FIREWALL EM AMBIENTES CORPORATIVOS, SEGURANÇA …re.granbery.edu.br/artigos/MzI1.pdf · de um...

22
Revista Eletrônica da Faculdade Metodista Granbery http://re.granbery.edu.br - ISSN 1981 0377 Pós Graduação em Segurança da Informação - N. 6, JAN/JUN 2009 FIREWALL EM AMBIENTES CORPORATIVOS, SEGURANÇA EFETIVA OU FALSA SENSAÇÃO DE SEGURANÇA ? Flávio Alexandre dos Reis * Marcos Fabiano Verbena ** Eduardo Pagani Julio *** Patrícia Lima Quintão **** RESUMO Os avanços constantes no mundo digital trazem a cada dia novas ferramentas e ideias para as organizações, visando agregar valor aos seus produtos e/ou serviços prestados. Mas nem toda organização está ciente dos riscos que rondam o mundo digital na atualidade, muitos ambientes corporativos julgam-se estar seguros por uma estrutura de Firewall. Neste artigo são apresentados argumentos encontrados na literatura sobre a segurança existente por traz de uma estrutura de Firewall, também são abordadas características, funcionalidades, tipos de Firewall existentes, arquiteturas e desempenho. Palavras-Chave: Firewall, Firewall Corporativo, Filtro de Pacotes, Iptables, Segurança. ABSTRACT The constant advances in the digital world bring to each day new tools and ideas for the organizations, aiming at to add value to its products and/or services. But nor all organization is aware of the risks that go up to around the digital world in the present time, many corporative environments are consider to be safe from a structure of Firewall. In this article are presented arguments of some authors about the security at the back of a Firewalls structure, also are boarded characteristics, functionalities, types of Firewall, architectures and performance. Keywords: Firewall, Corporate Firewall, Filter Package, Iptables, Security.

Transcript of FIREWALL EM AMBIENTES CORPORATIVOS, SEGURANÇA …re.granbery.edu.br/artigos/MzI1.pdf · de um...

Revista Eletrônica da Faculdade Metodista Granbery

http://re.granbery.edu.br - ISSN 1981 0377

Pós Graduação em Segurança da Informação - N. 6, JAN/JUN 2009

FIREWALL EM AMBIENTES CORPORATIVOS, SEGURANÇA EFETIVA OU FALSA SENSAÇÃO DE SEGURANÇA ?

Flávio Alexandre dos Reis *

Marcos Fabiano Verbena **

Eduardo Pagani Julio ***

Patrícia Lima Quintão ****

RESUMOOs avanços constantes no mundo digital trazem a cada dia novas ferramentas e ideias

para as organizações, visando agregar valor aos seus produtos e/ou serviços prestados.

Mas nem toda organização está ciente dos riscos que rondam o mundo digital na

atualidade, muitos ambientes corporativos julgam-se estar seguros por uma estrutura de

Firewall. Neste artigo são apresentados argumentos encontrados na literatura sobre a

segurança existente por traz de uma estrutura de Firewall, também são abordadas

características, funcionalidades, tipos de Firewall existentes, arquiteturas e desempenho.

Palavras-Chave: Firewall, Firewall Corporativo, Filtro de Pacotes, Iptables, Segurança.

ABSTRACT The constant advances in the digital world bring to each day new tools and ideas for the

organizations, aiming at to add value to its products and/or services. But nor all

organization is aware of the risks that go up to around the digital world in the present time,

many corporative environments are consider to be safe from a structure of Firewall. In this

article are presented arguments of some authors about the security at the back of a

Firewalls structure, also are boarded characteristics, functionalities, types of Firewall,

architectures and performance.

Keywords: Firewall, Corporate Firewall, Filter Package, Iptables, Security.

* Tecnólogo Informática pela Universidade Presidente Antônio Carlos ( UNIPAC ),

Especialista em Redes de Computadores pelo Centro de Ensino Superior de Juiz de Fora

– CES-JF, Pós Graduando em Segurança da Informação pela Faculdade Metodista

Granbery – MG, Analista de Sistema pela empresa Life Equipamentos Eletrônicos Ltda. E-

mail [email protected]

** Graduado em Sistemas de Informação pelo Centro de Ensino Superior de Juiz de Fora

– MG; pós-graduando em Segurança da Informação pela Faculdade Metodista Granbery

– MG; analista responsável pelo serviço de Tecnologia da Informação da Clínica

Ultrimagem. E-mail: [email protected]

***Mestre em Computação pela UFF; Especialista em Redes de Computadores pelo CES/

JF. Professor da Graduação e Pós-Graduação da FMG. Atuante na área de Segurança

em Redes de Computadores desde 1995.

**** Mestre em Engenharia de Sistemas e Computação pela COPPE/UFRJ; Especialista

em Gerência de Informática pela Faculdade Machado Sobrinho; coordenadora

pedagógica e professora do curso de Pós-Graduação em Segurança da Informação da

FMG; Coordenadora de Segurança da Informação na Prefeitura de Juiz de Fora. E-mail:

[email protected].

2

1. INTRODUÇÃO

A necessidade de segurança em ambientes corporativos faz parte de uma

realidade que poucas organizações conhecem. Muitas organizações preferem manter

suas estruturas inseguras ou com segurança inadequada, a realizar investimentos na

aquisição de soluções realmente seguras.

Este trabalho tem como objetivo analisar um dos principais componentes de

segurança utilizado atualmente nos ambientes corporativos, o Firewall. E verificar se

realmente a segurança provida por este componente representa uma segurança efetiva

para a organização.

Para isso o trabalho apresenta as seguintes seções além desta introdução. A seção

2 apresenta as definições de Firewall; a seção 3 detalha suas funcionalidades; a seção 4

destaca o processo de evolução dos Firewalls; a seção 5 explica os tipos de Firewalls

mais utilizados em ambientes corporativos. Ainda, na sessão 6 é analisada a arquitetura

de um Firewall corporativo e na sessão 7 são demonstradas características importantes

no projeto de um Firewall para que seja mantido seu alto desempenho. Por fim, têm-se

as considerações finais e referências bibliográficas utilizadas.

2. FIREWALL

Segundo Nakamura e Geus (2007), a mais antiga definição de Firewall trata-o

como sendo um ponto entre duas ou mais redes, no qual circula todo o tráfego, e que a

partir desse único ponto, é possível controlar e autenticar o tráfego, além de tornar

possível realizar o registro desse tráfego facilitando assim a sua auditoria.

Na visão de Kurose e Ross (2007), um Firewall é uma combinação de hardware e

software que isola a rede interna de uma organização da Internet em geral, permitindo por

regras de filtragens que alguns pacotes autorizados passem e outros sejam bloqueados.

A Figura 01 representa uma estrutura básica de um Firewall, protegendo a rede

interna das ações maliciosas vindas da Internet.

3

Figura 01: Estrutura básica de um Firewall (NAKAMURA e GEUS, 2007)

3. FUNCIONALIDADES DO FIREWALL

Um Firewall que atua na entrada da rede poderá de forma segura fornecer serviços

de conexão à rede local. Com a falta dessa estrutura de segurança intermediando a

comunicação, cada computador fica responsável por sua própria segurança, o que não é

recomendado, pois os computadores de borda1 não estão preparados para se protegerem

de ataques maliciosos.

Segundo Neto (2004), o Firewall não evitará que as máquinas sejam invadidas, ele

irá definir se esses ataques serão bem ou mal sucedidos. O Firewall pode evitar que a

rede seja monitorada por códigos maliciosos, e que os mesmos troquem informações

com outros computadores da Internet.

Em uma visão geral é possível identificar que as ameaças surgem de todos os lados

e lugares, o que torna mais evidente a necessidade da utilização de uma estrutura de

segurança fazendo o monitoramento da rede interna com a Internet e vice-versa.

Em um Firewall existem diversos componentes que possuem funcionalidades

diferentes e desempenham papéis que influenciam diretamente no nível de segurança de

1 Computador de borda: refere-se a estações de trabalho, notebooks, palms, etc.

4

um sistema.

Segundo Nakamura e Geus (2007), algumas dessas funcionalidades são chamadas

de componentes básicos de um Firewall. São elas: Filtros, Proxies, Bastion Hosts, Zonas

Desmilitarizadas, seguidas de outras três funcionalidades não menos importantes, pois

foram inseridas no contexto, devido à evolução natural das necessidades de segurança,

Network Address Translation (NAT), Rede Privada Virtual (VPN), Autenticação /

Certificação.

3.1 FILTROS

Os filtros realizam o roteamento dos pacotes de maneira seletiva, aceitando ou

descartando pacotes por meio de análise das informações existentes em seus

cabeçalhos. Esse filtro de pacote é baseado na política de segurança definida e

implementada no Firewall. Além de realizar a filtragem dos pacotes por meio da análise

dos cabeçalhos, é possível também que sejam tomadas decisões com base no estado da

conexão. A Figura 02 mostra um exemplo de comunicação entre o cliente e o servidor.

Figura 02 – Processo de Conexão entre Cliente e Servidor (MARCELO, 2003)

3.2 PROXIES

Esta funcionalidade tem como objetivo atuar como gateway entre duas ou mais

redes, permitindo a comunicação de requisições de usuários internos e as respostas a

5

essas requisições. Podem ainda ser utilizados como relay, realizando filtragens mais

apuradas dos pacotes, uma vez que esta funcionalidade atua na camada de aplicação2.

3.2 BASTION HOSTS

Segundo Nakamura e Geus (2007), Bastion Hosts são equipamentos em que são

instalados os serviços a serem oferecidos para a Internet. Devido ao fato de estarem

disponíveis ao acesso externo, os Bastion Hosts devem estar protegidos da melhor

maneira possível. Devem executar apenas os serviços e aplicações essenciais, bem

como executar sempre a última versão desses serviços e aplicações, sempre com os

patches de segurança devidamente instalados. A Figura 03 descreve o uso de um Bastion

Host.

Figura 03 – Bastion Host (NAKAMURA e GEUS, 2007)

3.3 ZONAS DESMILITARIZADAS

A zona desmilitarizada (DeMilitarized Zone – DMZ) é uma rede que fica entre a

rede interna (protegida) e a rede externa. Esta rede tem como objetivo isolar os Bastion

Host da rede interna caso uma eventual ameaça obtenha sucesso na exploração de uma

vulnerabilidade existente na segurança do Bastion Host (NAKAMURA e GEUS, 2007). Na

Figura 04 tem-se um exemplo de DMZ.

2 Camada de Aplicação: É onde residem aplicações de redes e seus protocolos (DNS, HTTP, FTP)

6

Figura 04 – Exemplo de DMZ (NAKAMURA e GEUS, 2007)

3.4 TRADUÇÃO DE ENDEREÇO DE REDE (NAT)

Muito utilizado em roteadores, o Network Address Translator (NAT) desempenha

uma função de encaminhamento de pacotes (packet forwarding), fazendo uma espécie de

mascaramento. O Linux não traz essa função por padrão, cabe essa função ao

ipmasqadm portfw. Esse tipo de recurso é extremamente útil quando se tem poucos IP's,

ou quando se tem um servidor atrás de um Firewall, podendo assim evitar invasões. O

NAT traduz endereços falsos de dentro de uma rede para endereços válidos na Internet,

Um exemplo pode ser visualizado na Figura 05 (MARCELO, 2003).

Figura 05 – Exemplo de NAT (MARCELO, 2003)

No exemplo da Figura 05, o NAT faz a tradução dos endereços da Rede

7

192.168.0.x para endereços válidos da rede 200.0.0.x. A Figura 06 mostra o

funcionamento da Tabela NAT.

O NAT possui três listas chamadas chains. Cada regra é examinada em ordem, até

que uma delas corresponda ao pacote analisado. As chains são nomeadas como

PREROUTING, quando pacotes estão prestes a entrar na rede, POSTROUTING, quando

os pacotes estão prestes a sair pela placa de rede e OUTPUT, para pacotes gerados

localmente.

Figura 06 – Funcionamento da tabela NAT (FILHO, 2005)

3.5 REDES PRIVADAS VIRTUAIS – VPN

As Redes Privadas Virtuais (Virtual Private Network – VPN) possuem uma

importância fundamental nas organizações. Trata-se de túneis de criptografia entre pontos

autorizados, criados através da Internet ou outras redes públicas e/ou privadas para

transferência de informações.

Como o Firewall é a porta de entrada da corporação nada mais natural do que

utilizá-lo como servidor VPN e ser o responsável pela autenticação dos usuários.

O uso de VPNs representa uma alternativa para a redução dos custos de redes

corporativas oferecendo confidencialidade, autenticação e integridade no transporte de

informação através de redes públicas. Na Figura 07 pode ser observado um equivalente

lógico de uma estrutura de redes virtuais privadas.

8

Figura 07 – Representação lógica de estrutura de redes privadas virtuais (MICROSOFT TECHNET, 2009)

3.6 AUTENTICAÇÃO / CERTIFICAÇÃO

A autenticação e a certificação de usuários possuem papéis fundamentais para a

segurança de um ambiente corporativo e podem ser realizadas de diversas maneiras,

como por meio de endereços IP, senhas, certificados digitais, tokens, smartcards ou

biometria.

O certificado digital tem como base a utilização de chave pública, sendo essencial

a sua utilização em um ambiente corporativo, no qual diversos níveis de acesso devem

ser controlados e protegidos.

Utilizando o iptables3 é possível desenvolver rotinas capazes de autenticar usuários

e máquinas, garantindo assim acesso aos recursos somente por pessoas realmente

autorizadas.

4. EVOLUÇÃO TÉCNICA

Segundo Nakamura e Geus (2007), a tecnologia de Firewall é muito antiga,

contudo não para de ser aperfeiçoada e está em um processo de constante crescimento,

uma vez que a complexidade das redes vem aumentando de forma exponencial. As

organizações adicionam a cada dia novos recursos a suas redes que necessitam de

proteção (KUROSE e ROSS, 2007).

Algumas das funções de um Firewall impactam diretamente na produtividade de

3 Iptables: Firewall em Nível de Pacotes, disponível no kernel a partir da versão 2.4 (Seção 5.2)

9

uma organização, como o Network Address Translation – NAT – e a utilização de Redes

Virtuais Privadas – VPNs – para a comunicação entre unidades, departamentos ou

colaboradores.

A crescente utilização da Internet para a realização de negócios, em conjunto com

diversos incidentes de segurança, viabilizou o surgimento de empresas como DEC e

AT&T especializadas na realização de acesso seguro à Internet (JUCA, 2005).

Na visão de Nakamura e Geus (2007), os primeiros Firewalls surgiram no final da

década de 80 e eram implementados em roteadores uma vez que eram o ponto de

comunicação entre as redes. As filtragens eram realizadas através da leitura da lista de

controle de acesso (Access Control List - ACL) do roteador tendo como decisão “permitir”

ou “descartar” pacotes, de acordo com a sua origem, destino e tipo da conexão.

A partir de então tudo mudou rapidamente e a expressão até então muito utilizada

na época para definir Firewall a de separar 'nós' 'deles' teve de ser alterada. O mundo

tornou-se mais integrado e os serviços básicos hoje são o acesso à Web, acesso a

bancos de dados via Internet, acesso a serviços internos da organização pela Internet,

serviços de áudio, vídeo, voz sobre IP, entre outros.

Com a inserção dessas novas tecnologias nos ambientes corporativos, os

requisitos de segurança forçaram a realização de mudanças profundas nos Firewalls, o

que tornou sua estrutura ainda mais complexa.

As mudanças podem ser identificadas na tecnologia de filtragem de pacotes, que

hoje pode ser realizada com base em estado. Podem ser híbridos (filtragem de pacotes,

filtros de pacotes baseados em estado, proxies) e adaptativos que utiliza mecanismos de

segurança em série aumentado a segurança da rede da organização.

É possível identificar uma tendência: cada vez mais novas funcionalidades são

adicionadas aos Firewalls, que podem não estar relacionadas diretamente com a

segurança, como, balanceamento de banda, o balanceamento de cargas para serviços, o

servidor Web, o servidor FTP, o servidor DNS (NAKAMURA e GEUS, 2007).

A integração de novas funcionalidades aos Firewalls deve ser realizada com muito

cuidado, pois vai de encontro de uma regra básica da segurança, que diz que a

segurança e a complexidade são inversamente proporcionais e, portanto, a inserção de

funcionalidades de forma desordenada poderá comprometer a segurança em vez de

aumentá-la. Uma boa prática é separar as funções de gerenciamento Web e

gerenciamento de segurança (KUROSE e ROSS, 2007). A Figura 08 representa

graficamente as funcionalidades de um Firewall, que são detalhadas a seguir.

10

Figura 08: Funcionalidades de um Firewall (NAKAMURA e GEUS, 2007)

5. TIPOS DE FIREWALL

Os Firewalls podem ser classificados em Firewall de Host, Firewall em nível de

Pacote, Firewall em nível de Aplicação e Firewall Híbrido, que é a união dos Firewalls de

Pacotes e Aplicação. A seguir tem-se a descrição de cada um desses tipos.

5.1 FIREWALL DE HOST

Conhecido também como Personal Firewall ou Desktop Firewall, é um aplicativo

que intercepta conexões de entrada e de saída de um computador. Baseia-se em regras

padrão ou definidas pelo usuário, o Firewall irá decidir quais dessas conexões podem ser

aceitas e quais devem ser recusadas. Não devem ser utilizados como a solução para os

problemas de segurança, e sim, como uma fonte adicional de proteção.

É essencial ter um pacote de segurança para minimizar os riscos ao se manter um

computador conectado a uma rede. Um aplicativo de Firewall e um antivírus são

ferramentas indispensáveis, desde que o Firewall seja bem configurado e seu aplicativo

antivírus esteja sempre atualizado com os últimos patches de segurança. Pode ainda

considerar como importante a instalação de aplicativos de SPAM's e controle de

privacidade. Esta relação pode ser interminável se forem considerados todos os

potenciais problemas de segurança.

Os Personal Firewalls eram indicados e voltados para usuários com conexões

dedicadas e de alta velocidade. As recomendações hoje estão voltadas para qualquer

computador que tenha acesso a uma rede, independente do tipo de velocidade de

11

conexão.

Há no mercado soluções classificadas em gratuitas e comerciais. A escolha da

versão a ser utilizada deve levar em consideração fatores além de custo, deve-se verificar

com cuidado o tipo de licença disponível que permite o uso do aplicativo como gratuito

(MEDEIROS e PICCOLINI, 2002).

5.1.1 EXEMPLO DE PERSONAL FIREWALL

Segue abaixo exemplo de alguns Personal Firewalls disponíveis nos mercado, para

maiores informações acessem o site do fabricante.

• ZoneAlarm, disponível em: http://www.zonealarm.com/security/en-us/home.htm .

• Norton Personal Firewall, disponível em: http://www.symantec.com/ .

• BlackIce, disponível em: http://www.networkice.com/.

5.1.2 PROBLEMAS COM PERSONAL FIREWALL

Deve-se atentar para dois problemas referentes ao Personal Firewall, são eles,

erros relacionados à programação do seu código fonte e erros conceituais. A grande

aceitação dessas ferramentas e sua proliferação atraem também a curiosidade de muitos

usuários. Deve-se atentar pelas atualizações e correções que possam surgir, pois a falsa

sensação de estar utilizando um programa com uma vulnerabilidade pode ser desastrosa.

Um ponto que deve-se levar em consideração é se o software receberá atualizações para

correção de possíveis problemas. Um ponto muito importante segundo Medeiros e

Piccolini (2002) é observar se existe um desenvolvimento contínuo, ou se o software foi

descontinuado.

Outro ponto a ser observado na utilização de um Personal Firewall é que ele inibe a

realização de uma auditoria remota. Sua utilização deve sempre ser comunicada aos

responsáveis pela área de segurança para que seja possível desabilitar a aplicação

durante um processo de auditoria (MEDEIROS e PICCOLINI, 2002).

5.2 FIREWALL EM NÍVEL DE PACOTES

O Firewall em nível de pacotes pode ser utilizado em pequenas ou grandes redes.

Utilizando um conjunto de regras estabelecidas, um Firewall em nível de pacotes trabalha

12

de forma a autorizar que endereços IP's estabeleçam uma comunicação ou transmitam

dados. Alguns serviços podem ser liberados completamente, como exemplo um servidor

de e-mail, servidor DNS, e outros bloqueados por padrão, por terem um risco mais

elevado, como software de mensagens instantâneas, programas de Peer-to-Peer, telnet.

Quanto mais específica for a regra criada, mais eficiente ela será. Esse tipo de Firewall se

restringe a trabalhar na camada de transporte (TCP, UDP), decidindo quais pacotes de

dados podem passar e quais serão bloqueados. As regras são baseadas em informações

de endereço IP remoto, endereço IP do destinatário, além da porta TCP usada. Quando

configurado o Firewall permite que somente hosts conhecidos troquem informações entre

si e tenham acesso a determinados recursos. Um Firewall em nível de pacotes é capaz de

analisar informações sobre conexão e notar qualquer alteração suspeita, além de analisar

o conteúdo dos pacotes, podendo assim controlar de forma mais eficiente o que pode ou

não ser acessado (ALECRIM, 2009).

Um exemplo de Firewall em nível de pacotes é o Iptables, disponível no Sistema

Operacional Linux a partir do Kernel 2.4. Para fins de ilustração, a seguir são mostrados

alguns exemplos de regras utilizadas no Iptables (no presente artigo não serão mostrados

conceitos sobre a criação de um script de Firewall, como por exemplo o que são tabelas,

chains, etc). Em um próximo artigo, detalhes mais aprofundados sobre conectividade e

construção de Firewalls serão abordados.

Criando uma política padrão para o Firewall, com essa regra define-se que todos

os pacotes serão bloqueados. A seguir são criadas regras para liberar determinados

serviços.

echo “Criando a Politica padrão do Firewall”iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT

Algumas regras são consideradas como essenciais em seu Firewall, segue alguns

exemplos comentados.

Bloqueio contra ping, comando usado pelo protocolo ICMP para testar a

conectividade entre equipamentos, algumas aplicativos utilizam o ping para certos

ataques.

13

iptables -A INPUT -i 192.168.0.0/24 -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPTiptables -A FORWARD -i eth0 -p icmp --icmp-type echo-request -j LOG --log-prefix "PING da INTERNET / Servidores"iptables -A FORWARD -i eth0 -p icmp --icmp-type echo-request -j DROP

Bloqueio contra port scanners (NMAP), esse aplicativo tem como objetivo testar as

portas lógicas de determinado host remoto. Ele identifica o status de portas, se estão

fechadas, escutando ou abertas. Pode-se explicitar o range (intervalo) de portas que o

aplicativo irá escanear, por ex: 25 a 80. Geralmente os port scanners são usados por

pessoas mal intencionadas para identificar portas abertas e planejar invasões,

(MARCELO, 2003).

iptables -A INPUT -p tcp --tcp-flags SYN, ACK -m limit --limit 1/s -j LOG --log-prefix "NMAP - SUN/ACK" iptables -A INPUT -p tcp --tcp-flags SYN, ACK -m limit --limit 1/s -j DROP iptables -A INPUT -p tcp --tcp-flags FIN, RST -m limit --limit 1/s -j LOG --log-prefix "NMAP - FIN/RST" iptables -A INPUT -p tcp --tcp-flags FIN, RST -m limit --limit 1/s -j DROP

Bloqueio contra IP Spoofing, Consiste na troca do IP original por um outro, podendo

assim se passar por um outro host. Através de IP Spoofing um intruso pode se aproveitar

de hosts confiáveis armazenados no arquivo .rhosts, e entrar em máquinas via rlogin, por

exemplo, onde não é exigido senha.

iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j LOG --log-prefix "IP Spoof Classe C"iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP iptables -A INPUT -s 176.16.0.0/16 -i eth0 -j LOG --log-prefix "IP Spoof Classe B"iptables -A INPUT -s 176.16.0.0/16 -i eth0 -j DROP iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j LOG --log-prefix "IP Spoof Classe A"iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j DROP

Bloqueio contra Syn-flood. É uma técnica de inundar pacotes TCP/IP em um

determinado segmento de rede. Com isso é possível parar um servidor com uma

determinada quantidade de pacotes o qual não teria tempo hábil de processar

(MARCELO, 2003).

14

iptables -t filter -N syn-chain iptables -A syn-chain -p tcp --syn -m limit --limit 2/s -j ACCEPTiptables -A syn-chain -J LOG \ --log-prefix "Ataque Syn-flood"iptables -A syn-chain -J DROPecho "1" > /proc/sys/net/ipv4/tcp_synflood

Compartilhando a Internet com a rede interna.

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

As regras a seguir exemplificam serviços liberados, como DNS, HTTP.

iptables -A FORWRAD -p tcp -s 192.168.0.0/24 -d 0/0 --dport 53 -j ACCEPTiptables -A FORWRAD -p udp -s 192.168.0.0/24 -d 0/0 --dport 53 -j ACCEPTiptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0/0 -m multiport --dport 80,8080,8081 -J ACCEPTiptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0/0 --dport 443 -J ACCEPTiptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 0/0 -m multiport --dport 25,110,465,995 -J ACCEPT

Como pode ser observado em todas as regras de bloqueio foram acrescentadas

opções de “LOG”. A análise dos LOG's gerados pelo iptables auxilia o Administrador de

Redes a identificar e bloquear IP's que possam tentar outros tipos de ataques.

5.3 FIREWALL EM NÍVEL DE APLICAÇÃO

Um Firewall com uma estrutura em nível de aplicação é mais que um simples filtro

de pacotes. Com ele é possível a criação de regras sofisticadas, que vão muito além de

filtros que atuam sobre MAC4, endereços IP ou portas. A forma mais comum de

implementação é como servidores Proxy.

Um proxy não protege contra possíveis falhas de segurança nos protocolos, ou em

aplicações. Por exemplo um buffer overflow, contra um determinado aplicativo, não será

bloqueado pelo proxy. Quando configurado em conjunto com um Firewall em nível de

pacotes, complementa a segurança em aspectos importantes, como tentativas de

invasão. Essa combinação pode não impedir, mas dificultar que uma acesso indevido não

4 MAC: O endereço MAC (do inglês Media Access Control) é o endereço físico da interface de rede.

15

obtenha sucesso (MARCELO, 2005).

O projeto layer7-filter (l-7) vem mostrando um grande controle no que se diz

respeito ao controle de banda, pois sua precisão nos filtros é bem maior. Com o l-7 é

possível verificar se o tráfego na porta 110 realmente diz respeito à comunicação de e-

mail POP3, no entanto, vale ressaltar que esse recurso pode resultar em um consumo de

processador e memória considerável (JUCÁ, 2005).

Pode-se afirmar que o papel principal de um Proxy é a comunicação intermediária

entre os clientes e o servidor de destino, ou seja, uma comunicação cliente/servidor.

Quando o cliente configura um Proxy quem realiza as conexões não é o cliente, e sim o

Proxy que realiza a solicitação de acordo com a permissão configurada. Como o acesso é

realizado pelo Proxy, é possível fazer uma configuração mais elevada, analisando assim

todo o tráfego de entrada e saída do cliente. Isso é possível pois pode-se analisar a

solicitação do cliente e a resposta do servidor, exemplificado na Figura 09.

Figura 09– Exemplo de Proxy (JUCÁ, 2005)

5.3.1 PROXY CONVENCIONAL

Conhecido também como standard, com esse tipo de configuração cada cliente

terá que configurar o IP do servidor de Proxy para que as requisições sejam atendidas.

Em uma rede Windows, o endereço será configurado no navegador. O cliente fará uso

desta configuração para enviar uma solicitação ao Proxy seja ela HTTP ou FTP (JUCÁ,

16

2005).

