Blog Agility

O novo Firewall para DataCenter

O novo Firewall para DataCenter

Na grande maioria das empresas, os firewalls são a primeira linha de defesa contra qualquer tipo de ataque. Só que estes ataques estão se sofisticando e diversificando cada vez mais e acabam sobrecarregando as soluções tradicionalmente conhecidas como “confiáveis”, que começam a dar sinais de limitações em detectar e bloquear estes ataques (leia mais em O que aprendemos com o Anonymous: DDoS virou 3DoS).

Limitações dos Firewalls Convencionais

Geralmente os firewalls são medidos por throughput (por exemplo, 5Gbps) o que facilita as comparações entre diferentes soluções. Mas throughput não é tudo durante um ataque. Por exemplo, durante um ataque “simples” de DDoS, a capacidade de conexões concorrentes e novas conexões por segundo são mais importantes que o throughput em si.

Veja o seguinte caso: um firewall convencional, custando na faixa de R$ 75.000,00 com capacidade nominal de throughput de 10Gbps consegue endereçar em torno de 1-2 milhões de conexões concorrentes. Com uma única botnet é possível gerar esse volume de conexões concorrentes e, com poucos recursos, é possível derrubar este firewall.

E se usarmos o parâmetro “novas conexões por segundo”, a situação é muito pior! Este mesmo firewall consegue responder entre 50.000 e 100.000 novas conexões por segundo. Como é relativamente fácil gerar 2 milhões de conexões, imagine qual é a dificuldade de gerar apenas 110.000 conexões novas, o suficiente para derrubar o firewall! É muito mais fácil!

Se você se assustou com apenas estes dois parâmetros, prepare-se pois é só o começo. Muitos ataques recentes direcionados a diversas instituições brasileiras (muitos se lembram do recente #OpWeeksPayment) não objetivaram esgotar a capacidade de throughput dos firewalls de borda, mas se prevaleceram de diversas outras brechas no ambiente/aplicação/serviço para atingir o mesmo objetivo: indisponibilizar o alvo. A diferença é que bem menos recursos foram necessários para isso.

De forma geral, os três principais tipos de ataque utilizados atualmente são:

  1. Ataques tradicionais de rede
  2. Ataques mais complexos de DDoS/3DoS em HTTP e DNS
  3. Vulnerabilidades de aplicação

E o IPS? Não ajudaria nesses casos?

As soluções de IPS tem sua segurança baseada em assinaturas, que são geralmente desenvolvidas pelo fabricante da solução de IPS. Eles leem os fluxos de dados esperando encontrar algo que se enquadre nas assinaturas que estão instaladas. Apesar de cumprir um bom papel, bloqueando diversos tipos de ataques importantes, pela natureza de como foram concebidos e pelos ataques atuais, estão perdendo sua eficiência junto com os firewalls tradicionais.

Ou será que as empresas que sofreram os recentes ataques não investiram um caminhão de dinheiro nos últimos anos em soluções de segurança, mas ainda assim ficaram indisponíveis?

Numa análise apenas um pouco mais aprofundada, como um IPS conseguiria endereçar:

  • Ataques “Zero-day”: Quantos dias o fabricante da solução precisa para desenvolver a assinatura correta e eficiente? E quantos dias você precisa para aplicar essa assinatura no ambiente de produção? E o receio desta assinatura começar a bloquear indevidamente?
  • Tráfego criptografado: Os IPS atuais não tem capacidade suficiente para descriptografar o tráfego e tratar os ataques. Não sem pelo menos inserir uma latência monstruosa no tráfego.
  • Ataques de aplicação: como proteger a aplicação contra manipulação de URL e de parâmetros, Cookie Poisoning, Forceful Browsing e outros? Os IPSs não foram feitos para isso.
  • E a integração com empresas de varredura de vulnerabilidades como WhiteHat e Cenzic que tanto ajudam a descobrir os “buracos” nas aplicações (que hoje são os principais alvos de ataque)?

Mas será que existe saída para esse problema?

A boa notícia é “SIM”!

Os primeiros firewalls nasceram com o conceito de “proxy” em mente, mas com o passar do tempo essa abordagem se provou ser uma vilã de recursos de hardware, consumindo demais os equipamentos e trazendo poucos resultados. Aos poucos novas tecnologias foram desenvolvidas, como o bem conhecido “Stateful Inspection“, que por muito tempo resolveu o problema. Assim o conceito de “proxy” ficou legado para outras soluções com foco em outros problemas.

Mas atualmente as soluções baseadas em “Stateful Inspection” tem se provado insuficientes para proteger o tráfego de entrada nos DataCenters. Assim, precisamos “dar um passo atrás” para ter uma visão macro da situação e procurar novas alternativas, e para isso precisamos de uma solução que:

  • Não seja apenas baseada em “Stateful Inspection“, mas que também seja baseada em proxy para resolver (ou ao menos facilitar a resolução) os problemas;
  • Aguente muita pancada (de throughput, conexões concorrentes, novas conexões por segundo etc.);
  • Que consiga, além dos problemas mais simples, endereçar ataques mais sofisticados como ataques de DNS e 3DoS, chegando até a entender como a aplicação se comporta em camada 7;
  • Ter integração com soluções de análise de vulnerabilidades;
  • Não exija uma fortuna em processadores, componentes eletrônicos, fontes de energia, cabos, espaço em rack, ar condicionado, contratos de todo tipo.

Após conversar com diversos especialistas na área e com base nas soluções que já estudamos, é possível compormos uma solução que atenda aos pré-requisitos acima descritos, integrando com diversas outras tecnologias de segurança que permitam um desempenho inigualável em todas as camadas do protocolo OSI, especialmente nos ataques de rede e de aplicação.