Escola De Educação Profissional QI

Tópicos Avançados de Informática (Redes)

Firewall

George
Naíla
Velton

Porto Alegre, 06 de Maio de 2008

INTRODUÇÃO

Firewall é um quesito de segurança com cada vez mais importância no mundo da computação. À
medida que o uso de informações e sistemas é cada vez maior, a proteção destes requer a aplicação de
ferramentas e conceitos de segurança eficientes. O firewall é uma opção praticamente imprescindível. Este
trabalho mostrará o que é firewall, alguns de seus tipos, modos de funcionamento e o porquê de usá-lo em seu
computador.

O QUE É FIREWALL

Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu
computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet). Seu objetivo é permitir
somente a transmissão e a recepção de dados autorizados. Existem firewalls baseados na combinação de
hardware e software e firewalls baseados somente em software. Este último é o tipo recomendado ao uso
doméstico e também é o mais comum.
Explicando de maneira mais precisa, o firewall é um mecanismo que atua como "defesa" de um
computador ou de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados. A
vantagem do uso de firewalls em redes, é que somente um computador pode atuar como firewall, não sendo
necessário instalá-lo em cada máquina conectada.

COMO O FIREWALL FUNCIONA

Há mais de uma forma de funcionamento de um firewall, que varia de acordo com o sistema,
aplicação ou do desenvolvedor do programa. No entanto, existem dois tipos básicos de conceitos de firewalls: o
que é baseado em filtragem de pacotes e o que é baseado em controle de aplicações. Ambos não devem ser
comparados para se saber qual o melhor, uma vez que cada um trabalha para um determinado fim, fazendo que a
comparação não seja aplicável.

Principais razões para utilizar um firewall

A seguir são citadas as 3 principais razões (segundo o InfoWester) para se usar um firewall:
1 - o firewall pode ser usado para ajudar a impedir que sua rede ou seu computador seja acessado sem
autorização. Assim, é possível evitar que informações sejam capturadas ou que sistemas tenham seu
funcionamento prejudicado pela ação de hackers;
2 - o firewall é um grande aliado no combate a alguns tipos de vírus e cavalos de tróia, uma vez que é
capaz de bloquear portas que eventualmente sejam usadas pelas "pragas digitais" ou então bloquear acesso a
programas não autorizados;
3 - em redes corporativas, é possível evitar que os usuários acessem serviços ou sistemas indevidos,
além de ter o controle sobre as ações realizadas na rede, sendo possível até mesmo descobrir quais usuários as
efetuou.
Três fatores estão em risco quando...

Nos conectamos a Internet, são eles, a reputação, os computadores e as informações guardadas, e três fatores
precisam ser resguardados, a privacidade, a integridade e a disponibilidade. Existem situações de riscos como,
roubo de conexão depois dela ter sido autenticada, espionagem de dados secretos enquanto em trânsito pela rede
e um usuário não autenticado convence a rede que ele foi autenticado.

Ele é o ponto de conexão com a Internet, tudo o que chega à rede interna deve passar pelo Firewall, ele é
também o responsável por aplicar as regras de segurança, autenticar usuários, logar tráfego para auditoria e deve
limitar a exposição dos hosts internos aos hosts da Internet, entretanto, algumas tarefas não podem ser
executadas, como, proteger a rede contra usuários internos mal intencionados, conexões que não passam por ele,
ameaças novas, no qual ele não foi parametrizado para executar uma ação.

Componentes de um bom Firewall:

Autenticação - Processo que verifica a identidade de um usuário para assegurar de que o mesmo que está
pedindo o acesso, seja de fato, o mesmo a quem o acesso é autorizado.
Controle de Acesso - Processo que bloqueia ou permite conexões de entrada ou de saída baseado em filtros de
acesso ou através de mecanismos inteligentes que detectam o uso abusivo, bloqueando o acesso
temporariamente.
Compatibilidade - O Firewall deve permitir o pleno funcionamento dos serviços prestados na rede, bem como,
interagir ou até mesmo se integrar com as aplicações servidoras escolhidas pela corporação.
Auditoria - Processo vital na detecção de vulnerabilidades e acessos indevidos.
Flexibilidade - Facilidade no uso, ferramentas de administração de boa compreensão e suporte técnico.

