Todo site precisa de proteção. Assim como seu computador pessoal, os servidores online podem ser alvo de ataques. Você precisa de uma maneira de manter fora hackers ou outras fontes de tráfego ilegítimo. É aí que entram os firewalls.
O que é um firewall, em resumo? É uma barreira entre um computador e o “mundo exterior”.
Os atores maliciosos podem causar estragos em seu servidor se você deixar seu site desprotegido e é por isso que você deve fazer tudo o que estiver ao seu alcance para proteger seu site WordPress. A criação de um firewall deve ser uma de suas primeiras ordens de negócios.
Mas existem muitos tipos diferentes de firewalls e talvez você não saiba por onde começar.
Vamos rever todos os tipos de firewalls, quando você precisar de um, e como instalar um em seu servidor.
O que é um Firewall? O que faz um Firewall?
Sempre que você visita um website, você está basicamente conectado a outro computador: o servidor web. Mas como um servidor é apenas um tipo especializado de computador, ele é suscetível ao mesmo tipo de ataque que seu próprio PC é.
Não é seguro conectar-se tão diretamente a outro dispositivo sem qualquer tipo de proteção no meio. Uma vez estabelecida essa conexão, é muito mais fácil infectar a outra parte com malware ou lançar um ataque DDoS.
É para isso que serve um firewall. É o intermediário entre você e qualquer outro dispositivo que tente se conectar a você ou, no caso de um servidor web, entre ele e as centenas ou milhares de conexões que ele faz com outros todos os dias.
Então, como funciona exatamente um firewall?
Os firewalls simplesmente monitoram o tráfego de entrada e saída em um dispositivo, verificando quaisquer sinais de atividade maliciosa. Caso detecte algo suspeito, ele o bloqueará instantaneamente para não chegar ao seu destino.
É um grande sistema de filtragem para seu computador ou servidor.
Quando foram desenvolvidos pela primeira vez, os firewalls eram analisadores de pacotes muito simples que permitiam ou bloqueavam o tráfego de entrada com base em um conjunto mínimo de regras pré-definidas. Eles eram muito fáceis de contornar.
Atualmente, eles evoluíram para peças de programação complexas que são muito melhores para manter as intrusões fora de tentativa e são uma peça essencial de software para todos os dispositivos.
Quando você precisa de um Firewall
Você pode estar se perguntando: quando um firewall é necessário? Eu realmente preciso de um?
Um firewall é necessário para qualquer máquina que se conecte à Internet. Não apenas seu computador, mas seu servidor web, telefone, dispositivos IoT, ou qualquer coisa que você possa pensar que tenha a capacidade de usar a internet.
Um dispositivo desprotegido é um dispositivo de coleta fácil para intrusões e infecções.
Isto poderia dar aos hackers a capacidade de assumir o controle de seu computador, instalar o que quiserem, monitorar enquanto você digita informações sensíveis como credenciais bancárias, ou mesmo olhar através de sua webcam/câmera, e ouvir através de seu microfone.
No caso de um servidor web, se um hacker conseguir passar, ele poderá desfigurar seu site, incorporar malware que infecte seus visitantes, alterar suas credenciais de login do administrador do WordPress, ou derrubar seu site por completo.
Sem um firewall, seu website e até mesmo seus dispositivos pessoais são vulneráveis a ataques DDoS, um vetor de ataque que envia milhares ou milhões de pacotes falsos para sobrecarregar seu servidor e derrubar seu website ou internet.
Não está convencido? Aqui está o que um firewall pode proteger você ou seu website contra:
- Intrusões: Os firewalls impedem que usuários não autorizados acessem seu computador ou servidor remotamente e façam o que quiserem.
- Malwares: Os atacantes que conseguem se infiltrar podem enviar malware para infectar você ou seu servidor. Os malwares podem roubar informações pessoais, se espalhar para outros usuários ou danificar seu computador.
- Ataques com força bruta: Tentativas de hackers para tentar centenas de combinações de nome de usuário e senha para descobrir suas credenciais de login de administrador (ou de outros usuários).
