ANLISE DE FERRAMENTAS FIREWALL NO MERCADO ATUAL

Jos Alcino Furtado Curso Tcnico em Informtica Instituto Federal de Santa Catarina josealcinofurtado@gmail.com

INTRODUO
Firewalls so ferramentas ou dispositivos capazes de controlar o fluxo de dados em uma rede de computadores de forma a permitir ou negar a entrada ou sada dos dados que fluem. Na situao atual do desenvolvimento da tecnologia, todos os mecanismos de segurana so bastante requisitados, no apenas pelo usurio mas pelos sistemas de informao de maneira geral. Afinal, a informao se transformou no bem mais precioso de nossa sociedade desde meados do sculo passado. J durante a segunda guerra mundial e, posteriormente, no perodo da guerra fria, as informaes passaram a ser de vital importncia para o sucesso das organizaes e dos pases. Uma das formas de se levar vantagens na obteno de informaes privilegiadas tentar alcan-las diretamente na fonte, ou seja, nos sistemas de informaes onde elas so geradas e/ou armazenadas. Assim, os mecanismos de intruso e captao de dados funcionam de maneira autnoma para capturar esses dados e envi-los a um determinado destinatrio. Por esse motivo as ferramentas firewalls funcionam como um imprescindvel meio de diminuir os riscos e mant-los sob controle, j que a nica forma de acabar completamente com eles seria impedir todo trfego na rede, o que impossvel, afinal, uma rede sem trfego um paradoxo. FIREWALL De maneira objetiva e sucinta, os firewalls so interpostos na rede por onde fluem os dados podendo, assim, impedir a entrada de um pacote de dados indesejado ou suspeito ou a sada indevida e descontrolada de dados. H diversas tecnologias envolvidas nesse conceito, fazendo com que os firewalls possam ser de tipos diferentes, de acordo com a maneira com ele atua na rede, ou mesmo ter formas diferentes de atuar na

rede de acordo com as configuraes feitas nele pelo administrador da rede. As tecnologias aplicadas aos firewalls foram sendo incrementadas medida em que eles foram evoluindo, por isso foram divididos em geraes: Primeira Gerao (Filtros de Pacotes) A tecnologia foi disseminada em 1988 atravs de pesquisa sustentada pela DEC; Bill Cheswick e Steve Bellovin da AT&T desenvolvem o primeiro modelo para prova de conceito; O modelo tratava-se de um filtro de pacotes responsvel pela avaliao de pacotes do conjunto de protocolos TCP/IP; Apesar do principal protocolo de transporte TCP orientar-se a um estado de conexes, o filtro de pacotes no tinha este objetivo inicialmente (uma possvel vulnerabilidade). At hoje, este tipo de tecnologia adotada em equipamentos de rede para permitir configuraes de acesso simples (as chamadas "listas de acesso" ou "access lists"). O ipchains exemplo recente de um firewall que utiliza a tecnologia desta gerao. Hoje o "ipchains" foi substitudo pelo iptables que nativo do Linux e com maiores recursos. Regras Tpicas na Primeira Gerao Restringir trfego baseado no endereo IP de origem ou destino; Restringir trfego atravs da porta (TCP ou UDP) do servio. Segunda Gerao (Filtros de Estado de Sesso) A tecnologia foi disseminada a partir de estudo desenvolvido no comeo dos anos 90 pelo Bell Labs;

