Linux Firewall - Tudo o que você precisa saber

O sistema operacional Linux é famoso por seu incrível sistema de segurança e protocolos. Esta declaração é o argumento de venda mais vendido que um entusiasta do Linux usará para recrutar um novato no Linux. Ninguém quer lidar com um sistema sujeito a ataques maliciosos de scripts desconhecidos ou hackers de chapéu preto. A maioria de nós pode atestar que nos apaixonamos pelo Linux porque seu sistema não precisava de um antivírus. Não precisamos escanear todos os dispositivos externos que entraram em nosso sistema Linux através das portas da máquina.

No entanto, os atributos funcionais e a infraestrutura de segurança do sistema operacional Linux o tornam perfeito aos nossos olhos, mas não em uma infraestrutura centrada em rede. A segurança de nossos sistemas Linux em um domínio que conecta milhares de computadores não é garantida da mesma forma que em um computador desktop ou laptop que se conecta à internet ou qualquer outra rede de vez em quando. Além disso, a atuação efetiva desses computadores desktop e laptops com sistemas Linux pode levar um usuário a considerar a implementação de scanners de malware e rootkit como segura, partindo do pressuposto de segurança total garantida. No entanto, este artigo está aqui para considerar uma solução para as ameaças baseadas em rede que podem enfrentar nossos sistemas.

Quando pensamos em uma ameaça baseada em rede, o primeiro instinto defensivo nos leva a considerar um firewall. Portanto, precisamos aprender tudo sobre firewalls e, em seguida, listar algumas considerações que funcionarão melhor para nossos sistemas contra explorações ou ataques baseados em rede. Como sabemos que um sistema Linux é excelente por si só, imagine a autenticidade de segurança de um sistema Linux que adiciona uma camada extra de segurança a si mesmo depois de já se declarar seguro. Para nos salvar da confusão desse malabarismo do Linux, primeiro precisamos definir um firewall.

Considere-se um administrador de rede e seu foco principal é monitorar o comportamento e o desempenho de um sistema atribuído a você. Você lidará com a análise do tráfego de entrada e saída da rede e também tomará algumas decisões sobre os protocolos de segurança que precisam de implementação. No entanto, você não pode executar todas essas tarefas independentemente; a menos que você tenha um refém gênio que lhe conceda desejos infinitos. Você precisa da ajuda de algo superior, como um firewall.

É um dispositivo de segurança de rede que automatiza decisões críticas com base no tráfego de rede de entrada ou saída. Ele analisará o tráfego da rede e decidirá se é seguro ou inseguro. O tráfego inseguro é bloqueado enquanto o tráfego seguro recebe uma luz verde na rede. Um firewall faz referência a algumas regras de segurança predefinidas que marcam os tráfegos de rede analisados ​​como seguros ou inseguros.

Os firewalls não são uma coisa nova que começou a ser tendência recentemente, seu impacto e contribuição para a segurança da rede são sentidos há mais de 25 anos e continuam a crescer. Você pode pensar neles como os guardiões de uma rede definida internamente. Eles agem como a ponte de tráfego de rede entre uma rede protegida e uma rede controlada e decidem em qual tráfego confiar e descartar. Um firewall pode assumir a forma de software, hardware ou uma fusão de ambos.

Objetivo de um firewall

Como sabemos que um firewall é um guardião definido de uma rede existente, ele negará ou encerrará a conexão com o tráfego de rede suspeito. Eliminar essa conexão indesejada aumenta o desempenho da rede, pois o tráfego de uma conexão legítima aumentará simultaneamente. Portanto, uma infraestrutura de rede ideal deve ter computadores, servidores e firewalls como parte dos componentes básicos da rede.

A função de um firewall como um componente desta infraestrutura de rede existe entre os computadores e os servidores. Uma vez que agora eles irão controlar o acesso do tráfego de rede dos computadores aos servidores e vice-versa, a legitimidade dos dados de uma rede definida permanece privada e segura. Ter uma entidade de rede que monitora e limita o tráfego de rede é um acréscimo inestimável para uma infraestrutura de rede, que, a longo prazo, torna o administrador de rede mais proficiente em sua função.

Um exemplo prático de cenário de firewall em ação é ao lidar com um ataque de rede DoS (Negação de Serviço). Neste caso, o tráfego de rede não autorizado irá direcionar e inundar seu site ao vivo. O objetivo conseqüente dessa inundação de rede será sobrecarregar o servidor da web que hospeda seu site. Se o servidor da web não puder lidar com a pressão do tráfego, ele cairá ou sua funcionalidade entrará em colapso.

Portanto, se você dirige um negócio on-line hospedado e em crescimento e tem um problema, você pode perder uma clientela significativa. A reputação da sua empresa diminuirá com os comentários negativos dos clientes. No entanto, se você fez sua lição de casa sobre o firewall, você se protegerá desse labirinto de vulnerabilidades de rede. Um firewall filtrará esse tráfego, encontrará quaisquer anomalias ocultas e interromperá a conexão, se necessário.

