20
INTRODUÇÃO FIREWALL: O QUE É ISSO E POR QUE PRECISAMOS DELE? Uma parede corta-fogo (firewall) é a porta que separa o hall de um edifício da saída de incêndio. Sua função é evitar o alastramento de incêndios pelos cômodos de uma edificação, garantindo assim a segurança para os moradores do prédio. Da mesma forma esse conceito é utilizado em Firewalls na computação: ele evita o tráfego não autorizado de um domínio de rede para o outro, evitando o alastramento de dados nocivos dentro de uma rede de computadores, garantindo assim segurança para os usuários. Portanto, Firewall é o nome atribuído ao mecanismo disposto a regular o tráfego entre redes diferentes e impedir a propagação de dados nocivos ou não permitidos em uma rede de computadores. Normalmente um firewall é instalado onde a sua rede local se conecta à internet. Apesar de grandes organizações chegarem a usar firewalls em suas próprias redes que requerem níveis de segurança diferente, a maioria dos Firewalls regulam o tráfico entre redes locais e a internet. Lembrando que essa rede interna pode constituir- se de apenas um computador ou milhares de computadores. A lista a seguir inclui as características mais comuns de firewall: Bloqueia o recebimento de dados baseado em uma fonte ou destino: É a função mais comum de firewall, impedindo o recebimento de dados “nocivos”. Bloqueia o acesso a dados baseado em uma fonte ou destino: Muitos firewalls podem também restringir o acesso à dados na internet. Por exemplo, o firewall de uma empresa pode impedir um funcionário a acessar um determinado website. Bloquear dados baseado em conteúdo: Firewalls mais avançados podem analisar um conteúdo antes de bloquear o dado. Por exemplo um firewall pode ser integrado com um Antivírus para prevenir que um vírus entre em sua rede através de outros arquivos. Muitos firewalls

Firewall

Embed Size (px)

Citation preview

INTRODUO

FIREWALL: O QUE ISSO E POR QUE PRECISAMOS DELE?

Uma parede corta-fogo (firewall) a porta que separa o hall de um edifcio da sada de incndio. Sua funo evitar o alastramento de incndios pelos cmodos de uma edificao, garantindo assim a segurana para os moradores do prdio. Da mesma forma esse conceito utilizado em Firewalls na computao: ele evita o trfego no autorizado de um domnio de rede para o outro, evitando o alastramento de dados nocivos dentro de uma rede de computadores, garantindo assim segurana para os usurios. Portanto, Firewall o nome atribudo ao mecanismo disposto a regular o trfego entre redes diferentes e impedir a propagao de dados nocivos ou no permitidos em uma rede de computadores. Normalmente um firewall instalado onde a sua rede local se conecta internet. Apesar de grandes organizaes chegarem a usar firewalls em suas prprias redes que requerem nveis de segurana diferente, a maioria dos Firewalls regulam o trfico entre redes locais e a internet. Lembrando que essa rede interna pode constituir-se de apenas um computador ou milhares de computadores.A lista a seguir inclui as caractersticas mais comuns de firewall:Bloqueia o recebimento de dados baseado em uma fonte ou destino: a funo mais comum de firewall, impedindo o recebimento de dados nocivos.Bloqueia o acesso a dados baseado em uma fonte ou destino:Muitos firewalls podem tambm restringir o acesso dados na internet. Por exemplo, o firewall de uma empresa pode impedir um funcionrio a acessar um determinado website.Bloquear dados baseado em contedo:Firewalls mais avanados podem analisar um contedo antes de bloquear o dado. Por exemplo um firewall pode ser integrado com um Antivrus para prevenir que um vrus entre em sua rede atravs de outros arquivos. Muitos firewalls tambm so integrados com servios de email para filtrar emails aceitveis.Permite conexes com uma rede interna:Um mtodo comum de um empregado se conectar a uma rede usando VPNs (Virtual Private Networks). VPNs permitem um acesso seguro da internet a uma rede interna. Alguns Firewalls possuem uma funcionalidade VPN e permitem tais conexes de maneira mais fcil.Reporta o trfego na rede e as atividades do Firewall: muito importante tambm saber o que o seu Firewall tem feito, quem tentou entrar na sua rede, quem tentou acessar material inapropriado... Muitos Firewalls possuem um mecanismo de reportagem, listando tais atividades.

ENTENDO O BSICO DE FIREWALL

Em ordem de toda essa segurana acontecer, deve-se dizer ao firewall o que aceitvel especificando regras. Todo Firewall tem diferentes mtodos de especificar que tipo de trfego pode passar rede e todo firewall tem mtodos de inspeo diferentes. Porm, o bsico do firewall o mesmo para todos. Se voc perguntar a vrias pessoas sobre o que constitue um firewall, voc ter vrias respostas diferentes. Diferetes vendedores usaram o termo com diferentes definies. Na sua forma mais simples, um Firewall qualquer dispositivo ou software que reside entre a sua rede e a internet que bloqueia alguns trfegos na internet.

