Aula 02 SRC Final

Curso: SEGURANÇA EM REDES DE COMPUTADORES

Conteudista: Luis Claudio dos Santos

AULA 02

FIREWALL

Ao final desta aula você deverá ser capaz de:

1) Diferenciar filtros de pacotes e filtros de estado.

2) Explicar o funcionamento de um proxy.

3) Conceituar de DMZ (zona desmilitarizada).

Pré-requisitos

Como pré-requisitos para esta aula o aluno deverá ter conhecimentos no mínimo acadêmicos

sobre as redes de computadores (topologias, arquiteturas, funcionamento da internet,

protocolos da pilha TCP/IP, endereçamento IP, VLSM, entendimento dos cabeçalhos de

protocolos de rede e de transporte, portas de aplicação etc.).

1. A Defesa de Perímetro

Um perímetro é uma linha (imaginária ou não) que limita uma determinada área. No

nosso contexto, o perímetro de segurança da informação tem duas dimensões: uma lógica,

relacionada ao conceito abstrato da área que separa o atacante e a informação dentro da

rede; outra física, relacionada ao conceito concreto de limites fisicamente impostos para o

acesso à informação. No primeiro caso, o perímetro lógico é definido a partir da configuração

de roteadores, switches, servidores etc. No segundo caso, o perímetro físico é definido através

de barreiras impostas pelas próprias instalações da empresa (sala de servidores, hack,

gabinete do servidor etc.).

Figura 2.1: O firewall é o ponto único de contato entre as redes cujo tráfego é filtrado por ele.

E onde se é que encaixa o firewall nesta história? Ora, o firewall é a principal barreira

de perímetro do ponto de vista lógico. É o que veremos nessa aula seguir.

2. O que são Firewalls?

Talvez você já tenha lido ou ouvido definições incorretas de firewall parecidas com

esta: “um firewall é um equipamento colocado entre a rede de uma empresa e a internet para

impedir invasões e outros tipos de ataques.”

Em nossa aula precisamos trabalhar com um conceito mais preciso e formal (mesmo

por que, a definição acima possui erros graves...).

Um firewall é um equipamento?

Diagramação, por favor, deixar essa pergunta centralizada no texto.

Não, não é. Firewall é uma aplicação que pode ser executada em um roteador, em um

servidor (dedicado ou não) ou mesmo em uma máquina adquirida juntamente com o firewall

customizada pelo próprio fabricante para a sua execução (appliance). Portanto, firewall é um

sistema. Outra pergunta:

Um firewall sempre é colocado entre a rede de uma empresa e a internet?


Não necessariamente. Você pode muito bem usar o firewall para separar o tráfego

entre dois departamentos da sua empresa, entre um laboratório de testes e a sua rede

administrativa, entre a sua DMZ (veremos esse conceito mais a frente) e a sua intranet etc. O

firewall apenas separa duas redes com regras de acesso e segurança diferentes uma da outra.

Além disso, apenas para sermos um pouco mais rogorosos, o firewall não irá assegurar a

proteção dos ativos, pois isso depende de muita coisa.

Figura 2.2: Firewall entre duas redes. Nem sempre uma rede precisa ser externa à empresa.

Que tal escrevermos uma boa definição de firewall (formal e correta) que sirva aos

propósitos deste curso?


Vamos definir firewall como “uma aplicação localizada em um ponto único de contato

entre duas ou mais redes que executa políticas de negação ou de permissão de tráfego

conforme regras pré-definidas de comunicação entre usuários, aplicações, sistemas ou

equipamentos destas redes”. Ok. Ficou grande demais esta definição...

Vamos então apelar para uma definição simples e rigorosamente correta dada pela

norma ISO 27001: “firewall é um sistema ou combinação de sistemas que protege a fronteira

entre duas ou mais redes”.

Nossa definição é utilizada pelos principais autores que tratam deste tema e é,

obviamente, uma definição que está mais de acordo com a realidade prática da segurança de

redes e para as bases que precisamos estabelecer nesta aula antes de seguirmos adiante.

Normalmente haverá redes a serem protegidas (uma rede local interna, por exemplo)

e redes de onde se espera que partam a maioria das ameaças (uma rede externa como a

internet, por exemplo). Daí, uma questão importante que surge desta definição é a idéia de

ponto único de contato.

Um firewall precisa mesmo estar localizado no ponto único de contato entre as redes?


Sim... Claro que precisa! Precisa e é um erro básico não garantir isso. Perceba que esta

restrição é justamente o que garante que nenhum usuário, aplicação ou sistema de uma das

redes conseguirá acessar a outra sem passar pelo firewall. Caso contrário, de que adiantariam

todas as regras de segurança implementadas no firewall, não é mesmo?

Início da Caixa de Curiosidade

Na década de 1990 era comum em redes protegidas com firewall o setor de

informática das organizações adquirir computadores e retirar as suas placas de fax modem

antes de enviá-los aos usuários. Naquela época, o acesso doméstico à internet era feito de

forma discada e praticamente todas as máquinas eram fabricadas com estas placas. Retirar a

placa evitava que os usuários tentassem burlar as regras do firewall da organização (muitos

acessavam, de dentro da empresa, sites não permitidos pela política de segurança; ou, de suas

residências, as respectivas máquinas de trabalho na empresa para adiantar um relatório; etc.).

Hoje os novos computadores raramente vêm com placas de fax modem para realizar acesso

discado, mas isso não quer dizer que o problema tenha sido resolvido. Pelo contrário.

Fim da Caixa de Curiosidade

3. Vulnerabilidades dos Firewalls

Há vulnerabilidades inerentes ao conceito de firewall que dificilmente poderão ser

totalmente eliminadas (pelo menos não a um custo-benefício razoável). Estas vulnerabilidades

devem ser bem entendidas e administradas pelo pessoal de TI diretamente envolvido com a

segurança da informação na empresa.

o O firewall só consegue proteger o perímetro.

O firewall só protege o tráfego que passa por ele e, portanto, ele não protege uma

rede contra ataques vindos de dentro dela. As estatísticas sobre segurança variam

e às vezes não são totalmente isentas (principalmente aquelas geradas por

fabricantes de soluções). Apesar disso, todas são unânimes em um ponto: a

maioria dos ataques hoje em dia parte da rede interna (atenção para o significado

de interno no seu caso). Veremos a partir da próxima aula que várias outras

tecnologias auxiliam os firewalls neste sentido (IDSs etc.).

o O firewall não impede outros enlaces entre as redes.

O firewall não pode analisar tráfego que não passa por ele. Ora, isso você já sabe...

Algo que você talvez ainda não tenha analisado é o fato de que a quantidade de

furos nas redes modernas aumenta a cada dia. O que antes se resumia a alguns

acessos discados feitos por usuários mais avançados, hoje pode ser feito através

de uma série de dispositivos USB, aparelhos celulares etc. sem muito

conhecimento de TI. Um único ponto de acesso a outras redes que não passa pelo

firewall significa uma vulnerabilidade que torna inócua toda segurança

implementada por ele. E, infelizmente, a simples implementação de um firewall

não resolve esta questão.

o Há como causar danos a uma rede sem transpor o firewall.

