c
 (em português: muro corta-fogo) é o nome dado ao dispositivo de uma

rede de computadores que tem por objetivo aplicar uma política de segurança a
um determinado ponto de controle da rede. Sua função consiste em regular o
tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção
de acessos nocivos ou não autorizados de uma rede para outra. Este conceito
inclui os equipamentos de filtros de pacotes e de „
 de aplicações,
comumente associados a redes TCP/IP.

Os primeiros sistemas   nasceram exclusivamente para suportar

segurança no conjunto de protocolos TCP/IP (
   ).

O termo inglês   faz alusão comparativa da função que este desempenha
para evitar o alastramento de acessos nocivos dentro de uma rede de
computadores a uma parede corta-fogo (  ), que evita o alastramento de
incêndios pelos cômodos de uma edificação [1].

Existe na forma de
  e   , ou na combinação de ambos (neste

caso, normalmente é chamado de "appliance"). A complexidade de instalação
depende do tamanho da rede, da política de segurança, da quantidade de
regras que autorizam o fluxo de entrada e saída de informações e do grau de
segurança desejado.

- 

Os sistemas   nasceram no final dos anos 80, fruto da necessidade de
criar restrição de acesso entre as redes existentes. Nesta época a expansão
das redes acadêmicas e militares, que culminou com a formação da ARPANET
e, posteriormente, a Internet e a popularização dos primeiros computadores
tornou-se um prato cheio para a in cipiente comunidade  . Casos de
invasões de redes, de acessos indevidos a sistemas e de fraudes em sistemas
de telefonia começaram a surgir, e foram retratados no filme 

 
("War Games"), de 1983. Em 1988, administradores de rede identificaram o
que se tornou a primeira grande infestação de vírus de computador e que ficou
conhecido como Internet Worm. Em menos de 24 horas, o 
 escrito por
Robert T. Morris Jr disseminou-se por todos os sistemas da então existente
Internet (formado exclusivamente por redes de ensino e governamentais),
provocando um verdadeiro "apagão" na red e.




 
  c 
  

¦ A tecnologia foi disseminada em 1988 através de pesquisa sustentada

pela DEC;
¦ Bill Cheswick e Steve Bellovin da AT&T desenvolvem o primeiro modelo
para „



;
› O modelo tratava-se de um filtro de pacotes responsável pela
avaliação de pacotes do conjunto de protocolos TCP/IP;
 › Apesar do principal protocolo de transporte TCP orientar-se a um
estado de conexões, o filtro de pacotes não tinha este objetivo
inicialmente (uma possível vulnerabilidade);

Até hoje, este tipo de tecnologia é adotada em equipamentos de rede para

permitir configurações de acesso simples (as chamadas "listas de acesso" o u
"access lists"). O „ é exemplo recente de um   que utiliza a
tecnologia desta geração. Hoje o "ipchains" foi substituído pelo iptables que é
nativo do Linux e com maiores recursos.

‰
    


 
 

¦ Restringir tráfego baseado no endereço IP de origem ou destino;

¦ Restringir tráfego através da porta ( TCP ou UDP) do serviço.

ë 
  c 
    ë 

¦ A tecnologia foi disseminada a partir de estudo desenvolvido no começo

dos anos 90 pelo Bell Labs;
¦ Pelo fato de o principal protocolo de transporte TCP orientar-se por uma
tabela de estado nas conexões, os filtros de pacotes não eram
suficientemente efetivos se não observassem estas características;
¦ Foram chamados também de   de circuito.

‰
    ë 
 

¦ Todas as regras da 1.ª Geração;

¦ Restringir o tráfego para início de conexões (NEW);
¦ Restringir o tráfego de pacotes que não tenham sido iniciados a partir da
rede protegida (ESTABLISHED);
¦ Restringir o tráfego de pacotes que não tenham número de sequência
corretos.

FireWall StateFull:

Armazena o estado das conexões e filtra com base nesse estado. Três estados
para uma conexão: - NEW: Novas conexões;- - ESTABLISHED: Conexões já
estabelecidas; - RELATED: Conexões relacionadas a outras existentes.



