O que firewall?

- Conceito, tipos e arquiteturas

Introduo
Mesmo as pessoas menos familiarizadas com a tecnologia sabem que a internet no um "territrio" livre de perigos. por esta razo que importante conhecer e utilizar ferramentas de proteo para computadores e redes. Este texto trata de uma das opes de segurana mais importantes dos ambientes computacionais: o firewall. Nas prximas linhas, voc entender o conceito de firewall, conhecer os seus tipos mais comuns e entender os motivos que levam estas solues a serem consideradas imprescindveis.

O que firewall?
Firewall uma soluo de segurana baseada em hardware ou software (mais comum) que, a partir de um conjunto de regras ou instrues, analisa o trfego de rede para determinar quais operaes de transmisso ou recepo de dados podem ser executadas. "Parede de fogo", a traduo literal do nome, j deixa claro que o firewall se enquadra em uma espcie de barreira de defesa. A sua misso, por assim dizer, consiste basicamente em bloquear trfego de dados indesejado e liberar acessos bem-vindos.

Representao bsica de um firewall

Para compreender melhor, voc pode imaginar um firewall como sendo uma portaria de um condomnio: para entrar, necessrio obedecer a determinadas condies, como se identificar, ser esperado por um morador e no portar qualquer objeto que possa trazer riscos segurana; para sair, no se pode levar nada que pertena aos condminos sem a devida autorizao. Neste sentido, um firewall pode impedir uma srie de aes maliciosas: um malware que utiliza determinada porta para se instalar em um computador sem o usurio saber, um programa que envia dados sigilosos para a internet, uma tentativa de acesso rede a partir de computadores externos no autorizados, entre outros.

Como um firewall funciona?

Voc j sabe que um firewall atua como uma espcie de barreira que verifica quais dados podem passar ou no. Esta tarefa s pode ser feita mediante o estabelecimento de polticas, isto , de regras, como voc tambm j sabe. Em um modo mais restritivo, um firewall pode ser configurado para bloquear todo e qualquer trfego no computador ou na rede. O problema que esta condio isola este computador ou esta rede, ento pode-se criar uma regra para que, por exemplo, todo aplicativo aguarde autorizao do usurio ou administrador para ter seu

acesso liberado. Esta autorizao poder inclusive ser permanente: uma vez dada, os acessos seguintes sero automaticamente permitidos. Em um modo mais verstil, um firewall pode ser configurado para permitir automaticamente o trfego de determinados tipos de dados, como requisies HTTP (sigla para Hypertext Transfer Protocol - protocolo usado para acesso a pginas Web), e bloquear outras, como conexes a servios de e-mail. Perceba, como estes exemplos, que as polticas de um firewall so baseadas, inicialmente, em dois princpios: todo trfego bloqueado, exceto o que est explicitamente autorizado; todo trfego permitido, exceto o que est explicitamente bloqueado. Firewalls mais avanados podem ir alm, direcionando determinado tipo de trfego para sistemas de segurana internos mais especficos ou oferecendo um reforo extra em procedimentos de autenticao de usurios, por exemplo. Voc ter mais detalhes sobre o funcionamento dos firewalls no tpico a seguir.

Tipos de firewall
O trabalho de um firewall pode ser realizado de vrias formas. O que define uma metodologia ou outra so fatores como critrios do desenvolvedor, necessidades especficas do que ser protegido, caractersticas do sistema operacional que o mantm, estrutura da rede e assim por diante. por isso que podemos encontrar mais de um tipo de firewall. A seguir, os mais conhecidos.
Filtragem de pacotes (packet filtering)

As primeiras solues de firewall surgiram na dcada de 1980 baseando-se em filtragem de pacotes de dados (packet filtering), uma metodologia mais simples e, por isso, mais limitada, embora oferea um nvel de segurana significativo. Para compreender, importante saber que cada pacote possui um cabealho com diversas informaes a seu respeito, como endereo IP de origem, endereo IP do destino, tipo de servio, tamanho, entre outros. O Firewall ento analisa estas informaes de acordo com as regras estabelecidas para liberar ou no o pacote (seja para sair ou para entrar na mquina/rede), podendo tambm executar alguma tarefa relacionada, como registrar o acesso (ou tentativa de) em um arquivo de log.

