Revista Eletrônica da Faculdade Metodista Granbery http://re

Revista Eletrônica da Faculdade Metodista Granbery
http://re.granbery.edu.br - ISSN 1981 0377
Pós Graduação em Segurança da Informação - N. 6, JAN/JUN 2009
FIREWALL EM AMBIENTES CORPORATIVOS, SEGURANÇA EFETIVA OU FALSA
SENSAÇÃO DE SEGURANÇA ?
Flávio Alexandre dos Reis *
Marcos Fabiano Verbena **
Eduardo Pagani Julio ***
Patrícia Lima Quintão ****
RESUMO
Os avanços constantes no mundo digital trazem a cada dia novas ferramentas e ideias
para as organizações, visando agregar valor aos seus produtos e/ou serviços prestados.
Mas nem toda organização está ciente dos riscos que rondam o mundo digital na
atualidade, muitos ambientes corporativos julgam-se estar seguros por uma estrutura de
Firewall. Neste artigo são apresentados argumentos encontrados na literatura sobre a
segurança existente por traz de uma estrutura de Firewall, também são abordadas
características, funcionalidades, tipos de Firewall existentes, arquiteturas e desempenho.
Palavras-Chave: Firewall, Firewall Corporativo, Filtro de Pacotes, Iptables, Segurança.
ABSTRACT
The constant advances in the digital world bring to each day new tools and ideas for the
organizations, aiming at to add value to its products and/or services. But nor all
organization is aware of the risks that go up to around the digital world in the present time,
many corporative environments are consider to be safe from a structure of Firewall. In this
article are presented arguments of some authors about the security at the back of a
Firewalls structure, also are boarded characteristics, functionalities, types of Firewall,
architectures and performance.
Keywords: Firewall, Corporate Firewall, Filter Package, Iptables, Security.
* Tecnólogo Informática pela Universidade Presidente Antônio Carlos ( UNIPAC ),
Especialista em Redes de Computadores pelo Centro de Ensino Superior de Juiz de Fora
– CES-JF, Pós Graduando em Segurança da Informação pela Faculdade Metodista
Granbery – MG, Analista de Sistema pela empresa Life Equipamentos Eletrônicos Ltda. Email [email protected]
** Graduado em Sistemas de Informação pelo Centro de Ensino Superior de Juiz de Fora
– MG; pós-graduando em Segurança da Informação pela Faculdade Metodista Granbery
– MG; analista responsável pelo serviço de Tecnologia da Informação da Clínica
Ultrimagem. E-mail: [email protected]
***Mestre em Computação pela UFF; Especialista em Redes de Computadores pelo CES/
JF. Professor da Graduação e Pós-Graduação da FMG. Atuante na área de Segurança
em Redes de Computadores desde 1995.
**** Mestre em Engenharia de Sistemas e Computação pela COPPE/UFRJ; Especialista
em Gerência de Informática pela Faculdade Machado Sobrinho; coordenadora
pedagógica e professora do curso de Pós-Graduação em Segurança da Informação da
FMG; Coordenadora de Segurança da Informação na Prefeitura de Juiz de Fora. E-mail:
[email protected].
2
1. INTRODUÇÃO
A necessidade de segurança em ambientes corporativos faz parte de uma
realidade que poucas organizações conhecem. Muitas organizações preferem manter
suas estruturas inseguras ou com segurança inadequada, a realizar investimentos na
aquisição de soluções realmente seguras.
Este trabalho tem como objetivo analisar um dos principais componentes de
segurança utilizado atualmente nos ambientes corporativos, o Firewall. E verificar se
realmente a segurança provida por este componente representa uma segurança efetiva
para a organização.
Para isso o trabalho apresenta as seguintes seções além desta introdução. A seção
2 apresenta as definições de Firewall; a seção 3 detalha suas funcionalidades; a seção 4
destaca o processo de evolução dos Firewalls; a seção 5 explica os tipos de Firewalls
mais utilizados em ambientes corporativos. Ainda, na sessão 6 é analisada a arquitetura
de um Firewall corporativo e na sessão 7 são demonstradas características importantes
no projeto de um Firewall para que seja mantido seu alto desempenho. Por fim, têm-se
as considerações finais e referências bibliográficas utilizadas.
2. FIREWALL
Segundo Nakamura e Geus (2007), a mais antiga definição de Firewall trata-o
como sendo um ponto entre duas ou mais redes, no qual circula todo o tráfego, e que a
partir desse único ponto, é possível controlar e autenticar o tráfego, além de tornar
possível realizar o registro desse tráfego facilitando assim a sua auditoria.