Ataques de DoS ao firewall podem prejudicar a rede protegida, uma vez que todo

o tráfego deve passar por ele. Fica óbvio perceber que não é preciso transpor o

firewall para causar incidentes de segurança da informação na sua empresa. Basta

atacar o próprio firewall. Perceba que esta máquina – obviamente – deve ser uma

máquina adequadamente administrada.

o O firewall precisa de portas abertas.

Este é um paradigma que não pode ser mudado. O firewall não existe para impedir

a passagem do tráfego; mas, sim, para selecionar o que passa e o que não passa.

Ou seja, algo deverá passar... É possível um ataque se basear em algum tipo de

tráfego permitido pelo firewall? Absolutamente sim! Basta refletir um pouco que

grande parte dos problemas relacionados aos códigos maliciosos que vimos na

Aula 01 depende da passagem de tráfego web (HTTP, porta 80/TCP) e de e-mail

(SMTP, porta 25/TCP; POP, porta 110/TCP e IMAP, porta 143/TCP). Todas estas

portas costumam estar abertas, pois, para o firewall, trata-se de um tráfego em

princípio legítimo.

o Um firewall precisa tomar decisões com base em informações parciais.

Este é outro paradigma que não deve mudar tão cedo. Sempre existe um limite até

onde o firewall pode segurar um pacote, atrasando a recepção, enquanto o

analisa. Com relação ao item anterior (o firewall precisa abrir algumas portas) você

poderia pensar na seguinte solução: “O firewall pode analisar todo o tráfego com

um anti-vírus antes de aceitá-lo.” Sinto muito, mas este tipo de firewall não

ganharia muito mercado. A latência introduzida por ele seria inviável para a

maioria das redes atuais. Na verdade, veremos que há firewalls que possuem um

comportamento próximo desta idéia, mas respeitando o limite onde o “remédio

passa a ser pior que a doença”. Porém, há vários ataques que se especializaram

em mostar a parte do tráfego que parece inocente aos olhos do firewall e esconder

a sua porção maliciosa na parte dos dados que ele não enxerga.

4. Tipos de Firewalls

Nesta seção vamos classificar os firewalls de acordo com as suas funcionalidades e

vamos aproveitar também para explicar um pouco a sua evolução. Ambas as idéias se

confundem um pouco, embora existam até hoje exemplos de uso de todos os tipos de

firewalls que veremos. Ou seja, por várias razões, um tipo de firewal tido como mais moderno

(por ter surgido como resultado da evolução tecnológica) não substituiu completamente o uso

dos outros tipos que vieram primeiro.

Pois bem, nesta seção iremos estudar quatro tipos de firewalls, a saber: listas de

acesso, firewalls stateless, firewalls stateful e proxies. Fique atento às características de cada

um e procure fixar as principais vantagens e desvantagens relacionadas ao seu uso.

4.1. Listas de acesso em roteadores

As primeiras implementações surgiram nos roteadores para filtrar pacotes que

passavam por estes equipamentos. As regras eram inseridas em uma lista através da

interface de comandos dos roteadores e eram lidas sequencialmente exatamente na

ordem em que eram inseridas. Qualquer alteração (inserção ou retirada de uma regra)

implicava, quase sempre, a necessidade de apagar a lista inteira e recriá-la. Não havia

nenhuma interpretação de estado de conexão e, por isso, todos os pacotes de uma

sessão precisavam ser interpretados como se eles fossem o primeiro pacote, mesmo

que se tratasse apenas do restante da informação de uma conexão já iniciada (e,

portanto, de acordo com as regras de acesso do firewall).

• Vantagem

A grande vantagem do uso deste tipo de firewall reside no fato de que não

é preciso adquirir um novo equipamento para implementar regras de

acesso simples. Se o roteador da empresa permite a implementação de

access-lists (que é o caso de toda a linha de roteadores dos grandes

fabricantes) as regras de firewall podem ser implementadas já na

entrada/saída da rede.

• Desvantagem

Os roteadores possuem uma função primordial na internet: rotear pacotes

o mais rapidamente possível. Assim, é extremamente aconselhável evitar

implementação de qualquer outra tarefa nestes equipamentos, sob pena

de introduzir uma latência inaceitável para certas aplicações. Roteadores

lentos (por deficiência de hardware, má configuração ou excesso de

tráfego) causam transtornos na internet, pois várias redes podem ser

prejudicadas pela sua lentidão. Assim, na medida em que a necessidade

de tratamento do tráfego fica mais complexa, se torna menos

aconselhável implementar todas as regras nos roteadores.

Início da caixa de verbete

Latência – A latência em uma rede depende de vários fatores. É resultado do tempo

necessário para que os bits viajem pelos cabos, do tempo necessário para interpretar os

pacotes em cada roteador, do tempo que as máquinas envolvidas levam para interpretar o

quadro etc.

Fim da caixa de verbete

Atualmente as listas de acesso ainda são usadas em roteadores de borda com

poucas mudanças com relação à sua primeira implementação. Quando a lista de

acesso causa latência inaceitável ao tráfego neste caso, apenas uma rede é

diretamente afetada e o administrador poderá agir prontamente.

Início da caixa de verbete

Roteador de borda – é aquele que separa uma rede de outras onde está presente uma

infraestrutura de roteamento mais complexa. Ele possui uma interface voltada para a rede

local, onde os pacotes podem seguir para o destino sem necessidade de roteamento adicional,

e outra interface voltada para o lado visto como externo, que normalmente é a internet.

Fim da caixa de verbete

4.2. Filtros de pacote (firewall stateless)

Filtros de pacote recebem vários outros nomes: firewall stateless, filtros sem

estado, filtros estáticos etc. Na evolução dos firewalls eles foram uma evolução natural

das listas de acesso. Na verdade, nem podemos dizer que se tratava, a rigor, de uma

evolução, pois o que as listas de acesso fazem é exatamente o mesmo que os filtros de

pacote fazem. A característica principal deste tipo de firewall é o fato de que as regras

se baseiam na análise de informações existentes nos campos dos cabeçalhos dos

protocolos de rede (IP ou ICMP) e de transporte (TCP e UDP). Ora, mas isso foi o que

vimos quando falamos de listas de acesso... Onde está a diferença então? A diferença

está, principalmente, na localização do firewall. Chamamos de filtros de pacotes os

firewalls que executam a função de aplicação de regras em equipamentos dedicados.

Foi com o advento deste tipo de firewalls que o seu uso começou a deslanchar.

• Vantagem

Esta solução é mais escalável, pois o hardware onde o firewall foi

instalado pode ser mais facilmente alterado para se adaptar à quantidade

de tráfego a ser filtrado, novas portas podem ser facilmente inseridas para

criar DMZs etc. Isso porque normalmente é mais fácil e barato realizar

upgrades de hardware dos servidores do que dos roteadores. Além disso,

os softwares para filtragem de pacotes evoluem mais rapidamente que as

listas de acesso em roteadores a fim de permitir a aplicação de regras com

base em mais campos, mais cabeçalhos, mais protocolos etc. Neste ponto,

as listas de acesso em roteadores são bem mais limitadas, até porque

garantir a segurança da rede não é a função principal destes

equipamentos.

