Oquefirewall?

Conceito,tiposearquiteturas
Introduo

Mesmoaspessoasmenosfamiliarizadascomatecnologiasabemqueainternetnoum"territrio"livre
deperigos.porestarazoqueimportanteconhecereutilizarferramentasdeproteopara
computadoreseredes.Estetextotratadeumadasopesdeseguranamaisimportantesdos
ambientescomputacionais:ofirewall.
Nasprximaslinhas,vocentenderoconceitodefirewall,conhecerosseustiposmaiscomunse
entenderosmotivosquelevamestassoluesaseremconsideradasimprescindveis.

Oquefirewall?
Firewallumasoluodeseguranabaseadaemhardwareousoftware(maiscomum)que,apartirdeumconjuntoderegrasouinstrues,analisao
trfegoderedeparadeterminarquaisoperaesdetransmissoourecepodedadospodemserexecutadas."Parededefogo",atraduoliteraldo
nome,jdeixaclaroqueofirewallseenquadraemumaespciedebarreiradedefesa.Asuamisso,porassimdizer
,consistebasicamenteembloquear
trfegodedadosindesejadoeliberaracessosbemvindos.

Representaobsicadeumfirewall

Paracompreendermelhor,vocpodeimaginarumfirewallcomosendoumaportariadeumcondomnio:paraentrar
,necessrioobedecera
determinadascondies,comoseidentificar,seresperadoporummoradorenoportarqualquerobjetoquepossatrazerriscosseguranaparasair
,
nosepodelevarnadaquepertenaaoscondminossemadevidaautorizao.
Nestesentido,umfirewallpodeimpedirumasriedeaesmaliciosas:um
malwarequeutilizadeterminadaportaparaseinstalaremumcomputador
semousuriosaber,umprogramaqueenviadadossigilososparaainternet,umatentativadeacessoredeapartirdecomputadoresexternosno
autorizados,entreoutros.

Comoumfirewallfunciona?

Vocjsabequeumfirewallatuacomoumaespciedebarreiraqueverificaquaisdadospodempassarouno.Estatarefaspodeserfeitamediante
estabelecimentodepolticas,isto,deregras,comovoctambmjsabe.
Emummodomaisrestritivo,umfirewallpodeserconfiguradoparabloqueartodoequalquertrfegonocomputadorounarede.Oproblemaqueesta
condioisolaestecomputadorouestarede,entopodesecriarumaregraparaque,porexemplo,todoaplicativoaguardeautorizaodousurioou
administradorparaterseuacessoliberado.Estaautorizaopoderinclusiveserpermanente:umavezdada,osacessosseguintessero
automaticamentepermitidos.

Emummodomaisverstil,umfirewallpodeserconfiguradoparapermitirautomaticamenteotrfegodedeterminadostiposdedados,comorequisies
HTTP(siglaparaHypertextTransferProtocolprotocolousadoparaacessoapginasWeb),ebloquearoutras,comoconexesaserviosdeemail.
Perceba,comoestesexemplos,queaspolticasdeumfirewallsobaseadas,inicialmente,emdoisprincpios:todotrfegobloqueado,excetooque
estexplicitamenteautorizadotodotrfegopermitido,excetooqueestexplicitamentebloqueado.

Firewallsmaisavanadospodemiralm,direcionandodeterminadotipodetrfegoparasistemasdeseguranainternosmaisespecficosouoferecend
umreforoextraemprocedimentosdeautenticaodeusurios,porexemplo.
Voctermaisdetalhessobreofuncionamentodosfirewallsnotpicoaseguir
.

Tiposdefirewall

Otrabalhodeumfirewallpodeserrealizadodevriasformas.Oquedefineumametodologiaououtrasofatorescomocritriosdodesenvolvedor
,
necessidadesespecficasdoqueserprotegido,caractersticasdosistemaoperacionalqueomantm,estruturadaredeeassimpordiante.porisso
quepodemosencontrarmaisdeumtipodefirewall.Aseguir
,osmaisconhecidos.