ESTRATGICA GERAIS:

Uma das primeiras coisas que voc deve pensar ao configurar um firewall em como especificar que tipos de pacotes e protocolos voc quer permitir ou bloquear na sua rede interna. Existem duas principais possibilidades:Allow-all strategy(permite tudo):Permite todos pacotes, com exceo dos que esto explicitamente proibidos.Deny-all strategy(Negar tudo):Bloqueia todos pacotes, com exceo dos que esto explicitamente permitidos. A primeira vista, oAllow-allparecer ser o mais fcil de ser implementado exigindo apenas que voc crie uma lista de excees com protocolos de internet e web sites que so explicitamente proibidos. Essa estratgia est ligada a como outros componentes se comportam em sua rede interna.Se voc usa oAllow-all,ser necessrio listar todos os possveis mtodos de alguem invadir a sua rede pessoal e ento criar as regras para bloquear os relativos trfegos. Fazendo isso ser criado vrias regras, e mesmo assim vai acabar sendo esquecindo inmeros mtodos que podem ser usados para entrar na sua rede. Sem levar em conta os novos mtodos que so descobertos com o passar do tempo.J oDeny-all muito mais fcil para administrar. Nenhum trafego permitido, exceto por um numero pequeno de protocolos e servios pr-definidos. Essa estratgia tem duas vantagens:Ser necessrio manter apenas uma pequena lista de regras de trafego. Quanto menor a lista, mais fcil para verificar se o firewall est configurado corretamente.No necessrio adicionar constantemente nova regras para novos mtodos descobertos. Normalmente, a melhor poltica de firewall expressa pela combinao doAllow-allcom oDeny-all. Temos um exemplo que mostra que tipo de aplicao os usurios podem acessar na internet:1. Deny network traffic on all IP ports.2. Except, allow network traffic on port 80 (HTTP).3. Except, from all HTTP traffic, deny HTTP video content.4. Except, allow HTTP video content for members of the Trainers group.5. Except, deny Trainers to download HTTP video content at night. Note que a politica adotada por esse firewall alterna entre Deny-all,except e Allow-all, exceptquando foi expressado que tipo de trafego deveria ser liberado ou bloqueado. Um administrador precisa criar regras para poder implementar uma poltica para o firewall. Vrias teorias existem abordando qual o modo mais intuitivo de representar uma lista de regras. Grande parte dos firewalls usa uma combinao dessas trs tcnicas:Em ordem: As regras so processadas do inicio ao fim. A regra que se aplica ao IP do atual pacote usada. As regras seguintes da lista no so consideradas. O administrador deve tomar cuidado ao especificar a ordem correta das regras. Uma ordem errada e o resultado pode ser muito diferente.Negar primeiro: Regras que bloqueiam pacotes especficos so processados antes.Melhor se encaixa: O firewall usa o seu prprio mtodo para determinar a ordem em que a lista ser processada, que geralmente de regras especificas para regras mais gerais.A HISTRIA DO FIREWALL