• Desvantagem

A segurança do firewall implementado em hardware dedicado

depende da existência de um sistema operacional instalado nesta

máquina. Ou seja, é necessário, antes, instalar e configurar um sistema

operacional para, depois, instalar e configurar um firewall. A conseqüência

disso é óbvia: se o sistema operacional for invadido, o firewall estará

comprometido, ou seja, a quantidade de vulnerabilidades aumenta muito

e o firewall fica suscetível a diversos ataques. Os sitemas operacionais de

roteadores são bem limitados e isso tem um lado bom: menor número de

vulnerabilidades a serem exploradas.

Para evitar a instalação de seus firewalls em sistemas operacionais mal

configurados, alguns fabricantes vendem suas soluções já instaladas em

hardwares específicos chamados appliances.

Início da caixa de Verbete

Appliance - é o nome que os fabricantes dão a um hardware com sistema operacional

customizado, previamente instalado e configurado com as funções necessárias à manutenção

de seu software. Deste modo, boas aplicações de firewall, por exemplo, não têm a sua

credibilidade afetada pela instalação em sistemas mal configurados.

Fim da caixa de Verbete


Alguns desenvolvedores são mais rigorosos e não confiam a ninguém a instalação do

sistema operacional onde os seus produtos serão executados. Estes fabricantes comercializam

firewalls apenas nas versões appliance. Outros desenvolvedores possuem versões para

instalação em um sistema e versões já instaladas em appliances (normalmente mais caras).

Exemplos de firewalls que são vendidos em appliances são o Firewall-1 (da Check Point) e o

ASA (da Cisco Systems).


4.3. Filtros de estado (firewall stateful)

Filtros de estado recebem vários outros nomes: firewall stateful, filtros com

estado, filtros dinâmicos etc. Os filtros de estado representaram uma evolução com

relação às listas de acesso e aos filtros de pacote. Estes firewalls permitem

implementar políticas com base na relação que os pacotes de uma mesma conexão

guardam entre si. Este relacionamento é registrado através de parâmetros

armazenados no que esta tecnologia chama de “tabela de estado” das conexões ativas.

A figura 2.3 representa um esquema básico do funcionamento dos filtros de

estado. Note que a tabela de estado cumpre um papel importantíssimo juntamente

com as regras do firewall. Cada pacote é analisado a fim de saber se ele é um novo

pacote solicitando abertura de conexão ou se ele é um pacote referente a uma

conexão já ativa. Pacotes que fazem parte de uma conexão já iniciada não precisam

passar novamente pelo filtro das regras de negação ou permissão de acesso. Por outro

lado, novos pacotes solicitando aberturas de conexão poderão ser negados (reject ou

drop) ou aceitos (accept).

Figura 2.3: Esquema de uso de uma tabela de estado pelo firewall stateful.

Ilustração, por favor, refazer o esquema. Diagramação, deixar ao lado direito do

texto.

• Vantagem

Os filtros de estado permitem maior granularidade na filtragem do

tráfego, uma vez que permitem avaliar, além dos parâmetros das camadas

mais baixas, o relacionamento entre pacotes pertencentes a uma mesma

conexão.

Outra vantagem que costuma ser apontada é o fato de que este tipo

de firewall é mais rápido que os firewalls stateless. Os filtros de estado

ganham velocidade ao analisar as regras de firewall apenas para pacotes

que iniciam conexões (que correspondem a uma pequena parte do

tráfego). Todos os pacotes subseqüentes (que não iniciam conexão)

precisarão apenas ser analisados segundo a tabela de estado a fim de

verificar se o pacote é referente a uma conexão já em andamento ou não.

Parte-se do princípio de que é mais rápido analisar alguns parâmetros da

tabela de estados do que todas as regras aplicadas no firewall (embora

isso seja relativo, pois depende de quantas regras existem no firewall e de

quantas conexões abertas existem na tabela).

Determinar se o pacote pertence a uma conexão já aberta depende da

análise de informações que caracterizam uma “conexão” na tabela de

estado, tais como: IP de origem e de destino, portas de origem e de

destino, flags IP, flags TCP etc. Quando tais informações são iguais, o

firewall admite que os pacotes pertencem à mesma conexão. Filtros de

estado conseguem registrar, inclusive, conexões que utilizam protocolo

UDP na camada de transporte (ou pseudo-conexões, uma vez que o

conceito de conexão não se aplica diretamente ao protocolo UDP). Isso é

conseguido através do uso de vários parâmetros para caracterizar uma

conexão

• Desvantagem

Quando comparados aos filtros de pacote, os filtros de estado

costumam ser mais caros, uma vez que implementam um tipo de filtragem

mais sofisticada.

Os filtros de estado são mais seguros que os filtros de pacote, pois

guardar o estado de conexões em andamento ajuda a evitar vários tipos

de ataque (como os ataques de spoofing). Lembre-se de que os filtros de

pacote, por outro lado, analisam cada pacote isoladamente como se não

houvesse absolutamente nenhuma relação entre eles.

Apesar de haver vantagnes óbvias dos filtros de estado com relação aos filtros de

pacote, tenha em mente que segurança da informação é algo relativo. Nem sempre a

vantagem reside na escolha de um ou de outro tipo de firewall em si; mas, sim, na

solução completa que se mostrar a mais apropriada para as necessidades da empresa.

Tenha bastante cuidado na hora de decidir entre estes dois tipos de firewalls e sempre

“coloque na balança” a relação custo-benefício de ambos.

Devemos ressaltar que existem características comuns aos filtros de estado e aos

filtros de pacotes. Por exemplo, o fato de que ambos são transparentes para os

usuários, ou seja, não é feita autenticação do usuário e as conexões são estabelecidas

diretamente entre as extremidades que se comunicam após a aceitação do tráfego

pela regras de firewall. Ou seja, o tráfego aceito apenas atravessa o firewall.

Outra semelhança é que ambos não analisam os dados da aplicação, ou seja, a

análise vai até, no máximo, o cabeçalho da camada de transporte. Veremos na

próxima seção que esta é a principal diferença entre os firewalls (sejam stateful ou

stateless) e os proxies.

Figura 2.4: Os filtros de pacote e de estado interceptam o tráfego na camada de rede e o

analisam com base nos dados da camada de rede e de transporte.

Ilustração, refazer essa imagem. Os termos em inglês devem ser traduzidos, segue a lista:

Aplication – Apresentação; Presentation – Apresentação

Session – Seção Transport – Transporte

Network – Rede Data Link – Enlace

Physical – Física Dynamic State Tables – Tabelas de Estado

Início da Atividade

Atividade 01 - Objetivo 01

Você está envolvido em uma implementação de firewall e sua equipe discute sobre a

implementação de um filtro de pacotes ou de estados. No final, chega-se à conclusão de que o

filtro de pacotes é mais adequado por causa de sua eficácia e eficiência maiores. Esta decisão

foi correta? Explique.

Quantidade de Linhas: deixar 08 linhas.

Resposta

Eficácia está relacionada ao nível de segurança; eficiência, com a repidez na filtragem.