Na visão de Kurose e Ross (2007), um Firewall é uma combinação de hardware e
software que isola a rede interna de uma organização da Internet em geral, permitindo por
regras de filtragens que alguns pacotes autorizados passem e outros sejam bloqueados.
A Figura 01 representa uma estrutura básica de um Firewall, protegendo a rede
interna das ações maliciosas vindas da Internet.
3
Figura 01: Estrutura básica de um Firewall (NAKAMURA e GEUS, 2007)
3. FUNCIONALIDADES DO FIREWALL
Um Firewall que atua na entrada da rede poderá de forma segura fornecer serviços
de conexão à rede local. Com a falta dessa estrutura de segurança intermediando a
comunicação, cada computador fica responsável por sua própria segurança, o que não é
recomendado, pois os computadores de borda1 não estão preparados para se protegerem
de ataques maliciosos.
Segundo Neto (2004), o Firewall não evitará que as máquinas sejam invadidas, ele
irá definir se esses ataques serão bem ou mal sucedidos. O Firewall pode evitar que a
rede seja monitorada por códigos maliciosos, e que os mesmos troquem informações
com outros computadores da Internet.
Em uma visão geral é possível identificar que as ameaças surgem de todos os lados
e lugares, o que torna mais evidente a necessidade da utilização de uma estrutura de
segurança fazendo o monitoramento da rede interna com a Internet e vice-versa.
Em um Firewall existem diversos componentes que possuem funcionalidades
diferentes e desempenham papéis que influenciam diretamente no nível de segurança de
1 Computador de borda: refere-se a estações de trabalho, notebooks, palms, etc.
4
um sistema.
Segundo Nakamura e Geus (2007), algumas dessas funcionalidades são chamadas
de componentes básicos de um Firewall. São elas: Filtros, Proxies, Bastion Hosts, Zonas
Desmilitarizadas, seguidas de outras três funcionalidades não menos importantes, pois
foram inseridas no contexto, devido à evolução natural das necessidades de segurança,
Network Address Translation (NAT), Rede Privada Virtual (VPN), Autenticação /
Certificação.
3.1 FILTROS
Os filtros realizam o roteamento dos pacotes de maneira seletiva, aceitando ou
descartando pacotes por meio de análise das informações existentes em seus
cabeçalhos. Esse filtro de pacote é baseado na política de segurança definida e
implementada no Firewall. Além de realizar a filtragem dos pacotes por meio da análise
dos cabeçalhos, é possível também que sejam tomadas decisões com base no estado da
conexão. A Figura 02 mostra um exemplo de comunicação entre o cliente e o servidor.
Figura 02 – Processo de Conexão entre Cliente e Servidor (MARCELO, 2003)
3.2 PROXIES
Esta funcionalidade tem como objetivo atuar como gateway entre duas ou mais
redes, permitindo a comunicação de requisições de usuários internos e as respostas a
5
essas requisições. Podem ainda ser utilizados como relay, realizando filtragens mais
apuradas dos pacotes, uma vez que esta funcionalidade atua na camada de aplicação2.
3.2 BASTION HOSTS
Segundo Nakamura e Geus (2007), Bastion Hosts são equipamentos em que são
instalados os serviços a serem oferecidos para a Internet. Devido ao fato de estarem
disponíveis ao acesso externo, os Bastion Hosts devem estar protegidos da melhor
maneira possível. Devem executar apenas os serviços e aplicações essenciais, bem
como executar sempre a última versão desses serviços e aplicações, sempre com os
patches de segurança devidamente instalados. A Figura 03 descreve o uso de um Bastion
Host.
Figura 03 – Bastion Host (NAKAMURA e GEUS, 2007)
3.3 ZONAS DESMILITARIZADAS
A zona desmilitarizada (DeMilitarized Zone – DMZ) é uma rede que fica entre a
rede interna (protegida) e a rede externa. Esta rede tem como objetivo isolar os Bastion
Host da rede interna caso uma eventual ameaça obtenha sucesso na exploração de uma
vulnerabilidade existente na segurança do Bastion Host (NAKAMURA e GEUS, 2007). Na
Figura 04 tem-se um exemplo de DMZ.
2 Camada de Aplicação: É onde residem aplicações de redes e seus protocolos (DNS, HTTP, FTP)
6
Figura 04 – Exemplo de DMZ (NAKAMURA e GEUS, 2007)
3.4 TRADUÇÃO DE ENDEREÇO DE REDE (NAT)
Muito utilizado em roteadores, o Network Address Translator (NAT) desempenha
uma função de encaminhamento de pacotes (packet forwarding), fazendo uma espécie de
mascaramento. O Linux não traz essa função por padrão, cabe essa função ao
ipmasqadm portfw. Esse tipo de recurso é extremamente útil quando se tem poucos IP's,
ou quando se tem um servidor atrás de um Firewall, podendo assim evitar invasões. O
NAT traduz endereços falsos de dentro de uma rede para endereços válidos na Internet,
Um exemplo pode ser visualizado na Figura 05 (MARCELO, 2003).