O conceito de Firewall comeou a ser utilizado no final da dcada de 80, quando roteadores separavam pequenas redes. Assim, separadas, as redes poderiam instalar aplicativos e gerenciar seus recursos da forma lhes fosse conveniente. Caso essas aplicaes apresentassem algum problema congestionando a rede, as redes dos demais segmentos no seriam afetadas. Os primeiros firewalls que trabalhavam a segurana de redes surgiram no incio dos anos 90. Eram mecanismos que lidavam com um pequeno conjunto de regras, como: Algum da rede A pode acessar a rede B, ou algum da rede C no pode acessar a rede B. Esses firewalls eram efetivos, mas bastante limitados. A segunda gerao de firewalls foi mais desenvolvida, pois usavam filtros de pacotes e de aplicativos(proxy)alm de trazer uma Interface grfica para gerenciar as regras. Estes dispositivos eram conhecidos como Bastion Host (computador que exposto totalmente a um ataque, sendo colocado no lado da DMZ - Demilitarized zone -, desprotegido por um firewall ou por filtros de roteadores. Firewalls ou roteadores que provm acesso de controle ao permetro da rede, so considerados Bastion Hosts). O primeiro produto dessa gerao foi o DEC Firewall, desenvolvido pela equipe de Network Systems da Digital Equipment Corporation. Ele foi configurado e instalado para uma grande empresa qumica da costa leste americana, em 13 de junho de 1991. Durante os prximos meses, Marcus Ranum (da DEC) inventou proxies de segurana e re-escreveu muito do cdigo do firewall. O Firewall foi produzido e batizado do DEC SEAL (Security External Acess Link). O DEC SEAL era composto de um elemento externo chamado de Gatekeeper, de um gateway de filtragem, conhecido como Gate e um dispositivo interno chamado Mail Hub (Figura 01 aofim da pgina). Ao mesmo tempo, Cheswick e Bellovin da Bell Labs, experimentavam um firewall baseado em comutao de circuitos. O produto originado desse experimento foi chamado de Raptor Eagle, que chegou depois de seis meses depois do DEC SEAL. Em seguida foi lanado o ANS Interlock. Em 1 de Outubro de 1993, foi lanado o TIS (Trusted Information Systems) FWTK (Firewall Tookit) em cdigo fonte para a comunidade da internet. Ele disponibilizava a base para o produto comercial TIS firewall. Um tempo depois ele foi chamado de Gauntlet. Esse produto foi usado por desenvolvedores, governos e indstria com base para suasegurana de acesso a internet. Em 1994, a Check Point lanou seu produto chamado Firewall-1, introduzindo uma interface amigvel para o mundo de segurana da internet. Os produtos antes do Firewall-1 necessitavam a edio de arquivos ASCII com editores ASCII. A Check Point introduziu cones, cores, mouse e ambiente grfico X11 para a interface de configurao e administrao, simplificando a instalao e administrao do firewall. Por isso, a Check Point tornou-se lder de mercado no seguimento de segurana de internet com o Firewall-1 ocupando em Dezembro de 2003 48% do market-share desse segmento.

FILTRO DE PACOTES

Os primeiros firewalls usavam a filtragem de pacote somente para proteger a rede interna de usurios externos. O firewall verificava o cabealho de cada pacote que entra na rede interna e tomava a deciso de permitir ou bloquear o pacote baseado no IP usado e o numero da porta especificado no cabealho, na parte de TCP ou UDP. Por mais que essa funcionalidade seja uma das funes principais de um Firewall, a filtragem de pacotes usada dessa forma no o suficiente para garantir a segurana na rede. A inspeo de pacotes precisa ser mais esperta em quais pacotes devem ser esperados em resposta de um legtimo pedido de um usurio da rede interna e que pacotes no foram solicitados e devem ser bloqueados. Quando um Firewall ve um pacote saindo, ele sabe que uma resposta chegara em breve, e que deve somente permitir a chegada dos pacotes esperados de resposta. Essa informao lembrada chamada de estado (state). Essa forma mais inteligente de filtragem de pacotes chamada de filtragem de pacotes de estado (stateful packet filtering). Mesmo com essa filtragem de pacotes de estado, a rede ainda possue algumas vulnerabilidades que vale serem ressaltadas:A rede externa pode aprender o IP usado na rede interna. Esse problema ser resolvido com o NAT (Network Address Translation).A filtragem de pacotes limitada, j que ela s analisa uma pequena parcela do pacote. Para tal ser usado Proxy de aplicao para analisar mais a fundo o pacote.

