Firewall

Firewall - Segurança e Auditoria Informática - 4º Ano ± Informática de Gestão Universidade Jean Piaget de Moçambique

Índice
Introdução ................................ ................................ ................................ ................................ ........... 4 O que é Firewall? ................................ ................................ ................................ ................................ 5 Definição ................................ ................................ ................................ ................................ ............ 6 Firewall Hardware vs Firewall Software ................................ ................................ ............................ 6 Firewall por software ................................ ................................ ................................ ...................... 6 Firewalls por hardware ................................ ................................ ................................ ................... 7 Como funciona? ................................ ................................ ................................ ................................ .. 7 Técnicas de Firewall ................................ ................................ ................................ ........................... 7 Filtragem de pacotes (Packet Filtering) ................................ ................................ ........................... 7 Vantagens:................................ ................................ ................................ ................................ ... 8 Desvantagens: ................................ ................................ ................................ ............................. 8 Firewalls de aplicação (Proxies) ................................ ................................ ................................ ...... 9 Funcionamento ................................ ................................ ................................ ............................ 9 Vantagens ................................ ................................ ................................ ................................ .... 9 Desvantagens................................ ................................ ................................ ............................... 9 Filtragem de Pacotes vs Firewalls de aplicação ................................ ................................ ............... 9 Firewalls baseados no estado (stateful inspection firewalls)................................ ........................... 10 Vantagens ................................ ................................ ................................ ................................ .. 10 Desvantagens................................ ................................ ................................ ............................. 10 Comparação dos três principais tipos de firewall ................................ ................................ ........... 10 Network Address Translation - NAT ................................ ................................ ............................. 11 Espaços de endereçamento ................................ ................................ ................................ ........ 11 Tradução estática ................................ ................................ ................................ ....................... 12 Tradução dinâmica ................................ ................................ ................................ .................... 12 Limitações ................................ ................................ ................................ ................................ . 12 Vantagens ................................ ................................ ................................ ................................ .. 12 DeMilitarized Zone - DMZ................................ ................................ ................................ ................ 12 Arquitectura da DMZ ................................ ................................ ................................ .................... 13 Funções de Firewall ................................ ................................ ................................ .......................... 13 Limitações do Firewall................................ ................................ ................................ ...................... 15 Estratégias de Segurança ................................ ................................ ................................ ................... 16 Menor privilégio................................ ................................ ................................ ............................ 16 2

Firewall - Segurança e Auditoria Informática - 4º Ano ± Informática de Gestão Universidade Jean Piaget de Moçambique Defesa em profundidade ................................ ................................ ................................ ................ 16 Ponto de Estrangulamento ................................ ................................ ................................ ............. 16 Conclusão ................................ ................................ ................................ ................................ ......... 17 Bibliografia ................................ ................................ ................................ ................................ ....... 18

3

Firewall - Segurança e Auditoria Informática - 4º Ano ± Informática de Gestão Universidade Jean Piaget de Moçambique

Introdução
Firewall é um mecanismo de segurança de rede, muito eficiente, que tem como propósito impedir que os perigos da Internet se espalhem pela rede interna. Funciona na base de regras, estabelecidas pelo administrador da rede, um firewall tem a simples tarefa de aceitar ou rejeitar os pedidos que recebe. O firewall pode ser hardware ou software. Existem ainda algumas técnicas de uso do firewall, neste trabalho, vamos apresentar as três técnicas mais usadas, que são a Filtragem por Pacotes, Firewall por Aplicação e Firewalls baseados no Estado. As técnicas de firewall são escolhidas consoante a necessidade de cada um, sendo que normalmente usar essas técnicas em simultâneo é melhor. Segundo a pesquisa, o firewall baseado no estado é o mais completo, este método inspecciona cada ligação que atravessa todos os interfaces do firewall assegurando-se que é credível. A única desvantagem é o seu elevado custo. Vamos falar também da NAT ± Network Address Translation, que tem sido confundida como uma técnica de firewall, mas na verdade, é responsável por traduzir os IP, escondendo os IP´s reais. Para implementar o NAT, existem duas regras, ou ele faz uma Tradução Estática ou faz uma Tradução Dinâmica. A DMZ tem como função manter todos os serviços que possuem acesso externo separados da rede local. Essa separação acaba por limitar um potencial dano em caso de comprometimento de algum destes serviços por um invasor. Existem ainda vários tipos de estratégias que podem ser aplicadas quando usamos firewall, estas podem ser usadas em simultâneo. Vamos falar aqui das estratégias de Menor Privilegio, Defesa em Profundidade e do Ponto de estrangulamento, devemos garantir que esta ultima estratégias seja aplicada com eficiência.

