Podemos medir o sucesso de uma invenção pelo tamanho do desafio em encontrar seus verdadeiros pais. Isso aconteceu, por exemplo, com o cálculo moderno, disputado entre Isaac Newton e Gottfried Leibniz, e também com Charles Darwin e Alfred Wallace na concepção da teoria da evolução.
O fato é que, em muitos casos, o conhecimento acumulado em um determinado campo de pesquisa leva seus especialistas em uma única direção, às vezes simultaneamente. E isso parece ter acontecido com os firewalls.
A tecnologia de interconectividade de redes chegou ao seguinte impasse: “nós estamos nos esforçando para permitir a comunicação entre diversos equipamentos, no entanto existe alguém, do outro lado desse cabo de rede, que eu não quero ou não posso permitir que acesse meus sistemas.”
O primeiro passo nesta direção apareceu nos roteadores Cisco. Eles ganharam, em 1985, a funcionalidade de “Access Control Lists” (ACL), que eram listas de endereços de rede para os quais os roteadores deveriam recusar tráfego, dadas algumas características como, por exemplo, endereços de origem e destino da comunicação.
Como os roteadores estavam em uma posição privilegiada dentro da topologia de redes, as ACLs foram bem recebidas pelos seus administradores, exceto por dois motivos: primeiro, as regras eram bem rudimentares, com poucas opções; e segundo, conforme as listas iam crescendo, os equipamentos começavam a apresentar problemas de performance. Fazer upgrades nestes roteadores exigiria um alto investimento.
E então, no final da década de 80, duas coisas aconteceram:
O laboratório da Digital Equipment Corporation (o mesmo que criou o AltaVista em 1994), publicou um trabalho sobre o sistema usado no endereço gatekeeper.dec.com, que era responsável por intermediar acessos para dentro e para fora da rede corporativa. Paul Vixie foi um dos seus projetistas, montando um servidor com peças sobressalentes disponíveis no laboratório.
O gateway da DEC era pouco mais do que um computador com duas placas de rede. Os usuários tinham uma conta de acesso a esta máquina, onde deviam se conectar antes de conseguirem acesso aos recursos que estavam do outro lado.
Enquanto isso, nos laboratórios da AT&T, Dave Presotto e Howard Trickey construiam um sistema, igualmente posicionado entre duas redes, mas que servia como um proxy, recebendo e encaminhando conexões em ambas as direções, após a consulta de uma relação de tipos de acessos autorizados.
William Cheswick e Steven Bellovin participaram do projeto e publicaram uma série de trabalhos que culminaram, em 1994, no livro “Firewalls and Internet Security: Repelling the Wily Hacker”, que serviu de base para o conceito de firewall que temos hoje.
“Firewalls are barriers between ‘us’ and ‘them’ for arbitrary values of ‘them’” – Steve Bellovin
Ainda no início os anos 90, Marcus Ranun, então trabalhando com Fred Avolio na DEC, foi incumbido de montar um sistema semelhante ao Gatekeeper para sua unidade. Sua abordagem, no entanto, foi abolir a criação de contas de usuários com a premissa de que 99% dos problemas envolvem contas de acesso no sistema. Concluiu, portanto, que um sistema sem usuários locais seria mais seguro.
Também na DEC, Jeff Mogul trabalhava no screend, uma peça de software responsável por analisar um fluxo de conexão e decidir, baseada em uma lista de acessos, se ele deveria ser autorizado ou bloqueado. Função semelhante às ACLs dos roteadores, mas com muito mais liberdade na definição dos tipos de acessos a serem controlados.
Uma semana e dez mil linhas de código mais tarde, Ranun apresentou o Gatekeeper V2, uma junção das funcionalidades da primeira versão com os conceitos de proxy da AT&T e de ACLs da Cisco. Este sistema foi o primeiro firewall do mundo a ser comercializado por uma companhia. Recebeu o nome de Screening External Access Link, ou SEAL (selar/vedar, em inglês) e foi licenciado para a Dupont em 1991 por US$ 75 mil (mais o serviço de instalação).
A partir deste ponto estava aberto o mercado de sistemas de firewall. A Raptor Eagle, fundada por David Pensak – funcionário da Dupont na época da implantação do SEAL – lançou seu firewall 6 meses depois, seguida de perto pela ANS InterLock.
Nesse período, Avolio e Ranun deixaram a DEC e foram trabalhar na TIS (Trusted Information Systems), empresa fundada em 1983 por Steve Walker, ex-funcionário da NSA. Cerca de um mês depois a DARPA financiou a criação de um sistema modular de proxies para a construção do firewall responsável pela proteção do site whitehouse.gov. O primeiro servidor de e-mail da Casa Branca era hospedado nas dependências da TIS.