5.3.2 PROXY TRANSPARENTE

No modo transparente, os clientes não necessitam de configuração para uso do

Proxy, pois as solicitações destinadas à porta 80 e 443 serão direcionadas

automaticamente pelo Firewall de forma transparente. Neste caso configura-se o servidor

para trabalhar em modo acelerado. A configuração manual poderá ocasionar erros de

acesso que podem ser contornados. Mas é recomendado não configurar o Proxy de forma

manual. O modo acelerado não tem relação com performance, usa-se esse termo pois o

Proxy responde às conexões como se fosse o destino real, exemplo na Figura 10 (JUCÁ,

2005).

Figura 10 – Proxy Transparente (JUCÁ, 2005)

5.3.3 PROXY REVERSO

Ao contrário dos modos anteriores em que utilizamos o Proxy para controlar as

solicitações dos clientes internos, o modo Reverso controla as requisições de clientes

vindas da Web. Pode-se controlar o acesso aos servidores internos, evitando assim vários

tipos de ataques. Como no Proxy Transparente é preciso configurar o servidor para

trabalhar em modo acelerado. Um exemplo de como funciona o Proxy Reverso pode ser

visualizado na Figura 11.

17

Figura 11 – Proxy Reverso (JUCÁ, 2005)

No exemplo da Figura 11, os clientes solicitam uma conexão através do Proxy

Reverso, que será responsável pelo acesso aos servidores. Ele irá responder como se

fosse qualquer um dos servidores, por esse motivo deve-se configurar o mesmo no modo

acelerado. Essa configuração também é possível no servidor WEB, utilizando o módulo

“mod_proxy” (JUCÁ, 2005).

5.4 FIREWALL HÍBRIDO

Também conhecido como Screened Host. Agrega em sua estrutura funções de

filtragem de pacotes quando de NAT. Embora um Firewall de tipo de pacotes seja

considerado o mais rápido e flexível em comparação com o Firewall em nível de

aplicação, muitas organizações combinam as vantagens para obterem um nível maior de

segurança e performance na rede (NETO, 2004).

6. ARQUITETURA

As arquiteturas de Firewall devem ser definidas de acordo com as necessidades da

organização, utilizando para isso os componentes, funcionalidades e tecnologias

existentes.

Uma funcionalidade indispensável é a utilização de Zona Desmilitarizada – DMZ -

em ambientes que proveem acesso externo a usuários até um bastion host. Esta

18

funcionalidade permite que mesmo quando uma ameaça obtém sucesso durante a

exploração de uma vulnerabilidade, seja mantida a segurança dos recursos da rede

interna.

Segundo Nakamura e Geus (2007), a arquitetura clássica do Firewall corporativo

inclui além da utilização de filtros de pacotes internos e externos, DMZ, proxies, bastion

hosts, as funcionalidades de redes virtuais privadas – VPN, sistema de detecção de

intrusão – IDS e a utilização de infra-estrutura de chaves públicas – PKI.

Os Firewalls internos estão sendo utilizados com frequência nos ambientes

corporativos para a realização de filtragens e comunicação entre departamentos internos

(KUROSE e ROSS, 2007).

Devido ao crescente número de ataques originados da Internet, a utilização de IDS

nas estruturas de Firewalls já faz parte dos projetos de uma definição de segurança de

uma organização, uma vez que seu objetivo é detectar diversos tipos de ataques e

intrusões auxiliando assim na proteção do ambiente, sua correta localização na rede é

fundamental para um bom funcionamento.

7. DESEMPENHO

Pode ser observado que o Firewall é responsável pela análise de todos os pacotes

que passam pelas conexões da rede, tornando imprescindível seu alto desempenho para

que não se torne um ponto de “gargalo” na rede.

De acordo com Nakamura e Geus (2007), os Firewalls melhoraram seu

desempenho drasticamente comparados com os anos de 1999, 1998 e 1997 este

aumento chegou a 300%. Esta evolução no desempenho é considerada natural do ponto

de vista dos autores.

Atualmente os Firewalls podem ser utilizados praticamente em qualquer estrutura

de rede, podendo operar em até 1Gbps, suportando 500 mil conexões concorrentes e 25

mil túneis de VPN.

O processamento realizado no Firewall para a análise dos pacotes das conexões é

considerado muito alto, pois as conexões são complexas, existe um conjunto grande de

regras a ser percorrido para a análise de cada pacote e um grande número de conexões

concorrentes.

Alguns fatores influenciam diretamente no desempenho de um Firewall o que pode

ser visto no Quadro 01.

19

Hardware SoftwareVelocidade da placa de rede Código do FirewallNúmero de placas de rede Sistema OperacionalTipo de barramentos (PCI, EISA, SCSI, etc) Pilha TCP-IPVelocidade da CPU Quantidade de processos sendo

executados na máquinaQuantidade de memória Tipo de Firewall: Proxy ou filtro de pacotes

baseado em estados?Quadro 01 - Fatores que influenciam no desempenho do Firewall (NAKAMURA E GEUS, 2007)

Quando é utilizado um proxy o recurso mais exigido é o de processamento ou

CPU, uma vez que cada pacote deverá ser desmontado analisado e montado novamente.

