Author: Diego Dias

DIG

Diego DiasLeave a comment

O comando ‘dig’ é uma ferramenta para consultar servidores DNS a fim de obter informações sobre endereços de host, servidores de email (MX), servidores de nomes (NS) e informações relacionadas. Esta ferramenta pode ser usada a partir de qualquer sistema operacional Linux (Unix) ou OS X nativamente.  É a melhor ferramenta para diagnosticar e entender rapidamente as respostas do DNS.

Abaixo, fizemos uma pequena compilação para consulta de registros  A, NS e MX.

Execute o comando

dig  rotadefault.com.br

; <<>> DiG 9.10.3-P4-Debian <<>> rotadefault.com.br
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21507
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 5

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096

;; QUESTION SECTION:
;rotadefault.com.br.            IN      A

;; ANSWER SECTION:
rotadefault.com.br.     3600    IN      A       191.252.51.69

;; AUTHORITY SECTION:
rotadefault.com.br.     86400   IN      NS      ns1.locaweb.com.br.
rotadefault.com.br.     86400   IN      NS      ns2.locaweb.com.br.

;; ADDITIONAL SECTION:
ns1.locaweb.com.br.     1283    IN      A       189.126.108.2
ns2.locaweb.com.br.     83435   IN      A       201.76.40.2
ns1.locaweb.com.br.     368     IN      AAAA    2804:218:d1::ca5a
ns2.locaweb.com.br.     60858   IN      AAAA    2804:218:d2::cafe

;; Query time: 127 msec
;; SERVER: 181.213.132.2#53(181.213.132.2)
;; WHEN: Mon Oct 16 10:34:28 -02 2017
;; MSG SIZE  rcvd: 195

Olhando de perto

<<>> DiG 9.10.3-P4-Debian <<>> rotadefault.com.br
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21507
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 5

HEADER: exibe o número de versão do comando dig, as opções globais usadas pelo comando dig e algumas informações de cabeçalho adicionais. O status é um ponto importante; neste caso, não houve nenhum erro informado. Este campo pode mostrar um dos seguintes status quando uma consulta é solicitada:

  • NOERROR: Tudo ok. A zona está sendo atendida pela autoridade solicitada sem problemas.
  • SERVFAIL : O nome que foi consultado existe, mas não há dados ou os dados são invalidos para esse nome na autoridade requerida.
  • NXDOMAIN: Non-Existent Domain – O nome em questão não existe e, portanto, não há dados DNS autenticados a serem atendidos. Como no exemplo abaixo:
dig testerotadefault.com.br
; <<>> DiG 9.9.3-P2 <<>> testerotadefault.com.br
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 23792
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
  • REFUSED: O servidor de nomes se recusa a executar a operação por motivos de política. Por exemplo, um servidor de nomes pode não querer fornecer a informação ao solicitante especifico ou um servidor de nomes pode não desejar executar uma operação específica (por exemplo, transferência de zona) para dados específicos.

Para as flags, do cabeçalho temos as seguintes opções:

QUESTION SECTION: Exibe as questões feitas ao DNS, por exemplo, uma vez que digitamos ‘dig rotadefault.com.br’, indicará nessa sessão a ser consultada para um registro A do site rotadefault.com.br.

;; QUESTION SECTION:
;rotadefault.com.br.            IN      A

ANSWER SECTION: Exibe a resposta que recebe do DNS. Exibe o registro A record de rotadefault.com.br;

;; ANSWER SECTION:
rotadefault.com.br.     3600    IN      A       191.252.51.69

Veja que o TTL está em 3600 segundos, equivalente a uma hora.

AUTHORITY SECTION: Exibe o nome do servidor DNS que tem autoridade para responder essa consulta.

;; AUTHORITY SECTION:
rotadefault.com.br.     86400   IN      NS      ns1.locaweb.com.br.
rotadefault.com.br.     86400   IN      NS      ns2.locaweb.com.br.

ADDITIONAL SECTION: Exibe o endereço IP do servidor de nomes listados em AUTHORITY SECTION.