FILTRAGEM DE DADOS DO IP

Filtro de pacotes so regras que avaliam as informaes no cabealho de um pacote toda vez q um chega ao firewall, para ento ser decidido se permitido ou no a sua passagem. Caso seja permitido a passagem do pacote, ele toma o seu caminho normalmente. Porm nenhum pacote passa por roteador ou firewall sem sofrer algumas modificaes. Antes do pacote tomar o seu caminho o roteador ou firewall reduz o valor da TTL (Time-To-Live) no cabealho em pelo menos 1. Se o TTL, que o emissor provavelmente configurou como 128, atingir a marca de 0, o pacote descartado. Descartando o pacote evitamos um lopping infinito de um pacote no meio. O pacote pode ser modificado ainda mais ao passar pelo firewall. Ainda iremos discutir como o NAT e Proxy de aplicao influenciam essas mudaas.Podem ser criadas regras de filtragem que checam os seguintes campos de um pacote:IP de origem: o endereo de IP que o pacote lista como seu emissor. Esse campo no necessariamente o IP original do emissor. Esse Ip pode ser modificado por legalmente por NAT ou algum hacker pode ter mudado o campo, isso chamado de IPspoofing.IP de destino: o endereo de IP para onde o pacote est sendo mandado. Tem-se que ter certeza que foi listado o IP real nas regras de filtragem e no o nome do DNS ( Domain Name System), tais comoserver3.jabbajoe.com.ID de protocolo IP:Um cabealho IP pode ser seguido por vrios cabealhos de protocolos. Cada um desses protocolos tem seu prprio ID de protocolo IP. Os exemplos mais conhecidos so TCP (ID 6) e UDP (ID 17).Numero de portas TCP ou UDP: O numero da porta indica que tipo de servio o pacote destinado. Alguns tipos de ICMP so mensagens muito teis, porm outros so muito perigosas e no pode ser permitido a sua passagem pelo firewall.Flag de fragmentao: Pacotes podem ser quebrados em pacotes ainda menores para serem acomodados em redes que suportam somente pacotes pequenos.Ajuste de opes do IP:Funes opcionais no TCP/IP que podem ser especificadas nesse campo. Essas opes so apenas usadas para diagnstico, de forma que o firewall possa descartar pacotes com opes de IP determinadas. Checando os campos mencionados acima, os filtros podem diferenciar pacotes que vo da rede interna para a Internet ou da Internet para rede interna. A interface da rede em que o pacote chega j um critrio muito importante. Porque um hacker pode facilmente forjar um IP falso para o pacote que est sendo enviado e isso o firewall no pode identificar. Porm, se o pacote chega a rede externa usando um IP do emissor de uma rede interna, o firewall pode reconhecer rapidamente a falha no IP, simplesmente notando que o pacote est na rede externa.ICMP Muitos pacotes ICMP so teis em diagnostico de conectividade da rede. O melhor e mais conhecido exemplo o PING que manda um ICMP Echo Request (Pedido de Eco) para outra maquina. Se a maquina est disponvel, um ICMP Echo Reply (Resposta de Eco) respondido. Outro ICMP til o TTL Exceeded and Destination Unreachable, que indica quando um pacote no atingiu seu destino. ICMP tambm possui mensagens que podem ser perigosas. O ICMP Redirect pode ser usado para dizer ao firewall pra usar outro roteador para manda o pacote para o destino. Issa funo mostra que o TCP/IP foi criado em uma poca onde os computadores deveriam cooperar um com o outro. N verdade, o documento original RFC777 que define o ICMP foi criado em Abril de 1981. O ICMP Echo Request/Echo Reply tambm cria uma vulnerabilidade se usado por hackers para descobrir quais endereos de IP esto disponveis. O firewall impede esse tipo de uso do PING atravs do NAT. A Tabela a seguir mostra exemplos de ICMP que permitem o PING interno.

O pacote passa por muitos fragmentos diferentes da Internet enquanto vai do emissor para o destinatrio. Nem todos esses fragmentos suportam o tamanho original de um pacote. O tamanha mximo de um pacote chamado de Maximum Transmission Unit (MTU) da rede. Se um pacote tiver que passar por um caminho que s suporta pacotes menores, esse pacote ter que ser fragmentado em pacotes menores. Cada framento tem seu prprio cabealho que contem o IP do emissor e receptor e a posio do fragmento, como pode ser visto na imagem abaixo.

Dois aspectos de fragmentao so importantes:Para acelerar o processo, os fragmentos no so unidos novamente. Eles seguem seu caminho independentemente, para no final serem reunidos em ordem.Cada fragmento contem apenas uma parte das informaes do TCP. Ento somente o primeiro fragmento contem a parte TCP q especifica o numero da porta. As outras tambm possuem informaes TCP, porem no o numero da porta. Os fragmentos, exceto o primeiro, no contem indicaes de porta TCP, ento o filtro de pacote no pode tomar nenhuma deciso baseada nisso. Bloqueando o segundo e subseqentes fragmentos impede que todos os pacotes que passaram por um link com tamanha de pacote pequeno continuem. O firewall guarda todos os fragmentos at que todos estejam juntos, e assim usar o endereo de IP. Isso abre uma forte possibilidade de um hacker fazer o firewall passe por um trabalho desnecessrio, especialmente se o hacker nunca passar o ultimo pacote. O firewall fica to ocupado ordenando todos esse pequenos pacotes queesquece de se focar em outras tarefas. Isso chamadodenial-of-service attack. Algumas implementaes do TCP/IP cometem o erro de remontar o pacote e alguns hackers se aproveitam desse erro, mandando um pacote completo que disfarado como um fragmento.BURLANDO O IP E O ROTEADORDa mesma maneira que voc pode falsificar o remetente em uma carta ou falsificar o "De:" de um email, um hacker pode usar uma fonte de endereo IP falsa nos pacotes que ele enviar ao seu firewall. Isso conhecido como "IP Spoofing" O firewall no pode confiar somente no endereo de IP do emissor para decidir se o pacote tem permisso de passar. Pelo mesmo motivo, no til usar filtro de pacotes para bloquear pacotes baseando-se no IP do emissor. Logo o firewall tem que ser capaz de distinguir de que interface de rede o pacote chegou. Pacotes chegados de uma interface de rede externa, mas mostrando que veio de um endereo de IP interno deve ser bloqueado imediatamente. A seguir esto alguns motivos para um hacker fazer isso:A rede interna pode j ter um Cavalo de Tria instalado em um dos computadores. O hacker tem somente que usar esse aplicativo para comear a fazer o mal, o que similar a mandar uma mensagem codificada para avisar ao programa.O hacker pode desabilitar temporariamente o computador do qual ele mascarou o IP e pode responder o pacote de resposta com mais tempo e calma. Isso se assemelha queles voice-mail messages irritantes que algumas pessoas parecem gostar, onde voc pensa que a pessoa que voc ligou realmente atendeu. Mas ao invest disso a mensagem tem pauses deliberadas e finge responder o que voc diz. O pacote com o IP mascarado pode conter um lista de endereos de IPs que o pacote deve visitor para chegar ao seu destino. Isso chamadoSource Router.Obviamente, o hacker lista um endereo de IP que ele est monitorando naSource Router.Para prevenir-se desse tipo de ao, o firewall deve descartar todos pacotes que tem as opes doSource Routerligadas.