Como funcionam os firewalls

Agora sabemos que um firewall monitora a movimentação de dados em uma rede existente e fará referência a regras predefinidas existentes para bloquear dados ruins e permitir a passagem de dados bons. No entanto, a metodologia por trás de como um firewall funciona não é direta, mas combina três abordagens. Eles são Proxy Service, Packet Filtering e Stateful Inspection.

Serviço Proxy

Esta metodologia de firewall evita que um servidor de rede interaja diretamente com o tráfego da rede. O firewall se posiciona entre o servidor de rede e o tráfego da rede, atribuindo a si mesmo a função de intermediário. Portanto, uma solicitação do usuário final feita ao servidor terá primeiro que passar pelo firewall. O firewall então examina os pacotes de dados do usuário final no tráfego de rede e decide se eles são viáveis ​​para alcançar o servidor com base em suas regras de inspeção de rede predefinidas.

Filtragem de Pacotes

Esta metodologia de firewall monitora a conectividade da rede facilitando a comunicação entre um computador ou dispositivo de rede e um servidor de rede. Assim, tal rede é obrigada a ter pacotes de dados que viajam continuamente através de um caminho de rede existente. O firewall da rede lidará diretamente com esses pacotes de dados em trânsito para filtrar quaisquer intrusos que tentem acessar o servidor de rede. Neste caso, as regras de firewall usarão umlista de acesso que define se os dados do pacote devem acessar o servidor. O firewall então faz uma contra-verificação de cada pacote de dados transmitidos em relação a esta lista e só permite a passagem para os que são viáveis.

Inspeção Estadual

Esta metodologia de firewall funciona analisando um padrão de fluxo de tráfego evidente. Ele implementa essa análise com base em três parâmetros, a saber, estado, porta e protocolo. Este firewall irá definir uma atividade de rede como aberta ou fechada. Portanto, uma atividade de monitoramento contínuo de firewall rastreará pacotes de dados confiáveis ​​e conhecidos, e cada vez que eles reaparecerem, eles receberão um dados autorizados passagem. No entanto, a recorrência desses pacotes de dados solicita sua reinspeção em busca de pacotes de dados não autorizados de fontes ou usuários mal-intencionados.

Tipos de firewalls

Antes de mergulharmos nos firewalls de código aberto a serem considerados para o seu sistema Linux, seria indelicado não mencionar os vários tipos de firewalls que existem. Os tipos de firewalls existentes estão diretamente relacionados à funcionalidade primária que oferecem, como veremos em breve.

Firewall proxy

Este firewall é um nome familiar e foi um dos primeiros a existir quando o conceito de firewalls começou a atingir a importância necessária em um mundo cada vez mais centrado em rede. É um gateway que permite a conexão ou comunicação entre uma rede e outra. O objetivo desta comunicação ou conexão é interagir com um aplicativo específico. Além dessa segurança de autorização, um firewall de proxy também atende ao cache de conteúdo. Portanto, o mundo externo não se conectará diretamente a um servidor especificado sem passar pelas verificações de segurança obrigatórias do firewall. Seu suporte para aplicativos de rede também afeta seus recursos de rendimento e o desempenho geral da rede.

Firewall de inspeção com estado

Conforme mencionado anteriormente, este firewall irá permitir ou proibir o tráfego com base nos parâmetros: estado, porta e protocolo. A atividade deste firewall começa quando uma conexão de rede está ativa ou aberta e para quando a conexão é encerrada ou encerrada. Esta janela permite que as decisões de filtragem ocorram. A base dessas decisões é baseada no contexto e nas regras definidas pelo administrador da rede. A regra de contexto permite que o firewall faça referência a informações de conexões anteriores e identifique pacotes de dados vinculados a uma conexão semelhante.

Firewall UTM (gerenciamento unificado de ameaças)

Este firewall empresta uma abordagem funcional do Firewall de inspeção stateful e vagamente o acopla com inspeção antivírus e inspeção de detecção de intrusão. Além disso, deixa uma permissão para serviços extras, se necessário, para aumentar o controle de segurança da rede. É uma recomendação de firewall ideal para usuários que consideram o gerenciamento em nuvem. Um UTM opera sob o princípio de facilidade de uso e simplicidade.

NGFW (Firewall de última geração)

Os firewalls de rede também deram um salto de fé na evolução. Sua funcionalidade não pode mais ser limitada a inspeção de estado e filtragem de pacote de dados. Agora é evidente que os firewalls de próxima geração estão aumentando e as empresas estão adotando essa abordagem para lidar com ataques na camada de aplicativos e malware avançado. Um firewall de próxima geração possui as seguintes características ou atributos.

