www.projetoderedes.com.

br
Gesto da Segurana da Informao
Professor: Maurcio
AULA 09 Firewall
O que Firewall
Um Firewall um sistema para controlar o aceso s redes de
computadores, desenvolvido para evitar acessos no autorizados em uma rede
local ou rede privada de uma corporao. Esse sistema pode ser desempenhado
por um dispositivo implementado em hardware ou software.
A RFC 2828 (Request for Coments n 2828) define o termo firewall como
sendo uma ligao entre redes de computadores que restringem o trfego de
comunicao de dados entre a parte da rede que est dentro ou antes do
firewall, protegendo-a assim das ameaas da rede de computadores que est
fora ou depois do firewall. Esse mecanismo de proteo geralmente utilizado
para proteger uma rede menor (como os computadores de uma empresa) de uma
rede maior (como a Internet).
Um Firewall deve ser instalado no ponto de conexo entre as redes,
onde, atravs de regras de segurana, controla o trfego que flui para dentro e
para fora da rede protegida. Pode ser desde um nico computador, um software
sendo executado no ponto de conexo entre as redes de computadores ou um
conjunto complexo de equipamentos e softwares.
Deve-se observar que isso o torna um potencial gargalo para o trfego de
dados e, caso no seja dimensionado corretamente, poder causar atrasos e
diminuir a performance da rede. Os Firewalls oferecem as seguintes
funcionalidades:
Capacidade para direcionar o trfego para sistemas internos mais confiveis;
Proteo de sistemas vulnerveis ou crticos, ocultando informaes de rede
como nome de sistemas, topologia da rede, identificaes dos usurios, etc;
Gesto da Segurana da Informao
AULA 09 Firewall
Ref: Modulo Security, NBR ISO/IEC 17799, M A Thompson, M Smola, C. Dias, N Moreira 11
Mecanismo de defesa que restringe o fluxo de dados entre redes podendo criar
um log do trfego de entrada e sada da rede;
Concentrar os problemas de segurana em um nico ponto;
Autenticao de usurios na rede.
Implementao
Existem vrias tcnicas usadas na implementao de firewalls, dentre as
quais pode-se citar:
Filtragem de pacotes: Mais simples, porm menos segura, a tcnica permite
ou no o acesso baseado no endereo origem / destino ou na porta origem /
destino do protocolo de comunicao utilizado. Utiliza-se de uma relao de
endereos confiveis para permitir ou no o acesso. Por filtrar apenas os
endereos, est sujeito a ataques de spoofing Trabalha na terceira camada do
modelo OSI (IP);
O uso mais genrico est em evitar que usurios externos acessem
recursos particulares de uma rede de computadores. Uma das tarefas de um
firewall garantir que as comunicaes de / para a Internet estejam de acordo
Gesto da Segurana da Informao
AULA 09 Firewall
Ref: Modulo Security, NBR ISO/IEC 17799, M A Thompson, M Smola, C. Dias, N Moreira 11
com preceitos de segurana. Da mesma maneira devem ser colocados Firewalls
dentro da rede local de computadores de forma a proteger os dados da
corporao (financeiros, pessoais, de pesquisas, etc) contra invases internas.
Todavia, um Firewall no poder proteger uma rede contra conexes que no
passam por ele ou contra novas ameaas que no estejam previstas na sua
programao.
Stateful Packet Inspection (Inspeo de Estado de Pacote): permite ou no o
acesso, analisando no apenas as informaes utilizadas na filtragem de pacotes,
mas tambm analisa o cabealho de cada pacote de informao que chega,
verificando se pertence a uma conexo interna. Ou seja, se chegar ao firewall um
pacote que no foi solicitado por algum terminal de dentro da rea protegida, o
pacote bloqueado. Trabalha na quarta camada do modelo OSI (TCP);
Proxy Firewall: nesse tipo de implementao, toda a comunicao
direcionada ao firewall. Este, recebendo uma solicitao de pacote para ser
enviada a rede externa, examina suas polticas de segurana. Se o pacote atend-
las, envia-o para o destino, mas, com o endereo IP do firewall, protegendo o
verdadeiro endereo de origem da solicitao. Ao receber um pacote de
respostas, examina seu contedo e em seguida verifica se o pacote pertence a
uma solicitao interna. Em caso positivo, repassa-o ento ao solicitante. Trabalha
na quinta camada do modelo OSI.
Gesto da Segurana da Informao
AULA 09 Firewall
Ref: Modulo Security, NBR ISO/IEC 17799, M A Thompson, M Smola, C. Dias, N Moreira 11
Figura 1 - Esquema de Firewall Proxy
Categorias de Firewall
Os sistemas de Firewall disponveis comercialmente se diferenciam de duas
maneiras: quanto ao seu conjunto de caractersticas e quanto sua arquitetura
bsica.
