Aprendizado e descoberta 3min de Leitura - 21 de junho de 2017

Filtragem por serviço vs controle de aplicação, entenda as principais diferenças

Tela de computador da Apple sobre uma mesa, um vira tempo ao lado e vários outros utensilios

This post is also available in: Português English Español

As formas como os serviços de rede são definidos e fornecidos mudaram ao longo dos anos, e isso exigiu automaticamente a readequação das soluções de segurança, para que estas continuem oferecendo níveis de controle desejáveis sobre os acessos dos usuários.

Muitos serviços são baseados em um protocolo de transporte (TCP ou UDP, geralmente) e uma porta de comunicação associada. Essa porta é padronizada para alguns serviços, conhecidas como well known ports, e para outros, isso parte de um acordo do fabricante da solução.

Portanto, se o serviço de SSH utiliza a porta 22/TCP, para realizar um filtro sobre esse tipo de tráfego, pode-se relacionar essa porta. O mesmo para tantas outras, como FTP, DNS, HTTP, SMTP, POP3, IMAP, NTP, etc. O desafio é que estas portas em alguns casos podem ser alteradas sem consequências para o funcionamento do serviço.

Por exemplo, ao mudar a porta padrão do serviço SSH para 2222/TCP não se está inviabilizando o uso do serviço, apenas as pessoas que precisam utilizá-lo, terão que ser avisadas que a porta para conexão é a 2222/TCP. Para outros serviços, como SMTP e DNS, a troca da porta de comunicação limitará o funcionamento, tendo em vista que, convencionalmente, a internet usa estas portas para a troca de e-mails e tradução de nomes.

Filtrar tráfegos com base em porta e protocolo não é, portanto, um mecanismo que garante a segurança e controle do ambiente. Muitas aplicações surgiram baseadas no protocolo HTTP, filtrar somente a porta, ou até mesmo o endereço conectado, não significa sucesso no controle.

Por conta disso, é natural que as soluções atuais ofereçam além do tradicional controle através de portas e serviços, também controles baseados no comportamento do tráfego, independente de porta e protocolo, identificando assim as aplicações que de fato estão sendo utilizadas.

Filtragem por serviço

Utilizada especialmente por soluções de firewall sem estado e com estado, essa tecnologia continua incorporada as soluções atuais por serem essenciais, uma vez que a comunicação entre as redes ocorre através de portas e protocolos.

Além disso, a filtragem por portas e protocolos oferece um desempenho muito superior à filtragem de aplicação, pois precisa examinar uma quantidade muito menor de dados (somente o cabeçalho dos protocolos), diferente de analisar todo o pacote de rede, como é o caso do controle baseado em aplicação.

Em uma política de segurança, por exemplo, é natural usar a filtragem por serviço para aquelas portas consideradas desnecessárias para o uso da organização, reduzindo a cobertura do controle de aplicação, oferecendo maior desempenho para o ambiente, sem comprometer a segurança.

A filtragem por serviço, em algumas tecnologias, vai além do conhecimento de porta e protocolo, levando em conta padrões de comunicação para definição do serviço, independente da porta de conexão (no caso de não ser a padrão). Esta característica reflete evolução da filtragem por serviço, contudo exige maior análise e consumo de recursos da solução.

Filtragem por aplicação

A premissa do filtro de aplicação ou controle de aplicação é abstrair portas e protocolos e focar no tráfego, identificando com base em uma lista de assinaturas ou comportamentos, qual é a aplicação que está sendo usada na conexão: BitTorrent, Dropbox, WhatsApp, DNS, etc.

É importante evidenciar que o filtro de aplicação também pode fazer análise do tráfego sobre a perspectiva de filtragem por serviço. Contudo seu objetivo é ir além e oferecer para o administrador uma possibilidade de filtro baseado naquilo que é utilizado pelos usuários, abstraindo detalhes técnicos de funcionamento daquele serviço.

A filtragem por aplicação deve ser tratada como um complemento da filtragem por serviços/portas e protocolos. Isso por que, não faz sentido utilizá-la em portas que sabidamente não fazem parte da política da empresa.

A visibilidade que o controle por aplicação traz também é interessante para outros insights dentro da organização, como conhecer o perfil de uso de usuários, setores, podendo assim dimensionar de maneira adequada o uso de recursos de internet, bem como o grau de ameaça do ambiente. Isso por que, dependendo dos tipos de aplicações, utilizadas em ambiente corporativo, o grau de exposição da empresa, frente as ameaças virtuais, pode ser maior.

No momento de buscar uma solução de segurança e até mesmo implantar, não trate os temas de forma exclusiva, mas sim de maneira complementar. Dessa maneira os resultados serão maximizados para o ambiente, com maior performance e exatidão nos controles.

This post is also available in: Português English Español