• Prevenção de intrusão integrada
• Técnicas de inteligência para se adaptar às ameaças de segurança em evolução
• Inspeção de estado e outros recursos de firewall padronizados
• Capacidade de detectar e colocar em quarentena aplicativos perigosos por meio do controle e conscientização de aplicativos
• O uso de feeds de informações futuras como parte da atualização de recursos do firewall.

Esses recursos precisam ser o padrão para o firewall de cada empresa moderna.

NGFW com foco na ameaça

Este firewall combina as funcionalidades de um NGFW tradicional e as associa a detecção e correção avançada de ameaças. Este firewall focado em ameaças ajuda você a alcançar o seguinte:

• Percepção de contexto completa. Isso o ajudará a agrupar seus ativos de rede com base nos níveis de vulnerabilidade viáveis.
• Reação imediata a ataques de rede. O fortalecimento dinâmico das defesas da rede por meio de políticas definidas contribui para o desenvolvimento de recursos de automação de segurança inteligentes viáveis ​​para a estabilidade da sua rede.
• Melhor detecção de atividades evasivas ou suspeitas. Este objetivo é alcançável por meio de endpoint e correlação de eventos de rede.
• Redução significativa na duração entre a detecção e limpeza de ameaças de rede. O firewall monitorará continuamente e permanecerá alerta para atividades ou comportamentos de rede suspeitos, mesmo após a inspeção de ameaças anterior e sucesso de gerenciamento.
• Complexidades de rede reduzidas para facilitar sua administração. As políticas unificadas em vigor devem ajudá-lo a trabalhar com um firewall fácil de gerenciar e monitorar quando uma decisão rápida precisa ser tomada em relação a uma ameaça de rede suspeita.

Firewall Virtual

A implantação deste firewall em uma nuvem pública ou privada dá a ele a identidade de um dispositivo virtual. Uma nuvem pública pode ser Google, AWS, Oracle e Azure, enquanto uma nuvem privada pode ser Microsoft Hyper-V, VMware ESXi e KVM. A instância de dispositivo virtual definida funciona em redes virtuais e físicas e ajudará a monitorar e proteger seu tráfego relacionado. Em um ponto em sua busca por conhecimento prático sobre firewalls de rede, você encontrará SDN (Redes Definidas por Software). Você será capaz de entender o papel de um firewall virtual na implementação de sua arquitetura.

Hardware Versus Software Firewall

Como já discutimos que um firewall pode ser software, hardware ou uma combinação de ambos, a solução de firewall que você procura pode levá-lo a um dilema. Você pode não saber se precisa de um firewall de software, um firewall de hardware ou uma combinação de ambos. Seja qual for o caso, é melhor ter um deles configurado em seu sistema para estar protegido contra vulnerabilidades de rede. No entanto, sua decisão sobre o firewall a ser usado deve ser baseada em um entendimento completo entre um firewall de software e hardware.

Firewall de Hardware

Este firewall é definido como um dispositivo físico configurável capaz de monitorar o tráfego de rede baseado em infraestrutura, permitindo ou negando a transmissão de pacotes de dados com base em configurações de rede especificadas. Uma vez que um firewall de hardware é uma entidade ou componente separado do seu servidor físico, este servidor obterá alto desempenho. O tráfego de sua rede estará 100% sob seu controle. Este firewall é facilmente configurável e basta um único dispositivo para você decidir o tráfego de rede de entrada ou saída. Ele também oferece controle granular para serviços RDP e SSH. Com um firewall de hardware, você pode configurar de forma fácil e direta uma conexão de rede privada virtual. Sua infraestrutura continuará acessível com uma conexão de internet estável.

Firewall de software

Um firewall que pode ser instalado em um computador local é a definição inicial de um firewall de software. Seu objetivo funcional é direto e permitirá ou negará o tráfego de entrada ou saída de seu computador local. No entanto, um conjunto pré-configurado de regras de tráfego de rede precisa estar em vigor para que este firewall seja objetivo em sua funcionalidade. A implementação de um firewall de software não exige nenhuma configuração física. A análise do tráfego de rede sob este firewall é excepcional. Um usuário pode bloquear o tráfego malicioso com base em palavras-chave.

A viabilidade de ter um firewall local torna sua rotina de análise de tráfego eficiente com alertas de segurança. Porém, a implementação de um software de firewall tem uma demanda específica, todos os dispositivos da rede que desejam se beneficiar dele precisam tê-lo instalado em seus sistemas. Outra preocupação notável é a compatibilidade entre o firewall do software e o sistema operacional do dispositivo de rede. Esse problema pode enfraquecer a eficácia de sua infraestrutura de segurança. O dispositivo de rede que hospeda a instalação e configuração deste firewall precisa ter hardware capaz, uma vez que este software consome muitos recursos e pode diminuir o desempenho de uma máquina mais fraca.

Conclusão

Agora que você conhece profundamente o que é um Firewall Linux, como funciona e o que pode fazer por você, pode dar uma olhada em alguns dos melhores firewalls de código aberto para suas necessidades.