Curso: SEGURANA EM REDES DE COMPUTADORES Conteudista: Luis Claudio dos Santos

AULA 02 FIREWALL

Ao final desta aula voc dever ser capaz de:

1) Diferenciar filtros de pacotes e filtros de estado. 2) Explicar o funcionamento de um proxy. 3) Conceituar de DMZ (zona desmilitarizada).

Pr-requisitos Como pr-requisitos para esta aula o aluno dever ter conhecimentos no mnimo acadmicos sobre as redes de computadores (topologias, arquiteturas, funcionamento da internet, protocolos da pilha TCP/IP, endereamento IP, VLSM, entendimento dos cabealhos de protocolos de rede e de transporte, portas de aplicao etc.).

1. A Defesa de Permetro Um permetro uma linha (imaginria ou no) que limita uma determinada rea. No nosso contexto, o permetro de segurana da informao tem duas dimenses: uma lgica, relacionada ao conceito abstrato da rea que separa o atacante e a informao dentro da rede; outra fsica, relacionada ao conceito concreto de limites fisicamente impostos para o acesso informao. No primeiro caso, o permetro lgico definido a partir da configurao de roteadores, switches, servidores etc. No segundo caso, o permetro fsico definido atravs de barreiras impostas pelas prprias instalaes da empresa (sala de servidores, hack, gabinete do servidor etc.).

Figura 2.1: O firewall o ponto nico de contato entre as redes cujo trfego filtrado por ele. E onde se que encaixa o firewall nesta histria? Ora, o firewall a principal barreira de permetro do ponto de vista lgico. o que veremos nessa aula seguir.

2. O que so Firewalls? Talvez voc j tenha lido ou ouvido definies incorretas de firewall parecidas com esta: um firewall um equipamento colocado entre a rede de uma empresa e a internet para impedir invases e outros tipos de ataques. Em nossa aula precisamos trabalhar com um conceito mais preciso e formal (mesmo por que, a definio acima possui erros graves...). Um firewall um equipamento? Diagramao, por favor, deixar essa pergunta centralizada no texto.

No, no . Firewall uma aplicao que pode ser executada em um roteador, em um servidor (dedicado ou no) ou mesmo em uma mquina adquirida juntamente com o firewall

customizada pelo prprio fabricante para a sua execuo (appliance). Portanto, firewall um sistema. Outra pergunta: Um firewall sempre colocado entre a rede de uma empresa e a internet? Diagramao, por favor, deixar essa pergunta centralizada no texto.

No necessariamente. Voc pode muito bem usar o firewall para separar o trfego entre dois departamentos da sua empresa, entre um laboratrio de testes e a sua rede administrativa, entre a sua DMZ (veremos esse conceito mais a frente) e a sua intranet etc. O firewall apenas separa duas redes com regras de acesso e segurana diferentes uma da outra. Alm disso, apenas para sermos um pouco mais rogorosos, o firewall no ir assegurar a proteo dos ativos, pois isso depende de muita coisa.

Figura 2.2: Firewall entre duas redes. Nem sempre uma rede precisa ser externa empresa. Que tal escrevermos uma boa definio de firewall (formal e correta) que sirva aos propsitos deste curso? Diagramao, por favor, deixar essa pergunta centralizada no texto.

Vamos definir firewall como uma aplicao localizada em um ponto nico de contato entre duas ou mais redes que executa polticas de negao ou de permisso de trfego conforme regras pr-definidas de comunicao entre usurios, aplicaes, sistemas ou equipamentos destas redes. Ok. Ficou grande demais esta definio... Vamos ento apelar para uma definio simples e rigorosamente correta dada pela norma ISO 27001: firewall um sistema ou combinao de sistemas que protege a fronteira entre duas ou mais redes. Nossa definio utilizada pelos principais autores que tratam deste tema e , obviamente, uma definio que est mais de acordo com a realidade prtica da segurana de redes e para as bases que precisamos estabelecer nesta aula antes de seguirmos adiante.

Normalmente haver redes a serem protegidas (uma rede local interna, por exemplo) e redes de onde se espera que partam a maioria das ameaas (uma rede externa como a internet, por exemplo). Da, uma questo importante que surge desta definio a idia de ponto nico de contato. Um firewall precisa mesmo estar localizado no ponto nico de contato entre as redes? Diagramao, por favor, deixar essa pergunta centralizada no texto. Sim... Claro que precisa! Precisa e um erro bsico no garantir isso. Perceba que esta restrio justamente o que garante que nenhum usurio, aplicao ou sistema de uma das redes conseguir acessar a outra sem passar pelo firewall. Caso contrrio, de que adiantariam todas as regras de segurana implementadas no firewall, no mesmo? Incio da Caixa de Curiosidade Na dcada de 1990 era comum em redes protegidas com firewall o setor de informtica das organizaes adquirir computadores e retirar as suas placas de fax modem antes de envi-los aos usurios. Naquela poca, o acesso domstico internet era feito de forma discada e praticamente todas as mquinas eram fabricadas com estas placas. Retirar a placa evitava que os usurios tentassem burlar as regras do firewall da organizao (muitos acessavam, de dentro da empresa, sites no permitidos pela poltica de segurana; ou, de suas residncias, as respectivas mquinas de trabalho na empresa para adiantar um relatrio; etc.). Hoje os novos computadores raramente vm com placas de fax modem para realizar acesso discado, mas isso no quer dizer que o problema tenha sido resolvido. Pelo contrrio. Fim da Caixa de Curiosidade

3. Vulnerabilidades dos Firewalls H vulnerabilidades inerentes ao conceito de firewall que dificilmente podero ser totalmente eliminadas (pelo menos no a um custo-benefcio razovel). Estas vulnerabilidades devem ser bem entendidas e administradas pelo pessoal de TI diretamente envolvido com a segurana da informao na empresa. o O firewall s consegue proteger o permetro. O firewall s protege o trfego que passa por ele e, portanto, ele no protege uma rede contra ataques vindos de dentro dela. As estatsticas sobre segurana variam e s vezes no so totalmente isentas (principalmente aquelas geradas por fabricantes de solues). Apesar disso, todas so unnimes em um ponto: a maioria dos ataques hoje em dia parte da rede interna (ateno para o significado

