Professional Documents
Culture Documents
Conceito,tiposearquiteturas
Introduo
Mesmoaspessoasmenosfamiliarizadascomatecnologiasabemqueainternetnoum"territrio"livre
deperigos.porestarazoqueimportanteconhecereutilizarferramentasdeproteopara
computadoreseredes.Estetextotratadeumadasopesdeseguranamaisimportantesdos
ambientescomputacionais:ofirewall.
Nasprximaslinhas,vocentenderoconceitodefirewall,conhecerosseustiposmaiscomunse
entenderosmotivosquelevamestassoluesaseremconsideradasimprescindveis.
Oquefirewall?
Firewallumasoluodeseguranabaseadaemhardwareousoftware(maiscomum)que,apartirdeumconjuntoderegrasouinstrues,analisao
trfegoderedeparadeterminarquaisoperaesdetransmissoourecepodedadospodemserexecutadas."Parededefogo",atraduoliteraldo
nome,jdeixaclaroqueofirewallseenquadraemumaespciedebarreiradedefesa.Asuamisso,porassimdizer
,consistebasicamenteembloquear
trfegodedadosindesejadoeliberaracessosbemvindos.
Representaobsicadeumfirewall
Paracompreendermelhor,vocpodeimaginarumfirewallcomosendoumaportariadeumcondomnio:paraentrar
,necessrioobedecera
determinadascondies,comoseidentificar,seresperadoporummoradorenoportarqualquerobjetoquepossatrazerriscosseguranaparasair
,
nosepodelevarnadaquepertenaaoscondminossemadevidaautorizao.
Nestesentido,umfirewallpodeimpedirumasriedeaesmaliciosas:um
malwarequeutilizadeterminadaportaparaseinstalaremumcomputador
semousuriosaber,umprogramaqueenviadadossigilososparaainternet,umatentativadeacessoredeapartirdecomputadoresexternosno
autorizados,entreoutros.
Comoumfirewallfunciona?
Vocjsabequeumfirewallatuacomoumaespciedebarreiraqueverificaquaisdadospodempassarouno.Estatarefaspodeserfeitamediante
estabelecimentodepolticas,isto,deregras,comovoctambmjsabe.
Emummodomaisrestritivo,umfirewallpodeserconfiguradoparabloqueartodoequalquertrfegonocomputadorounarede.Oproblemaqueesta
condioisolaestecomputadorouestarede,entopodesecriarumaregraparaque,porexemplo,todoaplicativoaguardeautorizaodousurioou
administradorparaterseuacessoliberado.Estaautorizaopoderinclusiveserpermanente:umavezdada,osacessosseguintessero
automaticamentepermitidos.
Emummodomaisverstil,umfirewallpodeserconfiguradoparapermitirautomaticamenteotrfegodedeterminadostiposdedados,comorequisies
HTTP(siglaparaHypertextTransferProtocolprotocolousadoparaacessoapginasWeb),ebloquearoutras,comoconexesaserviosdeemail.
Perceba,comoestesexemplos,queaspolticasdeumfirewallsobaseadas,inicialmente,emdoisprincpios:todotrfegobloqueado,excetooque
estexplicitamenteautorizadotodotrfegopermitido,excetooqueestexplicitamentebloqueado.
Firewallsmaisavanadospodemiralm,direcionandodeterminadotipodetrfegoparasistemasdeseguranainternosmaisespecficosouoferecend
umreforoextraemprocedimentosdeautenticaodeusurios,porexemplo.
Voctermaisdetalhessobreofuncionamentodosfirewallsnotpicoaseguir
.
Tiposdefirewall
Otrabalhodeumfirewallpodeserrealizadodevriasformas.Oquedefineumametodologiaououtrasofatorescomocritriosdodesenvolvedor
,
necessidadesespecficasdoqueserprotegido,caractersticasdosistemaoperacionalqueomantm,estruturadaredeeassimpordiante.porisso
quepodemosencontrarmaisdeumtipodefirewall.Aseguir
,osmaisconhecidos.