Filtragem de pacotes

A transmisso dos dados feita com base no padro TCP/IP (Transmission Control Protocol/Internet Protocol), que organizado em camadas, como explica este texto sobre endereos IP. A filtragem normalmente se limita s camadas de rede e de transporte: a primeira onde ocorre o endereamento dos equipamentos que fazem parte da rede e processos de roteamento, por exemplo; a segunda onde esto os protocolos que permitem o trfego de dados, como o TCP e o UDP (User Datagram Protocol).

Com base nisso, um firewall de filtragem pode ter, por exemplo, uma regra que permita todo o trfego da rede local que utilize a porta UDP 123, assim como ter uma poltica que bloqueia qualquer acesso da rede local por meio da porta TCP 25.
Filtragens esttica e dinmica

possvel encontrar dois tipos de firewall de filtragem de pacotes. O primeiro utiliza o que conhecido como filtros estticos, enquanto que o segundo um pouco mais evoludo, utilizando filtros dinmicos. Na filtragem esttica, os dados so bloqueados ou liberados meramente com base nas regras, no importando a ligao que cada pacote tem com outro. A princpio, esta abordagem no um problema, mas determinados servios ou aplicativos podem depender de respostas ou requisies especficas para iniciar e manter a transmisso. possvel ento que os filtros contenham regras que permitem o trfego destes servios, mas ao mesmo tempo bloqueiem as respostas/requisies necessrias, impedindo a execuo da tarefa. Esta situao capaz de ocasionar um srio enfraquecimento da segurana, uma vez que um administrador poderia se ver obrigado a criar regras menos rgidas para evitar que os servios sejam impedidos de trabalhar, aumentando os riscos de o firewall no filtrar pacotes que deveriam ser, de fato, bloqueados. A filtragem dinmica surgiu para superar as limitaes dos filtros estticos. Nesta categoria, os filtros consideram o contexto em que os pacotes esto inseridos para "criar" regras que se adaptam ao cenrio, permitindo que determinados pacotes trafeguem, mas somente quando necessrio e durante o perodo correspondente. Desta forma, as chances de respostas de servios serem barradas, por exemplo, cai consideravelmente.
Firewall de aplicao ou proxy de servios (proxy services)

O firewall de aplicao, tambm conhecido como proxy de servios (proxy services) ou apenas proxy uma soluo de segurana que atua como intermedirio entre um computador ou uma rede interna e outra rede, externa - normalmente, a internet. Geralmente instalados em servidores potentes por precisarem lidar com um grande nmero de solicitaes, firewalls deste tipo so opes interessantes de segurana porque no permitem a comunicao direta entre origem e destino. A imagem a seguir ajuda na compreenso do conceito. Perceba que em vez de a rede interna se comunicar diretamente com a internet, h um equipamento entre ambos que cria duas conexes: entre a rede e o proxy; e entre o proxy e a internet. Observe:

Proxy

Perceba que todo o fluxo de dados necessita passar pelo proxy. Desta forma, possvel, por exemplo, estabelecer regras que impeam o acesso de determinados endereos externos, assim como que probam a comunicao entre computadores internos e determinados servios remotos.

Este controle amplo tambm possibilita o uso do proxy para tarefas complementares: o equipamento pode registrar o trfego de dados em um arquivo de log; contedo muito utilizado pode ser guardado em uma espcie de cache (uma pgina Web muito acessada fica guardada temporariamente no proxy, fazendo com que no seja necessrio requisit-la no endereo original a todo instante, por exemplo); determinados recursos podem ser liberados apenas mediante autenticao do usurio; entre outros. A implementao de um proxy no tarefa fcil, haja visto a enorme quantidade de servios e protocolos existentes na internet, fazendo com que, dependendo das circunstncias, este tipo de firewall no consiga ou exija muito trabalho de configurao para bloquear ou autorizar determinados acessos.
Proxy transparente

No que diz respeito a limitaes, conveniente mencionar uma soluo chamada de proxy transparente. O proxy "tradicional", no raramente, exige que determinadas configuraes sejam feitas nas ferramentas que utilizam a rede (por exemplo, um navegador de internet) para que a comunicao acontea sem erros. O problema , dependendo da aplicao, este trabalho de ajuste pode ser invivel ou custoso. O proxy transparente surge como uma alternativa para estes casos porque as mquinas que fazem parte da rede no precisam saber de sua existncia, dispensando qualquer configurao especfica. Todo acesso feito normalmente do cliente para a rede externa e vice-versa, mas o proxy transparente consegue intercept-lo e responder adequadamente, como se a comunicao, de fato, fosse direta. vlido ressaltar que o proxy transparente tambm tem l suas desvantagens, por exemplo: um proxy "normal" capaz de barrar uma atividade maliciosa, como um malware enviando dados de uma mquina para a internet; o proxy transparente, por sua vez, pode no bloquear este trfego. No difcil entender: para conseguir se comunicar externamente, o malware teria que ser configurado para usar o proxy "normal" e isso geralmente no acontece; no proxy transparente no h esta limitao, portanto, o acesso aconteceria normalmente.
Inspeo de estados (stateful inspection)