- Ataques DDoS: Firewalls (especialmente firewalls de aplicação web) podem tentar detectar o fluxo de tráfego falso que ocorre durante um ataque DDoS.
Tipos de Firewalls
Há muitos tipos diferentes de firewalls, cada um projetado para uma situação diferente. Algumas são melhores para computadores individuais, enquanto outras são feitas para filtragem em toda a rede.
Todos eles funcionam de maneira diferente e são melhores para bloquear certos tipos de tráfego. Se você está se perguntando o que deveria estar procurando, vamos quebrar todos os principais tipos de firewalls.
Aqui está um resumo rápido: a menos que você esteja rodando sua própria pilha de servidores (fornecendo um website com sua própria Internet), o tipo de firewall com o qual você precisa se preocupar principalmente são firewalls pessoais, firewalls de software e firewalls de aplicações web.
Estes três são os mais importantes. Entretanto, leia mais sobre o resto se você quiser entender melhor como funciona um firewall e como eles têm evoluído ao longo dos anos.
Firewall Pessoal
Os firewalls funcionam de forma muito diferente dependendo se são utilizados por computadores individuais, redes inteiras (como dentro de um escritório comercial), ou servidores web. Um firewall pessoal é destinado ao uso em apenas um computador. Este é o firewall que vem pré-instalado em máquinas Windows e Mac ou com seu software antivírus.
Embora funcione de forma semelhante a um firewall de servidor – permitindo ou rejeitando conexões de outros dispositivos, aplicações e IPs com base em um conjunto de regras pré-definidas – em função, ele age de forma um pouco diferente.
Os firewalls pessoais podem proteger as portas que você usa para se conectar a websites e aplicativos online (furtivos para que os atacantes não possam ver que estão abertos), defender-se contra ataques que deslizam pela rede, impedir que as pessoas acessem e tomem conta de seu computador, e analisar todo o tráfego de entrada e saída.
Eles também atuam como firewalls de aplicação, monitorando a atividade das aplicações em seu dispositivo e recusando-se a permitir que uma conexão seja estabelecida com software inseguro ou desconhecido.
Hoje em dia, a obtenção de um firewall pessoal é bastante fácil. Se você usa qualquer versão moderna do Windows, já deve haver uma rodando por padrão.
Os computadores Mac também vêm com um, embora você precise ligá-lo a si mesmo. Para isso, navegue até Preferências do Sistema, clique em Segurança & Privacidade, depois clique em Firewall:
O software antivírus também vem muitas vezes com seu próprio software. Um exemplo é o antivírus Avast: seu firewall de software é compatível com o Windows e serve como uma segunda camada de defesa.
Também existem firewalls pessoais de terceiros pagos, mas estes podem entrar em conflito com sua configuração padrão.
Hardware vs Software Firewall
As firewalls vêm em duas formas distintas: firewalls de hardware e software. Os firewalls de software são programas para download para seu computador, monitorando tudo a partir de um painel de controle central. Os firewalls de hardware oferecem funcionalidade semelhante, mas são instalados fisicamente no edifício.
Você pode não saber, mas provavelmente tem uma forma de firewall de hardware em sua casa: seu roteador, o dispositivo que lhe permite conectar-se à Internet. Embora não seja exatamente o mesmo que um dispositivo de firewall de hardware dedicado, ele oferece funções similares de monitoramento e de permitir ou negar conexões.
Tanto as firewalls de software como de hardware ficam entre seu computador e o mundo exterior, analisando cuidadosamente quaisquer conexões que tentem passar por elas. Você pode ter qualquer uma delas ou ambas funcionando em sua rede.
No entanto, há alguns pontos negativos nas firewalls de ferragens. Elas são difíceis de configurar e requerem manutenção contínua, portanto, geralmente não são adequadas para computadores individuais ou empresas muito pequenas sem um departamento de TI. Eles podem causar problemas de desempenho, especialmente quando empilhados com um firewall de software. E não são adequados para bloquear aplicações em um dispositivo, ou restrições baseadas no usuário.