de interno no seu caso). Veremos a partir da prxima aula que vrias outras tecnologias auxiliam os firewalls neste sentido (IDSs etc.). o O firewall no impede outros enlaces entre as redes. O firewall no pode analisar trfego que no passa por ele. Ora, isso voc j sabe... Algo que voc talvez ainda no tenha analisado o fato de que a quantidade de furos nas redes modernas aumenta a cada dia. O que antes se resumia a alguns acessos discados feitos por usurios mais avanados, hoje pode ser feito atravs de uma srie de dispositivos USB, aparelhos celulares etc. sem muito conhecimento de TI. Um nico ponto de acesso a outras redes que no passa pelo firewall significa uma vulnerabilidade que torna incua toda segurana implementada por ele. E, infelizmente, a simples implementao de um firewall no resolve esta questo. o H como causar danos a uma rede sem transpor o firewall. Ataques de DoS ao firewall podem prejudicar a rede protegida, uma vez que todo o trfego deve passar por ele. Fica bvio perceber que no preciso transpor o firewall para causar incidentes de segurana da informao na sua empresa. Basta atacar o prprio firewall. Perceba que esta mquina obviamente deve ser uma mquina adequadamente administrada. o O firewall precisa de portas abertas. Este um paradigma que no pode ser mudado. O firewall no existe para impedir a passagem do trfego; mas, sim, para selecionar o que passa e o que no passa. Ou seja, algo dever passar... possvel um ataque se basear em algum tipo de trfego permitido pelo firewall? Absolutamente sim! Basta refletir um pouco que grande parte dos problemas relacionados aos cdigos maliciosos que vimos na Aula 01 depende da passagem de trfego web (HTTP, porta 80/TCP) e de e-mail (SMTP, porta 25/TCP; POP, porta 110/TCP e IMAP, porta 143/TCP). Todas estas portas costumam estar abertas, pois, para o firewall, trata-se de um trfego em princpio legtimo. o Um firewall precisa tomar decises com base em informaes parciais. Este outro paradigma que no deve mudar to cedo. Sempre existe um limite at onde o firewall pode segurar um pacote, atrasando a recepo, enquanto o analisa. Com relao ao item anterior (o firewall precisa abrir algumas portas) voc poderia pensar na seguinte soluo: O firewall pode analisar todo o trfego com um anti-vrus antes de aceit-lo. Sinto muito, mas este tipo de firewall no ganharia muito mercado. A latncia introduzida por ele seria invivel para a

maioria das redes atuais. Na verdade, veremos que h firewalls que possuem um comportamento prximo desta idia, mas respeitando o limite onde o remdio passa a ser pior que a doena. Porm, h vrios ataques que se especializaram em mostar a parte do trfego que parece inocente aos olhos do firewall e esconder a sua poro maliciosa na parte dos dados que ele no enxerga.

4. Tipos de Firewalls Nesta seo vamos classificar os firewalls de acordo com as suas funcionalidades e vamos aproveitar tambm para explicar um pouco a sua evoluo. Ambas as idias se confundem um pouco, embora existam at hoje exemplos de uso de todos os tipos de firewalls que veremos. Ou seja, por vrias razes, um tipo de firewal tido como mais moderno (por ter surgido como resultado da evoluo tecnolgica) no substituiu completamente o uso dos outros tipos que vieram primeiro. Pois bem, nesta seo iremos estudar quatro tipos de firewalls, a saber: listas de acesso, firewalls stateless, firewalls stateful e proxies. Fique atento s caractersticas de cada um e procure fixar as principais vantagens e desvantagens relacionadas ao seu uso.

4.1.Listas de acesso em roteadores As primeiras implementaes surgiram nos roteadores para filtrar pacotes que passavam por estes equipamentos. As regras eram inseridas em uma lista atravs da interface de comandos dos roteadores e eram lidas sequencialmente exatamente na ordem em que eram inseridas. Qualquer alterao (insero ou retirada de uma regra) implicava, quase sempre, a necessidade de apagar a lista inteira e recri-la. No havia nenhuma interpretao de estado de conexo e, por isso, todos os pacotes de uma sesso precisavam ser interpretados como se eles fossem o primeiro pacote, mesmo que se tratasse apenas do restante da informao de uma conexo j iniciada (e, portanto, de acordo com as regras de acesso do firewall). Vantagem A grande vantagem do uso deste tipo de firewall reside no fato de que no preciso adquirir um novo equipamento para implementar regras de acesso simples. Se o roteador da empresa permite a implementao de access-lists (que o caso de toda a linha de roteadores dos grandes

fabricantes) as regras de firewall podem ser implementadas j na entrada/sada da rede. Desvantagem Os roteadores possuem uma funo primordial na internet: rotear pacotes o mais rapidamente possvel. Assim, extremamente aconselhvel evitar implementao de qualquer outra tarefa nestes equipamentos, sob pena de introduzir uma latncia inaceitvel para certas aplicaes. Roteadores lentos (por deficincia de hardware, m configurao ou excesso de trfego) causam transtornos na internet, pois vrias redes podem ser prejudicadas pela sua lentido. Assim, na medida em que a necessidade de tratamento do trfego fica mais complexa, se torna menos aconselhvel implementar todas as regras nos roteadores.

Incio da caixa de verbete Latncia A latncia em uma rede depende de vrios fatores. resultado do tempo necessrio para que os bits viajem pelos cabos, do tempo necessrio para interpretar os pacotes em cada roteador, do tempo que as mquinas envolvidas levam para interpretar o quadro etc. Fim da caixa de verbete Atualmente as listas de acesso ainda so usadas em roteadores de borda com poucas mudanas com relao sua primeira implementao. Quando a lista de acesso causa latncia inaceitvel ao trfego neste caso, apenas uma rede diretamente afetada e o administrador poder agir prontamente. Incio da caixa de verbete Roteador de borda aquele que separa uma rede de outras onde est presente uma infraestrutura de roteamento mais complexa. Ele possui uma interface voltada para a rede local, onde os pacotes podem seguir para o destino sem necessidade de roteamento adicional, e outra interface voltada para o lado visto como externo, que normalmente a internet. Fim da caixa de verbete

4.2.Filtros de pacote (firewall stateless) Filtros de pacote recebem vrios outros nomes: firewall stateless, filtros sem estado, filtros estticos etc. Na evoluo dos firewalls eles foram uma evoluo natural das listas de acesso. Na verdade, nem podemos dizer que se tratava, a rigor, de uma

evoluo, pois o que as listas de acesso fazem exatamente o mesmo que os filtros de pacote fazem. A caracterstica principal deste tipo de firewall o fato de que as regras se baseiam na anlise de informaes existentes nos campos dos cabealhos dos protocolos de rede (IP ou ICMP) e de transporte (TCP e UDP). Ora, mas isso foi o que vimos quando falamos de listas de acesso... Onde est a diferena ento? A diferena est, principalmente, na localizao do firewall. Chamamos de filtros de pacotes os firewalls que executam a funo de aplicao de regras em equipamentos dedicados. Foi com o advento deste tipo de firewalls que o seu uso comeou a deslanchar. Vantagem Esta soluo mais escalvel, pois o hardware onde o firewall foi instalado pode ser mais facilmente alterado para se adaptar quantidade de trfego a ser filtrado, novas portas podem ser facilmente inseridas para criar DMZs etc. Isso porque normalmente mais fcil e barato realizar upgrades de hardware dos servidores do que dos roteadores. Alm disso, os softwares para filtragem de pacotes evoluem mais rapidamente que as listas de acesso em roteadores a fim de permitir a aplicao de regras com base em mais campos, mais cabealhos, mais protocolos etc. Neste ponto, as listas de acesso em roteadores so bem mais limitadas, at porque garantir a segurana da rede no a funo principal destes equipamentos. Desvantagem A segurana do firewall implementado em hardware dedicado depende da existncia de um sistema operacional instalado nesta mquina. Ou seja, necessrio, antes, instalar e configurar um sistema operacional para, depois, instalar e configurar um firewall. A conseqncia disso bvia: se o sistema operacional for invadido, o firewall estar comprometido, ou seja, a quantidade de vulnerabilidades aumenta muito e o firewall fica suscetvel a diversos ataques. Os sitemas operacionais de roteadores so bem limitados e isso tem um lado bom: menor nmero de vulnerabilidades a serem exploradas. Para evitar a instalao de seus firewalls em sistemas operacionais mal configurados, alguns fabricantes vendem suas solues j instaladas em hardwares especficos chamados appliances. Incio da caixa de Verbete