Filtragemdepacotes(packetfiltering)
Asprimeirassoluesdefirewallsurgiramnadcadade1980baseandoseem
filtragemdepacotesdedados(packetfiltering),umametodologiamais
simplese,porisso,maislimitada,emboraofereaumnveldeseguranasignificativo.
Paracompreender,importantesaberquecadapacotepossuiumcabealhocomdiversasinformaesaseurespeito,comoendereoIPdeorigem,
endereoIPdodestino,tipodeservio,tamanho,entreoutros.OFirewallentoanalisaestasinformaesdeacordocomasregrasestabelecidaspara
liberarounoopacote(sejaparasairouparaentrarnamquina/rede),podendotambmexecutaralgumatarefarelacionada,comoregistraroacesso
(outentativade)emumarquivodelog.
Filtragemdepacotes
AtransmissodosdadosfeitacombasenopadroTCP/IP(TransmissionControlProtocol/InternetProtocol),queorganizadoemcamadas,como
explicaestetextosobreendereosIP.Afiltragemnormalmenteselimitascamadasderedeedetransporte:aprimeiraondeocorreoendereamento
dosequipamentosquefazempartedaredeeprocessosderoteamento,porexemploasegundaondeestoosprotocolosquepermitemotrfegode
dados,comooTCPeoUDP(UserDatagramProtocol).
Combasenisso,umfirewalldefiltragempodeter
,porexemplo,umaregraquepermitatodootrfegodaredelocalqueutilizeaportaUDP123,assim
comoterumapolticaquebloqueiaqualqueracessodaredelocalpormeiodaportaTCP25.
Filtragensestticaedinmica
possvelencontrardoistiposdefirewalldefiltragemdepacotes.Oprimeiroutilizaoqueconhecidocomo
filtrosestticos,enquantoqueosegundo
umpoucomaisevoludo,utilizando
filtrosdinmicos.
Nafiltragemesttica,osdadossobloqueadosouliberadosmeramentecombasenasregras,noimportandoaligaoquecadapacotetemcomoutr
Aprincpio,estaabordagemnoumproblema,masdeterminadosserviosouaplicativospodemdependerderespostasourequisiesespecficas
parainiciaremanteratransmisso.possvelentoqueosfiltroscontenhamregrasquepermitemotrfegodestesservios,masaomesmotempo
bloqueiemasrespostas/requisiesnecessrias,impedindoaexecuodatarefa.
Estasituaocapazdeocasionarumsrioenfraquecimentodasegurana,umavezqueumadministradorpoderiaseverobrigadoacriarregras
menosrgidasparaevitarqueosserviossejamimpedidosdetrabalhar
,aumentandoosriscosdeofirewallnofiltrarpacotesquedeveriamser
,defato,
bloqueados.
Afiltragemdinmicasurgiuparasuperaraslimitaesdosfiltrosestticos.Nestacategoria,osfiltrosconsideramocontextoemqueospacotesesto
inseridospara"criar"regrasqueseadaptamaocenrio,permitindoquedeterminadospacotestrafeguem,massomentequandonecessrioeduranteo
perodocorrespondente.Destaforma,aschancesderespostasdeserviosserembarradas,porexemplo,caiconsideravelmente.
Firewalldeaplicaoouproxydeservios(proxyservices)
Ofirewalldeaplicao,tambmconhecidocomoproxydeservios(proxyservices)ouapenasproxyumasoluodeseguranaqueatuacomo
intermedirioentreumcomputadorouumaredeinternaeoutrarede,externanormalmente,ainternet.Geralmenteinstaladosemservidorespotentes
precisaremlidarcomumgrandenmerodesolicitaes,firewallsdestetiposoopesinteressantesdeseguranaporquenopermitema
comunicaodiretaentreorigemedestino.
Aimagemaseguirajudanacompreensodoconceito.Percebaqueemvezdearedeinternasecomunicardiretamentecomainternet,hum
equipamentoentreambosquecriaduasconexes:entrearedeeoproxyeentreoproxyeainternet.Observe:
Proxy
Percebaquetodoofluxodedadosnecessitapassarpeloproxy
.Destaforma,possvel,porexemplo,estabelecerregrasqueimpeamoacessode
determinadosendereosexternos,assimcomoqueprobamacomunicaoentrecomputadoresinternosedeterminadosserviosremotos.
