INTRODUO

FIREWALL: O QUE ISSO E POR QUE PRECISAMOS DELE?

Uma parede corta-fogo (firewall) a porta que separa o hall de um edifcio da sada de
incndio. Sua funo evitar o alastramento de incndios pelos cmodos de uma
edificao, garantindo assim a segurana para os moradores do prdio. Da mesma forma
esse conceito utilizado em Firewalls na computao: ele evita o trfego no autorizado
de um domnio de rede para o outro, evitando o alastramento de dados nocivos dentro
de uma rede de computadores, garantindo assim segurana para os usurios.
Portanto, Firewall o nome atribudo ao mecanismo disposto a regular o
trfego entre redes diferentes e impedir a propagao de dados nocivos ou no
permitidos em uma rede de computadores.
Normalmente um firewall instalado onde a sua rede local se conecta
internet. Apesar de grandes organizaes chegarem a usar firewalls em suas prprias
redes que requerem nveis de segurana diferente, a maioria dos Firewalls regulam o
trfico entre redes locais e a internet. Lembrando que essa rede interna pode constituirse de apenas um computador ou milhares de computadores.
A lista a seguir inclui as caractersticas mais comuns de firewall:
Bloqueia o recebimento de dados baseado em uma fonte ou destino:
a funo mais comum de firewall, impedindo o recebimento de dados nocivos.
Bloqueia o acesso a dados baseado em uma fonte ou destino:
Muitos firewalls podem tambm restringir o acesso dados na internet. Por exemplo, o
firewall de uma empresa pode impedir um funcionrio a acessar um determinado
website.
Bloquear dados baseado em contedo:
Firewalls mais avanados podem analisar um contedo antes de bloquear o dado. Por
exemplo um firewall pode ser integrado com um Antivrus para prevenir que um vrus
entre em sua rede atravs de outros arquivos. Muitos firewalls tambm so integrados
com servios de email para filtrar emails aceitveis.
Permite conexes com uma rede interna:
Um mtodo comum de um empregado se conectar a uma rede usando VPNs (Virtual
Private Networks). VPNs permitem um acesso seguro da internet a uma rede interna.
Alguns Firewalls possuem uma funcionalidade VPN e permitem tais conexes de
maneira mais fcil.
Reporta o trfego na rede e as atividades do Firewall:
muito importante tambm saber o que o seu Firewall tem feito, quem tentou entrar na
sua rede, quem tentou acessar material inapropriado... Muitos Firewalls possuem um
mecanismo de reportagem, listando tais atividades.
ENTENDO O BSICO DE FIREWALL
Em ordem de toda essa segurana acontecer, deve-se dizer ao firewall o que aceitvel
especificando regras. Todo Firewall tem diferentes mtodos de especificar que tipo de
trfego pode passar rede e todo firewall tem mtodos de inspeo diferentes. Porm, o
bsico do firewall o mesmo para todos.
Se voc perguntar a vrias pessoas sobre o que constitue um firewall, voc ter
vrias respostas diferentes. Diferetes vendedores usaram o termo com diferentes

definies. Na sua forma mais simples, um Firewall qualquer dispositivo ou software