Tido por alguns especialistas no assunto como uma evoluo dos filtros dinmicos, os firewalls de inspeo de estado (stateful inspection) trabalham fazendo uma espcie de comparao entre o que est acontecendo e o que esperado para acontecer. Para tanto, firewalls de inspeo analisam todo o trfego de dados para encontrar estados, isto , padres aceitveis por suas regras e que, a princpio, sero usados para manter a comunicao. Estas informaes so ento mantidas pelo firewall e usadas como parmetro para o trfego subsequente. Para entender melhor, suponha que um aplicativo iniciou um acesso para transferncia de arquivos entre um cliente e um servidor. Os pacotes de dados iniciais informam quais portas TCP sero usadas para esta tarefas. Se de repente o trfego comear a fluir por uma porta no mencionada, o firewall pode ento detectar esta ocorrncia como uma anormalidade e efetuar o bloqueio.

Arquitetura dos firewalls

Voc certamente percebeu que, a julgar pela variedade de tipos, os firewalls podem ser implementados de vrias formas para atender s mais diversas necessidades. Este aspecto leva a outra caracterstica importante do assunto: a arquitetura de um firewall. Quando falamos de arquitetura, nos referimos forma como o firewall projetado e implementado. H, basicamente, trs tipos de arquitetura. Veremos elas a seguir.

Arquitetura Dual-Homed Host

Nesta modalidade, h um computador chamado dual-homed host que fica entre uma rede interna e a rede externa - normalmente, a internet. O nome se deve ao fato de este host possuir ao menos duas interfaces de rede, uma para cada "lado". Perceba que no h outro caminho de comunicao, portanto, todo o trfego passa por este firewall, no havendo acesso da rede interna para a rede externa (e vice-versa) diretamente. A principal vantagem desta abordagem que h grande controle do trfego. A desvantagem mais expressiva, por sua vez, que qualquer problema com o dual-homed - uma invaso, por exemplo - pode pr em risco a segurana da rede ou mesmo paralisar o trfego. Por esta razo, o seu uso pode no ser adequado em redes cujo acesso internet essencial. Este tipo de arquitetura bastante utilizado para firewalls do tipo proxy.
Screened Host

Na arquitetura Screened Host, em vez de haver uma nica mquina servindo de intermediadora entre a rede interna e a rede externa, h duas: uma que faz o papel de roteador (screening router) e outra chamada de bastion host. O bastion host atua entre o roteador e a rede interna, no permitindo comunicao direta entre ambos os lados. Perceba ento que se trata de uma camada extra de segurana: a comunicao ocorre no sentido rede interna bastion host - screening router - rede externa e vice-versa.

Arquitetura Screened Host

O roteador normalmente trabalha efetuando filtragem de pacotes, sendo os filtros configurados para redirecionar o trfego ao bastion host. Este, por sua vez, pode decidir se determinadas conexes devem ser permitidas ou no, mesmo que tenham passado pelos filtros do roteador. Sendo o ponto crtico da estrutura, o bastion host precisa ser bem protegido, do contrrio, colocar em risco a segurana da rede interna ou ainda poder torn-la inacessvel.
Screened Subnet

A arquitetura Screened Subnet tambm conta com a figura do bastion host, mas este fica dentro de uma rea isolada de nome interessante: a DMZ, sigla para Demilitarized Zone - Zona Desmilitarizada. A DMZ, por sua vez, fica entre a rede interna e a rede externa. Acontece que, entre a rede interna e a DMZ h um roteador que normalmente trabalha com filtros de pacotes. Alm disso, entre a DMZ e a rede externa h outro roteador do tipo.

Arquitetura Screened Subnet

Note que esta arquitetura se mostra bastante segura, uma vez que, caso o invasor passe pela primeiro roteador, ter ainda que lidar com a zona desmilitarizada. Esta inclusive pode ser configurada de diversas formas, com a implementao de proxies ou com a adio de mais bastion hosts para lidar com requisies especficas, por exemplo. O nvel segurana e a flexibilidade de configurao fazem da Screened Subnet uma arquitetura normalmente mais complexa e, consequentemente, mais cara.