Estecontroleamplotambmpossibilitaousodoproxyparatarefascomplementares:oequipamentopoderegistrarotrfegodedadosemumarquivod
logcontedomuitoutilizadopodeserguardadoemumaespciedecache(umapginaW
ebmuitoacessadaficaguardadatemporariamentenoproxy
,
fazendocomquenosejanecessriorequisitlanoendereooriginalatodoinstante,porexemplo)determinadosrecursospodemserliberadosapena
medianteautenticaodousurioentreoutros.
Aimplementaodeumproxynotarefafcil,hajavistoaenormequantidadedeservioseprotocolosexistentesnainternet,fazendocomque,
dependendodascircunstncias,estetipodefirewallnoconsigaouexijamuitotrabalhodeconfiguraoparabloquearouautorizardeterminados
acessos.
Proxytransparente
Noquedizrespeitoalimitaes,convenientemencionarumasoluochamadade
proxytransparente.Oproxy"tradicional",noraramente,exigeque
determinadasconfiguraessejamfeitasnasferramentasqueutilizamarede(porexemplo,umnavegadordeinternet)paraqueacomunicaoaconte
semerros.Oproblema,dependendodaaplicao,estetrabalhodeajustepodeserinviveloucustoso.
Oproxytransparentesurgecomoumaalternativaparaestescasosporqueasmquinasquefazempartedaredenoprecisamsaberdesuaexistncia
dispensandoqualquerconfiguraoespecfica.T
odoacessofeitonormalmentedoclienteparaaredeexternaeviceversa,masoproxytransparente
consegueinterceptloeresponderadequadamente,comoseacomunicao,defato,fossedireta.
vlidoressaltarqueoproxytransparentetambmtemlsuasdesvantagens,porexemplo:umproxy"normal"capazdebarrarumaatividade
maliciosa,comoummalwareenviandodadosdeumamquinaparaainternetoproxytransparente,porsuavez,podenobloquearestetrfego.No
difcilentender:paraconseguirsecomunicarexternamente,omalwareteriaqueserconfiguradoparausaroproxy"normal"eissogeralmenteno
acontecenoproxytransparentenohestalimitao,portanto,oacessoacontecerianormalmente.
Inspeodeestados(statefulinspection)
Tidoporalgunsespecialistasnoassuntocomoumaevoluodosfiltrosdinmicos,osfirewallsde
inspeodeestado(statefulinspection)trabalham
fazendoumaespciedecomparaoentreoqueestacontecendoeoqueesperadoparaacontecer
.
Paratanto,firewallsdeinspeoanalisamtodootrfegodedadosparaencontrarestados,isto,padresaceitveisporsuasregraseque,aprincpio,
serousadosparamanteracomunicao.Estasinformaessoentomantidaspelofirewalleusadascomoparmetroparaotrfegosubsequente.
Paraentendermelhor,suponhaqueumaplicativoiniciouumacessoparatransfernciadearquivosentreumclienteeumservidor
.Ospacotesdedados
iniciaisinformamquaisportasTCPserousadasparaestatarefas.Sederepenteotrfegocomearafluirporumaportanomencionada,ofirewall
podeentodetectarestaocorrnciacomoumaanormalidadeeefetuarobloqueio.
Arquiteturadosfirewalls
Voccertamentepercebeuque,ajulgarpelavariedadedetipos,osfirewallspodemserimplementadosdevriasformasparaatendersmaisdiversas
necessidades.Esteaspectolevaaoutracaractersticaimportantedoassunto:aarquiteturadeumfirewall.
Quandofalamosdearquitetura,nosreferimosformacomoofirewallprojetadoeimplementado.H,basicamente,trstiposdearquitetura.V
eremos
elasaseguir.