Para dizer que o filtro de pacote é mais seguro (eficaz) é necessário que o tráfego da rede

necessite guardar estados de conexões. Em alguns casos, apenas filtros de pacotes ou listas de

acesso (ambos sem estado) fornecem segurança suficiente. Por outro lado, com relação à

eficiência, a rapidez de um e de outro tipo de filtro depende do tipo de tráfego que circula na

rede e dos parâmetros que compõem as informações da tabela de estado. Enfim, em termos

absolutos, o filtro de pacote tende a ser mais rápido e mais eficiente que o filtro de estado e,

portanto, mais caros. De qualquer modo, é sempre bom analisar prós e contras e um item

importante nesta discussão sempre é o custo envolvido.

Fim da Atividade

Início da Caixa de Multimídia

O conceito de firewall stateful (filtros de estado) surgiu em 1991 e os créditos da sua

invenção normalmente são dados à empresa Check Point (fabricante do Firewall - 1). Uma boa

descrição desta tecnologia pode ser vista em http://www.checkpoint.com/products/firewall-

1/firewall-1_primer.html. Página acessada em 10 de novembro de 2010.

Fim da Caixa de Multimídia

4.4. Proxies (application firewalls)

Os proxies também são chamados de firewalls de aplicação, gateways de

aplicação, proxy de aplicação etc. Os proxies são sistemas que possibilitam maior

granularidade para a tomada de decisões de bloqueio ou permissão de tráfego. Um

proxy pode fazer tudo o que os filtros de pacote e de estado fazem e, além disso,

desempenhar funções diretamente ligadas à análise da aplicação. Na verdade, a rigor,

o proxy é apenas a parte do software que executa a análise do campo de dados da

aplicação. Portante, um proxy que também aplica filtros baseados em regras conforme

vimos nas seções anteriores (stateful ou stateless) é, na verdade, um sistema com

funções de proxy e de filtro de estados e/ou de pacotes. Em sistemas Linux, por

exemplo, encontramos exemplos claros de como estas funções podem ser divididas e

executadas por aplicações diferentes: o IPTables exerce as funções de firewall e o

SQUID exerce as funções de proxy.

Figura 2.5: Conexões atravessam o firewall, mas não o proxy.

Uma definição formal de proxy que vamos usar neste curso é: “um programa que

lida com servidores externos no lugar de clientes internos.” O cliente se comunica com

servidor proxy e este, por sua vez, encaminha as requisições dos clientes (desde que

aprovadas) para os servidores reais na rede externa; as repostas destes servidores

externos são, posteriormente, encaminhadas de volta aos clientes. Em resumo, as

conexões dos clientes terminam nele e é o proxy que, de fato, se comunica com o

mundo externo em lugar dos clientes.

• Vantagem

Temos uma série de vantagens oriundas do fato de que o proxy

consegue enxergar os dados das aplicações. Por exemplo, a possibilidade

de autenticação dos usuários que queiram navegar na internet. Outra

vantagem que torna mais seguro o acesso à internet é o fato de que

nenhuma conexão é estabelecida entre uma máquina da rede interna e

uma máquina externa. O proxy não funciona como uma ponte por onde o

tráfego passa; ele funciona como uma espécie de despachante que recebe

as solicitações e inicia, ele próprio, conexões com o mundo externo (e vice-

versa).

• Desvantagem

Se por um lado o uso dos proxies aumenta a segurança da rede

impedindo qualquer comunicação direta entre máquinas internas e

máquinas externas; por outro, ele aumenta a latência da rede. Assim, o

hardware de equipamentos que executam proxies precisa ser rápido e

robusto. Além disso, este tipo de solução não é transparente para o

usuário, necessitando, normalmente, de uma etapa de autenticação

(usuário/senha). Porém, isso está de acordo com a máxima da segurança

da informação: quanto maior a segurança, menor a funcionalidade do

ponto de vista do usuário. Paciência.


Atividade 02 - Objetivo 02

Uma equipe responsável por montar o projeto de arquitetura de duas redes da mesma

empresa entre as quais será instalado um firewall. A discussão gira em torno de se instalar um

firewall de aplicação e um filtro de pacotes e todos os argumentos giram em torno da

eficiência na filtragem. Como resolver a questão?


Resposta

Há muitas diferenças entre o filtro de pacotes e o firewall de aplicação além da

eficiência, a saber: custo, transparência para o usuário, autenticação do usuário, arquitetura

pretendida (veremos na próxima sessão), entre outras. Perceba ainda que, como se trata de

separar duas redes da mesma organização, as regras de acesso provavelmente serão mais

brandas que as do firewall instalado entre a empresa e a internet. Logo, para resolver a

questão, vários outros parâmetros ainda precisam ser discutidos a fim de que fique clara a

escolha mais adequada para o cenário da organização. Por exemplo, o volume de tráfego entre

as redes e as exigências quanto a taxas de transmissão, latência etc.

Fim da Atividade

5. Regras de Seleção e Políticas

Em geral, as regras de firewall são baseadas em critérios de seleção e políticas que

definem a ação a ser executada. A seleção pode se basear em várias informações, dependendo

do tipo de firewall (stateless, stateful ou proxy) e as políticas normalmente envolvem a

aceitação ou não do tráfego analisado.

A seguir, listamos exemplos entre os muitos critérios de seleção possíveis (alguns já

mencionados nas seções anteriores). Dependendo da sintaxe, um tráfego pode ser

selecionado por uma regra (dizemos que houve um match entre a regra e o tráfego analisado)

quando há coincidência de:

o IP da máquina ou da rede de origem (rede inteira, ou parte dela);

o IP da máquina ou da rede de destino (rede inteira, ou parte dela);

o Protocolos de camada de rede (IP, ICMP etc) ou transporte (TCP, UDP etc.);

o Flags IP (D, T e R do campo type-of-service), flags TCP (URG, ACK, PSH, RST, SYN e

FIN) e outros tipos de flags (fragmentação do IP etc.);

o Portas de origem e de destino;

o Perfil de usuário;

o Perfil de aplicação;

Observe as três regras abaixo, cuja política é a de permissão do tráfego que coincida

com os critérios de seleção (match):

o permit tcp 192.168.0.0 0.0.255.255 host 192.168.4.2 eq 80

o permit tcp 192.168.0.0 0.0.255.255 host 192.168.4.2 eq 21

o permit icmp 192.168.0.0 0.0.255.255 host 192.168.4.2

A primeira e a segunda regras permitem todo tráfego originado na rede

192.168.0.0/16 destinado às portas 80 (HTTP) e 21(Telnet), respectivamente, da máquina

192.168.4.2. A terceira regra permite tráfego ICMP (ping, trace etc) originado na rede

192.168.0.0/16 para a máquina 192.168.4.2. Podemos dizer que este firewall confia na rede

192.168.0.0/16.

Figura 2.6: Exemplo de visualização da lista de acesso “minha_lista” em um roteador.

Ilustração, por favor, refazer essa imagem.

Além da política de permissão (permit) a ação aplicada nos casos anteriores poderia

ser a de não aceitação do tráfego. Neste caso, as regras poderiam começar com reject ou drop.