Appliance - o nome que os fabricantes do a um hardware com sistema operacional customizado, previamente instalado e configurado com as funes necessrias manuteno de seu software. Deste modo, boas aplicaes de firewall, por exemplo, no tm a sua credibilidade afetada pela instalao em sistemas mal configurados. Fim da caixa de Verbete Incio da Caixa de Curiosidade Alguns desenvolvedores so mais rigorosos e no confiam a ningum a instalao do sistema operacional onde os seus produtos sero executados. Estes fabricantes comercializam firewalls apenas nas verses appliance. Outros desenvolvedores possuem verses para instalao em um sistema e verses j instaladas em appliances (normalmente mais caras). Exemplos de firewalls que so vendidos em appliances so o Firewall-1 (da Check Point) e o ASA (da Cisco Systems). Fim da Caixa de Curiosidade

4.3.Filtros de estado (firewall stateful) Filtros de estado recebem vrios outros nomes: firewall stateful, filtros com estado, filtros dinmicos etc. Os filtros de estado representaram uma evoluo com relao s listas de acesso e aos filtros de pacote. Estes firewalls permitem implementar polticas com base na relao que os pacotes de uma mesma conexo guardam entre si. Este relacionamento registrado atravs de parmetros armazenados no que esta tecnologia chama de tabela de estado das conexes ativas. A figura 2.3 representa um esquema bsico do funcionamento dos filtros de estado. Note que a tabela de estado cumpre um papel importantssimo juntamente com as regras do firewall. Cada pacote analisado a fim de saber se ele um novo pacote solicitando abertura de conexo ou se ele um pacote referente a uma conexo j ativa. Pacotes que fazem parte de uma conexo j iniciada no precisam passar novamente pelo filtro das regras de negao ou permisso de acesso. Por outro lado, novos pacotes solicitando aberturas de conexo podero ser negados (reject ou drop) ou aceitos (accept).

Figura 2.3: Esquema de uso de uma tabela de estado pelo firewall stateful. Ilustrao, por favor, refazer o esquema. Diagramao, deixar ao lado direito do texto.

Vantagem Os filtros de estado permitem maior granularidade na filtragem do trfego, uma vez que permitem avaliar, alm dos parmetros das camadas mais baixas, o relacionamento entre pacotes pertencentes a uma mesma conexo. Outra vantagem que costuma ser apontada o fato de que este tipo de firewall mais rpido que os firewalls stateless. Os filtros de estado ganham velocidade ao analisar as regras de firewall apenas para pacotes que iniciam conexes (que correspondem a uma pequena parte do trfego). Todos os pacotes subseqentes (que no iniciam conexo) precisaro apenas ser analisados segundo a tabela de estado a fim de verificar se o pacote referente a uma conexo j em andamento ou no. Parte-se do princpio de que mais rpido analisar alguns parmetros da tabela de estados do que todas as regras aplicadas no firewall (embora isso seja relativo, pois depende de quantas regras existem no firewall e de quantas conexes abertas existem na tabela). Determinar se o pacote pertence a uma conexo j aberta depende da anlise de informaes que caracterizam uma conexo na tabela de estado, tais como: IP de origem e de destino, portas de origem e de destino, flags IP, flags TCP etc. Quando tais informaes so iguais, o firewall admite que os pacotes pertencem mesma conexo. Filtros de estado conseguem registrar, inclusive, conexes que utilizam protocolo

UDP na camada de transporte (ou pseudo-conexes, uma vez que o conceito de conexo no se aplica diretamente ao protocolo UDP). Isso conseguido atravs do uso de vrios parmetros para caracterizar uma conexo Desvantagem Quando comparados aos filtros de pacote, os filtros de estado costumam ser mais caros, uma vez que implementam um tipo de filtragem mais sofisticada. Os filtros de estado so mais seguros que os filtros de pacote, pois guardar o estado de conexes em andamento ajuda a evitar vrios tipos de ataque (como os ataques de spoofing). Lembre-se de que os filtros de pacote, por outro lado, analisam cada pacote isoladamente como se no houvesse absolutamente nenhuma relao entre eles.

Apesar de haver vantagnes bvias dos filtros de estado com relao aos filtros de pacote, tenha em mente que segurana da informao algo relativo. Nem sempre a vantagem reside na escolha de um ou de outro tipo de firewall em si; mas, sim, na soluo completa que se mostrar a mais apropriada para as necessidades da empresa. Tenha bastante cuidado na hora de decidir entre estes dois tipos de firewalls e sempre coloque na balana a relao custo-benefcio de ambos.

Devemos ressaltar que existem caractersticas comuns aos filtros de estado e aos filtros de pacotes. Por exemplo, o fato de que ambos so transparentes para os usurios, ou seja, no feita autenticao do usurio e as conexes so estabelecidas diretamente entre as extremidades que se comunicam aps a aceitao do trfego pela regras de firewall. Ou seja, o trfego aceito apenas atravessa o firewall. Outra semelhana que ambos no analisam os dados da aplicao, ou seja, a anlise vai at, no mximo, o cabealho da camada de transporte. Veremos na prxima seo que esta a principal diferena entre os firewalls (sejam stateful ou stateless) e os proxies.

Figura 2.4: Os filtros de pacote e de estado interceptam o trfego na camada de rede e o analisam com base nos dados da camada de rede e de transporte. Ilustrao, refazer essa imagem. Os termos em ingls devem ser traduzidos, segue a lista: Aplication Apresentao; Session Seo Network Rede Physical Fsica Incio da Atividade Atividade 01 - Objetivo 01 Voc est envolvido em uma implementao de firewall e sua equipe discute sobre a implementao de um filtro de pacotes ou de estados. No final, chega-se concluso de que o filtro de pacotes mais adequado por causa de sua eficcia e eficincia maiores. Esta deciso foi correta? Explique. Quantidade de Linhas: deixar 08 linhas. Resposta Eficcia est relacionada ao nvel de segurana; eficincia, com a repidez na filtragem. Para dizer que o filtro de pacote mais seguro (eficaz) necessrio que o trfego da rede necessite guardar estados de conexes. Em alguns casos, apenas filtros de pacotes ou listas de acesso (ambos sem estado) fornecem segurana suficiente. Por outro lado, com relao eficincia, a rapidez de um e de outro tipo de filtro depende do tipo de trfego que circula na rede e dos parmetros que compem as informaes da tabela de estado. Enfim, em termos absolutos, o filtro de pacote tende a ser mais rpido e mais eficiente que o filtro de estado e, portanto, mais caros. De qualquer modo, sempre bom analisar prs e contras e um item importante nesta discusso sempre o custo envolvido. Fim da Atividade Incio da Caixa de Multimdia Presentation Apresentao Transport Transporte Data Link Enlace Dynamic State Tables Tabelas de Estado

