Recent Posts

Archive

O que é um NGFW (Next-Generation Firewall)?


Sim, eu sei... estamos em 2017 e NGFWs não são mais surpresa alguma. Ainda assim, muita gente ainda me pergunta: o que é um NGFW (e qual a diferença entre um Firewall e um NGFW?

Vamos entender!

Comecemos com um Firewall Tradicional (aquele que não é NG): o Firewall Tradicional tem como principal característica o fato de entender regras que sejam baseadas em (1) Endereço de IP e (2) Porta. Ou seja, suas funções limitam-se à Camada 3 (Redes) e Camada 4 (Transporte) do Modelo OSI.

Isso traz algumas limitações, entre elas:

  • Não entende o que são Aplicações

  • Não entende o que são URLs

  • Não entende o que são Usuários

  • Não sabe o que é Payload do Pacote

Essas são, de fato, as maiores limitações de um Firewall Tradicional. Por não saber o que são aplicações e URLs, o bloqueio das mesmas deve ser feito nas Camadas 3 e/ou 4. A Camada 4 tradicionalmente não serve, afinal de contas na Web praticamente tudo é porta 80 (HTTP) ou porta 443 (HTTPS). Resta-nos a Camada 3: para fazer bloqueio de qualquer aplicação ou URL é necessário saber todos os IPs que estão associados àquela aplicação. Por exemplo: para bloquear Facebook em um Firewall Tradicional deve-se buscar pelos IPs de todos os servidores do Facebook (que são milhares e mudam a cada dia/semana) e, manualmente, adicioná-los a uma ACL no Firewall. Isso obviamente não escala e é ingerenciável.

Outro problema é que os Firewalls não entendem o que são usuários e, como consequência, os Logs e Relatórios são todos gerados com endereços de IPs que dizem muito menos do que usuários. Uma coisa é ver que os IPs 192.168.43.0/24 tiveram acessos suspeitos. Outra é saber que o Grupo do AD (Active Directory) de Finanças teve acessos suspeitos!

Finalmente, o Firewall não têm idéia do que é Payload (Conteúdo) do pacote. Para o Firewall tradicional, o que interessa são Headers (cabeçalhos) e todas as decisões devem ser tomadas baseado nisso.

Os Firewalls de Nova Geração (NGFW) existem, majoritariamente para resolver esses 4 problemas com funções que veremos a seguir. Mas antes lhes adianto o seguinte:

A maior diferença entre um Firewall Tradicional e um NGFW é que o último consegue subir até a Camada 7 do Modelo OSI para a criação de regras e dar maior visão.

Além disso, é fundamental entender que não existe um consenso quanto a quais são as Funções (Features) que fazem de um NGFW um NGFW... No entanto, escrevo na sequência as 4 principais funções que um NGFW deve ter para assim ser considerado.

Visão de Usuários

Através de Integração com o AD/LDAP o NGFW tem visão de usuários. Dessa forma, podemos criar regras no equipamento que levem em conta os Grupos do AD ou ainda os Usuários do AD. Soma-se isso às funções abaixo e podemos criar regras poderosas como por exemplo:

Grupo de Engenharia NÃO pode ter acesso ao Google Drive

Grupo de Finanças e Grupo de Marketing PODEM ter acesso ao Facebook

Usuário João NÃO pode utilizar o Skype

...

Com isso, além de simplificar a criação de regras por abstrair o uso de IP, a visão de Usuários simplifica os relatórios e logs, já que é mais interessante saber que o CEO José foi atacado, ao invés de saber que o 192.168.102.17 foi atacado.

AVC (Controle e Visão de Aplicações)

Pense nas milhares e milhares de aplicações que temos hoje... Facebook, Skype, Google Drive, Box, Instagram... AVC é fundamental para que possamos fazer permissões e bloqueios de forma granular e escalável.

Para saber mais sobre como AVC funciona clique AQUI e veja nosso Post sobre o assunto.

Para que AVC funcione é necessário subir até a Camada 7, algo que um Firewall Tradicional não consegue fazer e que, ao mesmo tempo, todo e qualquer NGFW hoje deve ser capaz de fazer. Essa função, aliada à visão de usuários, é muito poderosa.

Uma vez para bloquear algo como Facebook para o Grupo de Finanças teríamos que fazer algo assim:

Block se Origem = 192.168.10.0/24 e Destino = 15.12.19.23

Block se Origem = 192.168.10.0/24 e Destino = 15.12.19.67

Block se Origem = 192.168.10.0/24 e Destino = 15.12.19.28

Block se Origem = 192.168.10.0/24 e Destino = 15.12.19.56

...

...

x1000

*Nota: esses endereços não são do Facebook de verdade.

Ou seja: na Origem tínhamos que colocar a subnet do grupo que representa a Engenharia e no Destino todos os endereços de IP que pertencem ao Facebook. Trabalhoso, né?!

Em um NGFW a história seria mais ou menos assim:

1. Selecionar a ação e o Grupo do AD Finanças (equivalente à subnet 192.168.10.0/24)

2. Selecionar a Aplicação que se deseja bloquear

Pronto, essa configuração é suficiente para bloquear a aplicação Facebook para todo e qualquer usuário que pertença ao grupo de Finanças.

Muito mais simples, não é? E isso só é possível graças ao NGFW*.

*Nota: Existem outros equipamentos em uma rede que podem fazer AVC, como Proxy, Soluções de Endpoint e até Roteadores.

Filtro URL

Chegamos agora ao Filtro URL, outra função que todo e qualquer NGFW deve possuir.