Assim, o comportamento dos firewalls de acordo com cada política pode ser:

o Permit (Accept ou Allow)

Os pacotes são aceitos e uma nova entrada é criada na tabela de estados para

registrar esta nova conexão.

o Reject (Allert)

Os pacotes são descartados e uma mensagem ICMP é enviada à sua origem

informando sobre o descarte.

o Drop (Deny ou Discard)

Os pacotes são descartados de forma silenciosa, ou seja, nenhuma mensagem é

enviada à sua origem.

Você notou que há duas formas de descartar um pacote: reject e drop? E deve estar se

perguntando: qual delas é a melhor?

Claro que se a sua intenção é garantir maior grau de segurança, o drop é mais

indicado; a última coisa que você deve fazer é dar informações adicionais a um possível

atacante. Além disso, o reject consome mais recursos do firewall, pois é necessário gerar uma

resposta para cada pacote descartado. O drop costuma ser utilizado em firewalls recém

instalados (ou mesmo quando novas regras são adicionadas) para depurar problemas de

configuração e validar o seu funcionamento.

Devemos ressaltar ainda que os termos accept, drop e reject não são padronizados e,

por isso, variam um pouco em algumas bibliografias e os fabricantes tendem a usar termos

distintos (ou inventar os seus próprios termos). Alguns exemplos de termos usados:

o Para aceitar: accept, permit, allow etc.

o Para não aceitar sem aviso à origem: drop, deny, discard etc.

o Para não aceitar com aviso à origem: reject, alert etc.

Assim, você deve ficar atento quanto a isso e procura estudar a documentação do

sistema a fim de determinar o comportamento do firewall quando ele rejeita ou aceita um

pacote aplicando uma determinada política. Em resumo, na prática, para um firewall que está

completamente instalado, configurado e em produção, recomenda-se a política mais silenciosa

possível. Isso lhe trará maior segurança e desempenho.

6. Topologias de Firewalls

Uma dúvida comum quando começamos a estudar firewalls é sobre a sua localização

na rede (topologia) e sobre as implicações de configuração e uso que esta localização poderá

trazer (arquitetura). Pelo que estudamos até agora, você obviamente já deve ter uma idéia da

localização mais adequada destes sistemas (até mesmo pela nossa definição do que é um

firewall). Foi visto que um firewall é, na vedade, um sistema e não um equipamento. Como é

um sistema, ele pode ter suas funções distribuídas em mais de uma máquina e a localização

pode varia ligeiramente (sempre mantendo a idéia de estar situado no ponto único de contato

entre as redes envolvidas). A classificação que adotaremos neste curso é largamente utilizada

como base para outras bibliografias sobre o assunto e até mesmo por fabricantes deste tipo de

sistemas. Segue um resumo das principais topologias utilizadas, bem como uma descrição

breve das implicações sobre as arquiteturas correspondentes.

Início da caixa de multimídia

Você pode acessar o conteúdo do livro Building Internet Firewalls, 2ª edição (Elizabeth

D. Zwicky, Simon Cooper e D. Brent Chapmanrent, editora O´Reilly) através do link

http://docstore.mik.ua/orelly/networking_2ndEd/fire/index.htm. Este livro traz um

detalhamento formal das três arquiteturas apresentadas. Página acessada em 10 de novembro

de 2010.

Fim da caixa de multimídia

6.1. Dual Homed Host

Neste tipo de topologia o firewall possui duas interfaces de rede: uma

conectada à rede interna (por exemplo, a rede administrativa da sua empresa); outra

conectada à rede externa (por exemplo, a internet).

Observe que se a topologia escolhida for esta, o adminstrador poderá optar

por duas arquiteturas distintas. Por um lado, devido à sua localização, é possível

habilitar as funções de roteamento no próprio sistema de firewall. Se as funções de

roteamento estão presentes, o firewall poderá funcionar como filtro de pacote ou de

estado.

Figura 2.7: Esquema da topologia dual homed host.


Por outro lado, se nenhum tipo de roteamento de pacotes de uma rede para

outra estiver sendo realizado no firewall, este sistema deverá executar funções de

proxy. E necessário um roteador para fazer a passagem de pacotes de um lado para o

outro. Porém, o uso de um computador com funções de proxy e de um outro

equipamento com funções de roteamento permite adotar uma topologia mais robusta

chamada screened host. A topologia screened host é assunto de nossa próxima seção.

o Uso recomendado da topologia dual homed host

Esta topologia é aconselhada apenas quando o fluxo de tráfego entre as

redes é pequeno e não contém informações críticas ou dados sigilosos; ou

seja, apenas quando as restrições de segurança são mais simples e alguns

riscos podem ser aceitos pela organização.

6.2. Screened Host

Neste tipo de topologia o sistema de firewall é implementado pelo roteador e

pelo computador denominado bastion host.

Todo o tráfego dos clientes (ou para os clientes) deve passar pelo bastion host.

Perceba que o roteador exerce função central bloqueando qualquer tentativa de

acesso das máquinas da rede interna diretamente para a rede externa (ou vice-

versa, dependendo de qual rede se quer proteger) sem passar pelo bastion host.

No exemplo a seguir a rede externa é a internet e a rede interna é uma rede local

de uma empresa.

Figura 2.8: Esquema da topologia screened host.


Início da Caixa de Verbete

Bastion host - é um computador que desempenha atividades sensíveis na rede e que,

por isso, possuem requisitos de segurança diferenciados. Normalmente bastion hosts são

máquinas que aceitam conexões vindas da rede externa e são configuradas de forma a serem

mais robustas contra ataques de qualquer espécie.

Fim da Caixa de Verbete

Muita atenção para este conceito! Perceba que, formalmente, o roteador de

borda é responsável por algumas funções de filtro e, portanto, o sistema de

firewall neste caso é composto por dois equipamentos: o roteador e o bastion

host.

Esta topologia possui o inconveniente de o bastion host estar localizado na

mesma rede em que estão as outras máquinas da organização (rede interna). O

roteador de borda precisa então anunciar para a rede externa (no caso, a internet)

os endereços locais para que o bastion host passe a ser conhecido. Isso aumenta o

número de ameaças potenciais. Além disso, qualquer comprometimento do

bastion host permitirá acesso direto e imediado do invasor à rede local.

Esta topologia normalmente é acompanhada de uma arquitetura onde o

bastion host exerce funções de proxy e, ocasionalmente, funções de filtro de

estado (stateful) e o roteador de borda exerce funções de filtro de pacote

(stateless) através de listas de acesso (access-lists).

o Uso recomendado desta topologia

Quando as restrições de segurança são intermediárias. Esta é uma solução

que fornece maiores possibilidades de implementação de barreiras de

perímetro com relação à topologia dual homed host vista na seção

anterior. Porém, ela ainda é menos segura e robusta que a solução

screened subnet, que veremos na próxima seção.


NP.: Sugiro colocar esse trecho grifado como um verbete lá perto do termo em negrito e aqui

colocar o restante do texto, como informação adicional. [Ok.]