O conceito de firewall stateful (filtros de estado) surgiu em 1991 e os crditos da sua inveno normalmente so dados empresa Check Point (fabricante do Firewall - 1). Uma boa descrio desta tecnologia pode ser vista em http://www.checkpoint.com/products/firewall1/firewall-1_primer.html. Pgina acessada em 10 de novembro de 2010. Fim da Caixa de Multimdia

4.4.Proxies (application firewalls) Os proxies tambm so chamados de firewalls de aplicao, gateways de aplicao, proxy de aplicao etc. Os proxies so sistemas que possibilitam maior granularidade para a tomada de decises de bloqueio ou permisso de trfego. Um proxy pode fazer tudo o que os filtros de pacote e de estado fazem e, alm disso, desempenhar funes diretamente ligadas anlise da aplicao. Na verdade, a rigor, o proxy apenas a parte do software que executa a anlise do campo de dados da aplicao. Portante, um proxy que tambm aplica filtros baseados em regras conforme vimos nas sees anteriores (stateful ou stateless) , na verdade, um sistema com funes de proxy e de filtro de estados e/ou de pacotes. Em sistemas Linux, por exemplo, encontramos exemplos claros de como estas funes podem ser divididas e executadas por aplicaes diferentes: o IPTables exerce as funes de firewall e o SQUID exerce as funes de proxy.

Figura 2.5: Conexes atravessam o firewall, mas no o proxy.

Uma definio formal de proxy que vamos usar neste curso : um programa que lida com servidores externos no lugar de clientes internos. O cliente se comunica com servidor proxy e este, por sua vez, encaminha as requisies dos clientes (desde que aprovadas) para os servidores reais na rede externa; as repostas destes servidores externos so, posteriormente, encaminhadas de volta aos clientes. Em resumo, as

conexes dos clientes terminam nele e o proxy que, de fato, se comunica com o mundo externo em lugar dos clientes. Vantagem Temos uma srie de vantagens oriundas do fato de que o proxy consegue enxergar os dados das aplicaes. Por exemplo, a possibilidade de autenticao dos usurios que queiram navegar na internet. Outra vantagem que torna mais seguro o acesso internet o fato de que nenhuma conexo estabelecida entre uma mquina da rede interna e uma mquina externa. O proxy no funciona como uma ponte por onde o trfego passa; ele funciona como uma espcie de despachante que recebe as solicitaes e inicia, ele prprio, conexes com o mundo externo (e viceversa). Desvantagem Se por um lado o uso dos proxies aumenta a segurana da rede impedindo qualquer comunicao direta entre mquinas internas e mquinas externas; por outro, ele aumenta a latncia da rede. Assim, o hardware de equipamentos que executam proxies precisa ser rpido e robusto. Alm disso, este tipo de soluo no transparente para o usurio, necessitando, normalmente, de uma etapa de autenticao (usurio/senha). Porm, isso est de acordo com a mxima da segurana da informao: quanto maior a segurana, menor a funcionalidade do ponto de vista do usurio. Pacincia. Incio da Atividade Atividade 02 - Objetivo 02 Uma equipe responsvel por montar o projeto de arquitetura de duas redes da mesma empresa entre as quais ser instalado um firewall. A discusso gira em torno de se instalar um firewall de aplicao e um filtro de pacotes e todos os argumentos giram em torno da eficincia na filtragem. Como resolver a questo? Quantidade de Linhas: deixar 06 linhas. Resposta H muitas diferenas entre o filtro de pacotes e o firewall de aplicao alm da eficincia, a saber: custo, transparncia para o usurio, autenticao do usurio, arquitetura pretendida (veremos na prxima sesso), entre outras. Perceba ainda que, como se trata de separar duas redes da mesma organizao, as regras de acesso provavelmente sero mais brandas que as do firewall instalado entre a empresa e a internet. Logo, para resolver a

questo, vrios outros parmetros ainda precisam ser discutidos a fim de que fique clara a escolha mais adequada para o cenrio da organizao. Por exemplo, o volume de trfego entre as redes e as exigncias quanto a taxas de transmisso, latncia etc. Fim da Atividade

5. Regras de Seleo e Polticas Em geral, as regras de firewall so baseadas em critrios de seleo e polticas que definem a ao a ser executada. A seleo pode se basear em vrias informaes, dependendo do tipo de firewall (stateless, stateful ou proxy) e as polticas normalmente envolvem a aceitao ou no do trfego analisado. A seguir, listamos exemplos entre os muitos critrios de seleo possveis (alguns j mencionados nas sees anteriores). Dependendo da sintaxe, um trfego pode ser selecionado por uma regra (dizemos que houve um match entre a regra e o trfego analisado) quando h coincidncia de: o o o o IP da mquina ou da rede de origem (rede inteira, ou parte dela); IP da mquina ou da rede de destino (rede inteira, ou parte dela); Protocolos de camada de rede (IP, ICMP etc) ou transporte (TCP, UDP etc.); Flags IP (D, T e R do campo type-of-service), flags TCP (URG, ACK, PSH, RST, SYN e FIN) e outros tipos de flags (fragmentao do IP etc.); o o o Portas de origem e de destino; Perfil de usurio; Perfil de aplicao;

Observe as trs regras abaixo, cuja poltica a de permisso do trfego que coincida com os critrios de seleo (match): o permit tcp 192.168.0.0 0.0.255.255 host 192.168.4.2 eq 80 o permit tcp 192.168.0.0 0.0.255.255 host 192.168.4.2 eq 21 o permit icmp 192.168.0.0 0.0.255.255 host 192.168.4.2

A primeira e a segunda regras permitem todo trfego originado na rede 192.168.0.0/16 destinado s portas 80 (HTTP) e 21(Telnet), respectivamente, da mquina 192.168.4.2. A terceira regra permite trfego ICMP (ping, trace etc) originado na rede 192.168.0.0/16 para a mquina 192.168.4.2. Podemos dizer que este firewall confia na rede 192.168.0.0/16.