NAT (NETWORK ADDRESS TRANSLATION)

Originalmente o NAT foi criado para salvar IPs usados na internet. O IP formado por um numero de 32 bits, e com esse numero de bits s possvel ter 4 bilhes de endereos de IP diferentes. Como as empresas estavam usando um grande numero de IPs, a quantidade de IPs disponveis estava acabando. Em Maio de 1994, a RFC1631 sugeriu uma soluo a curto prazo NAT. Porm, o NAT ofereceu muitas vantagens que eram inesperadas. Com o NAT, todos computadores na internet pode usar um leque de IPs privados, tais como 10.0.0.0/8, que no est em uso na internet. Quando ele se conecta a internet, o NAT troca o IP privado, que pode ser representado por 10.65.1.7, que est no campoSource IPno cabealho do pacote, pelo seu prprio IP publico, 23.1.8.3 e manda o pacote para a rede externa. O destinatrio pensa que o emissor original 23.1.8.3 e manda um pacote de resposta de volta para esse endereo. O NAT computa o pacote como recebido para o endereo 23.1.8.3 e destroca o endereo o enviado para o original.

Ento por que o NAT salva IPs? Porque nunca expe os endereos de IP 10.0.0.0/8 na internet. Ento muitas companhias podem usar um mesmo leque de IPs privados, sendo somente necessrio um (ou poucos) IPs pblicos. Como o NAT sabe que tem que mandar o pacote endereado para 23.1.8.3 para o original 10.65.1.7? O NAT tem uma lista de que endereos so trocados por cada endereo original. Isso chamado de NATmappings. E se mais de um computador quiser usar o NAT para se comunicar com a internet? O RFC1631 resolveu esse problema permitindo que o NAT tenha mais de um endereo de IP publico e os use para os computadores da rede interna que precisarem. Em toda implementao moderna do NAT,isso pode ser resolvido facilmente, no mudando o endereo de IP do emissor para 23.1.8.3 mas mudando a sua porta por uma no usada menor que 1023.Tudo que o NAT precisa fazer guardar uma listacom os nmeros das portas e seus respectivos computadores.

ASPECTOS DE SEGURANA DO NAT

Mesmo salvando IP sendo lendo legal, no podemos esquecer que o NAT tambm tem aspectos de segurana. Como uma ferramenta que troca os nmeros de IP, o NAT esconde os originais na rede interna, o que se torna uma grande vantagem.A possibilidade de guardar o IP original na rede interna uma das razes para que quase todos firewalls usem NAT. A rede externa sempre ira ver o IP publico, e nunca ser capaz de ver o IP privado. Na rea do firewall, as pessoas enxergam o NAT mais como um mtodo de segurana do que de salvar IP. O termoIP masquerading normalmente usado para NAT, o que enfatiza o aspecto de esconder o IP. Vale ressaltar que o NAT no faz nada para proteger o computador na rede interna. Se o computador enganado a fazer uma conexo a um computador no confivel na internet, o NAT joga os pacotes intrusos para frente e para trs. Um Firewall deve sempre combinar NAT com Filtragem de Pacotes de Estado.Normalmente no necessrio fazer esforo para que o NAT faa o seu trabalho. Diferente de filtragem de pacotes, que tem que ser definido todos os protocolos que devem ser permitidos, o NAT uma funo automtica do firewall.