Já nos filtros de pacotes baseados em estado o recurso mais utilizado é a memória RAM

pois as informações sobre os estados precisam estar disponíveis em memória para uma

resposta mais rápida.

Segundo Nakamura e Geus (2007), os Firewalls de filtros de pacotes baseados em

estados possuem um desempenho melhor em comparação com os filtros de pacotes pois

a filtragem tem como base, na maioria das vezes, a tabela de estados que reside no

kernel.

8. CONSIDERAÇÕES FINAIS

O crescimento das necessidades de acessibilidade das organizações é visível nos

ambientes atuais, é possível identificar diversos serviços que são acessados via Internet e

que se tornaram fundamentais para o funcionamento e crescimento do negócio.

Analisando este estudo é possível concluir que uma organização não está

efetivamente segura utilizando somente um Firewall como medida de proteção. Na

verdade o que se tem é uma falsa sensação de segurança que é muito pior que estar

ciente que não existe proteção alguma. É possível identificar que da elaboração de um

projeto de Firewall até sua alocação final na rede, existe uma série de fatores que devem

ser analisados e levantados para que a segurança ocorra da maneira esperada.

As estruturas de Firewall são sim fundamentais para o processo de proteção da

informação em um ambiente organizacional, pois se trata da porta de entrada para uma

rede, contudo é um dos componentes que devem ser utilizados para obter a segurança,

mas este não deve ser tratado como único ponto de segurança e sim um componente de

20

grande importância de todo um processo.

O profissional de segurança deve ter em mente que o ambiente das empresas é o

mais heterogêneo possível, com diversos sistemas operacionais, acessos e usuários.

Portanto, não é um produto ou componente que vai garantir a segurança necessária, mas

sim a política de segurança definida e sua correta implementação.

REFERÊNCIAS BIBLIOGRÁFICAS

ALECRIM, E. Tudo sobre Firewall. 2009. Disponível em: <http://www.invasao.com.br/2009/01/27/materia-tudo-sobre-Firewall/>. Acessado em: mar. 2009.

_____________. Firewall: Conceitos e Tipos. 2004. Disponível em: <http://www.infowester.com/firewall.php>. Acessado em: abr. 2009.

Departamento de Ciência da Computação. UFMG. Bastions Hosts. Disponível em <http://homepages.dcc.ufmg.br/~mlbc/cursos/internet/firewall/fire_bastion.html>. Acessado em: abr. 2009.

FILHO, J.E.M., Firewall Iptables. Disponível em <http://www.eriberto.pro.br/iptables/ >. Acessado em: abr. 2009.

INTRON. Controle de Acesso à Internet. Disponível em: <http://www.intron.com.br/index.php?id=Firewall/Firewall2.php>. Acessado em: mar. 2009.

Instituto Superior da Maia. Tipos de Firewall. Disponível em: <http://firewall.no.sapo.pt/index_files/Page484.htm>. Acessado em: abr. 2009.

JUCA, H.L., Técnicas Avançadas de Conectividade e Firewall em GNU/LINUX. Rio de Janeiro: Brasport, 2005.

KUROSE, J. F.; ROSS, K.W. Redes de Computadores e a Internet - Uma Abordagem Top-Down. São Paulo: Pearson, 3 ed., 2007.

LOPES, R. Firewalls. Rede Nacional de Ensino a Pesquisa (RNP). Disponível em: <http://www.rnp.br/newsgen/9708/n3-1.html>. Acessado em: mar. 2009.

MARCELO, A . Segurança em Linux. Rio de Janeiro: Brasport, 2003.

MEDEIROS, A C , PICOLLINI, J D B. Uma Visão Geral sobre Firewalls Pessoais. 2002. Disponível em: <http://www.rnp.br/newsgen/0201/firewall-pessoal.html#ng-6>. Acessado em: abr. 2009.

Microsoft Technet, Introdução a Redes Privadas Virtuais. Disponível em: <http://technet.microsoft.com/pt-pt/library/cc782547.aspx>. Acessado em: abr. 2000.

21

NAKAMURA, E. T.; de GEUS, P. L. Segurança de Redes em Ambientes Cooperativos. São Paulo: Novatec, 2007.

NETO, Urubatan. Dominando Linux Firewall Iptables. Rio de Janeiro: Ciência Moderna, 2004

STRAUCH, S. Gerência de Redes, Segurança em TCP/IP. Disponível em: <http://penta.ufrgs.br/gere96/segur/seguran.htm>. Acessado em: mar. 2009.

Universidade Federal do Rio Grande do Sul, Internet Firewalls. Disponível em <http://www.penta.ufrgs.br/redes296/firewall/bastion.html>. Acessado em: abr. 2009.

22