Figura 05 – Exemplo de NAT (MARCELO, 2003)
No exemplo da Figura 05, o NAT faz a tradução dos endereços da Rede
7
192.168.0.x para endereços válidos da rede 200.0.0.x. A Figura 06 mostra o
funcionamento da Tabela NAT.
O NAT possui três listas chamadas chains. Cada regra é examinada em ordem, até
que uma delas corresponda ao pacote analisado. As chains são nomeadas como
PREROUTING, quando pacotes estão prestes a entrar na rede, POSTROUTING, quando
os pacotes estão prestes a sair pela placa de rede e OUTPUT, para pacotes gerados
localmente.
Figura 06 – Funcionamento da tabela NAT (FILHO, 2005)
3.5 REDES PRIVADAS VIRTUAIS – VPN
As Redes Privadas Virtuais (Virtual Private Network – VPN) possuem uma
importância fundamental nas organizações. Trata-se de túneis de criptografia entre pontos
autorizados, criados através da Internet ou outras redes públicas e/ou privadas para
transferência de informações.
Como o Firewall é a porta de entrada da corporação nada mais natural do que
utilizá-lo como servidor VPN e ser o responsável pela autenticação dos usuários.
O uso de VPNs representa uma alternativa para a redução dos custos de redes
corporativas oferecendo confidencialidade, autenticação e integridade no transporte de
informação através de redes públicas. Na Figura 07 pode ser observado um equivalente
lógico de uma estrutura de redes virtuais privadas.
8
Figura 07 – Representação lógica de estrutura de redes privadas virtuais (MICROSOFT TECHNET, 2009)
3.6 AUTENTICAÇÃO / CERTIFICAÇÃO
A autenticação e a certificação de usuários possuem papéis fundamentais para a
segurança de um ambiente corporativo e podem ser realizadas de diversas maneiras,
como por meio de endereços IP, senhas, certificados digitais, tokens, smartcards ou
biometria.
O certificado digital tem como base a utilização de chave pública, sendo essencial
a sua utilização em um ambiente corporativo, no qual diversos níveis de acesso devem
ser controlados e protegidos.
Utilizando o iptables3 é possível desenvolver rotinas capazes de autenticar usuários
e máquinas, garantindo assim acesso aos recursos somente por pessoas realmente
autorizadas.
4. EVOLUÇÃO TÉCNICA
Segundo Nakamura e Geus (2007), a tecnologia de Firewall é muito antiga,
contudo não para de ser aperfeiçoada e está em um processo de constante crescimento,
uma vez que a complexidade das redes vem aumentando de forma exponencial. As
organizações adicionam a cada dia novos recursos a suas redes que necessitam de
proteção (KUROSE e ROSS, 2007).
Algumas das funções de um Firewall impactam diretamente na produtividade de
3 Iptables: Firewall em Nível de Pacotes, disponível no kernel a partir da versão 2.4 (Seção 5.2)
9
uma organização, como o Network Address Translation – NAT – e a utilização de Redes
Virtuais Privadas – VPNs – para a comunicação entre unidades, departamentos ou
colaboradores.
A crescente utilização da Internet para a realização de negócios, em conjunto com
diversos incidentes de segurança, viabilizou o surgimento de empresas como DEC e
AT&T especializadas na realização de acesso seguro à Internet (JUCA, 2005).
Na visão de Nakamura e Geus (2007), os primeiros Firewalls surgiram no final da
década de 80 e eram implementados em roteadores uma vez que eram o ponto de
comunicação entre as redes. As filtragens eram realizadas através da leitura da lista de
controle de acesso (Access Control List - ACL) do roteador tendo como decisão “permitir”
ou “descartar” pacotes, de acordo com a sua origem, destino e tipo da conexão.
A partir de então tudo mudou rapidamente e a expressão até então muito utilizada
na época para definir Firewall a de separar 'nós' 'deles' teve de ser alterada. O mundo
tornou-se mais integrado e os serviços básicos hoje são o acesso à Web, acesso a
bancos de dados via Internet, acesso a serviços internos da organização pela Internet,
serviços de áudio, vídeo, voz sobre IP, entre outros.