Filtragemdepacotes(packetfiltering)
Asprimeirassoluesdefirewallsurgiramnadcadade1980baseandoseem
filtragemdepacotesdedados(packetfiltering),umametodologiamais
simplese,porisso,maislimitada,emboraofereaumnveldeseguranasignificativo.

Paracompreender,importantesaberquecadapacotepossuiumcabealhocomdiversasinformaesaseurespeito,comoendereoIPdeorigem,
endereoIPdodestino,tipodeservio,tamanho,entreoutros.OFirewallentoanalisaestasinformaesdeacordocomasregrasestabelecidaspara
liberarounoopacote(sejaparasairouparaentrarnamquina/rede),podendotambmexecutaralgumatarefarelacionada,comoregistraroacesso
(outentativade)emumarquivodelog.

Filtragemdepacotes

AtransmissodosdadosfeitacombasenopadroTCP/IP(TransmissionControlProtocol/InternetProtocol),queorganizadoemcamadas,como
explicaestetextosobreendereosIP.Afiltragemnormalmenteselimitascamadasderedeedetransporte:aprimeiraondeocorreoendereamento
dosequipamentosquefazempartedaredeeprocessosderoteamento,porexemploasegundaondeestoosprotocolosquepermitemotrfegode
dados,comooTCPeoUDP(UserDatagramProtocol).
Combasenisso,umfirewalldefiltragempodeter
,porexemplo,umaregraquepermitatodootrfegodaredelocalqueutilizeaportaUDP123,assim
comoterumapolticaquebloqueiaqualqueracessodaredelocalpormeiodaportaTCP25.

Filtragensestticaedinmica
possvelencontrardoistiposdefirewalldefiltragemdepacotes.Oprimeiroutilizaoqueconhecidocomo
filtrosestticos,enquantoqueosegundo
umpoucomaisevoludo,utilizando
filtrosdinmicos.

Nafiltragemesttica,osdadossobloqueadosouliberadosmeramentecombasenasregras,noimportandoaligaoquecadapacotetemcomoutr
Aprincpio,estaabordagemnoumproblema,masdeterminadosserviosouaplicativospodemdependerderespostasourequisiesespecficas
parainiciaremanteratransmisso.possvelentoqueosfiltroscontenhamregrasquepermitemotrfegodestesservios,masaomesmotempo
bloqueiemasrespostas/requisiesnecessrias,impedindoaexecuodatarefa.

Estasituaocapazdeocasionarumsrioenfraquecimentodasegurana,umavezqueumadministradorpoderiaseverobrigadoacriarregras
menosrgidasparaevitarqueosserviossejamimpedidosdetrabalhar
,aumentandoosriscosdeofirewallnofiltrarpacotesquedeveriamser
,defato,
bloqueados.

Afiltragemdinmicasurgiuparasuperaraslimitaesdosfiltrosestticos.Nestacategoria,osfiltrosconsideramocontextoemqueospacotesesto
inseridospara"criar"regrasqueseadaptamaocenrio,permitindoquedeterminadospacotestrafeguem,massomentequandonecessrioeduranteo
perodocorrespondente.Destaforma,aschancesderespostasdeserviosserembarradas,porexemplo,caiconsideravelmente.

Firewalldeaplicaoouproxydeservios(proxyservices)

Ofirewalldeaplicao,tambmconhecidocomoproxydeservios(proxyservices)ouapenasproxyumasoluodeseguranaqueatuacomo
intermedirioentreumcomputadorouumaredeinternaeoutrarede,externanormalmente,ainternet.Geralmenteinstaladosemservidorespotentes
precisaremlidarcomumgrandenmerodesolicitaes,firewallsdestetiposoopesinteressantesdeseguranaporquenopermitema
comunicaodiretaentreorigemedestino.
Aimagemaseguirajudanacompreensodoconceito.Percebaqueemvezdearedeinternasecomunicardiretamentecomainternet,hum
equipamentoentreambosquecriaduasconexes:entrearedeeoproxyeentreoproxyeainternet.Observe:

Proxy

Percebaquetodoofluxodedadosnecessitapassarpeloproxy
.Destaforma,possvel,porexemplo,estabelecerregrasqueimpeamoacessode
determinadosendereosexternos,assimcomoqueprobamacomunicaoentrecomputadoresinternosedeterminadosserviosremotos.