Por outro lado, um firewall de hardware protegerá facilmente toda a sua rede de computadores, enquanto a configuração de software para isso é uma tarefa mais difícil. E enquanto um atacante pode desativar um software se conseguir entrar, ele não pode mexer em um dispositivo físico.
As firewalls de software são, como seu nome indica, melhores para trabalhar com programas em um computador. Bloquear aplicações, gerenciar usuários, gerar logs e monitorar usuários em sua rede são suas especialidades. Eles não são tão fáceis de configurar em toda a rede, mas quando instalados em múltiplos dispositivos, permitem um controle mais preciso.
Firewall de filtragem de pacotes
O tipo mais simples de firewall, e entre os primeiros já desenvolvidos, são os firewalls de filtragem de pacotes. Um pacote são os dados trocados entre seu computador e um servidor. Ao clicar em um link, carregar um arquivo, ou enviar um e-mail, você envia um pacote para o servidor. E quando você carrega uma página web, ela envia pacotes para você.
Um firewall de filtragem de pacotes analisa esses pacotes e os bloqueia com base em um conjunto de regras pré-definidas. Por exemplo, você pode bloquear pacotes originários de um determinado servidor ou endereço IP, ou aqueles que tentam chegar a um determinado destino em seu servidor.
O lado negativo: Estes tipos de firewalls são simples e fáceis de enganar. Não há maneira de aplicar regras avançadas. Se você permitir que o tráfego flua através de uma determinada porta, o firewall de filtragem de pacotes deixará passar qualquer coisa, mesmo o tráfego que para os firewalls modernos obviamente não é legítimo.
A única vantagem é que eles são tão simples que quase não têm impacto no desempenho. Eles não inspecionam o tráfego, não guardam logs, nem executam nenhuma função avançada. Hoje em dia, as firewalls de filtragem de pacotes devem ser evitadas ou pelo menos usadas ao lado de algo mais avançado, pois existem soluções muito melhores.
Firewall do Estado
Depois dos “stateless”, os filtros de pacotes simples vieram a tecnologia de firewall de estado. Isto foi revolucionário porque, ao invés de apenas analisar os pacotes à medida que passam e rejeitá-los com base em parâmetros simples, os firewalls stateful manipulam informações dinâmicas e continuam monitorando os pacotes à medida que eles passam pela rede.
Um simples firewall de filtragem de pacotes só pode bloquear com base em informações estáticas como endereço IP ou porta. As firewalls estatais são melhores para detectar e bloquear tráfego ilegítimo porque reconhecem padrões e outros conceitos avançados.
Em comparação com os firewalls sem estado, as desvantagens são que eles são mais intensivos devido ao armazenamento de dados de pacotes na memória e à análise mais rigorosa dos mesmos, além de manter registros do que fica bloqueado e do que passa. Mas eles são uma solução muito melhor.
Web Application Firewall
Embora a tecnologia estatal ainda seja utilizada hoje, ela por si só não é mais suficiente para manter uma rede efetivamente segura. As Firewalls de Aplicação e Aplicação Web foram o próximo grande passo.
Os firewalls tradicionais só monitoram o tráfego geral em uma rede. Eles lutam ou falham completamente em detectar o tráfego que vem ou vai de um aplicativo, serviço, ou outro software. Os firewalls de aplicação foram projetados para funcionar com estes programas, capturando tentativas de intrusão que aproveitam as vulnerabilidades do software para passar por firewalls mais antigos.
Eles também poderiam funcionar como um sistema de controle parental para uma empresa, bloqueando totalmente o acesso a determinados aplicativos e websites.
As firewalls de aplicações web funcionam de forma semelhante, mas monitoram aplicações web em vez de programas em um computador. Exemplos de aplicações web são plugins de terceiros ou de carrinho de compras, que às vezes podem ser sequestrados para enviar malware para seu servidor. Sem um WAF, você está vulnerável a estes ataques.
Muitos WAFs são baseados em nuvens, o que significa que você não precisa fazer nenhuma mudança radical em seu servidor para configurá-los. Mas eles também podem existir no hardware ou no software do servidor.