;; ADDITIONAL SECTION:
ns1.locaweb.com.br.     1283    IN      A       189.126.108.2
ns2.locaweb.com.br.     83435   IN      A       201.76.40.2
ns1.locaweb.com.br.     368     IN      AAAA    2804:218:d1::ca5a
ns2.locaweb.com.br.     60858   IN      AAAA    2804:218:d2::café

Exibindo apenas ANSWER SECTION da saída do comando ‘dig’

A grande parte das nossas consultas apenas procura a “ANSWER SECTION” do comando dig. Conforme comandos abaixo, podemos omitir algumas saídas:

+nocomments: Não exibe a linha de comentários;
+noauthority:  Não exibe a saída autoritativa;
+noadditional : Não exibe ‘additional section’;
+nostats: Não exibe ‘stats section’;
+noanswer: Não exibe answer section.
+noall: Não exibe os resultados mas se utilizado como +noall +answer irá exibir somente as respostas;
+short: Exibe a resposta em um formato mínimo.

dig www.rotadefault.com.br +nocomments
; <<>> DiG 9.9.3-P2 <<>> www.rotadefault.com.br +nocomments
;; global options: +cmd
;rotadefault.com.br.            IN      A
rotadefault.com.br.     1279    IN      A       191.252.51.69


dig rotadefault.com.br +noall +answer
; <<>> DiG 9.10.3-P4-Debian <<>> rotadefault.com.br +noall +answer
;; global options: +cmd

rotadefault.com.br.     3533    IN      A       191.252.51.69

dig rotadefault.com.br +short
191.252.51.69

Consultando registros MX , NS, A, TXT, etc.

A consulta de diferentes registros DNS podem ser executados com os argumentos inseridos na consulta como:

dig uol.com.br MX

dig uol.com.br MX +answer +nocomments
; <<>> DiG 9.10.3-P4-Debian <<>> uol.com.br MX +answer +nocomments
;; global options: +cmd
;uol.com.br.                    IN      MX
uol.com.br.             14397   IN      MX      10 mx.uol.com.br.

dig uol.com.br NS

dig uol.com.br NS +short
eliot.uol.com.br.
borges.uol.com.br.
charles.uol.com.br.

dig uol.com.br A

dig uol.com.br A +answer +nocomments
; <<>> DiG 9.10.3-P4-Debian <<>> uol.com.br A +answer +nocomments
;; global options: +cmd
;uol.com.br.                    IN      A
uol.com.br.             11      IN      A       200.221.2.45

dig uol.com.br ANY

dig uol.com.br ANY
; <<>> DiG 9.10.3-P4-Debian <<>> uol.com.br ANY
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58271
;; flags: qr rd ra; QUERY: 1, ANSWER: 10, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;uol.com.br.                    IN      ANY

;; ANSWER SECTION:
uol.com.br.             3554    IN      SOA     eliot.uol.com.br. root.uol.com.br. 2016038165 7200 3600 432000 900
uol.com.br.             254     IN      A       200.147.67.142
uol.com.br.             254     IN      A       200.221.2.45
uol.com.br.             254     IN      AAAA    2804:49c:3103:401:ffff:ffff:ffff:1
uol.com.br.             17954   IN      MX      10 mx.uol.com.br.
uol.com.br.             14      IN      TXT     "DZC=qvK68EJ"
uol.com.br.             14      IN      TXT     "v=spf1
include:_net1.uol.com.br include:_net2.uol.com.br -all"
uol.com.br.             3554    IN      NS      charles.uol.com.br.
uol.com.br.             3554    IN      NS      borges.uol.com.br.
uol.com.br.             3554    IN      NS      eliot.uol.com.br.

Consulta do reverso com -x

dig -x 200.147.67.142 +short
200-147-67-142.static.uol.com.br.