4

Fi

ll

it i i

ti i i t

ti M

t i

Fi w ll
Fi w ll i t i it i it it i i t O i i i i ll t t ti i t t i t li i À í l
¢ ¡ 

O que é Firewall?
As redes de comput dores tem como objecti o pri cipal permitir que qualquer computador li ado a rede possa trocar i ormações com outros computadores da mesma rede li remente. Num mundo perfeito, sem pessoas mal intencionadas, esse seria um método perfeito para a red e funcionar, facilitando assim a li ação uni ersal entre sistemas. Nesse caso, cada computador seria li re de escol er: y y y Com quem pretendem se comunicar; Que informações pretendem partil ar; Quais dos seus serviços pretendem disponibili ar.
£

Este modo de funcionamento chama-se ³host b sed security´, ou seja, segurança baseada em host, pois cada computador ou servidor implementa os seus próprios mecanismos de seg rança. É assim que u funciona a Internet e a rede das nossas casas ou escritórios. Mas na prática, é difícil garantir que os computadores de uma rede possam cumprir as políticas de segurança existentes. Pois estes tem como principal objectivo garantir o funcionamento dos sistemas de softw re, sendo por isso difícil, mant -los seguros, isto deve-se mais a incerteza que se tem quanto ao cumprimento das políticas de seguranças por porte dos usuários duma rede. Quando uma rede esta ligada a outras, e não exista garantia de segurança, precisamos de colocar outros mecanismos que possam garantir a segurança e protecção dos nossos recursos que estão alojados na parte segura da rede, de possíveis ataques de invasores provenientes da parte insegura da rede. A única maneira de garantir essa segurança é cortando parcialmente a ligação da rede, impedindo que nós que estamos na parte segura ou insegura da rede possamos trocar informações sem restrições.
£

Ilustração 1 - Toda informação passa pelo Firewall

O dispositivo responsável por isso chama-se firew ll, e ele pode ser instalado na rede em forma de softw re ou de hardware.
¤ ¤

Firewall - Segurança e Auditoria Informática - 4º Ano ± Informática de Gestão Universidade Jean Piaget de Moçambique

Definição
Podemos definir Firewall como sendo uma barreira de protecção, que controla o tráfego de dados entre um computador e a Internet (ou entre a rede no geral e a Internet). Tem como objectivo permitir somente a transmissão e a recepção de dados autorizados. Existem firewalls baseados na combinação de hardware e software e firewalls baseados somente em software. Os firewalls baseados em software são mais comuns e são os recomendados para o uso doméstico. Resumindo, o firewall é um mecanismo que funciona como defesa de um computador ou mesmo de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados. Ao usar o firewall em rede, só um computador pode actuar como firewall, não sendo preciso instala-lo em cada computador conectado a essa rede. Os firewalls podem fazer diversos controles:
y

Controle de Serviço: o Determina quais serviços Internet (tipos) estarão disponíveis para acesso. Controle de Sentido: o Determina o sentido de fluxo no qual serviços podem ser iniciados. Controle de Usuário: o Controla o acesso baseado em qual usuário está requerendo (tipicamente os internos, ou externo via VPN1). Controle de Comportamento: o Controla como cada serviço pode ser usado (ex: anti-spam2).

y

y

y

Fi w ll H dw

vs Fi w ll Softw

As soluções de hardware e software de firewall foram concebidas para bloquear o acesso não autorizado a computadores. Os firewalls ajudam a prevenir os hackers de interceptarem dados privados ou colocar ³Cavalos de Tróia 3 ou outras ameaças da Internet em computadores em rede. Vamos tentar compreender as diferenças entre o software de firewall e os firewalls por hardware.

Fi w ll por softw

Um programa de software de firewall é instalado individualmente em cada computador. Para proteger todos os computadores de uma empresa, cada um terá de ter o software de firewall instalado. Isto pode ser bastante dispendioso e difícil de manter e dar assistência.

1

Virtual Private Network ou Rede Privada Virtual, são túneis de criptografia entre pontos autorizados, criados através da Internet ou outras redes públicas e/ou privadas para transferência de informações, de modo seguro, entre redes corporativas ou usuários remotos. 2 São aplicativos instalados geralmente com a intenção de interceptar mensagens não requisitadas pelo destinatário. 3 Em inglês Trojan horse, é um programa malicioso que entra no computador e libera uma porta para uma possível invasão.

¦¥ §

§ ¦¥

6

Firewall - Segurança e Auditoria Informática - 4º Ano ± Informática de Gestão Universidade Jean Piaget de Moçambique Ao usar o software de firewall numa empresa, significa que será necessário que cada utilizador individual tome decisões sobre se deve permitir ou negar o acesso de um determinado programa à Internet. Assim, os utilizadores sem grande experiência em segurança ou em computadores podem sentir-se desconfortáveis ao lidar com os diversos pedidos e alertas que um software de firewall lhes apresenta. O Software tem falhas, que são descobertas com o tempo, por isso é essencial que seja constantemente actualizado. É também muito importante que seja feita a análise permanente dos logs 4.