CONSEGUNCIA DO NAT

O uso do NAT tem uns inconvenientes, que no compensam as vantagens oferecidas.O NAT est efetivamente falsificando um IP, apesar de normalmente no falarmos que o Firewall faz essa falsificao (ao contrrio de um hacker malicioso). Um invasor em uma rede protegida por NAT tem mais dificuldade em invadir pelo lado de fora. Parece que todo o trfego est sendo feito pelo Firewall com o NAT. Os registros criados pelo Firewall podem ajudar a determinar quem estava usando e em que porta e quando. Mas certamente mais difcil do que ter obtido diretamente o endereo IP do computador do Invasor.Alguns protocolos criam uma lista com os IPs do emissor originais ou a porta de origem um mais lugares, no somente no pacote. Na verdade, ISS no um problema, mas se o firewall for trocar os nmeros automaticamente ele deve saber onde esse protocolo litou os nmeros e os trocar apropriadamente. O NAT normalmente j possui a funo de trocar esses nmeros em alguns protocolos conhecidos, tais como o FTP e o ICMP. Porm no possui suporte para outros protocolos desconhecidos, logo ser necessrio a instalao manual de um adereo para isso.Se o computador emissor encripta o cabealho de um pacote, ou os dados do pacote so encriptados e contem o endereo de IP, o firewall talvez no seja capaz de fazer as mudanas necessrias. A encriptao usada para proteger os pacotes de possveis modificaes feitas por espies na rede. Logo, faz sentido que o firewall tambm no conseguir fazer as suas alteraes.

PROXY DE APLICAO

Alm da filtragem de pacotes de estado e do NAT, uma outra funo de um bom firewall o servio de Proxy de aplicao (as vezes chamado deapplication gateway). Considere um Proxy de aplicao como uma elaborada verso de filtragem de pacotes. Onde a filtragem de pacotes capaz de inspecionar dados em nveis mais baixos de um pacote de IP, como um endereo IP ou um nmero de porta, um proxy de aplicao capaz de inspecionar uma parte de dado de aplicao inteira de um pacote de ip. Um exemplo um proxy de aplicao FTP que pode analisar pacotes de FTP por certo nomes de arquivos e bloquear os pedidos se necessrio. Em outras palavras, o que acontece : Um computador da rede interna manda um pedido particular para a internet para o Firewall. O Proxy de aplicao no Firewall pega esse pedido, inspeciona o pacote inteiro com regras configuradas pelo administrador do firewall, e ento gera novamente pedido para internet inteiro antes de enviar para o servidor de destino. Quando a resposta chegar, o Firewall vai novamente inspecion-la e, caso passe nas regras pr-estabelecidas, ele vai construir um pacote de resposta (atravs da resposta) e enviar para o computador da rede interna. Duas diferenas importantes sero mostradas a seguir sobre filtragem de pacotes e proxy de aplicao:A filtragem de pacotes inspeciona apenas o cabealho do pacote, enquanto o Proxy de aplicao analiza todos os dados de aplicao de um pacoteA filtragem de pacotes passa um pacote que foi permitido. O mesmo pacote viaja entre a internet e o computador da rede interna. Um proxy de aplicao gera novamente um pacote atravs de um pacote que foi permitido. Ele constri um novo pacote e envia do firewall pro servidor da internet (ou pro computador remoto, dependendo do sentido). O proxy de aplicao mantm duas conexes separadas. Uma conexo entre o computador da rede interna com o Firewall. A outra do Firewall com o servidor de internet. Um proxy de aplicao oferece vrias vantagens:O proxy de aplicao inspeciona uma poro inteira da aplicao do pacote. Essa inspeo acontece quando o pedido enviado e quando o pacote de resposta do servidor de internet volta.J que o proxy de aplicao entende o protocolo de aplicao, pode criar um registro muito mais detalhado do que foi enviado pelo firewall. Registros de filtragem de pacotes sabem apenas sobre informaes do cabealho dos pacotes.O computador da rede interna e o servidor de internet nunca tem uma conexo real. Ao invs disso, o Firewall cria todos os pacotes que so enviados entre os dois. Isso significa que problemas ou ataques associados a overflows de buffer ou condies ilegais nos pacotes nunca alcanam o computador da rede interna.O proxy de aplicao cria novos pacotes e envia ao interesse do enviador original. Ele no roteia pacotes entre as redes. Se o proxy de aplicao ou o firewall carem, a conexo de comunicao deixaria de existir. Enquanto que na filtragem de pacotes, se o Firewall casse, o resultado seria a passagem de todo e qualquer pacote que chegasse rede.Um proxy de aplicao pode inspecionar trfegos na rede que usam mltiplas conexes. A filtragem de pacotes no reconhece que conexes separadas da mesma aplicao esto juntas. Infelizmente, um proxy de aplicao tambm possui desvantagens, tais como:Proxy por aplicao:O servio de proxy de aplicao precisa entender o protocolo de aplicao usado. Isso significa que o Firewall deve ter um especfico proxy de aplicao para cada aplicao. A maioria dos Firewalls do suporte para vrias aplicaes mais comuns, tais como FTP e HTTP. Mas muito diferente disso, normalmente o proxy de aplicao no se encaixa.Requerimento de configurao de proxy:Para alguns proxys de aplicao, o computador da rede interna deve saber que ele est, na verdade, conectado ao proxy de aplicao, e no ao servidor de internet. Os computadores que querem usar os proxys de aplicao precisam de mudanas, Isso chamado proxy de aplicao clssico. Se o computador da rede interna pode usar o proxy sem nenhuma configurao especial, ento chamado de proxy de aplicao transparente. Como proxy de aplicao especfico para cada aplicao, o software do firewall normalmente deixa voc configurar ajustes individuais para cada proxy de aplicao suportado pelo firewall. A imagem abaixo ilustra um Instant Messaging da AOL sobre um Proxy de aplicao:

MONITORAMENTO E REGISTRO

Por que precisariamos fazer um registro extensivo j que configuramos o Firewall com filtragem de pacotes, tivemos certeza que o NAT est escondendo os endereos Ips privados e implementamos proxys de aplicao que separam a rede interna da internet? Essa uma boa pergunta, e no respondida com um simples todo cuidado pouco. verdade que um Firewall cuidadosamente configurado prov segurana para a sua rede interna, mas preciso ter certeza de que tudo est correndo como o planejado. Essa uma das razes pelo qual voc vai querer um registro do Firewall em toda conexo que ele fizer e todo pacote q bloquear. bom ter certeza que o Firewall est to seguro o quanto voc acha que ele est. Abaixo seguem quatro boas razes para deixar o Firewall criar registros para tudo o que ele faz:Reportar uso:Voc vai querer agregar informaes em registros gerados para ter uma indicao da performance do Firewall, seu uso, estatsticas e talvez at criao de contas e cobrana pelo servio.Deteco de intruso:J muito ruim se um Hacker infiltrou o seu sistema. Seria pior ainda se ele o fizesse sem voc saber disso. Maior o tempo que o Hacker ficar em seu sistema, maior o estrago que ele poder fazer. Frequentes inspees nos registros podem revelar atividades suspeitas ou at mostrar evidncias de uma invaso com sucesso em sua rede.Descobrir o mtodo de ataque:Mesmo que voc detecte um intruso, voc precisa ter certeza de que o hacker foi parado e que ele no conseguira invadir novamente usando o mesmo mtodo. Para isso necessrio um cuidadoso estudo no registro do Firewall. Dessa forma, eventualmente, voc acabar descobrindo como o invasor conseguiu entrar na sua rede e quando foi a primeira vez que ele entrou. Tais informaes revelam possveis aplicaes Cavalo de Tria que foram deixadas para trs ou a invalidade de backups feitos depois do ato.Evidncias legais:Um extensivo registro pode ser necessrio como evidncia de uma invaso sua rede para propsitos legais. O registro pode dizer quando foi a primeira vez que ele entrou e quais aes subsequentes ele tomou. Um Firewall deve registrar todos os acessos. Quanto mais informao for agregada, melhor. Apesar de ser chato checar grandes arquivos com registros de informao, uma ateno regular pode vir a detectar um possvel intruso antes que ele consiga fazer muito dano. De qualquer forma, existem vrios softwares hoje em dia que facilitam a detectar anomalias nos registros. essencial tambm evitar a tentao de salvar espao no Disco Rgido deletando arquivos de registro ou configurando o Firewall para fazer menos desses arquivos. E para se manter uma rede sria e segura, necessrio manter os arquivos por muito tempo, inclusive os mais velhos. Mantenha-os pelo menos at onde voc gostaria de olhar ara analisar uma determinada situao.bviamente, uma das primeiras coisas que um invasor vai tentar fazer alterar ou deletar seus arquivos de registro para sumir com qualquer evidncia de sua passagem. Por isso interessante guardar esses arquivos em um outro computador, ou em dispositivos de gravao nica.

PERGUNTAS SUGERIDAS

Qual a melhor estratgia ao se configurar um Firewall?R: Misturar as estretgias Allow-All e Deny-All.O que significa o termo IP Spoofing?R: A utilizao de uma fonte IP falsa nos pacotes enviados ao FirewallDefina NAT Mappings:R: uma lista que o NAT de que endereos so trocados por cada endereo originalQuais as duas diferenas mais importantes entre Filtragem de Pacotes e Proxy de Aplicao?R: A filtragem de pacotes inspeciona apenas o cabealho do pacote, enquanto o Proxy de aplicao analiza todos os dados de aplicao de um pacote A filtragem de pacotes passa um pacote que foi permitido. O mesmo pacote viaja entre a internet e o computador da rede interna. Um proxy de aplicao gera novamente um pacote atravs de um pacote que foi permitido. Ele constri um novo pacote e envia do firewall pro servidor da internet (ou pro computador remoto, dependendo do sentido).Como manter o Registro seguro?R: Armazenando-o em um outro computador ou em um dispositivo de gravao nica.