Caso você queira forçar a consulta utilizando um servidor DNS diferente da sua máquina use o @ip_servidor_dns

dig uol.com.br @4.2.2.2
; <<>> DiG 9.9.3-P2 <<>> uol.com.br @4.2.2.2
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51526
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;uol.com.br.                    IN      A

;; ANSWER SECTION:
uol.com.br.             1       IN      A       200.147.67.142

Se vocês tiverem alguma dica, algum comando secreto… especial, deixe nos comentários.

Referências

https://ns1.com/articles/decoding-dig-output 
https://mediatemple.net/community/products/dv/204644130/understanding-the-dig-command

Rota estática flutuante (floating static route)

Diego DiasLeave a comment

Uma rota estática flutuante é uma rota com uma distância administrativa maior do que a estabelecida por padrão em Switches e Roteadores. Por exemplo, no IOS da Cisco as rotas estáticas possuem distância administrativa com o valor 1 e o protocolo OSPF com o valor 110, nesse caso pelo fato da menor distância administrativa ser escolhida quando duas rotas idênticas (com a mesma “rede” e “máscara de rede”) são aprendidas de maneiras distintas pelo roteador, o dispositivo escolherá o processo com menor AD ( administative distance/ distancia administrativa).

Como exemplo, poderíamos imaginar um roteador com 2 links, em um deles a rota 192.168.1.0/24 pode ser aprendida via OSPF e nesse caso precisaremos encaminhar o tráfego para esse link como principal. Já como backup configuraríamos a rota estática 192.168.1.0/24 com a distância administrativa com o valor 250 apontando para o next-hop do segundo link.

Quando o primeiro link apresentar problemas, o processo OSPF perceberá a falha e removerá a rota 192.168.1.0/24 aprendida dinamicamente e começará a utilizar a rota estática (não utilizada anteriormente) com o mesmo endereço 192.168.1.0/24 configurada para encaminhar os pacotes para o segundo link.

Quando o OSPF voltar a funcionar com o restabelecimento do primeiro link (incluindo novamente a rota 192.168.1.0/24 de maneira dinâmica), a rota estática deixará de ser utilizada.

Rt(config)# ip route 192.168.1.0 255.255.255.0 172.17.1.2 250

Obs: Lembre-se que a rota estática só entrará na tabela de roteamento se a interface correspondente ao próximo salto (next-hop) estiver UP.

Caso tenham alguma dúvida sobre o assunto, deixe um comentário.

http://pt.wikipedia.org/wiki/Dist%C3%A2ncia_administrativa

Cisco IOS: Pseudowires com L2TPv3

Diego DiasLeave a comment

O protocolo L2TPv3 (Layer 2 Tunneling Protocol Version 3) é um padrão do IETF que pode ser usado como um protocolo alternativo ao MPLS para encapsulamento de vários protocolos de camada 2 em comunicações de redes IP e MPLS. o L2TPv3 oferece um serviço de pseudo-wire (PW) que simula o tráfego como se fosse um cabo ou fibra apagada entregue entre 2 pontos.

Os Pseudo-wires carregam o quadro Ethernet completo, incluindo o cabeçalho MAC. O quadro é inserido dentro do pacote L2TPv3 e transmitido para o seu roteador Par. O Roteador Par remove o cabeçalho do protocolo L2TPv3 e encaminha o quadro Ethernet intacto. Caso seja necessário o encaminhamento de TAGs 802.1q o mapeamento do VLAN ID deverá ser efetuado para cada VLAN.

Nesse post focaremos o uso do L2TPv3 sobre uma rede IP, para simular uma conexão de “Camada 2” entre dois sites distintos (o domínio de Broadcast será estendido).

Segue abaixo a configuração

Os seguintes passos abaixo deverão ser levados em conta na configuração ao iniciar a configuração do L2TPv3 em um Roteador com IOS Cisco.

