Internet Firewalls

A Falha Segura estabelece que se um sistema falhar ele falha de tal forma que é negado o acesso ao atacante, não permitindo que ele entre. A falha também pode resultar que os usuários legítimos não tenham acesso até que os reparos sejam realizados, mas isso é bem melhor do que permitir que alguém (o intruso) entre e destrua tudo.

Por exemplo, se um programa proxy falhar devido a um ataque, apenas este programa falhará, impedindo que o atacante prossiga a sua investida. Type enforcement é uma técnica utilizada para implementar sistemas fail safe, permitindo programas proxy com tais características. Se um packet filter configurável em modo fail safe falhar, tanto os pacotes do intruso como os dos demais usuários não poderão trafegar, mas pelo menos o ataque não se alastrará para mais adiante.

A principal aplicação desse princípio em segurança de redes está em escolher a postura do site com respeito a segurança. "Você está mais inclinado a errar na direção da segurança ou "liberdade"?" As duas principais posturas são:

• Postura padrão de negação: Especificar apenas o que é permitido e proibir o resto;
• Postura padrão de permissão: Especificar somente o que é proibido e permitir o resto.

"Aquilo que não é expressamente permitido é proibido"

A postura padrão de negação é uma postura fail safe. Entretanto, nem sempre a politica de segurança agrada aos usuários do sistema. É necessário que se estabeleça uma relação amistosa entre o pessoal da administração da segurança e os usuários, esclarecendo estes acerca das medidas tomadas. Para determinar os serviços que serão permitidos, aconselha-se a seguir os seguintes passos:

• Examinar os serviços que os usuários querem;
• Considerar as implicações destes serviços na segurança e como se pode provê- los seguramente;
• Permitir somente os serviços que se compreendem, os quais possam ser providos seguramente e que se consiga visualizar uma necessidade legítima para eles.

"O que não é expressamente proibido é permitido

Esta postura padrão de permissão certamente não se enquadra como fail safe. Os únicos que de fato se beneficiam desta postura são os intrusos, porque o administrador do firewall não pode tapar todos os buracos nos serviços disponíveis e naqueles que surgem no correr do tempo. Enquanto ele está ocupado tentando resolver alguns problemas com algum serviços os atacantes se deliciam atacando em outros pontos.