Quanto s caractersticas, os Firewalls geralmente so divididos em duas
categorias:
1. Firewall em nvel de aplicao
Um Firewall de aplicao (Application-level ou "proxy" server), tambm
conhecido como Bastion Host (gateway de aplicao) no permite que nenhum
pacote passe diretamente da rede externa para a rede corporativa. A RFC 2828
(Request for Coments n 2828) define como sendo um computador fortemente
protegido contra ataques, podendo ser parte de um firewall, sendo o nico
Gesto da Segurana da Informao
AULA 09 Firewall
Ref: Modulo Security, NBR ISO/IEC 17799, M A Thompson, M Smola, C. Dias, N Moreira 11
computador da rede que pode ser acessado diretamente pelo lado de fora do
firewall. Geralmente, est localizado no permetro da rede entre a parte interna e
protegida e a Internet, por exemplo.
Primeiramente verifica se um pedido de acesso realizado por um usurio a
um site ou servio disponvel na Internet permitido validao de usurio e
senha para acesso, por exemplo, de sites de pornografia ou servio de ICQ, por
exemplo. Todos os pacotes so enviados a um servidor de proxy. O proxy
determina quando se deve ou no estabelecer a conexo e deve conhecer a
aplicao e, se uma nova aplicao for necessria na rede, deve obter com o
fornecedor um novo cdigo que a contemple. Se o acesso autorizado, o firewall
realiza o papel de intermedirio, realizando a conexo com o site ou servio na
Internet conforme solicitado pelo usurio, repassando-o as pginas, imagens e
outras informaes provenientes da Internet.
Um firewall ou um roteador funcionando como bastion host, pode ser
projetado com a finalidade de ser um servidor Web, servidor FTP, dentre outras
funes que estiverem disponveis a usurios de fora da proteo da interna da
rede. Tambm pode ser projetado como chamariz para crackers, tambm
conhecidos como honey pot. Sua funo justamente atrair a ateno dos
invasores com vulnerabilidades propositadamente deixadas para que se possam
coletar dados de eventuais tentativas de invaso e posterior proteo.
A sua configurao totalmente diferente de um computador comum.
Devido ao seu papel especfico dentro da rede, todos os protocolos, programas e
portas so removidos se no forem estritamente necessrios ao funcionamento. A
figura seguinte representa uma rede protegida por dois bastion hosts, um com a
funo de servidor WWW e FTP e outro com a funo de servidor SMTP e DNS.
Gesto da Segurana da Informao
AULA 09 Firewall
Ref: Modulo Security, NBR ISO/IEC 17799, M A Thompson, M Smola, C. Dias, N Moreira 11
Gesto da Segurana da Informao
AULA 09 Firewall
Ref: Modulo Security, NBR ISO/IEC 17799, M A Thompson, M Smola, C. Dias, N Moreira 11
As caractersticas principais de um Bastion Host so as seguintes:
Gateway de aplicao (verifica protocolos da camada de aplicao);
Papel crtico na segurana da rede interna, funcionando como intermedirio
entre o cliente da rede interna e o servidor remoto;
Recurso de controle de acesso;
Registro do trfego.
As caractersticas principais do Proxy Server so as seguintes:
Atua como um procurador;
Cliente no necessita DNS;
Cliente deve suportar Proxy;
Geralmente implementa recurso de Cache;
Necessidade de somente um IP vlido;
Pode possuir recursos para verificao de vrus.
Gesto da Segurana da Informao
AULA 09 Firewall
Ref: Modulo Security, NBR ISO/IEC 17799, M A Thompson, M Smola, C. Dias, N Moreira 11
2. Firewall em nvel de rede
Um Firewall de Rede (Network-level ou "packet-filtering" firewall) tambm
conhecido como Packet Filter (filtro de pacotes) atua ao nvel de rede examinando
as informaes solicitadas pelos usurios da Internet, servindo como intermedirio
entre a corporao e a Internet. No seu projeto, os dados (pacotes IP) chegam at
ele. Dependendo de regras de filtragem embutidas em seu sistema operacional,
ele decide se os deixa passar ou no para a rede local.
Cada solicitao examinada, e, quando solicitaes ilcitas so realizadas,
essas so bloqueadas, para que no sejam encaminhadas para a estrutura interna
da organizao, evitando danos aos dados existentes na estrutura da empresa
bem como a disponibilizao de informaes confidenciais da corporao
Internet.