  • Habilite o CEF
  • Use uma interface Loopback para uso da conexão do ponto-a-ponto para o pseudo-wire
  • Certifique-se que o roteamento entre os roteadores esteja ok.
  • Configure o peudowire class
  • Vincule o pseudowire à interface

Validação

R2#  show l2tun tunnel l2tp
L2TP Tunnel Information Total tunnels 1 sessions 1
LocID RemID Remote Name   State  Remote Address  Port  Sessions L2TP Class/
                                                                VPDN Group
54490 54540 R3            est    10.3.3.3         0     1        l2tp_default_cl

Como teste utilizamos a rede 192.168.45.0/24 nos sites R4 e R5
R4#ping 192.168.45.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.45.5, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 172/197/228 ms

Referências
http://www.shafagh.com/2009/10/ccie-sp-l2tpv3.html
http://tools.ietf.org/html/rfc3931
http://prol2tp.com/documentation.php?page=l2tpv3.html
http://www.networkworld.com/community/node/26272

Cisco IOS: Configurando QinQ

Diego DiasLeave a comment

A feature QinQ (802.1Q sobre 802.1Q), conhecido também como Stacked VLAN ou VLAN sobre VLAN, suporta a utilização de duas TAGs 802.1Q no mesmo quadro Ethernet para trafegar uma VLAN dentro de outra VLAN – sem alterar o TAG 802.1Q original.

No caso do QinQ(802.1ad), a visão do o cliente é como se a Operadora tivesse estendido um cabo (como uma fibra apagada ou cabo UTP) entre 2 equipamentos, Switches por exemplo.

Já para a Operadora não importa se o cliente está mandando o tráfego (entre 2 filiais) com TAG ou sem TAG, pois ele adicionará mais uma TAG ao cabeçalho e removerá na outra ponta apenas a ultima TAG inserida.

Em resumo, o tráfego no sentido de entrada na porta configurada com QinQ adicionará uma TAG 802.1Q ao quadro (TAG da Operadora/Provedor), mesmo em casos que já houver a marcação de VLANs, entretanto no sentido de saída, é removido apenas a última TAG acrescentada, sendo mantida a TAG 802.1Q inserida pelo cliente.

Configurando

No Exemplo acima, com Switches Cisco, para o tráfego ser “tunelado” com a TAG adicional, devemos configurar os Switches A e B com uma VLAN para cada cliente , a configuração das interfaces conectadas aos Switches também deverão usar o comando “switchport mode do1q-tunnel”.

Em caso de necessidade de transporte de protocolos da camada enlace como CDP, LACP e STP, é possivel utilizar na interface algum dos comandos abaixo:

l2protocol-tunnel [cdp | stp | vtp]

A configuração dos Switches de cada cliente, nessa topologia, não sofre nenhuma alteração em particular; e a visão de cada cliente  será  como se os Switches estivessem diretamente conectados.

O “encapsulamento”  do QinQ adiciona 4 bytes ao cabeçalho para cada quadro. Os Switches que recebem e encaminham os quadros  QinQ devem aumentar o MTU para 1504.  O MTU configurado, será verificado  utilizando o comando show system mtu.  Para aumentar o MTU  utilize o commando system mtu 1504, entretanto, essa mudança requer que o Switch seja reiniciado.

Os frames com a TAG 802.1Q possuem o TPID 0x8100, no caso do QinQ (IEEE 802.1ad) o TPID poderá ter outros valores, como 0x9100.

Abraços a todos!

VLAN DESIGN – COMO PLANEJAR MELHOR A SEGMENTAÇÃO DE REDES

Diego DiasLeave a comment

Nesse vídeo listamos alguns pontos para um melhor planejamento na segmentação de redes com a utilização de VLANs.

TOPOLOGIA DE REDE CAMPUS – NETWORK DESIGN – 2 E 3 CAMADAS

Diego DiasLeave a comment

A integração da rede campus utilizando dados, voz e vídeo torna-se essencial para a alta disponibilidade e impulsionamento dos negócios. Logo, uma rede local (LAN) projetada corretamente é um requisito fundamental, pois uma rede construída de forma hierárquica torna mais fácil o seu gerenciamento, expansão e troubleshooting para detecção de problemas. O design de rede hierárquico envolve a divisão da rede em camadas discretas, facilitando escalabilidade e desempenho.

