Internet Firewalls

Screened Subnet

Análise frente as Estratégias de Segurança

Para melhor definir quão seguro uma arquitetura de firewall pode ser, uma alternativa é verificando de que maneiras tal estrutura pode satisfazer as estratégias de segurança. Eis alguns pontos básicos:
  • Least privilege: há uma série de possibilidades, pois todos os serviços que são fornecidos exclusivamente via procuradores asseguram que os clientes internos terão essa única possibilidade de acessar um servidor externo na Internet;
  • Defense in depth: os hosts internos estão protegidos tanto pelo roteador externo como pelo interno, assim como os bastion hosts estão protegidos tanto pelo roteador externo como também pela sua própria configuração;
  • Choke point: a perimeter network é o choke point nessa arquitetura. Caso todos os serviços sejam fornecidos via procuração, os bastion hosts serão os choke points em particular;
  • Weakest link: não há nenhuma weakest link óbvia nessa configuração. Tudo depende de quão bem configurados estão os procuradores; mesmo assim, caso o bastion host seja comprometido, o prosseguimento do atque dependerá de como esse serviço pode servir como meio de propagação de um ataque para a rede interna;
  • Fail safe: o princípio "Tudo que não é expressamente permitido é proibido" assegura que qualquer serviço novo que se queira prover só será permitido caso o screening router seja apropriadamente configurado;
  • Universal participation: pode ser voluntária ou involuntária (caso o firewall seja o único choke point). Também depende de quão transparente o firewall pode ser, o que está relacionado com as características dos procuradores e das facilidades disponíveis nos programas clientes. De qualquer forma, a educação dos usuários é fundamental para que se tenha compreensão das medidas de segurança adotadas. Se não houver cooperação, o firewall pode deixar de ser o único ponto de acesso à Internet bastanto para isso que um usuário descontente acesse um provedor via linha discada.
  • Diversity of Defense: esta estratégia encontra aplicação em diversos pontos, eis alguns exemplos: utilizando roteadores de diferentes marcas ou então, caso sejam utilizados computadores configurados como screening routers, adotando diferentes ferramentas de filtragem de pacotes nos dois roteadores.