Firewalls pessoais
O tpico sobre arquiteturas mostra as opes de configurao de firewalls em redes. Mas, como voc provavelmente sabe, h firewalls mais simples destinados a proteger o seu computador, seja ele um desktop, um laptop, um tablet, enfim. So os firewalls pessoais (ou domsticos), que DEVEM ser utilizados por qualquer pessoa. Felizmente, sistemas operacionais atuais para uso domstico ou em escritrio costumam conter firewall interno por padro, como o caso de distribuies Linux, do Windows 8 ou do Mac OS X. Alm disso, comum desenvolvedores de antivrus oferecerem outras opes de proteo junto ao software, entre elas, um firewall. Mas, para quem procura uma soluo mais eficiente e que permita vrios tipos de ajustes, possvel encontrar inmeras opes, muitas delas gratuitas. Usurios de Windows, por exemplo, podem contar com o ZoneAlarm, com o Comodo, entre outros. Independente de qual seja o seu sistema operacional, vale a pena pesquisar por uma opo que possa atender s suas necessidades.

Firewall de hardware
J foi mencionado neste texto o fato de um firewall poder ser uma soluo de software ou hardware. Esta informao no est incorreta, mas necessrio um complemento: o hardware nada mais do que um equipamento com um software de firewall instalado. possvel encontrar, por exemplo, roteadores ou equipamentos semelhantes a estes que exercem a funo em questo funo. Neste caso, o objetivo normalmente o de proteger uma rede com trfego considervel ou com dados muito importantes.

Um firewall Netgear modelo FVS318

A vantagem de um firewall de hardware que o equipamento, por ser desenvolvido especificamente para este fim, preparado para lidar com grandes volumes de dados e no est sujeito a vulnerabilidades que eventualmente podem ser encontrados em um servidor convencional (por conta de uma falha em outro software, por exemplo).

Limitaes dos firewalls

Lendo este texto, voc j deve ter observado que os firewalls tm l suas limitaes, sendo que estas variam conforme o tipo de soluo e a arquitetura utilizada. De fato, firewalls so recursos de segurana bastante importantes, mas no so perfeitos em todos os sentidos. Resumindo este aspecto, podemos mencionar as seguintes limitaes:

Um firewall pode oferecer a segurana desejada, mas comprometer o desempenho da rede (ou mesmo de um computador). Esta situao pode gerar mais gastos para uma ampliao de infraestrutura capaz de superar o problema; A verificao de polticas tem que ser revista periodicamente para no prejudicar o funcionamento de novos servios; Novos servios ou protocolos podem no ser devidamente tratados por proxies j implementados; Um firewall pode no ser capaz de impedir uma atividade maliciosa que se origina e se destina rede interna; Um firewall pode no ser capaz de identificar uma atividade maliciosa que acontece por descuido do usurio quando este acessa um site falso de um banco ao clicar em um link de uma mensagem de e-mail, por exemplo; Firewalls precisam ser "vigiados". Malwares ou atacantes experientes podem tentar descobrir ou explorar brechas de segurana em solues do tipo; Um firewall no pode interceptar uma conexo que no passa por ele. Se, por exemplo, um usurio acessar a internet em seu computador a partir de uma conexo 3G (justamente para burlar as restries da rede, talvez), o firewall no conseguir interferir.

Finalizando
Como voc pde observar, firewalls so solues importantes de segurana - no por menos que surgiram na dcada de 1980 e so amplamente utilizados at os dias de hoje. Mas, tal como evidencia o tpico sobre limitaes, um firewall no capaz de proteger totalmente uma rede ou um computador, razo pela deve ser utilizado em conjunto com outros recursos, como antivrus, sistemas de deteco de intrusos, VPN (Virtual Private Network) e assim por diante. O pensamento que se deve ter o de que o firewall parte da segurana, no a segurana em si, da mesma forma que acontece em um prdio, por exemplo: muros, portes, cmeras de vigilncia e alarmes fazem a segurana de maneira conjunta, havendo menos eficincia se apenas um ou outro item for utilizado. Este texto fez uma abordagem de apresentao do assunto. Caso deseje saber mais, voc pode consultar os materiais que serviram de referncia para a sua elaborao: