Um firewall é um sistema projetado para impedir o acesso não autorizado de ou para uma rede privada. Os firewalls podem ser implementados em hardware, software ou uma combinação de ambos. Existem vários tipos de firewalls, e um deles é o firewall “com estado” o com rastreamento de status.
No final do artigo você encontrará um pequeno teste isso vai permitir a você avaliar o conhecimento adquirido nesta leitura
A Inspeção Estadual, também conhecida como “monitoramento de status” o “inspeção estatal” em inglês, é uma técnica avançada utilizada em segurança de rede para melhorar a eficiência e eficácia dos firewalls.
Inspeção estatal
Os firewalls com estado não apenas examinam cada pacote de dados individual, mas também mantêm um registro do estado das conexões de rede ativas.
Esse log pode incluir detalhes como endereços IP de origem e destino, números de porta, números de sequência de pacotes, carimbos de data/hora e muito mais.
Ao contrário dos firewalls sem rastreamento de estado (sem estado), que tratam cada pacote de dados como uma transação separada, os firewalls com estado entendem que os pacotes de dados são enviados como parte de conexões de rede.
Esses firewalls podem lembrar que um pacote de dados de entrada específico é a resposta a uma solicitação de saída feita anteriormente.
Como funciona a Inspeção Estadual
Aqui estão alguns detalhes adicionais sobre como funciona a inspeção sanitária:
1. Estabelecimento de conexão
Quando uma conexão de rede é iniciada (por exemplo, quando um usuário na rede solicita uma página da Web), o firewall registra os detalhes da conexão em sua tabela de estados.
Essas informações incluem coisas como o endereço IP do computador que está fazendo a solicitação, o endereço IP da página da Web que está sendo solicitada e os números das portas que estão sendo usadas.
2. Monitoramento de conexão
À medida que os pacotes de dados continuam a fluir pela conexão, o firewall continua registrando e atualizando os detalhes em sua tabela de estados.
Isso pode incluir, por exemplo, rastrear os números de sequência dos pacotes para garantir que eles cheguem na ordem correta.
3. Término da conexão
Quando a conexão de rede é encerrada (por exemplo, quando o usuário fecha a página da web solicitada), o firewall percebe que a conexão foi encerrada e a remove de sua tabela de estados.
La inspeção de condição oferece uma série de vantagens para a segurança da rede. Primeiro, permite que os firewalls bloqueiem de forma mais eficaz o tráfego indesejado ou suspeito porque podem reconhecer quando um pacote de dados recebido não está associado a uma conexão de rede válida.
Também pode ajudar a detectar e prevenir certos tipos de ataques, como Ataques de falsificação de IP ou Ataques de inundação SYN, que tentam explorar a forma como as conexões de rede são estabelecidas.
Em um nível mais técnico, um firewall com estado mantém um tabela de status para rastrear todas as sessões de comunicação existentes. Cada sessão é registrada com detalhes como endereços IP de origem e destino, números de porta, números de sequência de pacotes e carimbos de data/hora.
Registros de status de conexão (tabelas de status)
“Logs de status de conexão de rede ativa”, também conhecido como tabela de estado de um firewall, é uma estrutura de dados usada em firewalls com estado para rastrear os detalhes de todas as conexões de rede que passam pelo firewall.
Os detalhes exatos rastreados podem variar de acordo com o sistema, mas geralmente incluem os seguintes itens:
1. Endereço IP de origem
Este é o endereço IP da máquina que iniciou a conexão. Em uma conexão web típica, este seria o endereço IP do usuário que solicita a visualização de uma página web.
2. Endereço IP de destino
Este é o endereço IP para o qual a conexão está sendo enviada. Em uma conexão web típica, este seria o endereço IP do servidor que hospeda a página web solicitada.
3. Portos de origem e destino
Portas são números que identificam os processos específicos que estão se comunicando nas máquinas de origem e de destino. A porta de origem é atribuída aleatoriamente pelo sistema que inicia a conexão, enquanto a porta de destino geralmente é um número padrão que corresponde a um serviço de rede específico (por exemplo, porta 80 para tráfego HTTP).