Uma definição formal de bastion host também poderia ser: “um sistema identificado

como ponto crítico à segurança da rede e que merece atenção especial.” Por atenção especial

entenda-se: auditorias regulares de logs, utilização de softwares como IDS e IPS, configurações

mais seguras (hardening), restrições de acesso local (login como administrador etc.), limitação

de recursos para instalar novos programas etc. Você pode ler mais sobre este tema em

http://docstore.mik.ua/orelly/networking_2ndEd/fire/ch10_01.htm. Esta página foi acessada

em 10 de novembro de 2010.


6.3. Screened Subnet

Neste tipo de topologia o sistema de firewall é implementado por dois

roteadores e pelo bastion host. Ou seja, há dois equipamentos executando funções de

filtro. O primeiro protege a rede onde está localizado o bastion host. O segundo

protege a rede local.

Figura 2.9: Esquema da topologia screened subnet.


Perceba que o nível de segurança aumenta muito, pois ter acesso à rede do

bastion host não significa ter acesso direto à rede interna (o que é fato nas duas outras

topologias estudadas). Assim, o que é feito nesta topologia é retirar o bastion host da

parte interna da rede criando um segmento exclusivo para esta máquina.

Note, por exemplo, que o rotedor mais externo anuncia para a internet apenas

endereços da rede do bastion host e que, por isso, os endereços internos ficam

“escondidos” aumentando bastante a proteção das máquinas da rede local.

Esta topologia normalmente é acompanhada de uma arquitetura onde o bastion

host exerce funções de proxy e, ocasionalmente, funções de filtro de estado (stateful).

Além disso, ambos os roteadores (o externo e o interno) exercem funções de filtro de

pacote (stateless) através de listas de acesso (access-lists). Perceba que é um duplo

grau de segurança no nível de rede, além da segurança nas camadas superiores

implementada pelo bastion host.

o Uso recomendado desta topologia

Esta é a solução que fornece mais possibilidades de implementar barreiras

de perímetro aumentando a segurança. Esta topologia é a mais

recomendada quando se quer criar uma DMZ, por exemplo. O único

inconveniente a se considerar é o custo de implementação e manutenção

que é obviamente maior que o das topologias dual homed host e screened

host.

7. DMZ

DMZ é a sigla para zona desmilitarizada em inglês (demilitarized zone). A DMZ é uma

pequena rede situada entre uma rede tida como confiável e uma rede tida como não

confiável.

Figura 2.10: DMZ usando um firewall com três interfaces de rede.


Quando estudamos os firewalls, você deve ter notado que todos os nossos exemplos

citavam situações onde conexões eram iniciadas a partir de clientes internos para servidores

externos. Você acha que clientes externos podem solicitar conexões para servidores internos?

Sim, claro que podem. Porém, você concorda que estes servidores internos estão

sujeitos a regras de acesso diferentes das regras a que se sujeitam as máquinas clientes da

rede interna? É justamente por isso que surge a necessidade da criação de DMZs: para que tais

servidores possam ser localizados em um ponto da rede onde é possível se chegar passando

por regras de acesso menos restritivas.

Perceba que as regras de acesso no caso da DMZs são menos restritivas; agora, ao

contrário do que acontecia com as máquinas da rede local interna, passam a ser aceitos

pacotes destinados à DMZ solicitando abertura de conexão (bit SYN igual a “1”).

Assim, a DMZ permite que máquinas da empresa funcionem como servidores de

correio eletrônico (POP/IMAP e SMTP), web (HTTP), de arquivos (FTP etc.), de acesso remoto

(SSH, Telnet etc.) separados da rede local, limitando assim o potencial dano em caso de

comprometimento de algum destes servidores. Perceba que, ao contrário do que se possa

imaginar, com relação à posição na arquitetura da rede, as máquinas da DMZ estão mais

vulneráveis que as máquinas locais. Para garantir a proteção da rede interna, os servidores na

DMZ não devem ter nenhum tipo de acesso permitido à rede local.

Note, por último, que há várias formas de implementar uma DMZ. A idéia básica é

conseguir construir um novo segmento na topologia da rede a partir do que antes era

chamado de parte interna da rede: um segmento permanece sendo usado pelas máquinas da

rede local e o novo segmento será usado pelos servidores que formarão a DMZ.

Figura 2.11: DMZ usando dois firewalls, cada um com duas interfaces de rede.


Nesta seção apresentamos duas topologias possíveis conforme esquematizado nas

figuras. A vantagem da topologia que utiliza apenas um firewall com três interfaces de rede

(figura 2.10), obviamente, é o seu custo reduzido. Porém, a maior desvantagem é o fato de

que uma vez que o primeiro firewall tenha sido invadido, tanto a DMZ quanto a sua rede

interna estará comprometida (haja vista que o primeiro firewall é também o último).

Já a topologia baseada em dois firewalls (figura 2.11), tem a segurança como grande

aliada, pois o comprometimento de um dos firewalls, não compromete as máquinas internas.

Neste caso o atacante precisará vencer um segundo firewall. Em alguns ambientes onde esta

topologia é utilizada são usados firewalls de diferentes fabricantes para dificultar ainda mais a

invasão (invadir um primeiro sistema não significa ter encontrado uma forma fácil de invadir o

segundo). Note que este tipo de DMZ é um exemplo de implementação da arquitura screened

subnet que estudamos anteriormente.


Em termos militares, uma zona desmilitarizada (DMZ) é uma area entre duas ou mais

regiões onde a atividade militar não é permitida. Em geral são estabelecidos acordos de paz

definindo termos de proibição das atividades bélicas. Muitas vezes as zonas desmilitarizadas

ficam em fronteiras internacionais entre países (mas não necessariamente). Podemos citar

exemplos: uma DMZ com largura de 2.5 km entre a Sérvia e Kosovo (criado por causa dos

conflitos dos Balcãs); uma DMZ coreana que separa os dois estados da península da Coreia

(criada pelas ONU em 1953 permitindo um cessar-fogo na Guerra da Coreia); entre outras.



Atividade 03 – Objetivo 03

Sua empresa possui vários servidores que precisam ser acessados por usuários a partir

da internet. A equipe responsável pela administração da rede opta por uma topologia que

utiliza dois equipamentos: um roteador configurado em uma máquina que estava sem uso e

outro equipamento que será o firewall.

a) Que arquitetura foi escolhida?

b) Que cuidados a equipe deve ter com relação a este roteador?


Resposta

A arquitetura escolhida foi a screened subnet. Formalmente falando, conforme vimos

em nossa aula, o sistema de firewall é composto pelos três equipamentos nesta arquitetura: os

roteadores (que geralmente implementa alguns filtros básicos) e o bastion host (que

normalmente implementa um ou mais proxies). Nesta arquitetura um cuidado que se deve

tomar é com relação à latência da rede. Os roteadores são pontos em série com todo o

tráfego, ou seja, se ele parar ou ficar congestionado, toda a comunicação com a rede interna

pára. Um cuidado mais especial se deve ter ao transforma um PC em roteador de produção,

pois seu hardware não foi customizado para tal (confiabilidade das interfaces de rede, funções

desnecessárias no sistema operacional, maior número de vulnerabilidades a serem exploradas

etc.)