 Pelo fato de o principal protocolo de transporte TCP orientar-se por uma tabela de estado nas conexes, os filtros de pacotes no eram suficientemente efetivos se no observassem estas caractersticas; Foram chamados tambm de firewall de circuito. Regras Tpicas na Segunda Gerao Todas as regras da 1 Gerao; Restringir o trfego para incio de conexes (NEW); Restringir o trfego de pacotes que no tenham sido iniciados a partir da rede protegida (ESTABLISHED); Restringir o trfego de pacotes que no tenham nmero de sequncia corretos. Terceira Gerao (Gateway de Aplicao OSI) Baseado nos trabalhos de Gene Spafford (co-autor do livro Practical Unix and Internet Security), Marcos Ranum (fundador da empresa TIS), e Bill Cheswick; Tambm so conhecidos como "Firewall de Aplicao" ou "Firewall Proxy"; Foi nesta gerao que se lanou o primeiro produto comercial em 13 de Junho de 1991 o SEAL da DEC; Diversos produtos comerciais surgiram e se popularizaram na dcada de 90, como os firewalls Raptor, Gauntlet (que tinha sua verso gratuita batizada de TIS) e Sidewinder, entre outros. Regras Tpicas na Terceira Gerao Todas as regras das geraes anteriores; Restringir acesso FTP a usurios annimos; Restringir acesso HTTP para portais de entretenimento; Restringir acesso a protocolos desconhecidos na porta 443 (HTTP/S). Quarta Gerao e subsequentes O firewall consolida-se como uma soluo comercial para redes de comunicao TCP/IP; Diversas empresas como Fortinet, SonicWALL, Juniper, Checkpoint e Cisco

desenvolvem solues que ampliam caractersticas anteriores: Stateful Inspection para inspecionar pacotes e trfego de dados baseado nas caractersticas de cada aplicao, nas informaes associadas a todas as camadas do modelo OSI (e no apenas na camada de rede ou de aplicao) e no estado das conexes e sesses ativas; Preveno de Intruso para fins de identificar o abuso do protocolo TCP/IP mesmo em conexes aparentemente legtimas; Deep Packet Inspection associando as funcionalidades do Stateful Inspection com as tcnicas dos dispositivos IPS; A partir do incio dos anos 2000, a tecnologia de Firewall foi aperfeioada para ser aplicada tambm em estaes de trabalho e computadores domsticos (o chamado "Firewall Pessoal"), alm do surgimento de solues de firewall dedicado a servidores e aplicaes especficas (como servidores Web e banco de dados). Tecnologias de Firewall Muitas empresas imaginam que esto seguras porque j instalaram um firewall no seu link Internet. Esta uma percepo errada e perigosa, pois existem vrias questes que devem ser verificadas e constantemente aprimoradas para garantir a segurana de uma empresa. O firewall, geralmente colocado na borda da rede, funciona como um ponto de verificao que permite ou no a comunicao de acordo com as regras configuradas. Pode-se separar os firewalls em trs tipos diferentes de tecnologia utilizada: packet filtering, stateful inspection e application proxy. A tecnologia de packet filtering foi uma das primeiras a ser implementada nos roteadores e utiliza as caractersticas do pacote de rede que est passando pelo roteador para permitir ou no sua passagem. O packet filtering a mais simples das trs tecnologias. bastante limitada por no conseguir filtrar adequadamente protocolos de rede que abrem portas dinamicamente sem precisar abrir por completo uma faixa de portas e endereos.

O stateful inspection a tecnologia mais utilizada nos firewalls atualmente. Tem capacidade de identificar o contexto do pacote dentro de uma comunicao estabelecida e assim permitir ou no a passagem. Para se ter uma idia do que isso significa, a ferramenta verifica se os pacotes so resposta a uma requisio anteriormente realizada e analisada, considerada de acordo com a poltica implementada nas regras do firewall e colocada em uma tabela de estados para referncia futura quando a resposta requisio voltar. O uso das tabelas de estados no stateful inspection firewall garante um grande desempenho ao permitir que os pacotes que se seguem depois de iniciada uma comunicao passem rapidamente pelo firewall sem ter de passar novamente pelas regras da poltica de segurana. Portas so abertas temporariamente somente para os pacotes corretos de acordo com o tipo e de acordo com o comportamento dinmico previamente conhecido do protocolo que est sendo utilizado. O application proxy firewall permite a anlise de todas as camadas de comunicao at a camada 7, ou seja, at a ltima camada do modelo OSI, que a camada de aplicao. Isto permite um controle total da comunicao impedindo os ataques que tentam explorar, por exemplo, vulnerabilidades nas aplicaes dentro dos servidores. Como exemplo, um packet filtering firewall permitiria a passagem de pacotes na porta 80 (geralmente protocolo HTTP) mesmo que ningum os tivesse requisitado; um statefull inspection firewall permitiria a passagem do protocolo HTTP para o servidor web da empresa porque est de acordo com as regras definidas; somente o application proxy firewall bloquearia uma sequncia especial de caracteres misturada nas informaes HTTP que fazem a aplicao dentro do servidor travar. Se o application proxy firewall to bom, porque ele no utilizado por todos? Provavelmente porque esta tcnica exige muito recurso de CPU e no consegue grande escalabilidade, o que torna a soluo cara e de difcil manuteno. Para cada comunicao estabelecida, o firewall tem que abrir uma conexo com o cliente e outra com o servidor.