TIPOS DE FIREWALL:

Filtragem de pacotes

O firewall que trabalha na filtragem de pacotes é muito utilizado em redes pequenas ou de porte
médio. Por meio de um conjunto de regras estabelecidas, esse tipo de firewall determina que endereços IPs e que
dados podem estabelecer comunicação e/ou transmitir/receber dados. Alguns sistemas ou serviços podem ser
liberados completamente (por exemplo, o serviço de e-mail da rede), enquanto outros são bloqueados por
padrão, por terem riscos elevados (como softwares de mensagens instantâneas, tal como o ICQ). O grande
problema desse tipo de firewall, é que as regras aplicadas podem ser muito complexas e causar perda de
desempenho da rede ou não serem eficazes o suficiente.
Este tipo se restringe a trabalhar nas camadas TCP/IP, decidindo quais pacotes de dados podem passar
e quais não. Tais escolhas são regras baseadas nas informações endereço IP remoto, endereço IP do destinatário,
além da porta TCP usada.
 Quando devidamente configurado, esse tipo de firewall permite que somente "computadores
conhecidos troquem determinadas informações entre si e tenham acesso a determinados recursos". Um firewall
assim, também é capaz de analisar informações sobre a conexão e notar alterações suspeitas, além de ter a
capacidade de analisar o conteúdo dos pacotes, o que permite um controle ainda maior do que pode ou não ser
acessível.

Firewall de aplicação

Firewalls de controle de aplicação (exemplos de aplicação:

SMTP, FTP, HTTP, etc.) são instalados geralmente em computadores
servidores e são conhecidos como proxy. Este tipo não permite
comunicação direta entre a rede e a Internet. Tudo deve passar pelo
firewall, que atua como um intermediador. O proxy efetua a comunicação
entre ambos os lados por meio da avaliação do número da sessão TCP dos
pacotes.
Este tipo de firewall é mais complexo, porém muito seguro, pois
todas as aplicações precisam de um proxy. Caso não haja, a aplicação
simplesmente não funciona. Em casos assim, uma solução é criar um
"proxy genérico", através de uma configuração que informa que
determinadas aplicações usarão certas portas. Essa tarefa só é bem
realizada por administradores de rede ou profissionais de comunicação
qualificados.
O firewall de aplicação permite um acompanhamento mais preciso do tráfego entre a rede e a Internet
(ou entre a rede e outra rede). É possível, inclusive, contar com recursos de log e ferramentas de auditoria. Tais
características deixam claro que este tipo de firewall é voltado a redes de porte médio ou grande e que sua
configuração exige certa experiência no assunto.

SERVIDOR PROXY

Proxy Server x Firewall

Inicialmente precisamos definir o que é um Servidor Proxy. Proxy é uma palavra em inglês que, segundo o
Michaelis, significa: Proxy - procuração, procurador, substituto, representante.

Portanto Servidor Proxy é, em essência, um equipamento que presta um serviço de procurador de um

computador de uma rede em outra rede, evitando que o endereço IP do computador seja conhecido na outra rede.
O Serviço de Proxy age como representante de um usuário que precise acessar um sistema do outro lado do
Servidor Proxy. Isto coloca o Servidor Proxy como um dos três tipos clássicos de Firewall. E o que é Firewall?
Segundo Michaelis é Firewall – parede, muro, guarda-fogo.
Então, um Firewall é um equipamento ou programa que funciona como muro de proteção de uma rede de dados
de acessos não desejados, oriundos de outras redes ou equipamentos. Qualquer equipamento que controle o
tráfego por razões de segurança pode ser chamado Firewall.