Fim da Atividade

8. Firewalls Pessoais

Uma boa definição para firewall pessoal é: "trata-se de um aplicativo que intercepta

conexões de entrada e de saída em um computador pessoal e decide quais conexões podem

ser aceitas e quais podem ser recusadas de acordo com regras definidas pelo usuário."

É importante que você note duas diferenças básicas nesta definição com relação à

definição de firewall que você já possui.

Em primeiro lugar, a configuração do firewall pessoal será feita (com algumas

exceções) pelo usuário de uma máquina do tipo desktop, ou seja, os fabricantes destes

programas prezam (muito) pela facilidade de uso e configuração. Logo, não espere encontrar

nestes softwares funcionalidades avançadas de filtragem de tráfego.

A segunda diferença é óbvia: este firewall é instalado em uma máquina cliente onde o

usuário, geralmente, tem mais liberdade para executar aplicativos, ler e-mails, navegar na

internet etc. o que facilita a infecção por vírus ou outros tipos de códigos maliciosos, conforme

vimos na Aula 01. Porém, não há como evitar isso e este fato torna mais complexa a tarefa

destes programas pessoais. Por isso, normalmente, grandes fabricantes de anti-vírus

desenvolvem e comercializam versões de firewalls pessoais acompanhadas de seus softwares

de anti-vírus.


Há sites na internet que promovem testes dos firewalls pessoais mais populares e

geram rankings classificando-os de acordo com diversos critérios. Nestes sites, além de obter

uma lista dos principais firewalls pessoais, você pode obter informações para ajudar na sua

decisão sobre que firewall adquirir. Alguns links onde você pode encontrar informações deste

tipo são o http://www.matousec.com/projects/proactive-security-challenge/ e o

http://en.wikipedia.org/wiki/comparison_of_firewalls.

Além disso, caso você queira estudar um pouco mais sobre a teoria destes programas, acesse o

site http://www.rnp.br/newsgen/0201/firewall-pessoal.html. Estas páginas foram acessadas

em 10 de novembro de 2010.


9. Conclusão

Os conceitos vistos nesta aula abrangem tudo o que é necessário para o bom

entendimento deste curso. Os quatro tipos de firewalls estudados (listas de acesso, filtros de

pacotes, filtros de estado e proxies) são os mais comumente listados na literatura. E você deve

procurar garantir que não restam dúvidas sobre as diferenças e semelhanças com relação a

cada um deles. Tudo isso será importante, por exemplo, para o entendimento dos conceitos de

VPN e IDS que veremos nas Aulas 03 e 04, respectivamente. Estas são tecnologias que

possuem conceitos intimamente relacionados com os conceitos de firewall.

A propósito, você percebeu que, pela própria definição, um firewall deve ter no

mínimo duas interfaces de rede? Assim, nossa classificação quanto à topologia pode variar um

pouco se considerarmos, por exemplo, o uso de firewalls com três ou mais placas de rede

(conforme o exemplo que demos na seção sobre DMZs). De qualquer modo, a classificação

vista nesta aula é a mais formal e, talvez por isso, seja uma das mais citadas e mais seguidas na

literatura e na maioria das topologias implementadas na prática.

Por último, é importante ressaltar que a configuração de firewalls depende da teoria

vista aqui, do conhecimento sobre o funcionamento das redes de computadores (algo que não

é nosso foco, mas é pré-requisito para este curso) e do conhecimento sobre os comandos

específicos de cada firewall (o que varia de acordo com cada fabricante). Bons especialistas em

segurança da informação dirão que o melhor firewall é aquele que é escolhido a partir das

necessidades reais da organização; e que, além disso, é bem configurado e administrado pela

equipe de TI.

Início da Atividade On Line

Objetivos 01 a 03

Acesse o fórum desta semana e tire suas dúvidas sobre o conteúdo desta aula. Nesta

semana vamos discutir algumas polêmicas que existem com relação ao fato de que os filtros

de pacotes não podem acessar a camada de aplicação. Há bibliografias que dizem o contrário...

Porém, veremos que tudo é uma mera questão de ponto de vista. Também iremos discutir

outras topologias possíveis além das três principais vista nesta aula. Além disso, ainda

discutiremos funcionalidades de alguns firewalls mais utilizados no mercado (custos,

vantagens e desvantagens etc.). Não perca esta discussão!

Fim da Atividade

10. Resumo

� Um firewall é um sistema (não um equipamento) posicionado no ponto único de

contato entre duas ou mais redes com restrições de acesso diferenciadas.

� Uma lista de acesso é um tipo de firewall de pacotes geralmente implementado em

um roteador de borda.

� Filtros de pacote (ou firewalls stateless) não armazenam informações de estado das

aplicações; filtros de estado (ou firewalls stateful) armazenam estas informações em

uma estrutura chamada “tabela de estado”.

� Os filtros de pacote e de estado não conseguem analisar os dados da aplicação; apenas

os proxies possuem tal funcionalidade.

� Há três classificações quanto à topologia dos firewalls: dual homed host, screened host

e screened subnet.

� A topologia dual homed host é mais adequada a redes pequenas com restrições

mínimas de segurança e com grau de tolerância ao risco maior que em outros

ambientes organizacionais.

� A topologia screened host é mais segura que a dual homed host, mas ainda possui

deficiências; a maior delas é o fato de que o bastion host também está na rede interna

juntamente com as máquinas a serem protegidas.

� A topologia screened subnet é a mais segura das três topologias, mas possui um custo

de implementação e manutenção maior por várias razões. A principal é o fato de ser

baseada no uso de dois roteadores em vez de apenas um como na screened host.

� Uma DMZ é, na verdade, a área criada pela topologia screened subnet; esta área fica

sujeita a regras de acesso menos restritivas que as da rede interna.

� Firewalls pessoais tendem a ser menos bem sucedidos que firewalls de rede por causa

das vulnerabilidades inerentes aos sitemas desktop nos quais eles são instalados e no

fato de que a sua configuração deve ser feita por usuários e não por administradores.

Próxima aula

Na próxima aula estudaremos o conceito de VPNs (Virtual Private Network), seu uso e

os principais protocolos relacionados. Também estudaremos os principais protocolos de enlace

(L2TP e PPTP), um protocolo de tunelamento muito comum (GRE) e concentraremos esforços

nas explicações sobre o protocolo IPSec e seus cabeçalhos de autenticação e confidencialidade

(AH e ESP).

Pratique o que você aprendeu e contribua com os fóruns desta aula fazendo os seus

questionamentos ou ajudando a esclarecer as dúvidas dos outros participantes. Até a próxima

aula!

Questões Finais

1) Enumere a primeira coluna de acordo com a segunda.

( ) Firewall stateful. ( 1 ) Não identifica relação entre os pacotes. ( ) Proxy. ( 2 ) Normalmente configuradas em roteadores. ( ) Firewall stateless. ( 3 ) Analisa dados da camada de aplicação. ( ) DMZ. ( 4 ) Cria tabelas de estado dinâmicas. ( ) Listas de acesso. ( 5 ) Área relativamente menos segura.

2) (Analista de Redes – MPE-AM/2008 – CESPE) Com relação à segurança de perímetro, julque os itens a seguir.