Com a inserção dessas novas tecnologias nos ambientes corporativos, os
requisitos de segurança forçaram a realização de mudanças profundas nos Firewalls, o
que tornou sua estrutura ainda mais complexa.
As mudanças podem ser identificadas na tecnologia de filtragem de pacotes, que
hoje pode ser realizada com base em estado. Podem ser híbridos (filtragem de pacotes,
filtros de pacotes baseados em estado, proxies) e adaptativos que utiliza mecanismos de
segurança em série aumentado a segurança da rede da organização.
É possível identificar uma tendência: cada vez mais novas funcionalidades são
adicionadas aos Firewalls, que podem não estar relacionadas diretamente com a
segurança, como, balanceamento de banda, o balanceamento de cargas para serviços, o
servidor Web, o servidor FTP, o servidor DNS (NAKAMURA e GEUS, 2007).
A integração de novas funcionalidades aos Firewalls deve ser realizada com muito
cuidado, pois vai de encontro de uma regra básica da segurança, que diz que a
segurança e a complexidade são inversamente proporcionais e, portanto, a inserção de
funcionalidades de forma desordenada poderá comprometer a segurança em vez de
aumentá-la. Uma boa prática é separar as funções de gerenciamento Web e
gerenciamento de segurança (KUROSE e ROSS, 2007). A Figura 08 representa
graficamente as funcionalidades de um Firewall, que são detalhadas a seguir.
10
Figura 08: Funcionalidades de um Firewall (NAKAMURA e GEUS,
2007)
5. TIPOS DE FIREWALL
Os Firewalls podem ser classificados em Firewall de Host, Firewall em nível de
Pacote, Firewall em nível de Aplicação e Firewall Híbrido, que é a união dos Firewalls de
Pacotes e Aplicação. A seguir tem-se a descrição de cada um desses tipos.
5.1 FIREWALL DE HOST
Conhecido também como Personal Firewall ou Desktop Firewall, é um aplicativo
que intercepta conexões de entrada e de saída de um computador. Baseia-se em regras
padrão ou definidas pelo usuário, o Firewall irá decidir quais dessas conexões podem ser
aceitas e quais devem ser recusadas. Não devem ser utilizados como a solução para os
problemas de segurança, e sim, como uma fonte adicional de proteção.
É essencial ter um pacote de segurança para minimizar os riscos ao se manter um
computador conectado a uma rede. Um aplicativo de Firewall e um antivírus são
ferramentas indispensáveis, desde que o Firewall seja bem configurado e seu aplicativo
antivírus esteja sempre atualizado com os últimos patches de segurança. Pode ainda
considerar como importante a instalação de aplicativos de SPAM's e controle de
privacidade. Esta relação pode ser interminável se forem considerados todos os
potenciais problemas de segurança.
Os Personal Firewalls eram indicados e voltados para usuários com conexões
dedicadas e de alta velocidade. As recomendações hoje estão voltadas para qualquer
computador que tenha acesso a uma rede, independente do tipo de velocidade de
11
conexão.
Há no mercado soluções classificadas em gratuitas e comerciais. A escolha da
versão a ser utilizada deve levar em consideração fatores além de custo, deve-se verificar
com cuidado o tipo de licença disponível que permite o uso do aplicativo como gratuito
(MEDEIROS e PICCOLINI, 2002).
5.1.1 EXEMPLO DE PERSONAL FIREWALL
Segue abaixo exemplo de alguns Personal Firewalls disponíveis nos mercado, para
maiores informações acessem o site do fabricante.
•
ZoneAlarm, disponível em: http://www.zonealarm.com/security/en-us/home.htm .
•
Norton Personal Firewall, disponível em: http://www.symantec.com/ .
•
BlackIce, disponível em: http://www.networkice.com/.
5.1.2 PROBLEMAS COM PERSONAL FIREWALL
Deve-se atentar para dois problemas referentes ao Personal Firewall, são eles,
erros relacionados à programação do seu código fonte e erros conceituais. A grande
aceitação dessas ferramentas e sua proliferação atraem também a curiosidade de muitos
usuários. Deve-se atentar pelas atualizações e correções que possam surgir, pois a falsa
sensação de estar utilizando um programa com uma vulnerabilidade pode ser desastrosa.
Um ponto que deve-se levar em consideração é se o software receberá atualizações para
correção de possíveis problemas. Um ponto muito importante segundo Medeiros e
Piccolini (2002) é observar se existe um desenvolvimento contínuo, ou se o software foi
descontinuado.
Outro ponto a ser observado na utilização de um Personal Firewall é que ele inibe a
realização de uma auditoria remota. Sua utilização deve sempre ser comunicada aos
responsáveis pela área de segurança para que seja possível desabilitar a aplicação
durante um processo de auditoria (MEDEIROS e PICCOLINI, 2002).
5.2 FIREWALL EM NÍVEL DE PACOTES
O Firewall em nível de pacotes pode ser utilizado em pequenas ou grandes redes.
Utilizando um conjunto de regras estabelecidas, um Firewall em nível de pacotes trabalha
12
de forma a autorizar que endereços IP's estabeleçam uma comunicação ou transmitam
dados. Alguns serviços podem ser liberados completamente, como exemplo um servidor
de e-mail, servidor DNS, e outros bloqueados por padrão, por terem um risco mais
elevado, como software de mensagens instantâneas, programas de Peer-to-Peer, telnet.
Quanto mais específica for a regra criada, mais eficiente ela será. Esse tipo de Firewall se
restringe a trabalhar na camada de transporte (TCP, UDP), decidindo quais pacotes de
dados podem passar e quais serão bloqueados. As regras são baseadas em informações
de endereço IP remoto, endereço IP do destinatário, além da porta TCP usada. Quando
configurado o Firewall permite que somente hosts conhecidos troquem informações entre
si e tenham acesso a determinados recursos. Um Firewall em nível de pacotes é capaz de
analisar informações sobre conexão e notar qualquer alteração suspeita, além de analisar
o conteúdo dos pacotes, podendo assim controlar de forma mais eficiente o que pode ou
não ser acessado (ALECRIM, 2009).
Um exemplo de Firewall em nível de pacotes é o Iptables, disponível no Sistema
Operacional Linux a partir do Kernel 2.4. Para fins de ilustração, a seguir são mostrados
alguns exemplos de regras utilizadas no Iptables (no presente artigo não serão mostrados
conceitos sobre a criação de um script de Firewall, como por exemplo o que são tabelas,
chains, etc). Em um próximo artigo, detalhes mais aprofundados sobre conectividade e
construção de Firewalls serão abordados.
Criando uma política padrão para o Firewall, com essa regra define-se que todos
os pacotes serão bloqueados. A seguir são criadas regras para liberar determinados
serviços.
echo
“Criando a Politica padrão do Firewall”
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
Algumas regras são consideradas como essenciais em seu Firewall, segue alguns
exemplos comentados.
Bloqueio contra ping, comando usado pelo protocolo ICMP para testar a
conectividade entre equipamentos, algumas aplicativos utilizam o ping para certos
ataques.
13
iptables -A INPUT -i 192.168.0.0/24 -p icmp --icmp-type echo-request -m limit -limit 1/s -j ACCEPT
iptables -A FORWARD -i eth0 -p icmp --icmp-type echo-request -j LOG --log-prefix
"PING da INTERNET / Servidores"
iptables -A FORWARD -i eth0 -p icmp --icmp-type echo-request -j DROP
Bloqueio contra port scanners (NMAP), esse aplicativo tem como objetivo testar as
portas lógicas de determinado host remoto. Ele identifica o status de portas, se estão
fechadas, escutando ou abertas. Pode-se explicitar o range (intervalo) de portas que o
aplicativo irá escanear, por ex: 25 a 80. Geralmente os port scanners são usados por
pessoas mal intencionadas para identificar portas abertas e planejar invasões,
(MARCELO, 2003).
iptables -A INPUT -p tcp --tcp-flags SYN, ACK -m limit --limit 1/s -j LOG --logprefix "NMAP - SUN/ACK"
iptables -A INPUT -p tcp --tcp-flags SYN, ACK -m limit --limit 1/s -j DROP
iptables -A INPUT -p tcp --tcp-flags FIN, RST -m limit --limit 1/s -j LOG --logprefix "NMAP - FIN/RST"
iptables -A INPUT -p tcp --tcp-flags FIN, RST -m limit --limit 1/s -j DROP
Bloqueio contra IP Spoofing, Consiste na troca do IP original por um outro, podendo
assim se passar por um outro host. Através de IP Spoofing um intruso pode se aproveitar
de hosts confiáveis armazenados no arquivo .rhosts, e entrar em máquinas via rlogin, por
exemplo, onde não é exigido senha.
iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j LOG --log-prefix "IP Spoof Classe C"
iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP
iptables -A INPUT -s 176.16.0.0/16 -i eth0 -j LOG --log-prefix "IP Spoof Classe B"
iptables -A INPUT -s 176.16.0.0/16 -i eth0 -j DROP
iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j LOG --log-prefix "IP Spoof Classe A"
iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j DROP
Bloqueio contra Syn-flood. É uma técnica de inundar pacotes TCP/IP em um
determinado segmento de rede. Com isso é possível parar um servidor com uma
determinada quantidade de pacotes o qual não teria tempo hábil de processar
(MARCELO, 2003).