O resultado deste trabalho de pesquisa foi o nascimento, em 1993, do Firewall Toolkit, projeto que visava aumentar a qualidade dos firewalls em uso, criando um conjunto de ferramentas com as quais pudessem ser construídos outros sistemas. A versão 2 foi a base do firewall Gauntlet, que cabia em 2 disquetes e custava US$ 25 mil.
O Gauntlet possuia uma interface de configuração em modo texto e manuais de instruções – um diferencial importante para a época – mas ainda assim era pouco prático e complicado de administrar.
Um novo conceito de firewall estava, desde 1992, sendo estudado por Bob Braden e Annette DeSchon na Universidade do Sul da Califórnia. Com o nome Visas, esta arquitetura trouxe duas inovações. A primeira foi uma interface gráfica de administração. Ela podia ser usada para configurar o firewall a partir de estações de trabalho Windows e Mac, com todos os ícones coloridos e cliques de mouse que estas plataformas permitiam.
A segunda inovação foi o conceito de filtro de estados ou regras dinâmicas (statefull firewall dynamic packet filtering). O método também foi pesquisado na AT&T por Presotto e sua equipe (inclusive Cheswick e Bellovin), mas teve seu uso restrito a sistemas internos.
Antes dos filtros dinâmicos, um firewall precisava ser muito prolixo sobre as regras que permitiam a passagem de pacotes em um determinado sentido (por exemplo, de dentro da rede para a Internet), bem como sobre as regras da passagem dos pacotes de resposta ao pedido original de conexão. Essa necessidade obrigava a criação de muitas regras de firewall tornando-o, com o tempo, confuso e ineficiente.
Outro problema enfrentado na época foi que, dado um conjunto estático de regras contemplando a ida e vinda de pacotes na rede, era possível enviar pacotes que entrariam na rede protegida, apenas forjando-o como se fosse uma resposta a um acesso legítimo. Mais ou menos como permitir a entrada de um carro na contra-mão, desde que seja de marcha à ré.
O controle através de regras dinâmicas simplificou a administração dos firewalls e aumentou a segurança. Com este recurso, só era necessário criar a regra de saída. Quando esta regra fosse requisitada por um acesso, seriam criadas, automaticamente, regras bem específicas que permitiriam a entrada dos pacotes de resposta para aquela requisição.
Essas característica foram, em 1994, implementadas em um novo sistema pelo israelense Nir Zuk. Após algumas tentativas frustradas de encontrar representantes nos EUA (a idéia foi recusada por Steve Walker, na TIS), Zuk fundou a empresa CheckPoint. Ele e sua equipe foram os primeiros a construir o firewall da geração que realmente fez sucesso comercial.
A CheckPoint também foi a primeira a comercializar o sistema no formato de appliance, fornecendo uma caixa fechada para ser conectada na rede e administrada da sua estação gráfica de trabalho. Ele recebeu o distinto nome de Firewall-1.
Uma característica muito apreciada pelos administradores de rede também emergiu: A capacidade de “abrir os pacotes” de comunicação e analisá-los à procura de dicas sobre como o firewall deveria se comportar. Um bom exemplo da sua utilidade é o filtro de pacotes para conexões FTP.
Uma conexão FTP funciona através de dois canais. No primeiro trafega o controle da comunicação, como comandos para listar pastas e iniciar o download de arquivos. O segundo canal é usado apenas para a transmissão dos dados, entre eles o conteúdo do arquivo requisitado.
O grande complicador nessa equação é que a conexão de dados é iniciada no sentido inverso da conexão de controle. Ou seja, um usuário dentro de uma rede protegida por um firewall inicia sua conexão FTP na porta 21 de um servidor na Internet. Quando um arquivo é requisitado, o servidor é quem inicia uma conexão no computador do usuário para entregar seu conteúdo. E a porta usada nessa conexão é aleatória, escolhida dinamicamente e combinada entre usuário e servidor através da conexão de controle.
No entanto, um firewall configurado para proteger uma rede interna jamais permitiria que um pedido de conexão entrasse. A prerrogativa era de que apenas as conexões iniciadas do lado de dentro da rede tivessem autorização para receber pacotes de resposta vindas do lado de fora. A conexão de dados era bloqueada justamente porque era feita de fora para dentro.
Ainda na primeira metade da década de 90 começou a expansão das capacidades de análise profunda dos pacotes (deepinspection). Essa técnica permitia ao firewall “ler” e “entender” os pacotes que o cruzavam, dando a oportunidade de adaptar seu próprio funcionamento.
Com essa visão era possível, por exemplo, analisar a comunicação de um canal de controle FTP e extrair, de dentro dos pacotes, o número da porta combinada entre usuário e servidor para o estabelecimento do canal de dados. Dessa forma o firewall poderia se antecipar e criar uma regra de liberação específica para aquela conexão que seria estabelecida de fora para dentro.