Figura 2.6: Exemplo de visualizao da lista de acesso minha_lista em um roteador. Ilustrao, por favor, refazer essa imagem. Alm da poltica de permisso (permit) a ao aplicada nos casos anteriores poderia ser a de no aceitao do trfego. Neste caso, as regras poderiam comear com reject ou drop. Assim, o comportamento dos firewalls de acordo com cada poltica pode ser: o Permit (Accept ou Allow) Os pacotes so aceitos e uma nova entrada criada na tabela de estados para registrar esta nova conexo. o Reject (Allert) Os pacotes so descartados e uma mensagem ICMP enviada sua origem informando sobre o descarte. o Drop (Deny ou Discard) Os pacotes so descartados de forma silenciosa, ou seja, nenhuma mensagem enviada sua origem. Voc notou que h duas formas de descartar um pacote: reject e drop? E deve estar se perguntando: qual delas a melhor? Claro que se a sua inteno garantir maior grau de segurana, o drop mais indicado; a ltima coisa que voc deve fazer dar informaes adicionais a um possvel atacante. Alm disso, o reject consome mais recursos do firewall, pois necessrio gerar uma resposta para cada pacote descartado. O drop costuma ser utilizado em firewalls recm instalados (ou mesmo quando novas regras so adicionadas) para depurar problemas de configurao e validar o seu funcionamento. Devemos ressaltar ainda que os termos accept, drop e reject no so padronizados e, por isso, variam um pouco em algumas bibliografias e os fabricantes tendem a usar termos distintos (ou inventar os seus prprios termos). Alguns exemplos de termos usados: o Para aceitar: accept, permit, allow etc.

o o

Para no aceitar sem aviso origem: drop, deny, discard etc. Para no aceitar com aviso origem: reject, alert etc.

Assim, voc deve ficar atento quanto a isso e procura estudar a documentao do sistema a fim de determinar o comportamento do firewall quando ele rejeita ou aceita um pacote aplicando uma determinada poltica. Em resumo, na prtica, para um firewall que est completamente instalado, configurado e em produo, recomenda-se a poltica mais silenciosa possvel. Isso lhe trar maior segurana e desempenho.

6. Topologias de Firewalls Uma dvida comum quando comeamos a estudar firewalls sobre a sua localizao na rede (topologia) e sobre as implicaes de configurao e uso que esta localizao poder trazer (arquitetura). Pelo que estudamos at agora, voc obviamente j deve ter uma idia da localizao mais adequada destes sistemas (at mesmo pela nossa definio do que um firewall). Foi visto que um firewall , na vedade, um sistema e no um equipamento. Como um sistema, ele pode ter suas funes distribudas em mais de uma mquina e a localizao pode varia ligeiramente (sempre mantendo a idia de estar situado no ponto nico de contato entre as redes envolvidas). A classificao que adotaremos neste curso largamente utilizada como base para outras bibliografias sobre o assunto e at mesmo por fabricantes deste tipo de sistemas. Segue um resumo das principais topologias utilizadas, bem como uma descrio breve das implicaes sobre as arquiteturas correspondentes. Incio da caixa de multimdia Voc pode acessar o contedo do livro Building Internet Firewalls, 2 edio (Elizabeth D. Zwicky, Simon Cooper e D. Brent Chapmanrent, editora OReilly) atravs do link http://docstore.mik.ua/orelly/networking_2ndEd/fire/index.htm. Este livro traz um detalhamento formal das trs arquiteturas apresentadas. Pgina acessada em 10 de novembro de 2010. Fim da caixa de multimdia

6.1.Dual Homed Host Neste tipo de topologia o firewall possui duas interfaces de rede: uma conectada rede interna (por exemplo, a rede administrativa da sua empresa); outra conectada rede externa (por exemplo, a internet).

Observe que se a topologia escolhida for esta, o adminstrador poder optar por duas arquiteturas distintas. Por um lado, devido sua localizao, possvel habilitar as funes de roteamento no prprio sistema de firewall. Se as funes de roteamento esto presentes, o firewall poder funcionar como filtro de pacote ou de estado.

Figura 2.7: Esquema da topologia dual homed host. Ilustrao, por favor, refazer essa imagem. Por outro lado, se nenhum tipo de roteamento de pacotes de uma rede para outra estiver sendo realizado no firewall, este sistema dever executar funes de proxy. E necessrio um roteador para fazer a passagem de pacotes de um lado para o outro. Porm, o uso de um computador com funes de proxy e de um outro equipamento com funes de roteamento permite adotar uma topologia mais robusta chamada screened host. A topologia screened host assunto de nossa prxima seo. o Uso recomendado da topologia dual homed host Esta topologia aconselhada apenas quando o fluxo de trfego entre as redes pequeno e no contm informaes crticas ou dados sigilosos; ou seja, apenas quando as restries de segurana so mais simples e alguns riscos podem ser aceitos pela organizao.

6.2.Screened Host Neste tipo de topologia o sistema de firewall implementado pelo roteador e pelo computador denominado bastion host. Todo o trfego dos clientes (ou para os clientes) deve passar pelo bastion host. Perceba que o roteador exerce funo central bloqueando qualquer tentativa de acesso das mquinas da rede interna diretamente para a rede externa (ou viceversa, dependendo de qual rede se quer proteger) sem passar pelo bastion host.

No exemplo a seguir a rede externa a internet e a rede interna uma rede local de uma empresa.

Figura 2.8: Esquema da topologia screened host. Ilustrao, por favor, refazer essa imagem.

Incio da Caixa de Verbete Bastion host - um computador que desempenha atividades sensveis na rede e que, por isso, possuem requisitos de segurana diferenciados. Normalmente bastion hosts so mquinas que aceitam conexes vindas da rede externa e so configuradas de forma a serem mais robustas contra ataques de qualquer espcie. Fim da Caixa de Verbete

Muita ateno para este conceito! Perceba que, formalmente, o roteador de borda responsvel por algumas funes de filtro e, portanto, o sistema de firewall neste caso composto por dois equipamentos: o roteador e o bastion host. Esta topologia possui o inconveniente de o bastion host estar localizado na mesma rede em que esto as outras mquinas da organizao (rede interna). O roteador de borda precisa ento anunciar para a rede externa (no caso, a internet) os endereos locais para que o bastion host passe a ser conhecido. Isso aumenta o nmero de ameaas potenciais. Alm disso, qualquer comprometimento do bastion host permitir acesso direto e imediado do invasor rede local. Esta topologia normalmente acompanhada de uma arquitetura onde o bastion host exerce funes de proxy e, ocasionalmente, funes de filtro de estado (stateful) e o roteador de borda exerce funes de filtro de pacote (stateless) atravs de listas de acesso (access-lists). o Uso recomendado desta topologia

Quando as restries de segurana so intermedirias. Esta uma soluo que fornece maiores possibilidades de implementao de barreiras de permetro com relao topologia dual homed host vista na seo anterior. Porm, ela ainda menos segura e robusta que a soluo screened subnet, que veremos na prxima seo. Incio da Caixa de Multimdia NP.: Sugiro colocar esse trecho grifado como um verbete l perto do termo em negrito e aqui colocar o restante do texto, como informao adicional. [Ok.] Uma definio formal de bastion host tambm poderia ser: um sistema identificado como ponto crtico segurana da rede e que merece ateno especial. Por ateno especial entenda-se: auditorias regulares de logs, utilizao de softwares como IDS e IPS, configuraes mais seguras (hardening), restries de acesso local (login como administrador etc.), limitao de recursos para instalar novos programas etc. Voc pode ler mais sobre este tema em http://docstore.mik.ua/orelly/networking_2ndEd/fire/ch10_01.htm. Esta pgina foi acessada em 10 de novembro de 2010. Fim da Caixa de Multimdia

6.3.Screened Subnet Neste tipo de topologia o sistema de firewall implementado por dois roteadores e pelo bastion host. Ou seja, h dois equipamentos executando funes de filtro. O primeiro protege a rede onde est localizado o bastion host. O segundo protege a rede local.