Fi w lls por h dw

Os firewalls com base em hardware protegem todos os computadores da sua rede. Uma firewall com base em hardware possui uma manutenção e administração mais fácil do que os firewalls de software individuais. A solução ideal para as empresas é um firewall por hardware integrada numa solução de segurança abrangente. Para além de um firewall, a solução deverá incluir suporte para uma rede privada virtual (VPN), anti-vírus, anti-spam, anti-spyware5, filtragem de conteúdos e outras tecnologias de segurança. Ao escolher uma destas opções, devemos procurar uma solução de segurança de fácil utilização e que possa crescer juntamente com as suas necessidades de segurança.

Como funciona?
O firewall quebra a comunicação livre entre redes seguras e inseguras, fazendo a gestão do fluxo de informação e limitando o acesso livre, pois dar acesso livre é muito perigoso, pois deixa a informação da empresa vulnerável a roubos. Existem muitos mecanismos capazes de fazer esse trabalho, na aplicação delas nunca devemos prevenir por completo o fluxo de pacotes, pois deixaria de haver ligação em rede, por outro lado, não devemos permitir o acesso completo de informação, pois isso seria o mesmo que não ter nenhum firewall.

Técnicas de Fi w ll
Um firewall utiliza um ou mais dos seguintes métodos para controlar o tráfego que circula na rede:
y y y

Filtragem de pacotes; Firewalls de aplicação e Firewall baseado no estado.

Filtragem de pacotes (Packet Filtering)
Neste caso, os pacotes de dados são analisados e confrontados com um conjunto de filtros predefinidos pela configuração do firewall por parte do utilizador. Os pacotes de dados que estiverem de acordo com os padrões pré-estabelecidos pela configuração passam pelo firewall, caso contrário serão pura e simplesmente recusados.
4 5

Termo utilizado para descrever o processo de registo de eventos relevantes num sistema computacional. São utilizados para combater programas espiões.

©¨ 

¨

 ©¨

7

Firewall - Segurança e Auditoria Informática - 4º Ano ± Informática de Gestão Universidade Jean Piaget de Moçambique Um firewall com filtragem de pacotes pode ser um router6 com software de filtragem de pacotes. A filtragem de pacotes trabalha ao nível de rede do modelo OSI, cada pacote de dados é examinado quando a transferência de dados é feita de uma rede para a outra. A filtragem de pacotes é normalmente feita a pacotes IP e baseada nos seguintes campos:
y y y y

Endereço IP fonte Endereço IP destino Porta TCP/UDP fonte Porta TCP/UDP destino

Os pacotes de dados compatíveis com as regras de controlo de acesso são autorizados a passar, aqueles que não obedecerem às regras serão desde logo barrados. Como tudo na vida, os firewalls por filtragem de pacotes também tem as suas vantagens e desvantagens: Vantagens: y Não são necessárias alterações ao nível do cliente. Toda configuração é feita nos routers, esta é uma das razões que leva a filtragem de pacotes a ser considerada uma tecnologia de firewall barata e sem grandes sofisticações; y A maior parte dos routers encontrados no mercado já incluem inúmeras potencialidades de filtragem de pacotes, reduzindo assim a necessidade de hardware ou software extra;
y

Este método é uma das melhores soluções quando a empresa:
o Tem um orçamento baixo; o Não tem grandes exigências ao nível de segurança; o Não considera os controlos de acessos como sendo um factor essencial.

Desvantagens: y A filtragem de pacotes tem um nível de segurança extremamente primário,
y

As suas regras são extremamente difíceis de especificar, e não tem facilidade de auditoria e registo de eventos, ou seja, o feed ack proporcionado ao utilizador é muito reduzido, como consequência desse facto, caso alguma das regras seja violada, não há forma de o saber, e se por ventura houver a possibilidade de descobrir, provavelmente já será bastante tarde para poder agir. Não nos permite executar testes de eficácia, o que poderá significar ter o sistema com falhas graves ao nível da segurança e não existir forma de o saber. Este método é bastante vulnerável a hackers, que podem usar os seus conhecimentos aprofundados para entrar na rede. Por isso, aconselha-se o uso deste método associado ao uso de um firewall por software como complemento adicional de forma a melhorar a segurança da rede.


y

y

6

Em português Roteador, é usado para fazer a comutação de protocolos, a comunicação entre diferentes redes de computadores provendo a comunicação entre computadores distantes entre si.

8

Firewall - Segurança e Auditoria Informática - 4º Ano ± Informática de Gestão Universidade Jean Piaget de Moçambique

Firewalls de aplicação (Proxies)
Ao utilizar este método de segurança, todo o tráfego que atravessa a fronteira entre a parte pública e a parte privada da rede é encaminhado para o firewall, neste caso para o proxy, que funciona ao nível de aplicação, podendo executar funções de autenticação, controlo de acessos, e muito importante, controlo de estado das ligações, o que permite uma filtragem mais eficaz da informação. O firewall de aplicação ou proxy, recebe os pedidos do exterior, analisa-os e, caso todas as condições de segurança para acesso à rede estejam reunidas, encaminha-os para o sistema adequado dentro da própria rede. Por outro lado, todos os pedidos provenientes do interior da rede, serão encaminhados para o proxy que se irá incumbir de contactar os respectivos sistemas de rede exteriores. O uso deste método, significa que não haverá comunicação directa entre os sistemas de rede interiores e exteriores, no entanto, para o utilizador, esse processo será tr ansparente. Por isso, ao usarmos os firewalls de aplicação, a segurança da rede sai reforçada, pois deixa de existir acesso directo do sistema externo ao sistema interno, com excepção do sistema proxy. Funcionamento Este método só funciona em aplicações ³conhecidas . 1. 2. 3. 4. O gateway de aplicação recebe uma conexão para uma aplicação suportada; Autentica o usuário externo através de senha; Para usuários válidos uma segunda conexão para um servidor interno é estabelecida; Todo tráfego é roteado entre ambas conexões.

Vantagens y Possibilitam o uso de filtragem com base em informação de nível de aplicação. o Exemplo: URL7, possibilitando estabelecimento de zonas com diferentes tipos de acesso;
y

Possibilidade de actuarem de acordo com informação de estado e não apenas com base em regras de acesso estáticas; Podem funcionar como arquivos temporários de informação (caching servers), produzindo melhorias ao nível do desempenho;

y

Desvantagens y A configuração e manutenção são muito mais complexas em relação á filtragem de pacotes;
y

É necessário utilizar o software de proxy para cada aplicação;

Filtragem de Pacotes vs Firewalls de aplicação
Existem duas diferenças muito importantes entre filtragem de pacotes e firewalls de aplicação, as quais consideramos serem as mais importantes:
y

A filtragem de pacotes apenas inspecciona o cabeçalho do pacote, enquanto o firewall de aplicação analisa todos os dados de aplicação de um pacote.
Uniform Resource Locator, é o endereço de um recurso disponível em uma rede, seja a Internet, ou uma rede corporativa.

7

9

Firewall - Segurança e Auditoria Informática - 4º Ano ± Informática de Gestão Universidade Jean Piaget de Moçambique A filtragem de pacotes deixa passar um pacote que foi por ela permitido, e, o mesmo pacote viaja entre a Internet e o computador da rede, enquanto um firewall de aplicação gera novamente um pacote através de um pacote que foi anteriormente permitido, ou seja, constrói um novo pacote e envia do firewall para o servidor de Internet ou para o computador da rede, dependendo do sentido.

y

Usar ao mesmo tempo a filtragem de pacotes e o firewall de aplicação, resulta normalmente num controlo de acessos de nível muito elevado.

Firewalls baseados no estado (stateful inspection firewalls)
Ao contrário da filtragem de pacotes., este método inspecciona cada ligação que atravessa todos os interfaces do firewall assegurando-se que é credível. São baseados e pretendem explorar exactamente a afirmação anterior, ou seja permitir e usar a junção entre packet filter e proxy. Este firewall analisa o tráfego ao nível do IP e TCP/UDP, construindo tabelas de estado das ligações à Internet de modo a que estejam salvaguardados os ataques do tipo spoofing, replaying, entre outros. Vantagens y Possibilitam um funcionamento ao nível da aplicação de forma dinâmica;
y

Podem incluir funcionalidades como, encriptação de dados, encapsulamento e balanceamento de carga; A manutenção e configuração são extremamente reduzidas e de fácil aplicação por parte do utilizador;

y

Desvantagens y A maior, que por sinal é a única desvantagem, é referente a vertente económica, visto que o preço deste tipo de tecnologia é muito alto, isto porque este, é muito mais eficiente que os anteriores, alem de que, usando esta tecnologia, o utilizador tem de intervir muito menos do que nos casos anteriores.

Comparação dos três principais tipos de firewall
Na tabela seguinte, podemos ver as diferenças entre estes principais tipos de firewall: Tipos de Firewall
Informação de comunicação Estado derivado de comunicação Estado derivado da aplicação Manipulação da informação FILTRAGEM DE PACOTES Parcial Não faz Não faz Parcial FIREWALL DE APLICAÇÃO Parcial Parcial Completa Completa FIREWALL BASEADO NO ESTADO Completa Completa Completa Completa

10

Firewall - Segurança e Auditoria Informática - 4º Ano ± Informática de Gestão Universidade Jean Piaget de Moçambique