ArquiteturaDualHomedHost
Nestamodalidade,humcomputadorchamadodualhomedhostqueficaentreumaredeinternaearedeexternanormalmente,ainternet.Onomes
deveaofatodeestehostpossuiraomenosduasinterfacesderede,umaparacada"lado".
Percebaquenohoutrocaminhodecomunicao,portanto,todootrfegopassaporestefirewall,nohavendoacessodaredeinternaparaarede
externa(eviceversa)diretamente.Aprincipalvantagemdestaabordagemquehgrandecontroledotrfego.Adesvantagemmaisexpressiva,porsu
vez,quequalquerproblemacomodualhomedumainvaso,porexemplopodepremriscoaseguranadaredeoumesmoparalisarotrfego.P
estarazo,oseuusopodenoseradequadoemredescujoacessointernetessencial.
Estetipodearquiteturabastanteutilizadoparafirewallsdotipoproxy
.
ScreenedHost
NaarquiteturaScreenedHost,emvezdehaverumanicamquinaservindodeintermediadoraentrearedeinternaearedeexterna,hduas:umaqu
fazopapelderoteador(screeningrouter)eoutrachamadadebastionhost.
Obastionhostatuaentreoroteadorearedeinterna,nopermitindocomunicaodiretaentreambososlados.Percebaentoquesetratadeuma
camadaextradesegurana:acomunicaoocorrenosentido
redeinternabastionhostscreeningrouterredeexternaeviceversa.
ArquiteturaScreenedHost
Oroteadornormalmentetrabalhaefetuandofiltragemdepacotes,sendoosfiltrosconfiguradospararedirecionarotrfegoaobastionhost.Este,porsua
vez,podedecidirsedeterminadasconexesdevemserpermitidasouno,mesmoquetenhampassadopelosfiltrosdoroteador
.
Sendoopontocrticodaestrutura,obastionhostprecisaserbemprotegido,docontrrio,colocaremriscoaseguranadaredeinternaouaindapode
tornlainacessvel.
ScreenedSubnet
AarquiteturaScreenedSubnettambmcontacomafiguradobastionhost,masesteficadentrodeumareaisoladadenomeinteressante:a
DMZ,
siglaparaDemilitarizedZone ZonaDesmilitarizada.
ADMZ,porsuavez,ficaentrearedeinternaearedeexterna.Aconteceque,entrearedeinternaeaDMZhumroteadorquenormalmentetrabalhac
filtrosdepacotes.Almdisso,entreaDMZearedeexternahoutroroteadordotipo.
ArquiteturaScreenedSubnet
Notequeestaarquiteturasemostrabastantesegura,umavezque,casooinvasorpassepelaprimeiroroteador
,teraindaquelidarcomazona
desmilitarizada.Estainclusivepodeserconfiguradadediversasformas,comaimplementaodeproxiesoucomaadiodemaisbastionhostspara
lidarcomrequisiesespecficas,porexemplo.
OnvelseguranaeaflexibilidadedeconfiguraofazemdaScreenedSubnetumaarquiteturanormalmentemaiscomplexae,consequentemente,ma
cara.
Firewallspessoais
Otpicosobrearquiteturasmostraasopesdeconfiguraodefirewallsemredes.Mas,comovocprovavelmentesabe,hfirewallsmaissimples
destinadosaprotegeroseucomputador,sejaeleumdesktop,umlaptop,umtablet,enfim.Soos
firewallspessoais(oudomsticos),queDEVEMser
utilizadosporqualquerpessoa.
Felizmente,sistemasoperacionaisatuaisparausodomsticoouemescritriocostumamconterfirewallinternoporpadro,comoocasode
distribuiesLinux,doWindows8oudoMacOSX.Almdisso,comumdesenvolvedoresdeantivrusofereceremoutrasopesdeproteojuntoao
software,entreelas,umfirewall.
Mas,paraquemprocuraumasoluomaiseficienteequepermitavriostiposdeajustes,possvelencontrarinmerasopes,muitasdelasgratuitas
UsuriosdeWindows,porexemplo,podemcontarcomo
ZoneAlarm,comoComodo,entreoutros.