Figura 2.9: Esquema da topologia screened subnet. Ilustrao, por favor, refazer essa imagem. Perceba que o nvel de segurana aumenta muito, pois ter acesso rede do bastion host no significa ter acesso direto rede interna (o que fato nas duas outras

topologias estudadas). Assim, o que feito nesta topologia retirar o bastion host da parte interna da rede criando um segmento exclusivo para esta mquina. Note, por exemplo, que o rotedor mais externo anuncia para a internet apenas endereos da rede do bastion host e que, por isso, os endereos internos ficam escondidos aumentando bastante a proteo das mquinas da rede local. Esta topologia normalmente acompanhada de uma arquitetura onde o bastion host exerce funes de proxy e, ocasionalmente, funes de filtro de estado (stateful). Alm disso, ambos os roteadores (o externo e o interno) exercem funes de filtro de pacote (stateless) atravs de listas de acesso (access-lists). Perceba que um duplo grau de segurana no nvel de rede, alm da segurana nas camadas superiores implementada pelo bastion host. o Uso recomendado desta topologia Esta a soluo que fornece mais possibilidades de implementar barreiras de permetro aumentando a segurana. Esta topologia a mais recomendada quando se quer criar uma DMZ, por exemplo. O nico inconveniente a se considerar o custo de implementao e manuteno que obviamente maior que o das topologias dual homed host e screened host.

7. DMZ DMZ a sigla para zona desmilitarizada em ingls (demilitarized zone). A DMZ uma pequena rede situada entre uma rede tida como confivel e uma rede tida como no confivel.

Figura 2.10: DMZ usando um firewall com trs interfaces de rede. Ilustrao, por favor, refazer essa imagem.

Quando estudamos os firewalls, voc deve ter notado que todos os nossos exemplos citavam situaes onde conexes eram iniciadas a partir de clientes internos para servidores externos. Voc acha que clientes externos podem solicitar conexes para servidores internos? Sim, claro que podem. Porm, voc concorda que estes servidores internos esto sujeitos a regras de acesso diferentes das regras a que se sujeitam as mquinas clientes da rede interna? justamente por isso que surge a necessidade da criao de DMZs: para que tais servidores possam ser localizados em um ponto da rede onde possvel se chegar passando por regras de acesso menos restritivas. Perceba que as regras de acesso no caso da DMZs so menos restritivas; agora, ao contrrio do que acontecia com as mquinas da rede local interna, passam a ser aceitos pacotes destinados DMZ solicitando abertura de conexo (bit SYN igual a 1). Assim, a DMZ permite que mquinas da empresa funcionem como servidores de correio eletrnico (POP/IMAP e SMTP), web (HTTP), de arquivos (FTP etc.), de acesso remoto (SSH, Telnet etc.) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes servidores. Perceba que, ao contrrio do que se possa imaginar, com relao posio na arquitetura da rede, as mquinas da DMZ esto mais vulnerveis que as mquinas locais. Para garantir a proteo da rede interna, os servidores na DMZ no devem ter nenhum tipo de acesso permitido rede local. Note, por ltimo, que h vrias formas de implementar uma DMZ. A idia bsica conseguir construir um novo segmento na topologia da rede a partir do que antes era chamado de parte interna da rede: um segmento permanece sendo usado pelas mquinas da rede local e o novo segmento ser usado pelos servidores que formaro a DMZ.

Figura 2.11: DMZ usando dois firewalls, cada um com duas interfaces de rede. Ilustrao, por favor, refazer essa imagem. Nesta seo apresentamos duas topologias possveis conforme esquematizado nas figuras. A vantagem da topologia que utiliza apenas um firewall com trs interfaces de rede

(figura 2.10), obviamente, o seu custo reduzido. Porm, a maior desvantagem o fato de que uma vez que o primeiro firewall tenha sido invadido, tanto a DMZ quanto a sua rede interna estar comprometida (haja vista que o primeiro firewall tambm o ltimo). J a topologia baseada em dois firewalls (figura 2.11), tem a segurana como grande aliada, pois o comprometimento de um dos firewalls, no compromete as mquinas internas. Neste caso o atacante precisar vencer um segundo firewall. Em alguns ambientes onde esta topologia utilizada so usados firewalls de diferentes fabricantes para dificultar ainda mais a invaso (invadir um primeiro sistema no significa ter encontrado uma forma fcil de invadir o segundo). Note que este tipo de DMZ um exemplo de implementao da arquitura screened subnet que estudamos anteriormente.

Incio da Caixa de Curiosidade Em termos militares, uma zona desmilitarizada (DMZ) uma area entre duas ou mais regies onde a atividade militar no permitida. Em geral so estabelecidos acordos de paz definindo termos de proibio das atividades blicas. Muitas vezes as zonas desmilitarizadas ficam em fronteiras internacionais entre pases (mas no necessariamente). Podemos citar exemplos: uma DMZ com largura de 2.5 km entre a Srvia e Kosovo (criado por causa dos conflitos dos Balcs); uma DMZ coreana que separa os dois estados da pennsula da Coreia (criada pelas ONU em 1953 permitindo um cessar-fogo na Guerra da Coreia); entre outras. Fim da Caixa de Curiosidade Incio da Atividade Atividade 03 Objetivo 03 Sua empresa possui vrios servidores que precisam ser acessados por usurios a partir da internet. A equipe responsvel pela administrao da rede opta por uma topologia que utiliza dois equipamentos: um roteador configurado em uma mquina que estava sem uso e outro equipamento que ser o firewall. a) Que arquitetura foi escolhida? b) Que cuidados a equipe deve ter com relao a este roteador? Quantidade de Linhas: deixar 08 linhas. Resposta A arquitetura escolhida foi a screened subnet. Formalmente falando, conforme vimos em nossa aula, o sistema de firewall composto pelos trs equipamentos nesta arquitetura: os roteadores (que geralmente implementa alguns filtros bsicos) e o bastion host (que normalmente implementa um ou mais proxies). Nesta arquitetura um cuidado que se deve tomar com relao latncia da rede. Os roteadores so pontos em srie com todo o

trfego, ou seja, se ele parar ou ficar congestionado, toda a comunicao com a rede interna pra. Um cuidado mais especial se deve ter ao transforma um PC em roteador de produo, pois seu hardware no foi customizado para tal (confiabilidade das interfaces de rede, funes desnecessrias no sistema operacional, maior nmero de vulnerabilidades a serem exploradas etc.) Fim da Atividade