14
iptables -t filter -N syn-chain
iptables -A syn-chain -p tcp --syn -m limit --limit 2/s -j ACCEPT
iptables -A syn-chain -J LOG \ --log-prefix "Ataque Syn-flood"
iptables -A syn-chain -J DROP
echo "1" > /proc/sys/net/ipv4/tcp_synflood
Compartilhando a Internet com a rede interna.
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
As regras a seguir exemplificam serviços liberados, como DNS, HTTP.
iptables -A FORWRAD -p tcp -s 192.168.0.0/24 -d 0/0 --dport 53 -j ACCEPT
iptables -A FORWRAD -p udp -s 192.168.0.0/24 -d 0/0 --dport 53 -j ACCEPT
iptables
-A
FORWARD
-p
tcp
-s
192.168.0.0/24
-d
0/0
-m
multiport
--dport
80,8080,8081 -J ACCEPT
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0/0 --dport 443 -J ACCEPT
iptables
-A
FORWARD
-p
tcp
-s
192.168.0.0/24
-d
0/0
-m
multiport
--dport
25,110,465,995 -J ACCEPT
Como pode ser observado em todas as regras de bloqueio foram acrescentadas
opções de “LOG”. A análise dos LOG's gerados pelo iptables auxilia o Administrador de
Redes a identificar e bloquear IP's que possam tentar outros tipos de ataques.
5.3 FIREWALL EM NÍVEL DE APLICAÇÃO
Um Firewall com uma estrutura em nível de aplicação é mais que um simples filtro
de pacotes. Com ele é possível a criação de regras sofisticadas, que vão muito além de
filtros que atuam sobre MAC4, endereços IP ou portas. A forma mais comum de
implementação é como servidores Proxy.
Um proxy não protege contra possíveis falhas de segurança nos protocolos, ou em
aplicações. Por exemplo um buffer overflow, contra um determinado aplicativo, não será
bloqueado pelo proxy. Quando configurado em conjunto com um Firewall em nível de
pacotes, complementa a segurança em aspectos importantes, como tentativas de
invasão. Essa combinação pode não impedir, mas dificultar que uma acesso indevido não
4 MAC: O endereço MAC (do inglês Media Access Control) é o endereço físico da interface de rede.
15
obtenha sucesso (MARCELO, 2005).
O projeto layer7-filter (l-7) vem mostrando um grande controle no que se diz
respeito ao controle de banda, pois sua precisão nos filtros é bem maior. Com o l-7 é
possível verificar se o tráfego na porta 110 realmente diz respeito à comunicação de email POP3, no entanto, vale ressaltar que esse recurso pode resultar em um consumo de
processador e memória considerável (JUCÁ, 2005).
Pode-se afirmar que o papel principal de um Proxy é a comunicação intermediária
entre os clientes e o servidor de destino, ou seja, uma comunicação cliente/servidor.
Quando o cliente configura um Proxy quem realiza as conexões não é o cliente, e sim o
Proxy que realiza a solicitação de acordo com a permissão configurada. Como o acesso é
realizado pelo Proxy, é possível fazer uma configuração mais elevada, analisando assim
todo o tráfego de entrada e saída do cliente. Isso é possível pois pode-se analisar a
solicitação do cliente e a resposta do servidor, exemplificado na Figura 09.
Figura 09– Exemplo de Proxy (JUCÁ, 2005)
5.3.1 PROXY CONVENCIONAL
Conhecido também como standard, com esse tipo de configuração cada cliente
terá que configurar o IP do servidor de Proxy para que as requisições sejam atendidas.
Em uma rede Windows, o endereço será configurado no navegador. O cliente fará uso
desta configuração para enviar uma solicitação ao Proxy seja ela HTTP ou FTP (JUCÁ,
16
2005).
5.3.2 PROXY TRANSPARENTE
No modo transparente, os clientes não necessitam de configuração para uso do
Proxy, pois as solicitações destinadas à porta 80 e 443 serão direcionadas
automaticamente pelo Firewall de forma transparente. Neste caso configura-se o servidor
para trabalhar em modo acelerado. A configuração manual poderá ocasionar erros de
acesso que podem ser contornados. Mas é recomendado não configurar o Proxy de forma
manual. O modo acelerado não tem relação com performance, usa-se esse termo pois o
Proxy responde às conexões como se fosse o destino real, exemplo na Figura 10 (JUCÁ,
2005).