Falando do Projeto Flipper Zero

Diego DiasLeave a comment

O Flipper Zero é um dispositivo de baixo custo que combina diversas ferramentas de hardware hacking para sistemas de controle de acesso, RFID, BAD USB, infrared, Wi-Fi etc. Ideal para pentesters e pesquisadores.

Nesse vídeo inserimos falamos um pouco do hardware, o potencial da ferramenta e suas implicações no dia a dia.

Agradecimento especial ao Ricardo Logan pela revisão e apoio no vídeo.

Ciclo de Vida de um Projeto de Redes – PPDIOO e PBM

Diego DiasLeave a comment

O PPDIOO é um acrônimo para “Prepare, Plan, Design, Implement, Operate, and Optimize”, que se refere ao ciclo de vida de rede proposto pela Cisco para o projetos, implementações e operação de redes de computadores.

O ciclo de vida PPDIOO é dividido em seis fases, cada uma com um conjunto de atividades específicas:

Prepare (Preparar): Nesta fase, o objetivo é identificar as necessidades do negócio e as metas da rede, avaliar as restrições e limitações do projeto e desenvolver um plano de projeto preliminar. Algumas atividades incluem: definir objetivos e requisitos de negócios, analisar recursos disponíveis e restrições, e identificar as partes interessadas.

Plan (Planejar): Nesta fase, o objetivo é criar um plano de projeto detalhado, incluindo um cronograma, um orçamento e um plano de gerenciamento de riscos. Algumas atividades incluem: definir as especificações técnica. Aqui, os planos de alto nível são desenvolvidos, incluindo um plano de gerenciamento do projeto, um plano de gerenciamento de risco e um plano de comunicação. Os requisitos técnicos e de design são estabelecidos .

Design (Projetar): Nesta fase, o objetivo é desenvolver um design detalhado da rede, incluindo a seleção de tecnologias, equipamentos e protocolos. Algumas atividades incluem: criar um esquema de endereçamento IP, projetar a topologia de rede, selecionar equipamentos e tecnologias de rede e criar um plano de configuração.

Implement (Implementar): Nesta fase, o objetivo é implementar a rede de acordo com o plano de projeto e o design. Algumas atividades incluem: instalar equipamentos de rede, configurar a rede, testar a conectividade e verificar se o desempenho da rede atende às especificações.

Operate (Operar): Nesta fase, o objetivo é gerenciar e manter a rede em funcionamento, garantindo a sua disponibilidade, segurança e desempenho. Algumas atividades incluem: monitorar a rede, solucionar problemas, fazer backup e restaurar dados, gerenciar usuários e garantir a conformidade com políticas e regulamentos.

Optimize (Otimizar): Nesta fase, o objetivo é melhorar continuamente o desempenho da rede, identificando áreas para aprimoramentos e implementando melhorias. Algumas atividades incluem: avaliar o desempenho da rede, identificar gargalos, implementar mudanças e atualizações e garantir a evolução da rede para atender às necessidades futuras do negócio.

O ciclo de vida PPDIOO é um modelo iterativo, o que significa que as fases podem ser revisitadas e repetidas para melhorar o desempenho da rede ou atender a novas necessidades de negócios.

Firewall 101- Introdução

Diego DiasLeave a comment

Um firewall possui a função de proteger a rede impedindo que o tráfego externo não autorizado acesse a rede interna. Os firewalls são projetados para manter as coisas ruins fora da rede local e, ao mesmo tempo, impedir que dados importantes ou confidenciais escapem para o mundo externo.

Um firewall, que pode ser tanto hardware ou software inspeciona cada pacote de entrada ou saída e assim determina se esses pacotes devem serão descartados, modificados ou encaminhados.

Um firewall deve ser resistente a ataques cibernéticos, suportar o roteamento entre as redes, suportar as sessões TCP/UDP e o throughput para os serviços oferecidos do tráfego da rede.