Para cada protocolo e/ou aplicao nova que surge, existe a necessidade de nova implementao no firewall. Isso para que esta seja corretamente acompanhada pelo proxy sob pena de ter de utilizar um mecanismo padro que s coloca um intermedirio atrasando e, em alguns casos, atrapalhando a comunicao. Qualquer que seja a tecnologia utilizada, a instalao do firewall deve ser acompanhada de vrias aes e solues complementares. s vezes, por descuido, necessidade de liberar rapidamente um acesso ou limitaes do firewall utilizado, verdadeiros buracos deixam sistemas inteiros expostos. O firewall sozinho como a porta de um cofre, sem o acompanhamento adequado dos logs ou de um IPS (Intrusion Prevention System), pode ser comprometido se for atacado constantemente. Para o caso de queda do link Internet, devem existir esquemas de contingncia e, de preferncia, automticos para a empresa continuar a receber e-mails e manter as pginas WEB no ar. Alm do firewall, preciso se preocupar com o roteador e com os links de acesso. Um sistema de balanceamento e priorizao do trfego permite que as aplicaes de misso crtica estejam sempre disponveis e com a banda adequada. Os concentradores VPN permitem que o acesso remoto seja feito de forma segura, com autenticao e criptografia de dados. Existem softwares clientes VPN que utilizam IPSec e, mais recentemente, esquemas que necessitam apenas de um internet browser na ponta para utilizar SSL VPNs que dispensam o uso de softwares adicionais. O uso de autenticao forte importante para garantir que mesmo que uma senha seja comprometida ela no possa ser reutilizada em outros acessos. Sistemas de controle de acesso para garantir que a estao remota est com parmetros mnimos de segurana como antivrus, patches de sistema operacional e firewall pessoal instalados importante para evitar que cdigos maliciosos sejam transmitidos pela VPN. ANLISE DE FIREWALL Para se definir qual a melhor ferramenta para a necessidade de uma rede, de uma organizao ou de um sistema de informtica qualquer, necessrio analisar as

ferramentas disponveis sob um ponto de vista tcnico e determinar parmetros de referncia. Alm disso, preciso que se coloque a ferramenta sob teste e poder medir a sua eficincia. Para tanto deve-se ter um conhecimento tcnico considervel a respeito de segurana da informao e ferramentas firewall. Um desses analistas Scot Finnie que explica sua metodologia de anlise em seu site: http://www.scotsnewsletter.com/fw_test.htm. Assim sendo, recorreu-se a sites que realizam este tipo de anlise comparativa. Alguns exemplos desses sites:

Estrutura e Funes: 3,0 Facilidade de Uso: 4,0 Facilidade de Instalao e Configurao: 4,0 Confiabilidade: 3,0 Ajuda e Suporte: 3,0 Preo: US$ 50,65 5: SurfSecret Personal Firewall Estrutura e Funes: 3,0 Facilidade de Uso: 3,0 Facilidade de Instalao e Configurao: 4,0 Confiabilidade: 3,5 Ajuda e Suporte: 4,0 Preo: US$ 39,99 6: McAfee Personal Firewall Pro Estrutura e Funes: 3,5 Facilidade de Uso: 3,0 Facilidade de Instalao e Configurao: 3,0 Confiabilidade: 3,5 Ajuda e Suporte: 3,0 Preo: US$ 34,99 7: BullGuard Estrutura e Funes: 3,5 Facilidade de Uso: 3,0 Facilidade de Instalao e Configurao: 3,5 Confiabilidade: 3,0 Ajuda e Suporte: 3,0 Preo: US$ 59,99 8: Sygate Personal Firewall Pro Estrutura e Funes: 3,0 Facilidade de Uso: 3,0 Facilidade de Instalao e Configurao: 4,0 Confiabilidade: 3,5 Ajuda e Suporte: 4,0 Preo: US$ 39,95 9: Injoy Firewall Estrutura e Funes: 2,5 Facilidade de Uso: 4,0 Facilidade de Instalao e Configurao: 3,0 Confiabilidade: 3,5 Ajuda e Suporte: 3,0 Preo: US$ 30,00 10: BlackICE PC Protection Estrutura e Funes: 2,5 Facilidade de Uso: 3,0 Facilidade de Instalao e Configurao: 3,0 Confiabilidade: 3,0 Ajuda e Suporte: 4,0 Preo: US$ 39,95

Security Space Desktop Audit HackerWhacker McAfee's HackerWatch.org PC Flank Tests Shields Up!

O resultado mostrado a seguir uma sntese de uma dessas anlises que pode ser vista integralmente em http://personal-firewallsoftware-review.toptenreviews.com/ : Considere a margem das notas entre 0,0 e 4,0 pontos. 1: ZoneAlarm Pro Estrutura e Funes: 4,0 Facilidade de Uso: 4,0 Facilidade de Instalao e Configurao: 4,0 Confiabilidade: 3,5 Ajuda e Suporte: 4,0 Preo: US$ 44,95 2: Outpost Firewall Pro Estrutura e Funes: 3,5 Facilidade de Uso: 4,0 Facilidade de Instalao e Configurao: 4,0 Confiabilidade: 4,0 Ajuda e Suporte: 4,0 Preo: US$ 39,95 3: Norton Personal Firewall Estrutura e Funes: 3,5 Facilidade de Uso: 4,0 Facilidade de Instalao e Configurao: 4,0 Confiabilidade: 3,5 Ajuda e Suporte: 3,5 Preo: US$ 49,99 4: Norman Personal Firewall

Alguns usurios e tcnicos tendem a definir suas preferncias em funo de suas experincias de uso entre outros fatores de anlise menos objetivos e por isso mesmo podem refutar o resultado dessa anlise, contudo importante ressaltar que aqui no se apresentam preferncias mas parmetros de comparao sob um modelo. H softwares que podem realizar anlises sobre as ferramentas firewall instaladas na rede, bem como empresas especializadas em fazer este tipo de anlise. A cerca dos firewalls open source, poucas referncias so achadas na Internet, e o principal motivo pode ser o fato de que essas anlises no tm interesse comercial. Na maioria das vezes as anlises so feitas por usurios com conhecimentos tcnicos, mas sem muitos parmetros de controle cientficos, ou seja, se algum outro refizer a anlise pode acabar por findar com resultados diferentes. Alm disso, por serem de cdigo aberto difcil garantir que no haveria modificaes feitas na ferramenta analisada. Quanto ao SO sob o qual se aplica a ferramenta, outra contenda se apresenta em relao aos usurios, afinal as ferramentas disponveis para SO proprietrios so, principalmente as comerciais. Eis exemplos de ferramentas firewall de licena gratuita (open source ou GPL) para diferentes SOs que podem ser encontradas no site SuperDownloads.com. Sem dvida a predominncia de ofertas para Linux. Brazil Firewall & Router 2.29.4 Firewall e roteador de Internet Linux Linha de comando do Linux Falcon Firewall Project 0.1.5-1 Firewall seguro e gratuito, com diversas opes de configurao, uma tima alternativa para a proteo de seu micro Linux Linha de comando do Linux Shoreline Firewall 4.2.5 Firewall baseado no Iptables Linux Ambiente grfico X11 Jsfirewall 0.7.2 Sistema de firewall para PCs com placa de rede nica Linux Linha de comando do Linux