 
   Î
       ë 

¦ Baseado nos trabalhos de Gene Spafford (co-autor do livro   

  ), Marcos Ranum (fundador da empresa TIS),
e Bill Cheswick;
¦ Também são conhecidos como "c  de Aplicação" ou "Firewall
Proxy";
¦ Foi nesta geração que se lançou o primeiro produto comercial em 13 de
Junho de 1991²o SEAL da DEC;
 ¦ Diversos produtos comerciais surgiram e se popularizaram na década de
90, como os   Raptor, Gauntlet (que tinha sua versão gratuita
batizada de TIS) e Sidewinder, entre outros;
¦ Não confundir com o conceito atual de [[ c  de Aplicação]]:  
de camada de Aplicação eram conhecidos desta forma por
implementarem o conceito de 
 e de controle de acesso em um
único dispositivo (o 
 c  ), ou seja, um sistema capaz de
receber uma conexão, decodificar protocolos na camada de aplicação e
interceptar a comunicação entre cliente/servidor para aplicar regras de
acesso;

‰
    

 
 

¦ Todas as regras das gerações anteriores;

¦ Restringir acesso FTP a usuários anônimos;
¦ Restringir acesso HTTP para portais de entretenimento;
¦ Restringir acesso a protocolos desconhecidos na porta 443 (HTTPS).

l
 
   

¦ O   consolida-se como uma solução comercial para redes de

comunicação TCP/IP;
¦ Diversas empresas como StoneSoft, Fortinet, SonicWALL, Juniper,
Checkpoint e Cisco desenvolvem soluções que ampliam características
anteriores:
›    „
 para inspecionar pacotes e tráfego de dados
baseado nas características de cada aplicação, nas informações
associadas a todas as camadas do modelo OSI (e não apenas na
camada de rede ou de aplicação) e no estado das conexões e
sessões ativas;
› Prevenção de Intrusão para fins de identificar o abuso do
protocolo TCP/IP mesmo em conexões aparentemente legítimas;
› o„   „
 associando as funcionalidades do
  „
 com as técnicas dos dispositivos IPS;
¦ A partir do início dos anos 2000, a tecnologia de c  foi
aperfeiçoada para ser aplicada também em estações de trabalho e
computadores domésticos (o chamado "c  Pessoal"), além do
surgimento de soluções de   dedicado a servidores e aplicações
específicas (como servidores Web e banco de dados).

   
Os sistemas   podem ser classificados da seguinte forma:

c 
  

Estes sistemas analisam individualmente os pacotes à medida que estes são

transmitidos, verificando as informações das camada de enlace (camada 2 do
modelo ISO/OSI) e de rede (camada 3 do modelo ISO/ OSI).
As regras podem ser formadas indicando os endereços de rede (de origem
e/ou destino) e as portas TCP/IP envolvidas na conexão. A principal
desvantagem desse tipo de tecnologia para a segurança r eside na falta de
controle de estado do pacote, o que permite que agentes maliciosos possam
produzir pacotes simulados (com endereço IP falsificado, técnica conhecida
como IP Spoofing), fora de contexto ou ainda para serem injetados em uma
sessão válida. Esta tecnologia foi amplamente utilizada nos equipamentos de
1a.Geração (incluindo roteadores), não realizando nenhum tipo de
decodificação do protocolo ou análise na camada de aplicaçã o.


    Î
     

Os conceitos de  de aplicação („„ 
 

  ) e "bastion
hosts" foram introduzidos por Marcus Ranum em 1995. Trabalhando como uma
espécie de eclusa, o   de „
 trabalha recebendo o fluxo de conexão,
tratando as requisições como se fossem uma aplicação e originando um novo
pedido sob a responsabilidade do mesmo   (
  „ „
) para
o servidor de destino. A resposta para o pedido é recebida pelo   e
analisada antes de ser entregue para o solicitante original.

Os  de aplicações conectam as redes corporativas à Internet através

de estações seguras (chamadas de  
 
 ) rodando aplicativos
especializados para tratar e filtrar os dados (os „
   ). Estes
 , ao receberem as requisições de acesso dos usuários e realizarem
uma segunda conexão externa para receber estes dados, acabam por
esconder a identidade dos usuários nestas requisições externas, oferecendo
uma proteção adicional contra a ação dos   .

o 

¦ Para cada novo serviço que aparece na Internet, o fabricante deve

desenvolver o seu correspondente agente de 
 Isto pode demorar
meses, tornando o cliente vulnerável enquanto o fabricante não liberta o
agente específico. A instalação, manutenção e atualização dos agentes
do 
 requerem serviços especializados e podem ser bastante
complexos e caros;
¦ Os „
 introduzem perda de desempenho na rede, já que as
mensagens devem ser processadas pelo agente do 
. Por exemplo,
o serviço FTP manda um pedido ao agente do 
 para FTP, que por
sua vez interpreta a solicitação e fala com o servidor FTP externo para
completar o pedido;
¦ A tecnologia atual permite que o custo de implementação seja bastante
reduzido ao utilizar CPUs de alto desempenho e baixo custo, bem como
sistemas operacionais abertos (Linux), porém, exige -se manutenção
específica para assegurar que seja mantido nível de segurança
adequado (ex.: aplicação de correções e configuração adequada dos
servidores).