No exemplo abaixo, o firewall está posicionado entre a rede interna e externa para limitar o acesso da rede externa à rede local, enquanto permite aos usuários da rede interna acesso aos recursos da rede externa.

| Rede interna |—– Firewall —–| Rede externa |

Pelo fato de um firewall ser uma das primeiras linhas de defesa de uma rede, as empresas efetuam investimentos constantes em firewalls e licenças, com os seguintes objetivos;

• Redução da exposição de serviços e sistemas para redes e usuários não confiáveis: Um firewall pode permitir a configuração para o mínimo de conectividade para um determinado sistema.
• Redução da área de exploração de protocolos: É possível configurar um firewall para inspecionar protocolos e certificar que eles estão de acordo com o padrão e assim filtrar a quantidade de requisições de conexões que atuam de maneira anormal.
• Limitar o acesso de usuários não autorizados através do firewall.
• Bloquear o trafego com conteúdo malicioso.

Políticas de segurança do firewall

A base de uma implementação de firewall bem-sucedida não é apenas o firewall em si, mas também a política de segurança que orienta e regula a maneira como o firewall se comportará.

As políticas de segurança para firewalls modernos são configuráveis para acomodar as circunstâncias específicas, ou necessidades, que uma organização possa ter.

Uma política de segurança de firewall é um conjunto de regras que um firewall depende para determinar qual tráfego deve ter permissão para passar para além dos limites da rede administrada pela empresa, como por exemplo o acesso entre o tráfego interno de uma corporação e à Internet, por exemplo. Ou então a permissão de acesso externo de acordo com serviços essenciais para os negócios da empresa.

Exemplos de regras de diretiva de segurança de um firewall:

• Bloquear todo o acesso do lado de fora e permitir todo o acesso interno ao exterior.
• Permitir acesso do lado de fora:
 –  apenas para determinadas atividades predefinidas.
 – apenas para determinadas sub-redes, hosts, aplicativos, usuários etc.

Os firewalls podem ter uma política de segurança padrão como:

Default permit: Qualquer coisa que não seja expressamente proibida é permitida.
Default deny: Tudo o que não é expressamente permitido é negado (a mais comum)

Quando olhamos para as regras do firewall, geralmente estamos tomando as decisões de permitir ou negar tráfego, com base em critérios predefinidos:

Por exemplo. IP de origem, IP de destino, número da porta, hora do dia, aplicações, etc.

As regras podem ser muito gerais ou específicas:

 Geral: Navegar na internet pela rede
• Específicas: departamento administrativo, endereço IP de origem específico → IP de destino

Normalmente as regras são lidas em fila, visualmente as regras são exibidas na configuração do firewall no sentido de cima para baixo, uma vez que o firewall compara o cabeçalho com a base de regras e uma vez que uma condição é encontrada o restante das regras não é mais lido e o firewall executará a ação ao trafego, descartando ou permitindo o pacote.

Tipos de Firewall
Uma rede baseada em firewall oferece funcionalidades para segurança do perímetro da rede.

A primeira tarefa de um firewall é permitir ou negar o trafego que tenta entrar ou deixar a rede baseado na configuração de regras e políticas. Os firewalls são geralmente implementados em diversas partes da rede, fornecendo segmentação dentro da infraestrutura corporativa e proteção de acessos externos a rede. Podemos listar os seguintes tipos de firewalls:
• Packet filter
• Proxy Firewall (proxy servers ou application layer gateway)
• Stateful inspection firewalls

Packet filter
Um firewall operando como um packet filter, pode permitir ou bloquear o trafego baseado em informações da Camada 3 e 4 do modelo OSI. Um exemplo de aplicação de packet filter é a utilização de ACLs aplicada nas interfaces de roteadores e switches. Um dos desafios do packet filtering é que o administrador deve saber exatamente quais são as necessidades do trafego da rede. O firewall packet filter é comumente chamado de firewall stateless pois não monitora as sessões do trafego permitido.

O packet filter não analisa os dados do pacote, ele faz suas decisões baseado apenas nas informações do cabeçalho, como endereço IP de origem e destino, portas e flags TCP/UDP.