[96] O perímetro de segurança da rede pode ser composto de: roteadores de borda, firewalls, IDSs, IPSs, terminadores de VPN, DMZs e redes com tráfego filtrado.

[97] O roteador de borda é o último roteador sobre o qual se pode ter controle antes de entrar, de fato, na internet. Geralmente, sua operação segue as políticas de roteamento e de acesso, neste caso implementadas por listas e acesso que controlam os tráfegos ingresso e egresso.

[98] Firewalls são pontos de concentração de tráfego que controlam o tráfego de entrada e de saída da rede. Entretanto, as regras e as características de implementação e operação lhes conferem menor especificidade e granularidade que as listas de acesso dos roteadores.

3) Que vulnerabilidades inerentes ao uso de firewalls dificilmente podem ser eliminadas por completo?

4) Com relação aos firewalls, qual a diferença entre as duas vulnerabilidades abaixo:

1. O firewall não protege contra ataques cujo tráfego não passa por ele. 2. O firewall não impede que haja outros pontos de comunicação entre as redes.

5) (Analista de Informações – ABIN/2004 – CESPE) Acerca das tecnologias, dos protocolos e dos elementos estruturais que permitem organizar a segurança dos sistemas de informação em redes, julgue os itens seguintes.

[102] Em um firewall é altamente recomendável a rejeição de pacotes provenientes de uma rede externa que tenham endereço IP de origem da rede interna.

6) (Analista de Sistemas – IPEA/2008 – CESPE) Acerca dos aspectos de segurança em sistemas de informação e redes TCP/IP, julgue o item.

[120] Um firewall é considerado uma boa proteção para ataques que envolvem colusões entre usuários internos da rede protegida e atacantes externos, pois o firewall tem a possibilidade de bloquear as comunicações entre eles.

7) (Analista de TI – DATAPREV/2006 – CESPE) Com relação às ferramentas de segurança de redes, julgue os itens subsequentes.

[72] Os firewalls realizam inspeção de cabeçalho em pacotes e podem abranger as informações das camadas de rede e de transporte.

[75] Os firewalls com inspeção de estado são aqueles que, além de realizar a inspeção do cabeçalho, também tratam do protocolo de aplicação.

8) (Perito Criminal Federal – PF/2004 – CESPE) Os sistemas de informação possuem diversas vulnerabilidades que podem ser exploradas para se comprometer a segurança da informação. Para reduzir os riscos de segurança, empregam-se diversos mecanismos de controle de proteção física e lógica desses sistemas. Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue o item a seguir.

[104] Entre os diversos equipamentos que podem ser utilizados para aumentar o nível de segurança de uma rede de computadores corporativa, os firewalls exercem um papel fundamental. Para que sua ação possa ser eficaz, eles devem ser instalados entre a rede interna da organização e as redes do mundo externo e têm por objetivo filtrar o conteúdo que chega até a rede interna impedindo que ataques conhecidos sejam realizados.

9) (Analista de Trânsito – DETRAN/DF/2009 – CESPE) Com relação segurança em redes de computadores, julgue os itens a seguir.

[119] Com um proxy HTTP no firewall, os usuários remotos podem estabelecer uma conexão HTTP/TCP com o proxy, que examina o URL contido na mensagem de solicitação. Se a página solicitada for permitida para o host de origem, o proxy estabelece uma segunda conexão HTTP/TCP com o servidor e para ele encaminha a solicitação.

10) Qual das três topologias de firewall é a mais segura? Analise-a sob os aspectos de suas principais vantagens e desvantagens.

Respostas

1) 4 – 3 – 1 – 5 – 2

2) A afirmação [96] é verdadeira. IDSs, IPSs e VPNs também servem para delimitar o perímetro de segurança juntamente com firewalls e roteadores de borda. Segundo a classificação modenra de arquiteturas de firewall, o roteador de borda compõe o sistema de firewall. A afirmação [97] é verdadeira. Embora seja uma definição mais específica (e menos formal). O roteador de borda não precisa conectar uma rede à internet (como regra). A afirmação [98] é falsa. O que acontece é o contrário. As regras implementadas nas listas de acesso possuem menor nível de detalhamento do que as regras implementadas nos firewalls.

3) Enumerando conforme visto nesta aula: 1. O firewall só defende o perímetro; logo, não protege contra ataques cujo tráfego não passe por ele (internos). 2. Todo o tráfego entre as redes envolvidas nas regras do firewall deve passar por ele. 3. O firewall é uma entidade sujeita a ataques; se ele for comprometido, as redes que dependem dele serão afetadas. 4. O firewall existe para selecionar o que passa e o que não passa. Há ataques que exploram o tráfego permitido pelo firewall (relacionados a vulnerabilidades de aplicações, por exemplo). 5. O firewall não vai até o limite da

proteção possível, pois isso inviabilizaria a comunicação em rede. Ele sempre tomará decisões com base em um conjunto limitado de informações.

4) A primeira afirmação trata do tráfego que naturalmente não precisa passar pelo firewall (tráfego interno). A segunda afirmação trata do tráfego externo que chega à rede interna sem passar pelo firewall. São duas idéias diferentes.

5) A afirmação [102] é verdadeira. É um ataque do tipo IP spoofing.

6) A afirmação [120] é falsa. Colusão é sinônimo de ajustes fraudulentos, conchavos, conluio etc. Os firewalls são inócuos no que diz respeito à engenharia social. Claro que a dificuldade desta questão era saber o significado de colusão. Agora você já sabe!

7) A afirmação [72] é verdadeira. Embora a questão não especifique o tipo de firewall, não há nada de errado nela. Firewalls analisam cabeçalhos da camada de rede, de transporte e, no caso de proxies, podem analisar dados da aplicação. A afirmação [75] é falsa. Filtros de estado e filtros de pacote não analisam os dados da aplicação.

8) A afirmação [104] é falsa. O firewall não deve – obrigatoriamente - ser instalado entre uma rede interna e uma rede externa. Os firewalls são instalados entre redes com requisitos de acesso diferentes. A maioria dos exemplos sempre cita um firewall colocado entre uma rede interna e uma rede externa (a internet) e isso induz ao erro conceitual. A questão cobrou um rigor formal maior.

9) A afirmação [119] é verdadeira. Embora sejam citados vários protocolos e outros termos usuais na internet, a afirmação descreve exatamente o funcionamento de firewall de aplicação (proxy) que vimos nesta aula.

10) As três topologias estudadas foram: dual homed host, screened host e screened

subneted. Entre as três, a topologia screened subneted é a mais segura, pois há dois firewalls entre o provável atacante e a rede a ser protegida. Porém, ela possui um custo de implementação e administração mais elevado.

Referências

CHAPMAN, D. Brent. Building Internet Firewalls. 2ª ed. USA: O´Reilly, 2000.

NAKAMURA, Emilio T. Segurança de Redes em Ambientes Cooperativos. 1ª ed. Brasil:

Novatec, 2007.

ASSOCIAÇÃO BRASILEIRA DE NORMAS E TÉCNICAS. NBR ABNT ISO/IEC 27001 - Tecnologia

da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação -

Requisitos. Brasil, 2006.

Aula 02 SRC Final

Documents

Transcript of Aula 02 SRC Final