Figura 10 – Proxy Transparente (JUCÁ, 2005)
5.3.3 PROXY REVERSO
Ao contrário dos modos anteriores em que utilizamos o Proxy para controlar as
solicitações dos clientes internos, o modo Reverso controla as requisições de clientes
vindas da Web. Pode-se controlar o acesso aos servidores internos, evitando assim vários
tipos de ataques. Como no Proxy Transparente é preciso configurar o servidor para
trabalhar em modo acelerado. Um exemplo de como funciona o Proxy Reverso pode ser
visualizado na Figura 11.
17
Figura 11 – Proxy Reverso (JUCÁ, 2005)
No exemplo da Figura 11, os clientes solicitam uma conexão através do Proxy
Reverso, que será responsável pelo acesso aos servidores. Ele irá responder como se
fosse qualquer um dos servidores, por esse motivo deve-se configurar o mesmo no modo
acelerado. Essa configuração também é possível no servidor WEB, utilizando o módulo
“mod_proxy” (JUCÁ, 2005).
5.4 FIREWALL HÍBRIDO
Também conhecido como Screened Host. Agrega em sua estrutura funções de
filtragem de pacotes quando de NAT. Embora um Firewall de tipo de pacotes seja
considerado o mais rápido e flexível em comparação com o Firewall em nível de
aplicação, muitas organizações combinam as vantagens para obterem um nível maior de
segurança e performance na rede (NETO, 2004).
6. ARQUITETURA
As arquiteturas de Firewall devem ser definidas de acordo com as necessidades da
organização, utilizando para isso os componentes, funcionalidades e tecnologias
existentes.
Uma funcionalidade indispensável é a utilização de Zona Desmilitarizada – DMZ em ambientes que proveem acesso externo a usuários até um bastion host. Esta
18
funcionalidade permite que mesmo quando uma ameaça obtém sucesso durante a
exploração de uma vulnerabilidade, seja mantida a segurança dos recursos da rede
interna.
Segundo Nakamura e Geus (2007), a arquitetura clássica do Firewall corporativo
inclui além da utilização de filtros de pacotes internos e externos, DMZ, proxies, bastion
hosts, as funcionalidades de redes virtuais privadas – VPN, sistema de detecção de
intrusão – IDS e a utilização de infra-estrutura de chaves públicas – PKI.
Os Firewalls internos estão sendo utilizados com frequência nos ambientes
corporativos para a realização de filtragens e comunicação entre departamentos internos
(KUROSE e ROSS, 2007).
Devido ao crescente número de ataques originados da Internet, a utilização de IDS
nas estruturas de Firewalls já faz parte dos projetos de uma definição de segurança de
uma organização, uma vez que seu objetivo é detectar diversos tipos de ataques e
intrusões auxiliando assim na proteção do ambiente, sua correta localização na rede é
fundamental para um bom funcionamento.
7. DESEMPENHO
Pode ser observado que o Firewall é responsável pela análise de todos os pacotes
que passam pelas conexões da rede, tornando imprescindível seu alto desempenho para
que não se torne um ponto de “gargalo” na rede.
De acordo com Nakamura e Geus (2007), os Firewalls melhoraram seu
desempenho drasticamente comparados com os anos de 1999, 1998 e 1997 este
aumento chegou a 300%. Esta evolução no desempenho é considerada natural do ponto
de vista dos autores.
Atualmente os Firewalls podem ser utilizados praticamente em qualquer estrutura
de rede, podendo operar em até 1Gbps, suportando 500 mil conexões concorrentes e 25
mil túneis de VPN.
O processamento realizado no Firewall para a análise dos pacotes das conexões é
considerado muito alto, pois as conexões são complexas, existe um conjunto grande de
regras a ser percorrido para a análise de cada pacote e um grande número de conexões
concorrentes.
Alguns fatores influenciam diretamente no desempenho de um Firewall o que pode
ser visto no Quadro 01.
19
Hardware
Software
Velocidade da placa de rede
Código do Firewall
Número de placas de rede
Sistema Operacional
Tipo de barramentos (PCI, EISA, SCSI, etc) Pilha TCP-IP
Velocidade da CPU
Quantidade de processos sendo
executados na máquina
Quantidade de memória
Tipo de Firewall: Proxy ou filtro de pacotes
baseado em estados?
Quadro 01 - Fatores que influenciam no desempenho do Firewall (NAKAMURA E GEUS, 2007)
Quando é utilizado um proxy o recurso mais exigido é o de processamento ou
CPU, uma vez que cada pacote deverá ser desmontado analisado e montado novamente.
Já nos filtros de pacotes baseados em estado o recurso mais utilizado é a memória RAM
pois as informações sobre os estados precisam estar disponíveis em memória para uma
resposta mais rápida.
