Que legal, tenho a oportunidade de tratar um dos assuntos que mais gosto: Seguran\u00e7a da Informa\u00e7\u00e3o.
Neste artigo pretendo esclarecer o funcionamento e consequentemente a import\u00e2ncia do Firewall. Termo muito citado na Internet, mas que poucas pessoas sabem efetivamente sua utilidade.<\/p>\n
O Linux, de uma forma geral, \u00e9 relativamente imune a v\u00edrus, worms e trojans, que s\u00e3o a principal causa de invas\u00f5es e dores de cabe\u00e7a em geral no Windows. Isso n\u00e3o ocorre apenas porque o Windows \u00e9 usado em mais m\u00e1quinas e por isso um alvo maior, mas tamb\u00e9m porque os aplicativos dispon\u00edveis no Linux s\u00e3o, pela m\u00e9dia, bem mais seguros.<\/p>\n
Veja o caso do Apache, por exemplo. Ele \u00e9 usado em uma percentagem muito maior de servidores que o IIS. Mesmo assim, o n\u00famero de falhas cr\u00edticas de seguran\u00e7a e invas\u00f5es bem-sucedidas registradas contra servidores web rodando o IIS \u00e9 bem maior do que nos mais numerosos servidores Apache.<\/p>\n
Mesmo assim, brechas de seguran\u00e7a podem surgir onde menos se espera. Por exemplo, em 2004 foi descoberto um buffer overflow no servidor SSH, que poderia ser usado para desenvolver um exploit. Esta brecha n\u00e3o chegou a ser explorada, pois, assim que a poss\u00edvel vulnerabilidade foi descoberta, uma corre\u00e7\u00e3o foi rapidamente disponibilizada e a not\u00edcia se espalhou pela web. Antes que algu\u00e9m tivesse tempo de escrever um exploit, a maior parte dos servidores do mundo j\u00e1 estavam seguros.<\/p>\n
A moral da hist\u00f3ria: \u00e9 sempre muito melhor prevenir do que remediar, e a melhor forma de se proteger contra brechas deste tipo \u00e9 manter um firewall ativo, permitindo apenas acesso aos servi\u00e7os que voc\u00ea realmente deseja disponibilizar. Reduzindo os pontos vulner\u00e1veis, fica mais f\u00e1cil cuidar da atualiza\u00e7\u00e3o dos servi\u00e7os expostos e, assim, manter seu servidor seguro.<\/p>\n
Imagine o firewall como a muralha que cercava muitas cidades na idade m\u00e9dia. Mesmo que as casas n\u00e3o sejam muito seguras, uma muralha forte em torno da cidade garante a seguran\u00e7a. Se ningu\u00e9m consegue passar pela muralha, n\u00e3o \u00e9 poss\u00edvel chegar at\u00e9 as casas vulner\u00e1veis. Se, por acaso, as casas j\u00e1 s\u00e3o seguras, ent\u00e3o a muralha aumenta ainda mais a seguran\u00e7a.<\/p>\n
A id\u00e9ia mais comum de firewall \u00e9 como um dispositivo que fica entre o switch (ou hub) em que est\u00e3o ligados os micros da rede e a internet. Nesta posi\u00e7\u00e3o \u00e9 usado um PC com duas placas de rede (eth0 e eth1, por exemplo), onde uma \u00e9 ligada \u00e0 internet e outra \u00e0 rede local.<\/p>\n
O firewall aceita as conex\u00f5es vindas dos micros da rede local e roteia os acessos \u00e0 internet. De dentro da rede voc\u00ea consegue acessar quase tudo, mas todas as tentativas de conex\u00e3o vindas de fora s\u00e3o bloqueadas antes de chegarem aos clientes.<\/p>\n
Imagine um micro com o Windows XP, onde o sistema acabou de ser instalado, sem nenhuma atualiza\u00e7\u00e3o de seguran\u00e7a e com o firewall inativo. Conectando este micro na internet diretamente, ser\u00e1 quest\u00e3o de minutos at\u00e9 que ele comece a ser infectado por worms e se transforme em um zumbi a atacar outras m\u00e1quinas ligadas a ele.<\/p>\n
Entretanto, se houver um firewall no caminho, os pacotes nocivos n\u00e3o chegam at\u00e9 ele, de forma que ele fica em uma posi\u00e7\u00e3o relativamente segura. Ele ainda pode ser infectado de formas indiretas, como ao acessar uma p\u00e1gina que explore uma vulnerabilidade do IE ou ao receber um e-mail infectado atrav\u00e9s do<\/p>\n
Outlook, mas n\u00e3o mais diretamente, simplesmente por estar conectado \u00e0 internet.<\/p>\n
Opcionalmente, o servidor rodando o firewall pode ser equipado com um servidor Squid configurado para remover arquivos execut\u00e1veis das p\u00e1ginas acessadas e um servidor Postfix, encarregado de bloquear mensagens infectadas, o que adiciona mais um n\u00edvel de prote\u00e7\u00e3o.<\/p>\n
Note que o firewall em si n\u00e3o protege contra v\u00edrus e trojans, mas apenas contra tentativas diretas de conex\u00e3o. Ele cria uma barreira entre os micros da rede local e a internet, fazendo com que os recursos compartilhados na rede n\u00e3o sejam acess\u00edveis de fora. No Linux, o firewall \u00e9 inclu\u00eddo no pr\u00f3prio Kernel do sistema, na forma do Iptables, encontrado no Kernel 2.4 em diante. Isso garante um excelente desempenho e seguran\u00e7a em rela\u00e7\u00e3o \u00e0 maioria dos firewalls for Windows, que rodam em n\u00edvel de aplica\u00e7\u00e3o.<\/p>\n
Embora seja sempre mais seguro ter um servidor dedicado, voc\u00ea pode ter um n\u00edvel de seguran\u00e7a muito bom simplesmente habilitando o firewall localmente. Todos os pacotes provenientes da internet passam primeiro pelo Iptables antes de serem encaminhados para os aplicativos. Por isso, um firewall local, bem configurado, garante uma seguran\u00e7a muito pr\u00f3xima \u00e0 de um firewall dedicado.<\/p>\n","protected":false},"excerpt":{"rendered":"
Que legal, tenho a oportunidade de tratar um dos assuntos que mais gosto: Seguran\u00e7a da Informa\u00e7\u00e3o.Neste artigo pretendo esclarecer o funcionamento e<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-55","post","type-post","status-publish","format-standard","hentry","category-hardware"],"_links":{"self":[{"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/posts\/55","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/comments?post=55"}],"version-history":[{"count":1,"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/posts\/55\/revisions"}],"predecessor-version":[{"id":118,"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/posts\/55\/revisions\/118"}],"wp:attachment":[{"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/media?parent=55"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/categories?post=55"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/marcomapa.com\/artigos\/wp-json\/wp\/v2\/tags?post=55"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}