Estecontroleamplotambmpossibilitaousodoproxyparatarefascomplementares:oequipamentopoderegistrarotrfegodedadosemumarquivod
logcontedomuitoutilizadopodeserguardadoemumaespciedecache(umapginaW
ebmuitoacessadaficaguardadatemporariamentenoproxy
,
fazendocomquenosejanecessriorequisitlanoendereooriginalatodoinstante,porexemplo)determinadosrecursospodemserliberadosapena
medianteautenticaodousurioentreoutros.
Aimplementaodeumproxynotarefafcil,hajavistoaenormequantidadedeservioseprotocolosexistentesnainternet,fazendocomque,
dependendodascircunstncias,estetipodefirewallnoconsigaouexijamuitotrabalhodeconfiguraoparabloquearouautorizardeterminados
acessos.

Proxytransparente

Noquedizrespeitoalimitaes,convenientemencionarumasoluochamadade
proxytransparente.Oproxy"tradicional",noraramente,exigeque
determinadasconfiguraessejamfeitasnasferramentasqueutilizamarede(porexemplo,umnavegadordeinternet)paraqueacomunicaoaconte
semerros.Oproblema,dependendodaaplicao,estetrabalhodeajustepodeserinviveloucustoso.

Oproxytransparentesurgecomoumaalternativaparaestescasosporqueasmquinasquefazempartedaredenoprecisamsaberdesuaexistncia
dispensandoqualquerconfiguraoespecfica.T
odoacessofeitonormalmentedoclienteparaaredeexternaeviceversa,masoproxytransparente
consegueinterceptloeresponderadequadamente,comoseacomunicao,defato,fossedireta.

vlidoressaltarqueoproxytransparentetambmtemlsuasdesvantagens,porexemplo:umproxy"normal"capazdebarrarumaatividade
maliciosa,comoummalwareenviandodadosdeumamquinaparaainternetoproxytransparente,porsuavez,podenobloquearestetrfego.No
difcilentender:paraconseguirsecomunicarexternamente,omalwareteriaqueserconfiguradoparausaroproxy"normal"eissogeralmenteno
acontecenoproxytransparentenohestalimitao,portanto,oacessoacontecerianormalmente.

Inspeodeestados(statefulinspection)
Tidoporalgunsespecialistasnoassuntocomoumaevoluodosfiltrosdinmicos,osfirewallsde
inspeodeestado(statefulinspection)trabalham
fazendoumaespciedecomparaoentreoqueestacontecendoeoqueesperadoparaacontecer
.

Paratanto,firewallsdeinspeoanalisamtodootrfegodedadosparaencontrarestados,isto,padresaceitveisporsuasregraseque,aprincpio,
serousadosparamanteracomunicao.Estasinformaessoentomantidaspelofirewalleusadascomoparmetroparaotrfegosubsequente.
Paraentendermelhor,suponhaqueumaplicativoiniciouumacessoparatransfernciadearquivosentreumclienteeumservidor
.Ospacotesdedados
iniciaisinformamquaisportasTCPserousadasparaestatarefas.Sederepenteotrfegocomearafluirporumaportanomencionada,ofirewall
podeentodetectarestaocorrnciacomoumaanormalidadeeefetuarobloqueio.

Arquiteturadosfirewalls

Voccertamentepercebeuque,ajulgarpelavariedadedetipos,osfirewallspodemserimplementadosdevriasformasparaatendersmaisdiversas
necessidades.Esteaspectolevaaoutracaractersticaimportantedoassunto:aarquiteturadeumfirewall.
Quandofalamosdearquitetura,nosreferimosformacomoofirewallprojetadoeimplementado.H,basicamente,trstiposdearquitetura.V
eremos
elasaseguir.