Segundo Nakamura e Geus (2007), os Firewalls de filtros de pacotes baseados em
estados possuem um desempenho melhor em comparação com os filtros de pacotes pois
a filtragem tem como base, na maioria das vezes, a tabela de estados que reside no
kernel.
8. CONSIDERAÇÕES FINAIS
O crescimento das necessidades de acessibilidade das organizações é visível nos
ambientes atuais, é possível identificar diversos serviços que são acessados via Internet e
que se tornaram fundamentais para o funcionamento e crescimento do negócio.
Analisando este estudo é possível concluir que uma organização não está
efetivamente segura utilizando somente um Firewall como medida de proteção. Na
verdade o que se tem é uma falsa sensação de segurança que é muito pior que estar
ciente que não existe proteção alguma. É possível identificar que da elaboração de um
projeto de Firewall até sua alocação final na rede, existe uma série de fatores que devem
ser analisados e levantados para que a segurança ocorra da maneira esperada.
As estruturas de Firewall são sim fundamentais para o processo de proteção da
informação em um ambiente organizacional, pois se trata da porta de entrada para uma
rede, contudo é um dos componentes que devem ser utilizados para obter a segurança,
mas este não deve ser tratado como único ponto de segurança e sim um componente de
20
grande importância de todo um processo.
O profissional de segurança deve ter em mente que o ambiente das empresas é o
mais heterogêneo possível, com diversos sistemas operacionais, acessos e usuários.
Portanto, não é um produto ou componente que vai garantir a segurança necessária, mas
sim a política de segurança definida e sua correta implementação.
REFERÊNCIAS BIBLIOGRÁFICAS
ALECRIM, E. Tudo sobre Firewall. 2009. Disponível em:
<http://www.invasao.com.br/2009/01/27/materia-tudo-sobre-Firewall/>. Acessado em: mar.
2009.
_____________. Firewall: Conceitos e Tipos. 2004. Disponível em:
<http://www.infowester.com/firewall.php>. Acessado em: abr. 2009.
Departamento de Ciência da Computação. UFMG. Bastions Hosts. Disponível em
<http://homepages.dcc.ufmg.br/~mlbc/cursos/internet/firewall/fire_bastion.html>. Acessado
em: abr. 2009.
FILHO, J.E.M., Firewall Iptables. Disponível em <http://www.eriberto.pro.br/iptables/ >.
Acessado em: abr. 2009.
INTRON. Controle de Acesso à Internet. Disponível em:
<http://www.intron.com.br/index.php?id=Firewall/Firewall2.php>. Acessado em: mar. 2009.
Instituto Superior da Maia. Tipos de Firewall. Disponível em:
<http://firewall.no.sapo.pt/index_files/Page484.htm>. Acessado em: abr. 2009.
JUCA, H.L., Técnicas Avançadas de Conectividade e Firewall em GNU/LINUX. Rio de
Janeiro: Brasport, 2005.
KUROSE, J. F.; ROSS, K.W. Redes de Computadores e a Internet - Uma Abordagem
Top-Down. São Paulo: Pearson, 3 ed., 2007.
LOPES, R. Firewalls. Rede Nacional de Ensino a Pesquisa (RNP). Disponível em: <http://
www.rnp.br/newsgen/9708/n3-1.html>. Acessado em: mar. 2009.
MARCELO, A . Segurança em Linux. Rio de Janeiro: Brasport, 2003.
MEDEIROS, A C , PICOLLINI, J D B. Uma Visão Geral sobre Firewalls Pessoais. 2002.
Disponível em: <http://www.rnp.br/newsgen/0201/firewall-pessoal.html#ng-6>. Acessado
em: abr. 2009.
Microsoft Technet, Introdução a Redes Privadas Virtuais. Disponível em:
<http://technet.microsoft.com/pt-pt/library/cc782547.aspx>. Acessado em: abr. 2000.
21
NAKAMURA, E. T.; de GEUS, P. L. Segurança de Redes em Ambientes Cooperativos.
São Paulo: Novatec, 2007.
NETO, Urubatan. Dominando Linux Firewall Iptables. Rio de Janeiro: Ciência Moderna,
2004
STRAUCH, S. Gerência de Redes, Segurança em TCP/IP. Disponível em:
<http://penta.ufrgs.br/gere96/segur/seguran.htm>. Acessado em: mar. 2009.
Universidade Federal do Rio Grande do Sul, Internet Firewalls. Disponível em
<http://www.penta.ufrgs.br/redes296/firewall/bastion.html>. Acessado em: abr. 2009.
22