CONCLUSO: CONSIDERAES FINAIS

Existem hoje centenas de Firewalls diferentes, com leis e caractersticas nicas e diferentes de todos os demais. Nosso estudo foi mais geral e abrangente, de forma a dar a todos uma boa noo de como pode funcionar um Firewall. Vimos todas as funcionalidades bsicas de um Firewall e aprendemos tambm diversas formas de evitar que sua rede interna esteja sujeita a danos externos. Por fim, podemos concluir que uma rede interna sem uma proteo de um Firewall est completamente sujeita a receber dados nocivos. Portanto, um Firewall bem administrado, rico em recursos e constantemente monitorado garantia de confiabilidade no seu Sistema.


Firewall de Rede

Firewall de Rede

Documents
Além do Firewall - Brasiline Tecnologia€¦ · FIREWALL IPS Guia de Soluções: Além do Firewall As “Portas Dos Fundos” de Firewall e IPS es. Os invasores se adaptaram para

Além do Firewall - Brasiline Tecnologia€¦ · FIREWALL IPS Guia de Soluções: Além do Firewall As “Portas Dos Fundos” de Firewall e IPS es. Os invasores se adaptaram para

Documents
1 - Treinamento - MikroTik Básico - Firewall

1 - Treinamento - MikroTik Básico - Firewall

Documents
Apresentação Firewall Iptables

Apresentação Firewall Iptables

Documents
Utilização BFW como Firewall

Utilização BFW como Firewall

Documents
GNS3 - Debian Iptables Firewall v3

GNS3 - Debian Iptables Firewall v3

Documents
FIREWALL - WordPress.com€¦ · Firewall (definições) Conexão Segura Infraestrutura de rede Proteção de Redes: Firewall . Firewall - Introdução Definição Dispositivo que

FIREWALL - WordPress.com€¦ · Firewall (definições) Conexão Segura Infraestrutura de rede Proteção de Redes: Firewall . Firewall - Introdução Definição Dispositivo que

Documents
Firewall iptables

Firewall iptables

Documents
Segurança da Informação - Firewall

Segurança da Informação - Firewall

Technology
Squid e Firewall

Squid e Firewall

Documents
10 dns-firewall

10 dns-firewall

Documents
Firewall em Linux

Firewall em Linux

Documents
Segurança de redes e tecnologia de firewall. TópicosTópicos IntroduçãoIntrodução O que é um Firewall?O que é um Firewall? O que um Firewall pode fazer?O

Segurança de redes e tecnologia de firewall. TópicosTópicos IntroduçãoIntrodução O que é um Firewall?O que é um Firewall? O que um Firewall pode fazer?O

Documents
Firewall No Linux 04

Firewall No Linux 04

Documents
Segurança de sistema firewall

Segurança de sistema firewall

Education
Sistemas de firewall

Sistemas de firewall

Documents
5 - segurança - firewall

5 - segurança - firewall

Education
Guia Foca GNU_Linux - Firewall Iptables

Guia Foca GNU_Linux - Firewall Iptables

Documents
BASE TECNOLÓGICA...aa) SERVIDOR DE FIREWALL ENDIAN: O Endian Firewall é uma distribuição Linux especializada em roteamento/firewall que possui uma interface unificada de gerenciamento

BASE TECNOLÓGICA...aa) SERVIDOR DE FIREWALL ENDIAN: O Endian Firewall é uma distribuição Linux especializada em roteamento/firewall que possui uma interface unificada de gerenciamento

Documents
Segurança Redes Firewall

Segurança Redes Firewall

Documents
Linux Firewall Iptables

Linux Firewall Iptables

Documents
Coyote Linux floppy firewall

Coyote Linux floppy firewall

Documents
Apostila - Construcao de Firewall Iptables

Apostila - Construcao de Firewall Iptables

Documents
Tutorial Antivirus Firewall c

Tutorial Antivirus Firewall c

Documents
Firewall: Redes Protegidas

Firewall: Redes Protegidas

Documents
Segurança de Redes – Firewall

Segurança de Redes – Firewall

Documents
BrazilFW Firewall - Display LCD

BrazilFW Firewall - Display LCD

Documents
Sistemas Firewall

Sistemas Firewall

Documents
Unidade 2.3 firewall

Unidade 2.3 firewall

Technology
Mikrotik Firewall

Mikrotik Firewall

Documents