAS outras coisas (Cache, Proxy HTTP, Proxy HTTPS, Proxy FTP, Proxy SOCKS, Decriptação...) que muitos NGFW ainda não fazem. Logo, uma possível remoção de Proxy deve ser feita com cautela e parcimônia.
IPS
Por fim, um NGFW deve ter funções de IPS(IDS). Na figura abaixo, um exemplo desses onde, dentro de uma Regra individual (a mesma de bloquear Facebook de antes) podemos selecionar uma Política de IPS. Uma política que vai ser constituída de centenas ou milhares de regras (assinaturas) que vão buscar padrões no Payload do pacote. Essa é, portanto, uma vital diferença de um NGFW: a capacidade de entender Payload... não só sair das camadas 3/4 e subir até a camada 7, como também ter visão do conteúdo (Payload) do pacote e não apenas de cabeçalhos.
O fato é, senhoras e senhores, que os casos de uso de Firewall tradicional estão cada vez mais raros. A tendência é NGFW e o mercado está passando por uma brusca transição nesse segmento. Quem não olhar para isso, vai ficar para trás.
Quer saber mais sobre NGFW, AVC, IPS...? Conheça nosso Curso de Segurança em Redes de Computadores onde tratamos todos esses assuntos e muito mais com mais detalhes. Também acesse nosso Canal no YouTube para alguns vídeos no assunto.
Marcos Cavinato é Engenheiro Consultor de Segurança da Informação em uma das maiores multinacionais do ramo. É certificado CISSP #604399, Instrutor do Curso de Segurança em Redes de Computadores aqui na SegInfoBrasil e criador do Canal Segurança Cavinato no Youtube.