Network Address Translation - NAT
Muitas vezes confundida como uma técnica de firewall, o mecanismo de tradução de endereços de rede (em inglês Network Address Translation - NAT) foi criado para responder à escassez de endereços IP com o protocolo IPv4. Com efeito, em endereçamento IPv4 o número de endereços IP disponiveis, não é suficiente para permitir que todas as máquinas que necessitam de estar ligadas à Internet consigam fazê-lo. O princípio do NAT consiste então em utilizar um endereço IP rotável (ou um número limitado de endereços IP) para conectar o conjunto das máquinas da rede realizando, a nível da ponte estreita de conexão à Internet, uma tradução entre o endereço interno (não rotável) da máquina que deseja ligar e o endereço IP da ponte estreita. Por outro lado, o mecanismo de tradução de endereços permite proteger a rede interna, já que camufla completamente o endereçamento interno. Com efeito, para um observador externo à rede, todos os pedidos parecem provir do mesmo endereço IP. Espaços de endereçamento O organismo que gere o espaço de endereçamento público (endereços IP rotáveis) é a Internet Assigned Number Authority (IANA). O RFC 1918 define um espaço de endereçamento privado que permite a qualquer organização atribuir endereços IP às máquinas da sua rede interna sem risco de entrar em conflito com um endereço IP público atribuído pelo IANA. Estes endereços ditos não rotáveis correspondem aos intervalos de endereços seguintes:
y y y

Classe A : de 10.0.0.0 a 10.255.255.255 ; Classe B : de 172.16.0.0 a 172.31.255.255 ; Classe C : de 192.168.0.0 a 192.168.255.55 ;

Todas as máquinas de uma rede interna, conectadas à Internet através de um switch e que não possuem um endereço IP público, devem utilizar um endereço contido num destes intervalos. Para as pequenas redes domésticas, o intervalo de endereços de 192.168.0.1 a 192.168.0.255 é geralmente utilizado. Quando um pacote passa pelo firewall com NAT/PAT configurado, a seguinte sequência de eventos ocorre:
y y y y y y y

O pacote chega à interface de entrada; O equipamento verifica o pacote contra a ACL de entrada; Se o pacote é permitido, o equipamento consulta a tabela de roteamento para determinar a interface física de saída; Se a tradução de endereço está habilitada e o pacote combina com o critério de selecção, o equipamento cria uma entrada na tabela NAT para aquela conexão; O equipamento cria uma entrada na tabela de estado da conexão (stateful); O pacote é roteado para a interface de saída e verificado contra a ACL de saída; Se permitido, o pacote é transmitido.

Basicamente existem dois tipos de regras que podem ser criadas: regras estáticas e dinâmicas. 11

Firewall - Segurança e Auditoria Informática - 4º Ano ± Informática de Gestão Universidade Jean Piaget de Moçambique Tradução estática O princípio do NAT estático consiste em associar um endereço IP público a um endereço IP privado interno à rede. O switch (ou mais exactamente a ponte estreita) permite por conseguinte associar a um endereço IP privado (por exemplo 192.168.0.1) um endereço IP público rotável na Internet e fazer a tradução, tanto num sentido como no outro, alterando o endereço no pacote IP. A tradução de endereço estática permite assim ligar máquinas da rede interna à Internet de maneira transparente mas não resolve o problema da escassez de endereços, na medida em que n endereços IP rotáveis são necessários para ligar nas máquinas da rede interna. Tradução dinâmica O NAT dinâmico permite partilhar um endereço IP rotável (ou um número reduzido de endereços IP rotáveis) entre várias máquinas em endereçamento privado. Assim, todas as máquinas da rede interna possuem virtualmente, vistas do exterior, o mesmo endereço IP. É a razão pela qual o termo ³máscara IP (em inglês IP masquerading) é às vezes utilizado para designar o mecanismo de tradução de endereço dinâmico. Para poder partilhar os diferentes endereços IP sobre um ou vários endereços IP rotáveis, o NAT dinâmico utiliza o mecanismo de tradução de porta (PAT- Port Address Translation), ou seja a afectação de uma porta fonte diferente a cada pedido, de maneira a poder manter uma correspondência entre os pedidos que provêm da rede interna e as respostas das máquinas na Internet, todos dirigidos para o endereço IP switch. Limitações Por reconhecer apenas os protocolos TCP e UDP, não é possível estabelecer uma conexão que não utilize um desses protocolos. O número gerado pela tabela de hash 8 tem apenas 16 bits, o que faz com que esta técnica permita apenas 65505 conexões activas. Dependendo das dimensões da rede e do número de pedidos feitos pelos computadores desta rede, o limite de 65505 pode ser facilmente atingido. Vantagens As entradas no NAT são geradas apenas por pedidos dos computadores de dentro da rede privada. Sendo assim, um pacote que chega ao router vindo de fora e que não tenha sido gerado em resposta a um pedido da rede, ele não encontrará nenhuma entrada no NAT e este pacote será automaticamente descartado, não sendo entregue a nenhum computador da rede. Isso impossibilita a entrada de conexões indesejadas e o NAT acaba funcionando como um firewall.