Essa técnica trazia segurança adicional para diversos protocolos, especialmente quando ela passou a ser usada para verificar a integridade da comunicação, avaliando se pacotes de dados realmente faziam parte da conexão a qual diziam pertencer e se estavam dentro dos padrões estabelecidos pelo protocolo que diziam representar.
A avaliação criteriosa e manipulação dos dados internos de seus pacotes já haviam sido propostas como um conceitos em 1986 por Dorothy Denning, e deram início a um novo segmento de soluções chamadas de Sistemas de Detecção de Intrusos (IDS, na sigla em inglês), mas poucas soluções comerciais surgiram até a segunda metade da década de 90.
Os IDSs eram pequenas máquinas geradoras de alertas que ficavam conectadas a um switch onde poderiam assistir, de forma muito passiva, todo o tráfego de rede. A técnica consistia em alimentar o sistema com uma “base de assinaturas” ou “padrões de comportamento” que descrevessem conteúdos ou ações normalmente observadas apenas em sistemas sob ataques.
Soluções desse tipo tiveram uma taxa de adoção crescente entre 1997 e 2002, ano em que o Gartner sugeriu a sua substituição por soluções que fossem menos reativas e mais pró-ativas. Ao cruzar as funções de IDS e filtro de pacotes, os firewalls começaram a assumir mais uma função: a proteção contra intrusos (Intrusion Protection Systems, ou IPS).
Era possível, então, permitir uma comunicação através de um terminado protocolo, por exemplo o acesso legítimo a sistemas internos da empresa, mas ainda assim avaliar cada pacote a procura de indícios que pudessem definir se aquela conexão era ou não maliciosa. Caso a conexão previamente autorizada se encaixasse em um destes padrões ela era interrompida pelo firewall.
Para conseguir fazer essa avaliação, o firewall precisava conhecer detalhes sobre as aplicações que estava protegendo. Para permitir uma conexão a um banco de dados e analisar se o usuário está ou não tentando explorar alguma vulnerabilidade para destruí-lo, é preciso entender o que é bom e o que é ruim para um banco de dados. E isso significa que a camada de aplicação precisa ser analisada.
Em 2003 quase todos os fabricantes de IDS estavam trocando o nome de seus produtos para IPS e fornecendo um método de colocá-los entre a Internet e a rede interna (modo inline), dando a eles a oportunidade de impedir um acesso, um passo além de apenas reportá-lo ao administrador.
Mas foi em 2004, com a contaminação em larga escala de sistemas vítimas do worm Sasser, que as ferramentas de IPS ganharam a atenção de todos. Afinal, criar assinatura e identificar comportamento de infecção de woms era uma tarefa trivial para um IPS e os fabricantes bradaram o quanto puderam o fato de que seus clientes não tinham sido afetados pela nova ameaça.
Possuir um IPS era, então, uma necessidade já estabelecida na mente dos consumidores. Era chegada a hora da guerra de funcionalidades: dentre aquelas pequenas caixas de leds reluzentes, as que oferecessem a maior capacidade de detecção de acessos indevidos seriam as líderes de vendas e prosperariam.
Analisar tráfego de rede era o suficiente para detectar padrões de comportamento, mas para implementar algumas tecnologias era preciso voltar ao antigo conceito de proxy usado na DEC 15 anos antes. Acessos à web e ao correio eletrônico eram interceptados pelo firewall, que já não permitia a conexão direta entre usuários e servidores. O próprio firewall passou a fazer estas conexões na Internet sob demanda interna.
O método permite um maior controle sobre o conteúdo que entra na rede. Um download de arquivo, por exemplo, fica sujeito a diversas verificações dentro do próprio firewall antes que seja entregue ao usuário que o requisitou. O mesmo acontece com e-mails, que podem passar por uma bateria de testes de anti-vírus e anti-spam antes de serem finalmente encaminhados ao seu destino final.
Em pouco tempo os firewalls se transformaram em verdadeiros canivetes suíços. Eram tanques de guerra multi-propósitos, assumindo cada vez mais o controle da rede. No entanto, outra tecnologia começava a ganhar força nas redes corporativas: as redes privadas virtuais (Virtual Private Network, ou VPN).
O conceito foi criado ainda nos anos 80 e usado na criação de redes virtuais dentro dos circuitos das empresas de telefonia. Mas a partir da segunda metade dos anos 90 foram criadas as ferramentas que permitiam conectar duas ou mais redes através de um túnel criptografado, utilizando a infraestrutura de interconexão já existente para acessos à Internet.
Com as VPNs foi possível substituir caros links dedicados entre redes de empresas (sedes e filiais, fábricas e laboratórios de pesquisa etc.) por conexões relativamente baratas à Internet. A viabilização dessa mudança estava no fato de que estas redes se comunicariam por um canal seguro, sem estarem sujeitas à interceptação de dados, mesmo trafegando por uma rede pública e consideravelmente promíscua.