Há duas preocupações sérias com a filtragem stateless:

• A conexão iniciada por um host interno é provavelmente uma conversa legítima (pro-va-vel-men-te) para um servidor externo. Como a principal função do firewall é permitir ou negar o acesso, o firewall não tem ciência se uma conexão é existente ou se ela é o início de uma comunicação entre dois dispositivos e isso é muito importante para nós quando se trata de um firewall.

• O uso de algumas aplicações que trabalham com portas TCP/UDP de forma dinâmica dificultam a criação de regras de filtragem stateless. As ACLs (listas de controle de acesso) são ótimas para permitir e negar o trafego usando como base números de porta estáticas nas regras de filtragem, mas não tanto com portas dinâmicas. Com a filtragem stateless no firewall, os aplicativos que usam números de porta dinâmicos terão dificuldades operacionais.

Proxy Firewall
Os ‘proxy firewalls’ também chamados de application layer gateway (ALG), atuam como intermediários entre duas redes sendo específicos para determinadas aplicações e protocolos. O proxy intercepta todos os pacotes e os reprocessa para uso interno, criando uma nova sessão para o servidor de destino. Nenhuma conexão direta é efetuada entre o cliente e o servidor de destino.

A implementação de proxy firewall permite controle e analise do tráfego na camada de aplicação, com controles bem específicos e detalhados, assim como os registros das sessões (logging).

Stateful packet filtering
A filtragem de pacotes stateful é uma das tecnologias de firewall mais importantes atualmente em uso. E é chamado stateful porque monitora o estado das sessões que estão passando pelo firewall. O firewall monitora toda a conexão TCP, incluindo os números de sequência e mensagens TCP. Basicamente, os firewalls stateful permitem que hosts internos iniciem conversas com hosts externos, mas não permitem que hosts externos iniciem conversas com hosts internos.

Toda essa mágica é executada com a utilização da tabela de sessão que é populada pelo firewall. Também conhecida como stateful table.

Outros sabores de firewalls
Baseado nos conceitos acima há uma variedade de firewalls que trabalham de forma similar à aos firewalls stateful, stateless e proxy ou em muitos casos incorporante outras funcionalidades como:

Personal Firewall – As políticas de firewall podem ser definidas via software na máquina do usuário ou individualmente para a máquina do usuário.
Transparent Firewall – O firewall no modo transparente pode trabalhar inicialmente com duas interfaces, sem endereço IP configurado, atuando como uma bridge (ou switch). Mesmo atuando como um dispositivo L2 as políticas podem ser aplicadas normalmente como um firewall L3, incluindo a tabela de sessão e ou inspeção de aplicações.

Next-Generation Firewall (NGFW) – Protege a rede de ameaças avançadas, agregando funções como IPS, sandbox, antivírus, controle e inspeção de aplicações, Filtro de URL e conteúdo web, entre outras.

Concluíndo

Os principais fabricantes do mercado têm oferecido os mais diversas funcionalidades para proteção da rede contra os ataques cibernéticos como também facilitando a administração e visualização das regras que compõe o firewall. As interfaces para gerenciamento estão cada vez mais intuitivas de fácil configuração e troubleshooting, gerando relatórios e logs de fácil visualização.

É possível adquirir e implantar firewalls tanto com appliances, VMs ou versões em cloud.

Os firewalls NGFW estão cada vez mais acessíveis as pequenas e medias empresas, enquanto os fabricantes oferecem licenças para atualização automática de sua base de assinaturas de antivírus, IPS, URL, app control, sandbox e mais.

O gerenciamento de diversos firewalls também pode ser executado através de um software do próprio fabricante ou em versões agnósticas que ajudam a manter a base de regras em conformidade, limpa (sem regras repetidas [shadow rules], não utilizadas ou muito permissivas) e com melhor desempenho.

Os firewalls também incluem atribuições de VPNs, que permitem que o tráfego de uma empresa flua de forma segura sobre uma rede insegura (como a Internet por exemplo) – entre dois pontos, fornecendo confidencialidade, integridade e disponibilidade, uma outra atribuição que os firewalls possuem é a tradução (NAT) de endereços da rede local, muitas vezes para o acesso à Internet.