ë


         ë 
Os   de estado foram introduzidos originalmente em 1991 pela empresa
DEC com o produto SEAL, porém, não foi até 1994, com os israelenses da
Checkpoint, que a tecnologia ganharia maturidade suficiente. O produto
Firewall-1 utilizava a tecnologia patenteada chamada de    „
,
que tinha capacidade para identificar o protocolo dos pacotes transitados e
"prever" as respostas legítimas. Na verdade, o   guardava o estado de
todas as últimas transações efetuada s e inspecionava o tráfego para evitar
pacotes ilegítimos.

Posteriormente surgiram vários aperfeiçoamentos, que introduziram o o„

  „
, também conhecido como tecnologia SMLI (   
  „
), ou seja  „!"
#
 de todas as camadas do modelo
ISO/OSI (7 camadas). Esta tecnologia permite que o   decodifique o
pacote, interpretando o tráfego sob a perspectiva do cliente/servidor, ou seja,
do protocolo propriamente dito e inclui técnicas específicas de identificação de
ataques.

Com a tecnologia SMLI/o„   „
, o   utiliza mecanismos

otimizados de verificação de tráfego para analisá -los sob a perspectiva da
tabela de estado de conexões legítima s. Simultaneamente, os pacotes também
vão sendo comparados a padrões legítimos de tráfego para identificar
possíveis ataques ou anomalias. A combinação permite que novos padrões de
tráfegos sejam entendidos como serviços e possam ser adicionados às regras
válidas em poucos minutos.

Supostamente a manutenção e instalação são mais eficientes (em termos de

custo e tempo de execução), pois a solução se concentra no modelo conceitual
do TCP/IP. Porém, com o avançar da tecnologia e dos padrões de tráfego da
Internet, projetos complexos de   para grandes redes de serviço podem
ser tão custosos e demorados quanto uma implementação tradicional.

      

Com a explosão do comércio eletrônico, percebeu -se que mesmo a última

tecnologia em filtragem de pacotes para TCP/IP poderia não ser tão efetiva
quanto se esperava. Com todos os investimentos dispendidos em tecnologia de
   , os ataques continuavam a prosperar de forma avassaladora.
Somente a filtragem dos pacotes de rede não era mais suficiente. Os ataques
passaram a se concentrar nas características (e vulnerabilidades) específicas
de cada aplicação. Percebeu-se que havia a necessidade de desenvolver um
novo método que pudesse analisar as particularidades de cada protocolo e
tomar decisões que pudessem evitar ataques maliciosos contra uma rede.

Apesar de o projeto original do TIS Firewall concebido por Marcos Ranum já se

orientar a verificação dos métodos de protocolos de comunicação, o conceito
atual de c  de Aplicação nasceu principalmente pelo fato de se exigir a
concentração de esforços de análise em protocolos específicos, tais como
servidores Web e suas conexões de hipertexto HTTP. A primeira
implementação comercial nasceu em 2000 com a empresa israelense
Sanctum, porém, o conceito ainda não havia sido amplamente difundido para
justificar uma adoção prática.

Se comparado com o modelo tradicional de c  -- orientado a redes de

dados, o c  de Aplicação é frequentemente instalado junto à plataforma
da aplicação, atuando como uma espécie de procurador para o acesso ao
servidor (Proxy).

Alguns projetos de código-aberto, como por exemplo o ModSecurity [2] para

servidores Apache, têm por objetivo facilitar a disseminação do conceito para
as aplicações Web.

È

¦ Pode suprir a deficiência dos modelos tradicionais e mapear todas as

transações específicas que acontecem na camada da aplicação Web
proprietária;
¦ Por ser um terminador do tráfego SSL, pode avaliar hipertextos
criptografadas (HTTPS) que originalmente passariam despercebidos ou
não analisados por   tradicionais de rede;

o 

¦ Pelo fato de embutir uma grande capacidade de avaliação técnica dos

métodos disponibilizados por uma aplicação (Web), este tipo de  
exige um grande poder computacional²geralmente traduzido para um
grande custo de investimento;
¦ Ao interceptar aplicações Web e suas interações com o cliente (o
navegador de Web), pode acabar por provocar alguma incompatibilidade
no padrão de transações (fato que exigirá, sem sombra de dúvidas, um
profundo trabalho de avaliação por parte dos impleme ntadores);
¦ Alguns especialistas ou engenheiros de tecnologia refutam o   de
aplicação baseando-se nas seguintes argumentações:
› A tecnologia introduz mais um ponto de falha sem adicionar
significativos avanços na tecnologia de proteção;
› O   e o IDS/IPS já seriam suficientes para cobrir grande
parte dos riscos associado s a aplicação Web;
› A tecnologia ainda precisa amadurecer o suficiente para ser
considerada um componente indispensável de uma arquitetura de
segurança;