Fabricantes como as próprias CheckPoint e Cisco forneciam concentradores VPN que permitiam a conexão tanto de redes remotas quanto de usuários remotos. Funcionários, vendedores ou técnicos de campo poderiam se conectar a estes concentradores de qualquer lugar na Internet e, através deste túnel, acessar informações ou recursos da rede interna.
Mas isso criou um outro problema…
Sendo um túnel criptografado, esse tráfego de rede estava ilegível para as ferramentas de controle de acesso presentes nos então moderníssimos firewalls das empresas. As conexões passavam sem que fosse possível interceptá-las, analisá-las e submetê-las aos controles da política de uso da companhia. E haviam apenas duas opções para resolver essa questão:
A primeira era mover o concentrador VPN para uma posição em que o túnel criptografado fosse desfeito antes de passar pelo firewall, e não depois de entrar na rede da empresa. Mas, como os firewalls eram normalmente posicionados na borda da rede, conectando-as à Internet, isso significaria decriptar o conteúdo da comunicação via VPN enquanto ele ainda estivesse em uma zona perigosa.
A segunda opção era fazer com que o firewall fosse o responsável pela criação do túnel criptografado. Neste caso, os acessos das redes e usuários remotos seriam decriptados tão logo saíssem da Internet e chegassem à rede da empresa, mas ainda a ponto de serem analisados pelo firewall.
E assim os firewalls acumularam mais uma função.
Estes equipamentos passaram a ser chamados de UTM (Unified Threat Management – Gerenciamento unificado de ameaças) e já contavam com recursos de filtro de pacotes, proxies, anti-vírus, anti-spam, concentrador VPN, filtro de conteúdo, IDS/IPS e, em soluções mais robustas, capacidade de roteamento avançado, balanceamento de carga e extensas possibilidades de relatórios e monitoramento.
Além das vantagens técnicas que motivaram a junção de tanta tecnologia em um único ponto de rede, uma outra vantagem foi logo percebida pelos clientes: Elas possuíam um custo menor do que a soma de todos os custos se suas funções fossem instaladas em equipamentos independentes.
A integração de tecnologias de diferentes fabricantes também era bastante custosa (quando não era impossível) e comprar uma solução já integrada de fábrica também pesou na decisão dos gestores de TI. Administrar uma única conta de usuário já seria capaz de autenticá-lo para acesso web, fornecer anti-spam na sua caixa-postal, habilitá-lo à uma conexão VPN etc., tudo isso através de uma interface concisa.
A maior parte do mercado de UTM hoje, segundo análise da Gartner de 2010, está divido entre os fabricantes Fortinet, SonicWall, Watchguard e CheckPoint, que contam com uma grande base instalada de clientes e um bom conjunto de funcionalidades.
Para o futuro, porém, já existem traçados alguns aspectos que irão transformar as soluções de UTM de hoje no que está sendo chamado de XTM (eXtensible Threat Management).
Estes novos sistemas serão capazes de transpor as barreiras atuais de integração e controle de redes. Terão maior capacidade e flexibilidade de gerenciamento. Poderão proteger um acesso baseado em sua reputação, correlacionar logs e eventos, se integrar a soluções de proteção às estações de trabalho (por exemplo, impedir o acesso à rede da empresa se o anti-vírus estiver desatualizado) e deverão gerenciar vulnerabilidades de outros ativos da rede.
Com a Web 2.0, em que aplicativos são transformados em sistemas online, novos controles precisam ser implementados. É preciso saber identificar dentro de um mesmo site seus diferentes serviços. Por exemplo, liberar acesso ao Facebook mas impedir chat ou jogos dentro desta plataforma.
Outra função prestes a ser absorvida por estas soluções é a DLP (Data Loss Prevention), permitindo que a organização possa identificar e classificar informações que cruzam a fronteira do ambiente corporativo, reduzindo os riscos da divulgação de dados confidenciais e fortalecendo sua política de segurança.
Ainda segundo o relatório da Gartner, as empresas que possuem produtos visionários na área de UTMs, fortes candidatas a serem os novos fornecedores de soluções XTM são: Astaro, Cyberoam e Netasq.
E a evolução continua seu caminho. É preciso, portanto, ficar atento as novas tecnologias e ao mercado, buscando sempre o melhor conjunto de ferramentas que atendam as crescentes demandas de segurança das nossas corporações.
Marcos Machado é gestor na PKI Tecnologia, especializado em projetos de segurança da dados, infraestrutura de missão crítica e alta disponibilidade de sistemas. Possui 15 anos de experiência em projetos de TI, pós-graduação em Tecnologias de Redes e MBA em Gestão Estratégica da Informação pela UFRJ. Contatos: Site | E-mail | LinkedIn
You must be logged in to post a comment.
2:17:00 pm
Parabéns! Ótimo artigo!