8. Firewalls Pessoais Uma boa definio para firewall pessoal : "trata-se de um aplicativo que intercepta conexes de entrada e de sada em um computador pessoal e decide quais conexes podem ser aceitas e quais podem ser recusadas de acordo com regras definidas pelo usurio." importante que voc note duas diferenas bsicas nesta definio com relao definio de firewall que voc j possui. Em primeiro lugar, a configurao do firewall pessoal ser feita (com algumas excees) pelo usurio de uma mquina do tipo desktop, ou seja, os fabricantes destes programas prezam (muito) pela facilidade de uso e configurao. Logo, no espere encontrar nestes softwares funcionalidades avanadas de filtragem de trfego. A segunda diferena bvia: este firewall instalado em uma mquina cliente onde o usurio, geralmente, tem mais liberdade para executar aplicativos, ler e-mails, navegar na internet etc. o que facilita a infeco por vrus ou outros tipos de cdigos maliciosos, conforme vimos na Aula 01. Porm, no h como evitar isso e este fato torna mais complexa a tarefa destes programas pessoais. Por isso, normalmente, grandes fabricantes de anti-vrus desenvolvem e comercializam verses de firewalls pessoais acompanhadas de seus softwares de anti-vrus. Incio da Caixa de Multimdia H sites na internet que promovem testes dos firewalls pessoais mais populares e geram rankings classificando-os de acordo com diversos critrios. Nestes sites, alm de obter uma lista dos principais firewalls pessoais, voc pode obter informaes para ajudar na sua deciso sobre que firewall adquirir. Alguns links onde voc pode encontrar informaes deste tipo so o http://www.matousec.com/projects/proactive-security-challenge/ e o http://en.wikipedia.org/wiki/comparison_of_firewalls. Alm disso, caso voc queira estudar um pouco mais sobre a teoria destes programas, acesse o site http://www.rnp.br/newsgen/0201/firewall-pessoal.html. Estas pginas foram acessadas em 10 de novembro de 2010.

Fim da Caixa de Multimdia

9. Concluso Os conceitos vistos nesta aula abrangem tudo o que necessrio para o bom entendimento deste curso. Os quatro tipos de firewalls estudados (listas de acesso, filtros de pacotes, filtros de estado e proxies) so os mais comumente listados na literatura. E voc deve procurar garantir que no restam dvidas sobre as diferenas e semelhanas com relao a cada um deles. Tudo isso ser importante, por exemplo, para o entendimento dos conceitos de VPN e IDS que veremos nas Aulas 03 e 04, respectivamente. Estas so tecnologias que possuem conceitos intimamente relacionados com os conceitos de firewall. A propsito, voc percebeu que, pela prpria definio, um firewall deve ter no mnimo duas interfaces de rede? Assim, nossa classificao quanto topologia pode variar um pouco se considerarmos, por exemplo, o uso de firewalls com trs ou mais placas de rede (conforme o exemplo que demos na seo sobre DMZs). De qualquer modo, a classificao vista nesta aula a mais formal e, talvez por isso, seja uma das mais citadas e mais seguidas na literatura e na maioria das topologias implementadas na prtica. Por ltimo, importante ressaltar que a configurao de firewalls depende da teoria vista aqui, do conhecimento sobre o funcionamento das redes de computadores (algo que no nosso foco, mas pr-requisito para este curso) e do conhecimento sobre os comandos especficos de cada firewall (o que varia de acordo com cada fabricante). Bons especialistas em segurana da informao diro que o melhor firewall aquele que escolhido a partir das necessidades reais da organizao; e que, alm disso, bem configurado e administrado pela equipe de TI. Incio da Atividade On Line Objetivos 01 a 03 Acesse o frum desta semana e tire suas dvidas sobre o contedo desta aula. Nesta semana vamos discutir algumas polmicas que existem com relao ao fato de que os filtros de pacotes no podem acessar a camada de aplicao. H bibliografias que dizem o contrrio... Porm, veremos que tudo uma mera questo de ponto de vista. Tambm iremos discutir outras topologias possveis alm das trs principais vista nesta aula. Alm disso, ainda discutiremos funcionalidades de alguns firewalls mais utilizados no mercado (custos, vantagens e desvantagens etc.). No perca esta discusso! Fim da Atividade

10. Resumo Um firewall um sistema (no um equipamento) posicionado no ponto nico de contato entre duas ou mais redes com restries de acesso diferenciadas. Uma lista de acesso um tipo de firewall de pacotes geralmente implementado em um roteador de borda. Filtros de pacote (ou firewalls stateless) no armazenam informaes de estado das aplicaes; filtros de estado (ou firewalls stateful) armazenam estas informaes em uma estrutura chamada tabela de estado. Os filtros de pacote e de estado no conseguem analisar os dados da aplicao; apenas os proxies possuem tal funcionalidade. H trs classificaes quanto topologia dos firewalls: dual homed host, screened host e screened subnet. A topologia dual homed host mais adequada a redes pequenas com restries mnimas de segurana e com grau de tolerncia ao risco maior que em outros ambientes organizacionais. A topologia screened host mais segura que a dual homed host, mas ainda possui deficincias; a maior delas o fato de que o bastion host tambm est na rede interna juntamente com as mquinas a serem protegidas. A topologia screened subnet a mais segura das trs topologias, mas possui um custo de implementao e manuteno maior por vrias razes. A principal o fato de ser baseada no uso de dois roteadores em vez de apenas um como na screened host. Uma DMZ , na verdade, a rea criada pela topologia screened subnet; esta rea fica sujeita a regras de acesso menos restritivas que as da rede interna. Firewalls pessoais tendem a ser menos bem sucedidos que firewalls de rede por causa das vulnerabilidades inerentes aos sitemas desktop nos quais eles so instalados e no fato de que a sua configurao deve ser feita por usurios e no por administradores.

Prxima aula Na prxima aula estudaremos o conceito de VPNs (Virtual Private Network), seu uso e os principais protocolos relacionados. Tambm estudaremos os principais protocolos de enlace (L2TP e PPTP), um protocolo de tunelamento muito comum (GRE) e concentraremos esforos nas explicaes sobre o protocolo IPSec e seus cabealhos de autenticao e confidencialidade (AH e ESP).

Pratique o que voc aprendeu e contribua com os fruns desta aula fazendo os seus questionamentos ou ajudando a esclarecer as dvidas dos outros participantes. At a prxima aula!

Questes Finais 1) Enumere a primeira coluna de acordo com a segunda. ( ( ( ( ( ) Firewall stateful. ) Proxy. ) Firewall stateless. ) DMZ. ) Listas de acesso. ( 1 ) No identifica relao entre os pacotes. ( 2 ) Normalmente configuradas em roteadores. ( 3 ) Analisa dados da camada de aplicao. ( 4 ) Cria tabelas de estado dinmicas. ( 5 ) rea relativamente menos segura.