ArquiteturaDualHomedHost

Nestamodalidade,humcomputadorchamadodualhomedhostqueficaentreumaredeinternaearedeexternanormalmente,ainternet.Onomes
deveaofatodeestehostpossuiraomenosduasinterfacesderede,umaparacada"lado".

Percebaquenohoutrocaminhodecomunicao,portanto,todootrfegopassaporestefirewall,nohavendoacessodaredeinternaparaarede
externa(eviceversa)diretamente.Aprincipalvantagemdestaabordagemquehgrandecontroledotrfego.Adesvantagemmaisexpressiva,porsu
vez,quequalquerproblemacomodualhomedumainvaso,porexemplopodepremriscoaseguranadaredeoumesmoparalisarotrfego.P
estarazo,oseuusopodenoseradequadoemredescujoacessointernetessencial.
Estetipodearquiteturabastanteutilizadoparafirewallsdotipoproxy
.

ScreenedHost

NaarquiteturaScreenedHost,emvezdehaverumanicamquinaservindodeintermediadoraentrearedeinternaearedeexterna,hduas:umaqu
fazopapelderoteador(screeningrouter)eoutrachamadadebastionhost.
Obastionhostatuaentreoroteadorearedeinterna,nopermitindocomunicaodiretaentreambososlados.Percebaentoquesetratadeuma
camadaextradesegurana:acomunicaoocorrenosentido
redeinternabastionhostscreeningrouterredeexternaeviceversa.

ArquiteturaScreenedHost

Oroteadornormalmentetrabalhaefetuandofiltragemdepacotes,sendoosfiltrosconfiguradospararedirecionarotrfegoaobastionhost.Este,porsua
vez,podedecidirsedeterminadasconexesdevemserpermitidasouno,mesmoquetenhampassadopelosfiltrosdoroteador
.

Sendoopontocrticodaestrutura,obastionhostprecisaserbemprotegido,docontrrio,colocaremriscoaseguranadaredeinternaouaindapode
tornlainacessvel.

ScreenedSubnet
AarquiteturaScreenedSubnettambmcontacomafiguradobastionhost,masesteficadentrodeumareaisoladadenomeinteressante:a
DMZ,
siglaparaDemilitarizedZone ZonaDesmilitarizada.

ADMZ,porsuavez,ficaentrearedeinternaearedeexterna.Aconteceque,entrearedeinternaeaDMZhumroteadorquenormalmentetrabalhac
filtrosdepacotes.Almdisso,entreaDMZearedeexternahoutroroteadordotipo.

ArquiteturaScreenedSubnet

Notequeestaarquiteturasemostrabastantesegura,umavezque,casooinvasorpassepelaprimeiroroteador
,teraindaquelidarcomazona
desmilitarizada.Estainclusivepodeserconfiguradadediversasformas,comaimplementaodeproxiesoucomaadiodemaisbastionhostspara
lidarcomrequisiesespecficas,porexemplo.

OnvelseguranaeaflexibilidadedeconfiguraofazemdaScreenedSubnetumaarquiteturanormalmentemaiscomplexae,consequentemente,ma
cara.

Firewallspessoais
Otpicosobrearquiteturasmostraasopesdeconfiguraodefirewallsemredes.Mas,comovocprovavelmentesabe,hfirewallsmaissimples
destinadosaprotegeroseucomputador,sejaeleumdesktop,umlaptop,umtablet,enfim.Soos
firewallspessoais(oudomsticos),queDEVEMser
utilizadosporqualquerpessoa.

Felizmente,sistemasoperacionaisatuaisparausodomsticoouemescritriocostumamconterfirewallinternoporpadro,comoocasode
distribuiesLinux,doWindows8oudoMacOSX.Almdisso,comumdesenvolvedoresdeantivrusofereceremoutrasopesdeproteojuntoao
software,entreelas,umfirewall.

Mas,paraquemprocuraumasoluomaiseficienteequepermitavriostiposdeajustes,possvelencontrarinmerasopes,muitasdelasgratuitas
UsuriosdeWindows,porexemplo,podemcontarcomo
ZoneAlarm,comoComodo,entreoutros.
Independentedequalsejaoseusistemaoperacional,valeapenapesquisarporumaopoquepossaatenderssuasnecessidades.