TIPOS DE PROXY

Existem basicamente dois tipos de Proxy: o Proxy Transparente e o Proxy Controlado. Veja a seguir
as diferenças:
Proxy Transparente
• Nele é simplesmente feito um repasse de pacotes vindos da internet para uma máquina que está na rede
interna.
Proxy Controlado
• Essa é a categoria dos softwares especializados em agir como servidores Proxy, como o próprio Squid.
Eles possuem mais opções que o Proxy transparente para facilitar o controle de quem pode ou não
utilizar o Proxy, solicitação de autenticação, Proxy para SSL e o uso de listas de controles de acesso
(ACL's) que nós veremos mais à frente.

Proxy, suas vantagens e desvantagens

• Claro que dependendo do seu caso como um administrador de redes, você vai ter que decidir qual tipo
de Proxy você vai utilizar. Vão existir casos que um Proxy transparente vai lhe oferecer o suficiente
para fazer o que você quer fazer e vão existir casos em que você vai precisar de funções que somente
um Proxy controlado está disposto a lhe oferecer.

VANTAGENS:

Proxy Transparente
É mais simples de ser configurado quando já está habilitado no Kernel, o cliente é obrigado a passar pelo Proxy,
programas como ICQ funcionam plenamente com ele e não precisa que as máquinas clientes sejam configuradas.

Proxy Controlado
Com ele você pode utilizar listas de controles de acesso (ACL's) para controlar quem usa e quem não usa o seu
Proxy, pode ser utilizado para uso com SSL, pode servir para liberação de internet mediante autenticação do
usuário e, principalmente, possui um sistema de caching, possuindo um desempenho na rede geralmente melhor.

DESVANTAGENS:

Proxy Transparente
Possui menos recursos que um Proxy Controlado, precisa de configurações no Kernel e, em alguns casos, é
necessária a recompilação do Kernel do sistema, não possui nenhuma segurança de acesso e não possui um
sistema de caching, o que o torna mais lento em uma rede.
Proxy Controlado
Programas como ICQ e o protocolo SMTP não funcionam muito bem com ele, pode ocorrer dos
usuários removerem as configurações do Proxy assim que você tiver saído da sala e sua configuração é mais
complicada.

ARQUITETURAS DE FIREWALL

Normalmente, as empresas preferem implementar um Firewall baseado apenas em uma máquina, seja
ele um host PC ou um roteador, entretanto, os Firewalls mais robustos, são compostos de várias partes, veja
algumas arquiteturas a seguir:

Roteador com Triagem (Screening Router):

Essa é a maneira mais simples de se implementar um Firewall, pois o filtro, apesar de ser de difícil
elaboração, é rápido de se implementar e seu custo é zero, entretanto, se as regras do roteador forem quebradas, a
rede da empresa ficará totalmente vulnerável.

Figura 1 : Screened Router

Gateway de Base Dupla (Dual Homed Gateway):

Aqui, é posto uma única máquina com duas interfaces de rede entre as duas redes (a Internet e a rede
da empresa). Quase sempre, esse Gateway, chamado de Bastion Host conta com um Proxy de circuito para
autenticar o acesso da rede da empresa para a internet e filtrar o acesso da Internet contra a rede da empresa.
Como na arquitetura anterior, se o Proxy for quebrado, a rede da empresa ficará totalmente vulnerável.
 Figura 2 : Dual Homed Gateway

Gateway Host com Triagem (Screened Host Gateway)

Roteador e Gateway aqui, são usados conjuntamente em uma arquitetura, formando assim, duas
camadas de proteção.

Observe a figura abaixo:

Figura 3: Screened Host Gateway

A primeira camada, é a rede externa, que está interligada com a Internet através do roteador, nesta
camada a rede só conta com o "filtro de pacotes" que está implementado no roteador e tem como finalidade
aceitar ou bloquear pacotes de rede seguindo as regras definidas pela política administrativa da empresa.
 A segunda camada é a rede interna, e quem limita os acessos neste ponto é um Bastion Host com um
Proxy Firewall, pois nele, temos um outro filtro de pacotes além de mecanismos de autenticação da própria rede
interna.