2) (Analista de Redes MPE-AM/2008 CESPE) Com relao segurana de permetro, julque os itens a seguir. [96] O permetro de segurana da rede pode ser composto de: roteadores de borda, firewalls, IDSs, IPSs, terminadores de VPN, DMZs e redes com trfego filtrado. [97] O roteador de borda o ltimo roteador sobre o qual se pode ter controle antes de entrar, de fato, na internet. Geralmente, sua operao segue as polticas de roteamento e de acesso, neste caso implementadas por listas e acesso que controlam os trfegos ingresso e egresso. [98] Firewalls so pontos de concentrao de trfego que controlam o trfego de entrada e de sada da rede. Entretanto, as regras e as caractersticas de implementao e operao lhes conferem menor especificidade e granularidade que as listas de acesso dos roteadores. 3) Que vulnerabilidades inerentes ao uso de firewalls dificilmente podem ser eliminadas por completo? 4) Com relao aos firewalls, qual a diferena entre as duas vulnerabilidades abaixo: 1. O firewall no protege contra ataques cujo trfego no passa por ele. 2. O firewall no impede que haja outros pontos de comunicao entre as redes. 5) (Analista de Informaes ABIN/2004 CESPE) Acerca das tecnologias, dos protocolos e dos elementos estruturais que permitem organizar a segurana dos sistemas de informao em redes, julgue os itens seguintes. [102] Em um firewall altamente recomendvel a rejeio de pacotes provenientes de uma rede externa que tenham endereo IP de origem da rede interna. 6) (Analista de Sistemas IPEA/2008 CESPE) Acerca dos aspectos de segurana em sistemas de informao e redes TCP/IP, julgue o item. [120] Um firewall considerado uma boa proteo para ataques que envolvem coluses entre usurios internos da rede protegida e atacantes externos, pois o firewall tem a possibilidade de bloquear as comunicaes entre eles.

7) (Analista de TI DATAPREV/2006 CESPE) Com relao s ferramentas de segurana de redes, julgue os itens subsequentes. [72] Os firewalls realizam inspeo de cabealho em pacotes e podem abranger as informaes das camadas de rede e de transporte. [75] Os firewalls com inspeo de estado so aqueles que, alm de realizar a inspeo do cabealho, tambm tratam do protocolo de aplicao. 8) (Perito Criminal Federal PF/2004 CESPE) Os sistemas de informao possuem diversas vulnerabilidades que podem ser exploradas para se comprometer a segurana da informao. Para reduzir os riscos de segurana, empregam-se diversos mecanismos de controle de proteo fsica e lgica desses sistemas. Acerca das vulnerabilidades e protees dos sistemas de informao, julgue o item a seguir. [104] Entre os diversos equipamentos que podem ser utilizados para aumentar o nvel de segurana de uma rede de computadores corporativa, os firewalls exercem um papel fundamental. Para que sua ao possa ser eficaz, eles devem ser instalados entre a rede interna da organizao e as redes do mundo externo e tm por objetivo filtrar o contedo que chega at a rede interna impedindo que ataques conhecidos sejam realizados. 9) (Analista de Trnsito DETRAN/DF/2009 CESPE) Com relao segurana em redes de computadores, julgue os itens a seguir. [119] Com um proxy HTTP no firewall, os usurios remotos podem estabelecer uma conexo HTTP/TCP com o proxy, que examina o URL contido na mensagem de solicitao. Se a pgina solicitada for permitida para o host de origem, o proxy estabelece uma segunda conexo HTTP/TCP com o servidor e para ele encaminha a solicitao. 10) Qual das trs topologias de firewall a mais segura? Analise-a sob os aspectos de suas principais vantagens e desvantagens.

Respostas 1) 4 3 1 5 2 2) A afirmao [96] verdadeira. IDSs, IPSs e VPNs tambm servem para delimitar o permetro de segurana juntamente com firewalls e roteadores de borda. Segundo a classificao modenra de arquiteturas de firewall, o roteador de borda compe o sistema de firewall. A afirmao [97] verdadeira. Embora seja uma definio mais especfica (e menos formal). O roteador de borda no precisa conectar uma rede internet (como regra). A afirmao [98] falsa. O que acontece o contrrio. As regras implementadas nas listas de acesso possuem menor nvel de detalhamento do que as regras implementadas nos firewalls. 3) Enumerando conforme visto nesta aula: 1. O firewall s defende o permetro; logo, no protege contra ataques cujo trfego no passe por ele (internos). 2. Todo o trfego entre as redes envolvidas nas regras do firewall deve passar por ele. 3. O firewall uma entidade sujeita a ataques; se ele for comprometido, as redes que dependem dele sero afetadas. 4. O firewall existe para selecionar o que passa e o que no passa. H ataques que exploram o trfego permitido pelo firewall (relacionados a vulnerabilidades de aplicaes, por exemplo). 5. O firewall no vai at o limite da

proteo possvel, pois isso inviabilizaria a comunicao em rede. Ele sempre tomar decises com base em um conjunto limitado de informaes. 4) A primeira afirmao trata do trfego que naturalmente no precisa passar pelo firewall (trfego interno). A segunda afirmao trata do trfego externo que chega rede interna sem passar pelo firewall. So duas idias diferentes. 5) A afirmao [102] verdadeira. um ataque do tipo IP spoofing. 6) A afirmao [120] falsa. Coluso sinnimo de ajustes fraudulentos, conchavos, conluio etc. Os firewalls so incuos no que diz respeito engenharia social. Claro que a dificuldade desta questo era saber o significado de coluso. Agora voc j sabe! 7) A afirmao [72] verdadeira. Embora a questo no especifique o tipo de firewall, no h nada de errado nela. Firewalls analisam cabealhos da camada de rede, de transporte e, no caso de proxies, podem analisar dados da aplicao. A afirmao [75] falsa. Filtros de estado e filtros de pacote no analisam os dados da aplicao. 8) A afirmao [104] falsa. O firewall no deve obrigatoriamente - ser instalado entre uma rede interna e uma rede externa. Os firewalls so instalados entre redes com requisitos de acesso diferentes. A maioria dos exemplos sempre cita um firewall colocado entre uma rede interna e uma rede externa (a internet) e isso induz ao erro conceitual. A questo cobrou um rigor formal maior. 9) A afirmao [119] verdadeira. Embora sejam citados vrios protocolos e outros termos usuais na internet, a afirmao descreve exatamente o funcionamento de firewall de aplicao (proxy) que vimos nesta aula. 10) As trs topologias estudadas foram: dual homed host, screened host e screened subneted. Entre as trs, a topologia screened subneted a mais segura, pois h dois firewalls entre o provvel atacante e a rede a ser protegida. Porm, ela possui um custo de implementao e administrao mais elevado.

Referncias CHAPMAN, D. Brent. Building Internet Firewalls. 2 ed. USA: OReilly, 2000. NAKAMURA, Emilio T. Segurana de Redes em Ambientes Cooperativos. 1 ed. Brasil: Novatec, 2007. ASSOCIAO BRASILEIRA DE NORMAS E TCNICAS. NBR ABNT ISO/IEC 27001 - Tecnologia da informao - Tcnicas de segurana - Sistemas de gesto de segurana da informao Requisitos. Brasil, 2006.