Independentedequalsejaoseusistemaoperacional,valeapenapesquisarporumaopoquepossaatenderssuasnecessidades.
Firewalldehardware
Jfoimencionadonestetextoofatodeumfirewallpoderserumasoluodesoftwareouhardware.Estainformaonoestincorreta,masnecess
umcomplemento:ohardwarenadamaisdoqueumequipamentocomumsoftwaredefirewallinstalado.
possvelencontrar,porexemplo,roteadoresouequipamentossemelhantesaestesqueexercemafunoemquestofuno.Nestecaso,oobjetivo
normalmenteodeprotegerumaredecomtrfegoconsiderveloucomdadosmuitoimportantes.
UmfirewallNetgearmodeloFVS318
Avantagemdeumfirewalldehardwarequeoequipamento,porserdesenvolvidoespecificamenteparaestefim,preparadoparalidarcomgrandes
volumesdedadosenoestsujeitoavulnerabilidadesqueeventualmentepodemserencontradosemumservidorconvencional(porcontadeumafalh
emoutrosoftware,porexemplo).
Limitaesdosfirewalls
Lendoestetexto,vocjdeveterobservadoqueosfirewallstmlsuaslimitaes,sendoqueestasvariamconformeotipodesoluoeaarquitetura
utilizada.Defato,firewallssorecursosdeseguranabastanteimportantes,masnosoperfeitosemtodosossentidos.
Resumindoesteaspecto,podemosmencionarasseguinteslimitaes:
Umfirewallpodeofereceraseguranadesejada,mascomprometerodesempenhodarede(oumesmodeumcomputador).Estasituaopode
gerarmaisgastosparaumaampliaodeinfraestruturacapazdesuperaroproblema
Averificaodepolticastemqueserrevistaperiodicamenteparanoprejudicarofuncionamentodenovosservios
Novosserviosouprotocolospodemnoserdevidamentetratadosporproxiesjimplementados
Umfirewallpodenosercapazdeimpedirumaatividademaliciosaqueseoriginaesedestinaredeinterna
Umfirewallpodenosercapazdeidentificarumaatividademaliciosaqueacontecepordescuidodousurioquandoesteacessaumsitefalsode
umbancoaoclicaremumlinkdeumamensagemdeemail,porexemplo
Firewallsprecisamser"vigiados".Malwaresouatacantesexperientespodemtentardescobrirouexplorarbrechasdeseguranaemsoluesdo
tipo
Umfirewallnopodeinterceptarumaconexoquenopassaporele.Se,porexemplo,umusurioacessarainternetemseucomputadorapartir
deumaconexo3G(justamenteparaburlarasrestriesdarede,talvez),ofirewallnoconseguirinterferir
.
Finalizando
Comovocpdeobservar,firewallssosoluesimportantesdesegurananopormenosquesurgiramnadcadade1980esoamplamente
utilizadosatosdiasdehoje.Mas,talcomoevidenciaotpicosobrelimitaes,umfirewallnocapazdeprotegertotalmenteumaredeouum
computador,razopeladeveserutilizadoemconjuntocomoutrosrecursos,comoantivrus,sistemasdedetecodeintrusos,VPN(
VirtualPrivate
Network)eassimpordiante.
Opensamentoquesedeveterodequeofirewallpartedasegurana,noaseguranaemsi,damesmaformaqueaconteceemumprdio,por
exemplo:muros,portes,cmerasdevigilnciaealarmesfazemaseguranademaneiraconjunta,havendomenoseficinciaseapenasumououtroit
forutilizado.
Estetextofezumaabordagemdeapresentaodoassunto.Casodesejesabermais,vocpodeconsultarosmateriaisqueserviramderefernciapara
suaelaborao:
www.ietf.org/rfc/rfc2979.txt
www.cisco.com/univercd/cc/td/doc/product/iaabu/centri4/user/scf4ch3.htm
www.abchost.cz/download/2044/.../inspectionfirewall.pdf
www.vtcif.telstra.com.au/pub/docs/security/80010/node1.html
.
EscritoporEmersonAlecrim Publicadoem19_02_2013Atualizadoem19_02_201