Internal Firewall
Este tipo
de firewall tem um enfoque diferente dos outros tipos
que já
foram tratados até aqui. Enquanto nos outros é sempre falado
de
proteger
a rede interna de ataques vindos da Internet, este tipo de
firewall,
visa proteger algumas subredes da empresa de outras. As
razões
para isto são várias:
- uma subrede
da empresa é menos segura do que as demais (uma
rede onde
há cursos ou treinamento de pessoas estranhas empresa);
- uma subrede
da empresa deve ser mais protegida do que as
demais (como
uma rede de um laboratório de pesquisa e projeto,
ou uma rede
do setor financeiro, nas quais muitas vezes passam
informações
sigilosas);
- uma subrede
na qual está se realizando testes.
Ao invés
de colocar todas as máquinas de uma empresa em uma
única
rede, as instalações são separadas em conjuntos de
redes
locais independentes.
Se desejar, pode-se fazê-las comunicar entre
si através
de links para a Internet independentes e usando um
sistema de
encriptação eficiente (para evitar que estes dados sejam
entendidos por pessoas não autorizadas). Este tipo de firewall
também
enfoca um problema que os outros tipos não tratam: o
ataque de
hackers que são os próprios empregados da empresa.Abaixo
está
um exemplo de uma rede interna com uma subrede que está isolada
através
de um firewall.
A forma de
como implementar este tipo de firewall é da escolha de
quem vai
fazer, pois pode ser utilizada qualquer técnica das
anteriores
(depende do nível de segurança e de quanto se deseja
gastar).
Alguns cuidados que devem ser tomados quando se estiver
configurando
estas redes independentes:
- Garantir
que cada subrede tenha um servidor (quando se estiver
usando NIS);
e que cada servidor e seus clientes tenham seu
próprio
domínio;
- Não
permintir que qualque servidor ou estação de trabalho em
uma subrede
autentifique hosts em outra subrede ou em outro
gateway;
- Garantir que usuários que tenham contas em mais de uma subrede tenham senhas diferentes em cada uma;
- Habilitar
o mais alto nível de logging para os gateways, e
as mais severas
restrições de segurança(se possível, desabilitar
o logon dos
usuários nestas máquinas);
- Não
usar sistemas de arquivos NFS montados de uma LAN em
outra; se
for necessário, exportá-la como apenas para leitura.
Vantagens:
- Como o número
de máquinas ligadas a uma dada subrede
geralmente
é pequeno, caso haja uma falha física nesta subrede,
ele fica
isolado a uma área restrita;
- O número
de máquinas colocando informações em qualquer
segmento
da rede fica limitado, pois a rede não é mais uma rede
única;
- Se houver
um ataque a uma dada subrede, o número de máquinas
atingidas
fica limitado;
- Cria barreiras
para os hackers, tanto os externos quanto os
internos,
que possam estar tentando atacar máquinas específicas
em uma dada instalação.
Desvantagens:
- O gerenciamento de tantas subredes geralmente é mais complexo;
- Como terão
que ser feitos vários firewalls em uma empresa, o alto
custo destes
só viabiliza este tipo de sistema de segurança
para grandes
empresas.