Automatic Firewall Script 0.3.1 Configura automaticamente seu firewall Linux Linha de comando do Linux Coyote Linux 3.00 Build Distribuio Linux voltada para firewall e compartilhamento de conexo Linux Linha de comando do Linux Firewall Linuxman 0.4.6 Script de Netfilter/Iptables Linux Linha de comando do Linux Guarddog 2.6.0 Firewall fcil de configurar que suporta FTP, SSH, Telnet, Linuxconf, Corba, SMTP, DNS, Finger, HTTP, HTTPS, NFS, POP2 e POP3 Linux Ambiente grfico KDE Ipkungfu 0.6.1 Firewall baseado no iptable do Linux, tem como objetivo simplificar o compartilhamento da Internet, filtrar pacotes e etc Linux Ambiente grfico X11 Firestarter 1.0.3 Firewall para Linux que pode ser configurado atravs de interface grfica e aprimorado e por linha de comando Linux Ambiente grfico Gnome, Ambiente grfico KDE, Ambiente grfico X11 IP-Array 0.05.72 Script para o firewall iptables do linux escrito em BASH. O programa permite a criao de regras precisas Linux Ambiente grfico X11 SmoothWall 3.0 Express (i386, i486, i586) Pequena distribuio para atuar como firewall e/ou gateway Distribuio linux Devil 1.2.15 (i686) LiveCD que atua como firewall e roteador Distribuio linux NuFW 2.2.21 Suite de autenticao por firewall Linux Ambiente grfico X11 WaterRoof 2.2

Uma interface grfica para o firewall de seu Mac, oferecendo diversas opes de configuraes Mac OSX SmoothWall Express 3.0 SP1 Uma soluo barata e eficaz para gerenciamento de firewall que, segundo especialistas, a melhor opo grtis hoje. - Windows 95, 98, NT, 2000, Millenium, XP, 2003, Vista - Linux Ambiente grfico Gnome, Ambiente grfico KDE, Ambiente grfico X11 - Mac OSX Floppyfw 3.0.5 (i386,i486,i586) Distribuio para ser usada como firewall e roteador Distribuio linux PeerGuardian 2 1.5 beta Protege qualquer programa P2P do monitoramento das gravadoras. Funciona basicamente como um firewall que impede conexes dos IPs Linux Ambiente grfico X11 Outra caracterstica interessante sobre as ferramentas disponveis atualmente que muitas delas so encontradas em pacotes de softwares antivrus. Estes so alguns dos melhores produtos de firewalls pessoais e produtos de Segurana para Internet que esto disponveis gratuitamente para uso pessoal. Tall Emu Online Armor Personal Firewall PC Tools Firewall Plus Comodo Firewall Pro Outpost Firewall Free CONCLUSO Muitas so as possibilidades quando se deseja se referir s melhores solues em firewall disponveis atualmente, inclusive porque as frequentes atualizaes de verses dessas ferramentas e Sistemas Operacionais geram novas possibilidades na velocidade da informao. Pode-se afirmar que a melhor soluo depende de diversos fatores como caractersticas da organizao, configurao da rede, necessidades de acesso e negcio, por exemplo. Para uma organizao onde o foco no a Tecnologia da Informao, o mais indicado

seria uma consultoria especializada que pudesse indicar as melhores solues, aps uma anlise pr-implementao e outra psimplementao. Deve-se, ainda manter um protocolo de anlise frequente da eficincia e da eficcia das solues adotadas. REFERNCIAS http://pt.wikipedia.org/wiki/Firewall http://personal-firewall-softwarereview.toptenreviews.com/ http://www.timaster.com.br/revista/artigos/mai n_artigo.asp?codigo=1239 http://busca.superdownloads.uol.com.br/busc a/firewall.l3.html http://www.firewallguide.com/freeware.htm http://www.scotsnewsletter.com/fw_test.htm Security Space Desktop Audit https://secure1.securityspace.com/smysecure /desktop_index.html?refid=975297074 HackerWhacker - http://hackerwhacker.com/ McAfee's HackerWatch.org http://www.hackerwatch.org/probe/ PC Flank Tests http://www.pcflank.com/about.htm Shields Up! https://grc.com/x/ne.dll?bh0bkyd2 -