Certamente esses argumentos serão bastante discutidos ao longo dos

próximos anos como um imperativo para determinar a existência desta
tecnologia no futuro.


c


Com a necessidade de aumentar a segurança da informação dentro das

empresas surgiram os Adm-Firewalls que tratam o acesso interno dos
colaboradores à Internet, filtrando o conteúdo acessado, permitindo somente
sites que não prejudicam a segurança da rede e a produtividade, controlando o
consumo de banda e definido regras de acesso a porta. O Firewall
Administrado facilita o gerencimento da rede da empresa pelo Administrador de
Rede, já que permite inúmeras configurações de acesso, liberação e bloqueio,
tornando o a rede mais segura.


!"

O proxy serve como um intermediário entre os PCs de uma rede e a Internet.

Um servidor proxy pode ser usado com basicamente três objetivos: 1-
Compartilhar a conexão com a Internet quando existe apenas um IP disponível
(o proxy é o único realmente conectado à Web, os outros PCs acessam através
dele). 2- Melhorar o desempenho do acesso através de um cache de páginas;
o proxy armazena as páginas e arquivos mais acessados, quando alguém
solicitar uma das páginas já armazenadas do cache, esta será
automaticamente transmitida, sem necessidade de baixa -la novamente. 3-
Bloquear acesso a determinadas páginas (pornográficas, etc.), como tipo passa
pelo proxy é fácil implantar uma lista de endereços ou palavras que devem ser
bloqueadas, para evitar por exemplo que os funcionários percam tempo em
sites pornográficos em horário de trabalho. Hoje em dia os servidores proxy
são extremamente comuns, mesmo em redes domésticas, não é necessário
um PC dedicado a esta função, basta instalar um dos vários programas de
servidor proxy disponíveis no PC com a conexão à Internet: Wingate, Analog -X,
etc.

#$%%& #

&%

%
!"



 é um servidor que atende a requisições repassando os dados do cliente

a frente. Um usuário (cliente) conecta-se a um servidor proxy, requisitando
algum serviço, como um arquivo, conexão, website, ou outro recurso disponível
em outro servidor.

Um servidor proxy pode, opcionalmente, alterar a requisição do cliente ou a

resposta do servidor e, algumas vezes, pode disponibilizar este recurso sem
nem mesmo se conectar ao servidor especificado. Pode também atu ar como
um servidor que armazena dados em forma de cache em redes de
computadores. São instalados em máquinas com ligações tipicamente
superiores às dos clientes e com poder de armazenamento elevado.

Esses servidores têm uma série de usos, como filtrar conteúdo, providenciar
anonimato, entre outros.
Um HTTP caching proxy, por exemplo, permite que o cliente requisite um
documento na World Wide Web e o proxy procura pelo documento em seu
cache. Se encontrado, o documento é retornado imediatamente. Caso
contrário, o proxy busca o documento no servidor remoto, entrega -o ao cliente
e salva uma cópia no seu cache. Isso permite uma diminuição na latência, já
que o servidor proxy, e não o servidor original, é acessado, proporcionando
ainda uma redução do uso de banda.

ë



O servidor proxy surgiu da necessidade de conectar uma rede local à Internet

através de um computador da rede que compartilha sua conexão com as
demais máquinas. Ou seja, se considerarmos que a rede local é uma rede
"interna" e a Internet é uma rede "externa", podemos dizer que o proxy é que
permite outras máquinas terem acesso externo.

Geralmente, máquinas da rede interna não possuem endereços válidos na

Internet e, portanto, não têm um a conexão direta com a Internet. Assim, toda
solicitação de conexão de uma máquina da rede local para um host da Internet
é direcionada ao proxy, este, por sua vez, realiza o contato com o host
desejado, repassando a resposta à solicitação para a máquina d a rede local.
Por este motivo, é utilizado o termo proxy para este tipo de serviço, que é
traduzido para procurador ou intermediário. É comum termos o proxy com
conexão direta com a Internet.

' 
! 

Uma aplicação proxy popular é o caching web proxy, um web proxy usado com
cache. Este provê um cache de páginas da Internet e arquivos disponíveis em
servidores remotos da Internet, permitindo aos clientes de uma rede local
(LAN) acessá-los mais rapidamente e de forma viável.