Sub-rede com Triagem (Screened Subnet):

Roteador e Gateway são usados aqui também conjuntamente em uma arquitetura que é bem parecida
com a arquitetura anterior, entretanto, a camada de serviços nesta, fica na mesma linha da camada interna, atrás
do Bastion Host Gateway, em uma das sub-redes que podem ser criadas nele, fortalecendo bem os serviços
contra ataques.

Observe a figura abaixo:

Figura 4: Screened Subnets

A primeira camada, é a externa, que está interligada com a Internet através do roteador, nesta camada
a rede só conta com o "filtro de pacotes" que está implementado no roteador, e tem como finalidade aceitar
ou bloquear pacotes de rede seguindo as regras definidas pela política administrativa da empresa.
A segunda camada, está dividida em duas partes, a de serviços prestados (Exemplo, E-mail, Web, Ftp
e Ras) e a interna (rede da empresa), e elas, recebem duas filtragens, a do roteador e a do próprio programa
Firewall. Esta camada utiliza também uma outra técnica chamada NAT, que tem por finalidade transcrever
números de internet em números privados, fortalecendo bem a transparência da camada.
Em outras palavras a arquitetura Screened Subnet adiciona uma camada extra de segurança à
arquitetura Screened Host. É adicionada uma rede perimetral entre uma rede não confiável (geralmente a
Internet) e uma rede confiável (rede local). Esta rede perimetral também é conhecida como DMZ (De-
Militarized Zone) ou zona desmilitarizada, ou seja, uma rede com poucas regras de segurança que se comporta
como uma outra sub-rede atrás de um firewall onde temos uma máquina segura na rede externa que não executa
nenhum serviço, mas apenas avalia as requisições feitas a ela e encaminha cada serviço para cada destino na rede
interna.
No caso de uma invasão de primeiro nível, o atacante terá acesso apenas ao firewall, não causando
problemas para a rede da empresa. Já em invasões de segundo nível o atacante irá passar pelo firewall para a
sub-rede interna, mas ficará preso na máquina do serviço que ele explorar.
Abaixo um outro exemplo de DMZ:

Entendendo o Bastion Host

Bastion Host é qualquer computador configurado para desempenhar algum papel crítico na segurança
da rede interna, ele fica publicamente presente na Internet, provendo os serviços permitidos pela política de
segurança da empresa.
Um Bastion Host é a sua presença pública na Internet. É como se fosse a recepção de um prédio.
Estranhos, podem não ter permissões de subir as escadas nem mesmo utilizar os elevadores. Mas podem vagar
livremente pela recepção e se informarem sobre o que necessitam. Como uma recepção de um edifício os
Bastion Hosts são expostos a possíveis elementos hostis. Estes por sua vez, tendo ou não permissão, precisam
inicialmente passar pelos Bastion Hosts antes de alcançarem a rede interna.

Firewalls existentes

Existe uma quantidade grande de soluções de firewall disponível. Para usuários domésticos que usam
o sistema operacional Windows, um dos mais conhecidos é o ZoneAlarm (www.zonealarm.com), que dispõe de
uma versão gratuita e outra paga, com mais recursos. Em ambos os casos, é possível utilizar configurações pré-
definidas, que oferecem bons níveis de segurança, sem que para tanto, o usuário necessite ter muito
conhecimento no assunto.
 Vale citar que o Windows XP já vem com um firewall, que apesar de não ser tão eficiente, é um bom
aliado na segurança. Para ativá-lo, vá em Iniciar / Configurações / Conexões de Rede / Conexão Local /
Propriedades / Avançado e habilite o item Firewall de Conexão com a Internet.
Usuários de Linux podem contar com a ferramenta IPTables (www.iptables.org), inclusive para
trabalhar na rede. No entanto, este firewall é mais complexo e exige algum conhecimento do assunto. Mas assim
como existem várias opções para o Windows, para Linux ocorre o mesmo.