DeMilitarized Zone - DMZ
Em português conhecida como ³zona desmilitarizada" é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet. A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio electrónico, etc.) separados da rede local, limitando assim o potencial dano em
8

É uma sequência de bits geradas por um algoritmo de dispersão, em geral representada em base hexadecimal, que permite a visualização em letras e números (0 a 9 e A a F), representando 1/2 byte cada.

12

Firewall - Segurança e Auditoria Informática - 4º Ano ± Informática de Gestão Universidade Jean Piaget de Moçambique caso de comprometimento de algum destes serviços por um invasor. Para atingir este objectivo os computadores presentes em uma DMZ não devem conter nenhuma forma de acesso à rede local. A configuração é realizada através do uso de equipamentos de Firewall, que vão realizar o controlo de acesso entre a rede local, a internet e a DMZ. Os equipamentos na DMZ podem estar em um switch dedicado ou compartilha um switch da rede, porém neste último caso devem ser configuradas Redes Virtuais distintas dentro do equipamento.

Arquitectura da DMZ
Three-Pronged Firewall ± Designa-se assim derivado da utilização de uma firewall com 3 pontos de rede, um para a rede privada, outro para a rede pública e outro ainda para a DMZ. Esta arquitectura caracteriza-se por ser simples de implementar e de baixo custo, no entanto, é mais vulnerável e tem uma performance mais reduzida em comparação à DMZ com dois firewalls. Multiple Firewall DMZ ± São utilizados diversas firewalls para controlar as comunicações entre as redes externa pública e interna (privada). Com esta arquitectura, temos uma segurança mais efectiva podemos balancear a carga de tráfego de dados e podemos proteger várias DMZ's para além da nossa rede interna. A política de segurança aplicada no DMZ é geralmente a seguinte:
y y y y y y

Tráfego da rede externa para o DMZ autorizado; Tráfego da rede externa para a rede interna proibido; Tráfego da rede interna para o DMZ autorizado; Tráfego da rede interna para a rede externa autorizado; Tráfego do DMZ para a rede interna proibido; Tráfego do DMZ para a rede externa recusado.

É necessário notar que é possível instalar uma DMZ internamente, para compartimentar a rede interna de acordo com diferentes níveis de protecção e assim evitar as intrusões que vêm do interior.

Funções de Firewall
Os firewalls podem fazer muito pela segurança. De fato, algumas vantagens do uso de firewalls se estendem até mesmo além da segurança. Firewall é o centro de atenção para decisões de segurança:
y

É como uma ponte de passagem obrigatória. Todo tráfego que entra e sai deve passar por esse único e estreito ponto de estrangulamento.

13

Firewall - Segurança e Auditoria Informática - 4º Ano ± Informática de Gestão Universidade Jean Piaget de Moçambique
y

Um firewall oferece um enorme controlo da segurança de rede, porque permite concentrar todas as suas medidas de segurança num único ponto (onde a rede se conecta com a Internet e/ou a outras redes).

A concentração da segurança desta maneira, é um método muito mais eficiente do que espalhar as decisões e tecnologias de segurança por toda a rede. Os Firewalls podem impor uma política de segurança:
y

A maior parte do conteúdo que pretendemos aceder da Internet são inseguros e podem tornar a nossa rede vulnerável. O firewall é a guarda de trânsito para esses serviços. Criando regras de segurança, o firewall somente permite que passem por ele os serviços considerados seguros, rejeitando todo e qualquer outro conteúdo que não seja considerado seguro. As variações nas normas de segurança do site são infinitas: o O firewall manterá os serviços potencialmente perigosos estritamente dentro da rede protegida por ele; o Ou pode se decidir que apenas um sistema interno deveria poder se comunicar com o mundo exterior; o Ainda se poderia decidir permitir o acesso de todos os sistemas de um certo tipo ou pertencentes a um determinado grupo. Um firewall pode ser chamado para ajudar a impor normas mais complicadas: o Por exemplo, apenas certos sistemas dentro do firewall tenham permissão para transferir arquivos de e para a Internet; o Usando outros mecanismos para controlar quais usuários terão acesso a esses sistemas, poderá se controlar os usuários que terão esses recursos.

y

y

y

Dependendo das tecnologias escolhidas para implementar um firewall, ele poderá ter uma capacidade maior ou menor de impor tais normas. O Firewall pode registar de modo eficiente à actividade da Internet:
y

Como todo o tráfego passa pelo firewall, ele fornece um bom lugar para a colecta de informações sobre o uso do sistema e da rede e sobre o abuso.

Firewall limita sua exposição:
y

Às vezes, um firewall é usado para manter uma secção de rede de um site separada de outra secção. Fazendo isso, evita se que problemas que têm impacto sobre uma secção se espalhem por meio da rede interna.