Quando este recebe uma solicitação para aceder a um recurso da Internet

(especificado por uma URL), um proxy que usa cache procura por resultados
desta URL no seu cache local. Se o recurso for encontrado, ele é retornado
imediatamente. Senão, ele carrega o recurso do servidor remoto, retornando-o
ao solicitador e armazena uma cópia deste no seu cache. O cache usa
normalmente um algoritmo de expiração para a remoção de documentos de
acordo com a sua idade, tamanho e histórico de acesso. Dois algoritmos
simples são o Least Recently Used (LRU) e o Least Frequently Used (LFU).
LRU remove os documentos que passaram mais tempo sem serem usados,
enquanto o LFU remove documentos menos freqüentemente usados.

O proxy também é usado para navegar anonimamente, ou seja, é feita a

substituição de um proxy por outro, afim de burlar proteções oferecidas pelo
proxy original.

A privacidade de servidores de proxy públicos foi questiona da recentemente,

após um adolescente norte -americano de treze anos descobrir, através da
análise do código fonte de um site, que o um famoso site para navegação
anônima, gerava logs com dados reais de seus usuários e os enviava para a
policia norte-americana[ 
 ?].

Muitas pessoas utilizam o Proxy, como já dito, para burlar sistemas de

proteção, ou seja, informalmente falando, seria como ele jogasse a culpa para
outra pessoa pelo IP.



( 

Um 
!" 

 é um método para obrigar os utilizadores de uma rede

a utilizarem o proxy. Além das características de  dos „

convencionais, estes podem impor políticas de utilização ou recolher dados
estatísticos, entre outras . A transparência é conseguida interceptando o
tráfego HTTP (por exemplo) e reencaminhando-o para o proxy mediante a
técnica ou variação de „

 . Assim, independentemente das
configurações explícitas do utilizador, a sua utilização estará sempre
condicionada às políticas de utilização da rede. O RFC 3040 define este
método como 
!" 

.

Por quê? Porque o proxy transparente não funciona bem com certos browsers
web. Com a maioria dos browsers ele funciona bem, mas mesmo se um quarto
de seus usuários está usando browsers mau -comportados, você pode esperar
que os custos de help desk excedam qualquer benefício que você pode ganhar
com o proxy transparente. Infelizmente, estes browsers são largamente
utilizados.

Estes browsers se comportam de forma diferente se sabem que há um proxy ²

todos os outros browsers seguem o padrão, e a única alteração que eles fazem
com um proxy é direcionar as solicitações para uma máquina e porta
diferentes. Browsers que não se comportam bem deixam alguns cabeçalhos
HTTP fora das solicitação, e só acrescentam os mesmos se sabem qu e há um
proxy. Sem aqueles cabeçalhos, comandos de usuários como "reload" não
funcionam se houver um proxy entre o usuário e a origem.

O proxy transparente também introduz uma camada de complexidade, que

pode complicar transações que de outra forma seriam simples. Por exemplo,
aplicações baseadas em web que pedem um servidor ativo não podem fazer o
teste do servidor fazendo uma conexão ²eles será conectado ao proxy em vez
do servidor.


!" 


Um 
!" 
 é um servidor proxy que é acessível por um internauta.

Geralmente, um servidor proxy permite aos usuários de um grupo de rede
armazenar e encaminhar serviços de Internet como DNS ou a páginas web
reduzir e controlar a banda usada pelo grupo. Com um proxy aberto, porém,
qualquer internauta é capaz de usar este serviço de encaminhamento.


!" )

Um 
!" )
 é uma ferramenta que se esforça a fazer atividades na
Internet sem vestígios. Acessa a Internet a favor do usuário, protegendo
informações pessoais por ocultar a infor mação de identificação do computador
de origem.

O operador do proxy ainda pode relacionar as informações dos usuarios com

as páginas vistas e as informações enviadas ou recebidas.

Quem não quer depender de um só operador de proxy usa uma cadeia de

diferentes proxys.

Se um dos proxys da cadeia não colaborar com os outros e não guardar as

informações dos usuários, torna-se impossível identificar os usuários através
do número IP.

Também há redes de computadores que atuam cada um como um proxy,

formando assim cadeias de proxys grátis que procuram as rotas do tráfego
automaticamente. São redes como I2P - A Rede Anônima. Além disso tem
medidas contra a análise de tráfego.

É possível enviar e-mail anônimo e visitar páginas na internet de forma

anônima. Também há um messenger simples anônimo, IRC e intercâmbio de
arquivos.