O que é a Camada 7?

A camada 7 refere-se à camada de aplicação no modelo de rede OSI. É a camada superior deste modelo de rede e lida com protocolos padrão com os quais os usuários interagem diretamente, como o tráfego HTTP para navegação na web.

Solicite uma demo Benchmark de segurança Miercom 2024 NGFW

O que é a Camada 7?

O modelo OSI

O modelo de Interconexão de Sistemas Abertos (OSI) é um modelo conceitual de como o tráfego de rede é estruturado. As sete camadas do modelo OSI incluem:

  1. Camada física: Move dados através de um meio físico por meio de elétrons, luz, etc.
  2. Camada de Enlace de Dados: Transfere dados entre nós, gerenciando o meio físico e a correção de erros. Ethernet é um protocolo de camada 2.
  3. Camada rede: Gerencia o endereçamento e roteamento da rede para mover dados entre redes. IP é um protocolo de camada 3.
  4. Camada de Transporte: Utiliza protocolos como TCP e UDP para transmitir dados entre sistemas e pode oferecer correção de erros.
  5. Camada de Sessão: Gerencia conexões e sessões entre dois computadores.
  6. Camada de apresentação: realiza criptografia, compressão e formatação de dados para garantir que os dados sejam traduzidos corretamente entre a rede e o aplicativo.
  7. Camada de aplicativo: Permite que o aplicativo de software do usuário final envie e receba dados pela rede.

Importância da Camada 7

A camada 7 é a camada mais alta do modelo OSI e lida com aplicativos que interagem diretamente com o usuário.

Os níveis de aplicação mais baixos do modelo OSI preocupam-se em garantir que os dados cheguem aonde precisam chegar e sejam formatados adequadamente. A camada 7 é onde operam os aplicativos que interagem com o usuário. Por exemplo, ao navegar na web, um usuário utilizará o protocolo web HTTPS para se comunicar com o servidor web remoto.

O HTTPS é um protocolo de camada 7 cujo tráfego é encapsulado em protocolos de camadas inferiores, como:

  • TCP
  • QUIC
  • IP
  • Ethernet

Esses protocolos são responsáveis por garantir que os dados sejam transferidos de um aplicativo específico no computador do cliente para um aplicativo específico no servidor, enquanto o HTTPS transporta os dados reais que fazem a sessão de navegação na web funcionar.

Balanceamento de carga na camada 7

Uma organização pode optar por implementar o balanceamento de carga na camada 7 do modelo OSI. Isso significa que o tráfego legítimo de um único aplicativo é distribuído por vários servidores diferentes, garantindo que eles não fiquem sobrecarregados.

Portanto, o balanceamento de carga melhora o desempenho geral do aplicativo. Do ponto de vista do usuário, todos os servidores por trás de um balanceador de carga de camada 7 são indistinguíveis, já que teriam o mesmo endereço IP público e os mesmos números de porta. No entanto, o balanceador de carga pode encaminhar o tráfego para os servidores com base na utilização.

Além disso, o balanceador de carga pode usar cookies ou outras informações incluídas nas solicitações para garantir que o tráfego da mesma sessão seja direcionado para o mesmo servidor, permitindo o armazenamento em cache e a otimização do serviço.

O balanceamento de carga também pode ocorrer na Camada 4, a Camada de Transporte do modelo OSI. Nesse caso, diferentes servidores upstream usariam portas TCP/UDP diferentes, permitindo que um balanceador de carga enviasse rapidamente o tráfego da mesma sessão para o mesmo servidor sem inspecionar seu conteúdo real. No entanto, essa abordagem oferece um controle menos preciso sobre as sessões enviadas a cada servidor de backend.

Proteção contra ataques DDoS

A camada 7 também é relevante no contexto de ataques de Negação distribuída de serviço (Distributed Denial of Service, DDoS) (DDoS). Em ataques DDoS na camada de aplicativos, uma botnet controlada por um atacante tenta tornar um serviço alvo indisponível para usuários e clientes. Os ataques DDoS podem ocorrer em várias camadas diferentes do modelo OSI. Uma abordagem possível é tentar sobrecarregar o sistema com o grande volume de solicitações.

Esses ataques operam nas camadas 3 (rede) e 4 (transporte) do modelo OSI. Por exemplo, um ataque de inundação SYN esgota o número de sessões TCP que um servidor mantém abertas simultaneamente.

Inundação SYN

Um ataque SYN Flood é um tipo de ataque DDoS que sobrecarrega um servidor com solicitações de conexão, tornando-o indisponível para clientes legítimos.

  • Normalmente, um cliente envia uma mensagem SYN (Synchronize) para um servidor, para solicitar uma conexão com o servidor.
  • O servidor reconhece essa solicitação enviando uma mensagem SYN-ACK de volta para o cliente.
  • Em seguida, o cliente normalmente responde com um ACK (reconhecimento) e a conexão é estabelecida.

No entanto, no caso de ataques SYN Flood, o atacante DDoS envia uma enxurrada de solicitações SYN ao servidor, mas propositalmente não responde com um ACK final a nenhuma das mensagens SYN-ACK enviadas pelo servidor.  Como resultado, o servidor fica preso aguardando um grande volume de respostas ACK que nunca chegam do cliente.

Esse processo sobrecarrega os recursos computacionais limitados dos servidores, pois eles ficam ocupados tentando gerenciar um enorme volume de conexões semiabertas. É por isso que os ataques de inundação SYN também são conhecidos como 'ataques semiabertos'.

Ataque DDoS de camada 7

Os ataques DDoS de camada 7 são projetados para explorar vulnerabilidades e gargalos em aplicativos ou serviços específicos. Por exemplo, ataques de inundação HTTP tentam enviar a um servidor web mais solicitações HTTP do que ele consegue processar. Isso pode ser substancialmente menor do que o número de sessões TCP simultâneas que ele pode suportar, tornando este um ataque mais eficiente.

Diferentes tipos de ataques DDoS precisam ser tratados em diferentes camadas do modelo OSI. Embora muitos firewalls de aplicativos possam lidar com ataques de camada 3/4, a proteção contra ataques de camada 7 exige um firewall de camada 7 que inspecione e compreenda os dados da camada de aplicativos.

Soluções Check Point e o modelo OSI

As empresas podem sofrer ciberataques que operam em várias camadas diferentes do modelo OSI. Por exemplo, ataques DDoS podem ser realizados nas camadas 3, 4 ou 7. Cada um desses tipos de ataques funciona de maneira diferente, e uma solução de segurança de rede que ofereça proteção apenas nas camadas 3 e 4 ficará indetectável para ataques que ocorram na camada 7.

Check Point next-generation firewalls (NGFWs) provide protection at multiple layers of the OSI model, including the ability to inspect and understand network packet payloads to offer application-layer protection. Learn more about the Layer 7 protection that Check Point Force NGFWs provides by signing up for a free demo.