Em alguns casos, isso será feito porque uma secção de rede pode ser mais confiável que outras; em outros casos, porque uma secção é mais confidencial que outra. Qualquer que seja a razão, a existência do firewall limita os danos que um problema de segurança de rede pode causar à rede global. Outras funcionalidades: 14

Firewall - Segurança e Auditoria Informática - 4º Ano ± Informática de Gestão Universidade Jean Piaget de Moçambique
y

O Firewall provê uma localização para o monitoramento de eventos relacionados com segurança através de auditorias, históricos e alarmes. O Firewall é uma plataforma conveniente também para:
o NAT (Tradução de Endereço de Rede); o Proxy de We e o Gateway de email.

y

y

O Firewall pode servir como plataforma para VPN (Virtual Private Network)

Limitações do Firewall
Segundo Chapman (2001), os firewalls oferecem uma excelente protecção contra ameaças à rede, mas não são soluções de segurança completa. Certas ameaças estão fora do controle do firewall. Precisam se descobrir outros meios para se proteger contra essas ameaças, incorporando segurança física, segurança de host e educação do usuário ao seu plano de segurança global. Firewall é incapaz de proteger contra usuários internos:
y

Se o atacante já estiver dentro de um firewall, o sistema não pode fazer praticamente nada. Usuários internos podem roubar dados, danificar hardware e software e modificar subtilmente programas sem jamais chegarem perto do firewall: o Um firewall poderia impedir um usuário do sistema de ser capaz de enviar informações patenteadas para fora de uma empresa por uma conexão de rede, assim, ele simplesmente não teria uma conexão de rede. o Porém, esse mesmo usuário poderia copiar os dados em disco, fita ou papel e levá-los para fora do edifício em sua pasta.

As ameaças internas exigem medidas de segurança internas, como segurança de host e educação do usuário. O Firewall não protege contra conexões que não passam por meio dele:
y

Um firewall pode controlar de forma eficiente o tráfego que passa através dele. Porém, não há nada que ele possa fazer no caso do tráfego que não passa por ele. Às vezes, usuários tecnicamente experientes ou administradores de sistemas configuram suas próprias portas dos fundos na rede (como uma conexão de rede dialup), seja temporária ou permanente, porque eles se irritam com as restrições que o firewall impõe a eles e a seus sistemas. O firewall não pode fazer nada esse caso.

y

Firewall não oferece protecção contra novas ameaças:
y

Um firewall é projectado para proteger contra ameaças conhecidas: o Um firewall bem projectado também pode oferecer protecção contra algumas ameaças novas, negando qualquer serviço com excepção de alguns serviços novos e confiáveis. 15



Firewall - Segurança e Auditoria Informática - 4º Ano ± Informática de Gestão Universidade Jean Piaget de Moçambique
o O firewall impedirá que as pessoas configurem serviços novos e inseguros.

Porém, nenhum firewall pode se defender automaticamente contra toda nova ameaça que surge. As pessoas descobrem continuamente novos caminhos para atacar, usando serviços que antes eram confiáveis ou usando ataques que simplesmente não haviam ocorrido a ninguém antes. Não se pode esperar que, ao se configurar um firewall uma vez, ele protegerá para sempre.

Estratégias de Segurança
Antes de decidir implementar um firewall é importante ter o conhecimento de algumas estratégias básicas empregadas na construção destes, visando uma maior segurança e confiabilidade de seu firewall.

Menor privilégio
Nesta estratégia, apenas da se os privilégios necessário para que um determinado objecto consiga realizar a sua função na organização. Temos de ter cuidado de não dar privilégios inferiores ao necessário para se realizar a tarefa, usamos este método, para eliminar ou diminuir os danos causa dos por pessoas mal intencionadas. Para melhor percepção vamos dar um exemplo da vida real:
y

O carro que uso tem uma chave que serve para abrir as portas e para a ignição do carro, e tem outra chave diferente para abrir o porta-luvas. Assim posso entregar o carro ao motorista, deixando algo de valor no porta-luvas, desde que eu fique com a chave desse local.

Um sistema de filtragem de pacotes projectado para permitir apenas a entrada de pacotes para os serviços necessários é um bom exemplo de estratégia de menor privilégio, que é muito usado devido a sua eficiência e simplicidade. Falando em Internet, podemos dar alguns exemplos:
y y y

Todo usuário não precisa saber a senha de administrador do computador que usa; Todo usuário não precisa de aceder a todos os serviços de Internet existentes; Todo usuário não precisa modificar todos os arquivos do sistema.

Defesa em profundidade
Nesta estratégia de segurança, a principal preocupação é prevenir os acidentes e as consequências que estes poderiam ter. Este principio, tem como objectivo não depender de um único método de defesa, instalando vários níveis de protecção. Isto tornaria a tentativa de invasão por parte de atacantes, arriscada demais ou cansativa demais. Pois as chance de violar um nível de protecção do sistema são muito maiores do que as de violar um sistema com vários níveis de segurança.