Firewalldehardware

Jfoimencionadonestetextoofatodeumfirewallpoderserumasoluodesoftwareouhardware.Estainformaonoestincorreta,masnecess
umcomplemento:ohardwarenadamaisdoqueumequipamentocomumsoftwaredefirewallinstalado.
possvelencontrar,porexemplo,roteadoresouequipamentossemelhantesaestesqueexercemafunoemquestofuno.Nestecaso,oobjetivo
normalmenteodeprotegerumaredecomtrfegoconsiderveloucomdadosmuitoimportantes.

UmfirewallNetgearmodeloFVS318

Avantagemdeumfirewalldehardwarequeoequipamento,porserdesenvolvidoespecificamenteparaestefim,preparadoparalidarcomgrandes
volumesdedadosenoestsujeitoavulnerabilidadesqueeventualmentepodemserencontradosemumservidorconvencional(porcontadeumafalh
emoutrosoftware,porexemplo).

Limitaesdosfirewalls

Lendoestetexto,vocjdeveterobservadoqueosfirewallstmlsuaslimitaes,sendoqueestasvariamconformeotipodesoluoeaarquitetura
utilizada.Defato,firewallssorecursosdeseguranabastanteimportantes,masnosoperfeitosemtodosossentidos.
Resumindoesteaspecto,podemosmencionarasseguinteslimitaes:

Umfirewallpodeofereceraseguranadesejada,mascomprometerodesempenhodarede(oumesmodeumcomputador).Estasituaopode
gerarmaisgastosparaumaampliaodeinfraestruturacapazdesuperaroproblema
Averificaodepolticastemqueserrevistaperiodicamenteparanoprejudicarofuncionamentodenovosservios
Novosserviosouprotocolospodemnoserdevidamentetratadosporproxiesjimplementados
Umfirewallpodenosercapazdeimpedirumaatividademaliciosaqueseoriginaesedestinaredeinterna
Umfirewallpodenosercapazdeidentificarumaatividademaliciosaqueacontecepordescuidodousurioquandoesteacessaumsitefalsode
umbancoaoclicaremumlinkdeumamensagemdeemail,porexemplo
Firewallsprecisamser"vigiados".Malwaresouatacantesexperientespodemtentardescobrirouexplorarbrechasdeseguranaemsoluesdo
tipo
Umfirewallnopodeinterceptarumaconexoquenopassaporele.Se,porexemplo,umusurioacessarainternetemseucomputadorapartir
deumaconexo3G(justamenteparaburlarasrestriesdarede,talvez),ofirewallnoconseguirinterferir
.

Finalizando
Comovocpdeobservar,firewallssosoluesimportantesdesegurananopormenosquesurgiramnadcadade1980esoamplamente
utilizadosatosdiasdehoje.Mas,talcomoevidenciaotpicosobrelimitaes,umfirewallnocapazdeprotegertotalmenteumaredeouum
computador,razopeladeveserutilizadoemconjuntocomoutrosrecursos,comoantivrus,sistemasdedetecodeintrusos,VPN(
VirtualPrivate
Network)eassimpordiante.

Opensamentoquesedeveterodequeofirewallpartedasegurana,noaseguranaemsi,damesmaformaqueaconteceemumprdio,por
exemplo:muros,portes,cmerasdevigilnciaealarmesfazemaseguranademaneiraconjunta,havendomenoseficinciaseapenasumououtroit
forutilizado.

Estetextofezumaabordagemdeapresentaodoassunto.Casodesejesabermais,vocpodeconsultarosmateriaisqueserviramderefernciapara
suaelaborao:

www.ietf.org/rfc/rfc2979.txt
www.cisco.com/univercd/cc/td/doc/product/iaabu/centri4/user/scf4ch3.htm

www.abchost.cz/download/2044/.../inspectionfirewall.pdf

www.vtcif.telstra.com.au/pub/docs/security/80010/node1.html
.
EscritoporEmersonAlecrim Publicadoem19_02_2013Atualizadoem19_02_201