Um filtro de pacotes atua at a camada de transporte e pode filtrar:
Endereo de origem e destino;
Protocolos: TCP, UDP ou ICMP;
Portas de origem e destino: TCP ou UDP;
Tipo de mensagem ICMP;
Interface de rede de entrada e sada;
TCP Flags (Ex. flag ACK)
As caractersticas desejveis em um Screening Router so:
Boa performance na filtragem;
Gesto da Segurana da Informao
AULA 09 Firewall
Ref: Modulo Security, NBR ISO/IEC 17799, M A Thompson, M Smola, C. Dias, N Moreira 11
Hardware dedicado;
Permitir especificao de regras;
Aplicar regras na ordem especificada;
Aplicar as regras nos pacotes que chegam e partem em cada interface de
rede;
Registros de pacotes aceitos e/ou rejeitados, bloqueando os que no
satisfazem nenhuma regra.
Firewall Hbrido
Tambm so conhecidos como Screened Host. Embora o projeto de um
Firewall de filtro de pacotes seja considerado o mais rpido e flexvel em
comparao com o Firewall de aplicao, muitas organizaes combinam as
vantagens de ambos para obterem um nvel maior de segurana e performance
em suas redes.
Arquitetura Bsica
Os sistemas de Firewall disponveis oferecem combinaes de caractersticas
variadas. Algumas so essenciais, outras necessrias apenas em circunstncias
especiais. A seguir sero apresentadas as bsicas que um Firewall deve
apresentar em sua configurao:
Gesto da Segurana da Informao
AULA 09 Firewall
Ref: Modulo Security, NBR ISO/IEC 17799, M A Thompson, M Smola, C. Dias, N Moreira 11
Controle de acesso bsico: controlar o acesso rede. Alguns Firewalls
oferecem controles de acesso fceis de administrar e difceis de burlar;
Servios suportados: Protocolos (ao nvel de aplicao) que o Firewall
reconhece. Um Firewall ao nvel de aplicao deve ter um servio de proxy para
cada aplicao. Os Firewalls filtros de pacotes suportam todos os servios
conhecidos (DNS, Finger, FTP, Gopher, ICMP, IRC, Mail, Telnet, WWW);
Autenticao de usurios: Os Firewalls ao nvel de aplicao normalmente
utilizam esse conceito, interrompendo aplicaes e exigindo aos usurios que se
autentiquem antes de continuarem a conexo no destino requisitado;
Redes privadas virtuais: Como o Firewall a porta de entrada da corporao
nada mais natural do que utiliz-lo como servidor VPN e ser o responsvel pela
autenticao dos usurios;
Administrao: Oferecer uma interface grfica com recursos de auxilio ao
operador que permitam que mesmo uma pessoa no especializada possa
gerenci-lo facilmente;
Auditoria e alarmes: os administradores de Firewall devem ser notificados
quando da tentativa de uma invaso;
Al ta performance: Firewalls lentos podem ser um srio gargalo na rede;
Mapeamento de endereos: Alguns Firewalls trocam (dinamicamente) os
endereos ilegais pelos endereos legais quando os pacotes saem para a Internet
em uma operao chamada NAT;
Controle de conexes permitidas: Essa caracterstica ajuda a evitar ataques
do tipo sobrecarga da rede ("flooding attacks")
Vantagens na utilizao de Firewall
Vrios objetivos para a segurana de uma rede de computadores podem
ser atingidos com a utilizao de Firewalls. Dentre eles destacam-se:
Segurana: Evitar que usurios externos, vindos da Internet, tenham acesso a
recursos disponveis apenas aos funcionrios da empresa autorizados. Com o uso
de firewalls de aplicao, pode-se definir que tipo de informao os usurios da
Internet podero acessar (somente servidor de pginas e correio eletrnico,
quando hospedados internamente na empresa);
Confidencialidade: Pode ocorrer que empresas tenham informaes sigilosas
veiculadas publicamente ou vendidas a concorrentes, como planos de ao,
Gesto da Segurana da Informao
AULA 09 Firewall
Ref: Modulo Security, NBR ISO/IEC 17799, M A Thompson, M Smola, C. Dias, N Moreira 11
metas organizacionais, entre outros. A utilizao de sistemas de firewall de
aplicao permite que esses riscos sejam minimizados;
Produti vidade: comum que os usurios de redes de uma corporao
acessarem sites na Internet que sejam improdutivos como sites de pornografia,
piadas, chat, etc. O uso combinado de um firewall de aplicao e um firewall de
rede pode evitar essa perda de produtividade;
Performance: O acesso a Internet pode tornar-se lento em funo do uso
inadequado dos recursos. Pode-se obter melhoria de velocidade de acesso a
Internet mediante controle de quais sites podem ser visitados, quem pode visit-
los e em que horrios sero permitidos. A opo de gerao de relatrios de
acesso pode servir como recurso para anlise dos acessos.