Ponto de Estrangulamento
O firewall de uma rede é normalmente o ponto de estrangulamento, qualquer atacante que deseje entrar em sua rede deve passar obrigatoriamente pelo firewall. Devemos estar sempre preparados para defender desses ataques. Este método não vale nada se a sua rede tiver um outro ponto de acesso a rede, que não seja o ponto de estrangulamento. 16

Firewall - Segurança e Auditoria Informática - 4º Ano ± Informática de Gestão Universidade Jean Piaget de Moçambique

Conclusão
Agora conseguimos perceber melhor, pelo menos de maneira básica, o funcionamento do firewall. Tratando se de uma tecnologia que tem cada vez mais importância, não somente para o uso em redes, mas também para o uso doméstico. Portanto, se decidir usar um firewall em seu computador, procure por soluções conhecidas para seu sistema operacional. Existem muitas que são gratuitas, contam com configurações pré-definidas que exigem pouco conhecimento e não consomem muitos recursos do computador. Por outro lado existem outras, que exigem experiência no assunto, como é o caso dos dispositivos firewall da Cisco. Para administradores de rede, obviamente, o uso de firewall é tido como uma obrigação. Há usuários, domésticos ou de escritório, que acedem a internet e trabalham com dados importantes, expondo-os. Tais arquivos devem ser fortemente protegidos contra ataques mal intencionados. Hackers podem facilmente aceder os computadores caso os mesmos não possuam nenhum tipo de firewall. O trabalho expõe soluções com firewall, explicando seu funcionamento e como é possível proteger os computadores pessoais sem fragilizar qualquer acesso aos dados para os invasores externos e internos. Ter um firewall não é suficiente, temos de garantir que este, seja o único ponto capaz de ligar a rede interna a outras redes. Os firewalls evoluem com o passar dos anos e deixaram de ser somente um filtro de pacotes rudimentar para se tornarem sistemas sofisticados e com capacidade de filtragem cada vez mais avançados. O firewall do Windows é, hoje em dia, provavelmente, a tecnologia de segurança mais usada pelo comum utilizador. Para além de ser, para um uso doméstico, fiável e seguro, trata-se de um firewall por software que já se encontra incluído no sistema operativo que vulgarmente utilizamos nas nossas casas, o Windows. Este firewall é muito fácil de configurar, utilizar e é também de fácil manutenção, para utiliza lo não é necessário nenhum conhecimento aprofundado sobre a matéria segurança. Só o firewall não é suficiente para ter uma rede segura, temos de configura-lo correctamente, escolhendo a melhor técnica consoante os serviços a serem utilizados e ainda podemos usa-lo associado a outras defesas, como por exemplo o Network Address Translation e o DMZ, entre outras.

17

Firewall - Segurança e Auditoria Informática - 4º Ano ± Informática de Gestão Universidade Jean Piaget de Moçambique

Bibliografia
OLIVEIRA, Gustavo; GIROLDO, Davison; OLIVEIRA, Andre e SASAKI, Eduardo ± Segurança de Redes ± Firewall, Ciencia de Computação ± Faculdades de Valinhos; PICKERING, Rob; INTERNET FIREWALL TUTORIAL ± A White Paper, RPA Networks ± Julho de 2002; FELIPE, Daniel Santana; Desenvolvimento de um canal de comunicação seguro entre agentes distribuídos e firewall, UNOESTE ± 2005; DÁVILA, Marcio; Segurança de Redes ± 2001; Brochura da MICROTIK ± Routers & Wireless ± Firewall; SHMIDT, Holly; FIREWALL ± Tools Report, IATAC ± 6ª edição ± 2009; SCARFONE, Karen e HOFFMAN, Paul; Guidelines on Firewalls and Firewall Policy ± NST, Edição Especial 800-41, Revisão 1 ± Setembro de 2009; http://www.infowester.com/firewall.php http://firewall.no.sapo.pt/index_files/Page484.htm http://truques-dicas.com/tipos-de-firewall/ http://www.infoescola.com/redes-de-computadores/firewall/ http://www.cisco.com/web/PT/solutions/smb/innovators/how_to/articles/secure_my_business/small_b usiness_firewall_software.html http://www.networkexperts.com.br/index.php/tutoriais/8-cisco/44-configurando-nat-em-firewall-ciscoasa-parte-1.html http://pt.wikipedia.org/wiki/NAT#Limita.C3.A7.C3.B5es http://pt.wikipedia.org/wiki/DMZ_(computa%C3%A7%C3%A3o) http://pt.kioskea.net/contents/protect/dmz-cloisonnement.php3 http://pt.wikipedia.org/wiki/Cavalo_de_Troia_(computa%C3%A7%C3%A3o) http://ajuda.uolhost.com.br/index.php?p=resposta&res=616#rmcl http://dicionario.babylon.com/log_file/ http://pt.wikipedia.org/wiki/Antispyware http://pt.wikipedia.org/wiki/Roteador http://pt.wikipedia.org/wiki/URL

18