Se você precisa de um serviço de firewall para proteger seu website, procure um WAF baseado em nuvem como Cloudflare ou Sucuri. Estes podem ser instalados sem a necessidade de mexer em configurações sensíveis de host web ou configurar hardware caro.
Next-Generation Firewall
O último é o Next-Generation Firewall (NGFW), uma das mais recentes invenções a sair desta geração de tecnologia de segurança. Estas ferramentas de grau empresarial são como todas as anteriores combinadas em uma só. Filtragem profunda de pacotes, prevenção de intrusão e monitoramento de aplicações são apenas algumas de suas enormes características de rede.
As firewalls de próxima geração existem como um serviço online, mas os WAFs são muito mais comuns e oferecem funcionalidade semelhante. Mas se você quiser a mais avançada tecnologia de firewall disponível, com um conjunto completo de proteção de segurança em um programa, procure por um NGFW.
Como obter um Firewall
Para proteger-se e seu website, você precisa de um firewall de alta qualidade que mantenha os intrusos afastados.
Quanto aos firewalls pessoais, geralmente não é necessário sair do seu caminho para conseguir um. O firewall embutido do Windows funciona muito bem sem nenhuma configuração. E entre o firewall de aplicação que muitas vezes vem com seu software antivírus e o filtro de pacotes em seu roteador, seu computador geralmente é mais do que protegido.
Basta ter certeza de que seu firewall está ativado, que você tem um bom antivírus instalado e que seu roteador está configurado corretamente. O mesmo pode ser dito para os usuários de MacOS.
Mas e se você tiver um website que precise de proteção?
É muito diferente então. Não há tantas ferramentas embutidas para protegê-lo, e muitas vezes cabe a você proteger seu website. Por exemplo, se você estiver rodando WordPress, não há firewall ou qualquer coisa para proteger seu servidor e os plugins de segurança são uma das opções mais comuns.
Os desenvolvedores do WordPress fazem o seu melhor para manter o código otimizado, mas quando surgem vulnerabilidades, você não tem nada para evitar intrusões.
Cada site pode se beneficiar de um WAF. Serviços on-line como Sucuri, Wordfence, Cloudflare podem ser configurados no seu servidor em minutos.
Além de instalar você mesmo um firewall, você deve escolher um web host que cuide de seus servidores adequadamente. Muitos hosts baratos demais não se preocupam com a segurança e podem causar grandes problemas se seu site ficar sob fogo.
Integração Cloudflare na Kinsta
Se o seu site for hospedado na Kinsta, você não precisa se preocupar em montar um WAF manualmente. Todos os sites em nossa infraestrutura são automaticamente protegidos por nossa integração gratuita Cloudflare, que inclui um firewall seguro com conjuntos de regras personalizadas e proteção DDoS gratuita. Além de nossa integração Cloudflare, também implementamos outras medidas de segurança como detecção de força bruta, acesso a arquivos somente SFTP, VMs da plataforma Google Cloud, uma promessa de remoção de malware abrangente, e muito mais.
Resumo
Em um computador pessoal moderno, normalmente não é preciso fazer muito, já que um firewall vem pré-instalado com a maioria dos sistemas operacionais. Quanto ao seu site, muitos anfitriões não se importam em proteger seus servidores, então se torna seu trabalho se proteger.
Se você está procurando um web host com infra-estrutura de segurança confiável que possa suportar um site de qualquer tamanho, considere Kinsta. Com nossa integração gratuita do Cloudflare e garantia de segurança, você sabe que não será vítima de hacking. E com a rara chance de que eles se desenvolvam, tomaremos medidas para nos livrarmos do malware de graça.
Mesmo que você escolha um host confiável que coloque muito estoque em segurança, é uma boa idéia instalar um firewall de aplicação web como uma segunda linha de defesa. Encontre um bom serviço como Sucuri, ou baixe um plugin de segurança WordPress, e você estará pronto para ir.
Editor-chefe da Kinsta e consultor de marketing de conteúdo para desenvolvedores de plugins do WordPress. Conecte-se com Matteo no Twitter.
Deixe um comentário