Tuesday, April 20, 2010

Neurônios Filosóficos - Parte 6: Nova (?) tendência para tecnologia de firewalls...

Em 2001, durante um treinamento de ferramentas ISS no qual eu era o instrutor, tive um embate técnico/teórico com um dos alunos a respeito de tecnologias de firewall. Naquela oportunidade (e ainda hoje) eu era um forte defensor de firewalls camada 7 (sim, os famosos Gateways de Aplicação) porque ofereciam um nível de proteção infinitamente maior que os firewalls que atuavam somente nas camadas 3 e 4.

O principal argumento do aluno dizia respeito à velocidade de processamento e encaminhamento dos pacotes, o que certamente é uma verdade. Obviamente é muito mais rápido olhar endereços IP Origem/Destino e Portas Origem/Destino e fazer a entrega dos pacotes, do que analisar as 7 camadas de protocolos à procura de desvios, má formação de pacotes, etc.

Mas a questão que eu coloquei na época dizia respeito a aspectos de segurança, a despeito de uma velocidade um pouco menor. Logicamente fui voto vencido e outros alunos inclusive concordaram com meu algoz na oportunidade.

É interessante observarmos hoje em dia uma tendência cada vez maior para incluir a inspeção em todas as camadas para firewalls mais novos. Inclusive firewalls tradicionais em camadas 3 e 4 estão cada vez mais evoluindo para uma análise mais aprofundada de pacotes...

Temos vários exemplos de "novas" tecnologias de firewall surgindo como, por exemplo: http://www.paloaltonetworks.com/technology/app-id.html.

Esta história me lembra o fim dos mainframes, afinal de contas o downsizing vai acabar com eles, certo?

Marcos Ranum, o "cara" que criou o TIS Firewall Toolkit e o Gauntlet, foi um ardoroso defensor do uso de firewalls de aplicação, onde você usa um proxy especializado para cada protocolo. As conexões são mais lentas porque o usuário abre uma conexão com o proxy e este por sua vez se conecta ao site destino. Não há conexões diretas neste caso. É dele uma frase que me marcou bastante mas infelizmente eu não lembro onde foi que eu li. Mas basicamente diz o seguinte:  
"Velocidade é o que todo o passageiro quer ao pegar um avião, ou seja, quanto mais rápido for o processo de inspeção, melhor. Já Segurança é o que o passageiro gostaria que os órgãos competentes tivessem providenciado durante a inspeção das bagagens, agora que ele está de frente a um terrorista com uma bomba ou arma dentro do avião..."

Acho que não preciso comentar mais nada...