4. Número de sequência e número de confirmação
São valores utilizados no protocolo TCP para garantir que os pacotes de dados cheguem na ordem correta e para confirmar o recebimento dos pacotes.
5. Sinalizadores TCP
Os sinalizadores TCP fazem parte do cabeçalho dos pacotes TCP e fornecem informações sobre o status da conexão. Sinalizadores comuns incluem SYN (sincronizar, para estabelecer conexões), ACK (reconhecer, para confirmar o recebimento de pacotes), FIN (terminar, para fechar conexões) e RST (redefinir, para abortar conexões).
6. Status da conexão
Este é um valor que indica se a conexão está sendo estabelecida, ativa, fechando, etc.
7. Carimbo de data e hora
Este é um carimbo de data/hora que indica quando a atividade foi vista pela última vez na conexão. Isto pode ser útil para limpar conexões inativas da tabela de status.
Ao manter isso tabela de status, os firewalls com estado podem monitorar e controlar o tráfego de rede com mais eficiência do que os firewalls sem estado.
Isto é particularmente útil para bloquear tráfego não solicitado de fora da rede, permitindo respostas a solicitações iniciadas dentro da rede e detectando e prevenindo certos tipos de ataques.
O monitoramento da saúde fornece um maior segurança do que um firewall sem estado porque tem uma visão mais completa da atividade da rede. Porém, também pode consumir mais recursos computacionais, pois precisa manter e atualizar constantemente sua tabela de estados.
Inspeção Profunda de Pacotes
Um aspecto adicional que pode ser considerado em um firewall com estado é a inspeção profunda de pacotes (DPI), que permite examinar o conteúdo do próprio pacote de dados.
Isso pode ajudar a detectar certos tipos de ataques que não seriam visíveis apenas pelo monitoramento do status da conexão, como vírus que se espalham por meio de anexos de e-mail.
Resumindo, um firewall com estado é um componente crítico na segurança cibernética, fornecendo defesa avançada ao ser capaz de rastrear o estado completo das conexões de rede e tomar decisões com base nesse contexto.
O MikroTik é um firewall com estado?
Sim, os roteadores MikroTik, que usam o sistema operacional RouterOS, são capazes de funcionar como firewalls com estado.
MikroTik implementa funcionalidade de rastreamento de status através de seu “Rastreamento de conexão” (Rastreamento de conexão).
El rastreamento de conexão Ele permite que o firewall rastreie o estado das conexões de rede através do roteador e tome decisões de filtragem com base no estado de uma conexão. Isso inclui detalhes como endereços IP de origem e destino, portas usadas, status da conexão (por exemplo, se uma nova conexão está sendo estabelecida ou se são pacotes associados a uma conexão existente) e muito mais.
Como o MikroTik implementa o firewall com estado?
Aqui está um exemplo de como você pode configurar um firewall com estado em um roteador MikroTik:
1. Ative o rastreamento de conexão.
O rastreamento de conexão está habilitado por padrão no RouterOS, mas você pode verificá-lo e habilitá-lo se necessário com o seguinte comando:
/ip firewall connection tracking set enabled=yes
2. Configure regras de firewall
Para permitir conexões estabelecidas e relacionadas e para bloquear novas que não foram iniciadas na rede. Isso pode ser feito com comandos como os seguintes:
/ip firewall filter add chain=forward connection-state=established action=accept
/ip firewall filter add chain=forward connection-state=related action=accept
/ip firewall filter add chain=forward connection-state=new action=drop in-interface=wan
En estos ejemplos, las dos primeras reglas permiten los paquetes asociados con conexiones ya establecidas o conexiones relacionadas (por ejemplo, respuestas a solicitudes que se originaron desde dentro de la red), mientras que la última regla bloquea los intentos de nuevas conexiones desde el exterior da rede.
Este é apenas um exemplo de como um firewall com estado pode ser configurado no MikroTik. A configuração real pode variar dependendo das necessidades específicas da rede.
Vale ressaltar que as regras de firewall devem ser cuidadosamente planejadas e testadas, pois uma configuração incorreta pode deixar a rede vulnerável ou atrapalhar o tráfego legítimo.