que reside entre a sua rede e a internet que bloqueia alguns trfegos na internet.
ESTRATGICA GERAIS:
Uma das primeiras coisas que voc deve pensar ao configurar um firewall em como especificar
que tipos de pacotes e protocolos voc quer permitir ou bloquear na sua rede interna.
Existem duas principais possibilidades:
Allow-all strategy (permite tudo):
Permite todos pacotes, com exceo dos que esto explicitamente proibidos.
Deny-all strategy (Negar tudo):
Bloqueia todos pacotes, com exceo dos que esto explicitamente permitidos.
A primeira vista, o Allow-all parecer ser o mais fcil de ser implementado
exigindo apenas que voc crie uma lista de excees com protocolos de internet e web
sites que so explicitamente proibidos. Essa estratgia est ligada a como outros
componentes se comportam em sua rede interna.
Se voc usa o Allow-all, ser necessrio listar todos os possveis mtodos de alguem
invadir a sua rede pessoal e ento criar as regras para bloquear os relativos trfegos.
Fazendo isso ser criado vrias regras, e mesmo assim vai acabar sendo esquecindo
inmeros mtodos que podem ser usados para entrar na sua rede. Sem levar em conta os
novos mtodos que so descobertos com o passar do tempo.
J o Deny-all muito mais fcil para administrar. Nenhum trafego permitido, exceto
por um numero pequeno de protocolos e servios pr-definidos. Essa estratgia tem
duas vantagens:
Ser necessrio manter apenas uma pequena lista de regras de trafego. Quanto menor a
lista, mais fcil para verificar se o firewall est configurado corretamente.
No necessrio adicionar constantemente nova regras para novos mtodos
descobertos.
Normalmente, a melhor poltica de firewall expressa pela combinao
doAllow-all com o Deny-all. Temos um exemplo que mostra que tipo de aplicao os
usurios podem acessar na internet:
1. Deny network traffic on all IP ports.
2. Except, allow network traffic on port 80 (HTTP).
3. Except, from all HTTP traffic, deny HTTP video content.
4. Except, allow HTTP video content for members of the Trainers group.
5. Except, deny Trainers to download HTTP video content at night.
Note que a politica adotada por esse firewall alterna entre Deny-all,except e
Allow-all, exceptquando foi expressado que tipo de trafego deveria ser liberado ou
bloqueado.
Um administrador precisa criar regras para poder implementar uma poltica para
o firewall. Vrias teorias existem abordando qual o modo mais intuitivo de representar
uma lista de regras. Grande parte dos firewalls usa uma combinao dessas trs
tcnicas:
Em ordem: As regras so processadas do inicio ao fim. A regra que se aplica ao IP do
atual pacote usada. As regras seguintes da lista no so consideradas. O
administrador deve tomar cuidado ao especificar a ordem correta das regras.
Uma ordem errada e o resultado pode ser muito diferente.

 Negar primeiro: Regras que bloqueiam pacotes especficos so processados antes.

Melhor se encaixa: O firewall usa o seu prprio mtodo para determinar a ordem

em
que a lista ser processada, que geralmente de regras especificas para regras
mais gerais.
A HISTRIA DO FIREWALL
O conceito de Firewall comeou a ser utilizado no final da dcada de 80, quando
roteadores separavam pequenas redes. Assim, separadas, as redes poderiam instalar
aplicativos e gerenciar seus recursos da forma lhes fosse conveniente. Caso essas
aplicaes apresentassem algum problema congestionando a rede, as redes dos demais
segmentos no seriam afetadas.
Os primeiros firewalls que trabalhavam a segurana de redes surgiram no incio
dos anos 90. Eram mecanismos que lidavam com um pequeno conjunto de regras,
como: Algum da rede A pode acessar a rede B, ou algum da rede C no pode acessar a
rede B. Esses firewalls eram efetivos, mas bastante limitados.
A segunda gerao de firewalls foi mais desenvolvida, pois usavam filtros de
pacotes e de aplicativos (proxy) alm de trazer uma Interface grfica para gerenciar as
regras. Estes dispositivos eram conhecidos como Bastion Host (computador que
exposto totalmente a um ataque, sendo colocado no lado da DMZ - Demilitarized zone
-, desprotegido por um firewall ou por filtros de roteadores. Firewalls ou roteadores que
provm acesso de controle ao permetro da rede, so considerados Bastion Hosts).
O primeiro produto dessa gerao foi o DEC Firewall, desenvolvido pela equipe
de Network Systems da Digital Equipment Corporation. Ele foi configurado e instalado
para uma grande empresa qumica da costa leste americana, em 13 de junho de 1991.
Durante os prximos meses, Marcus Ranum (da DEC) inventou proxies de segurana e
re-escreveu muito do cdigo do firewall. O Firewall foi produzido e batizado do DEC
SEAL (Security External Acess Link). O DEC SEAL era composto de um elemento
externo chamado de Gatekeeper, de um gateway de filtragem, conhecido como Gate e
um dispositivo interno chamado Mail Hub (Figura 01 aofim da pgina).
Ao mesmo tempo, Cheswick e Bellovin da Bell Labs, experimentavam um
firewall baseado em comutao de circuitos. O produto originado desse experimento foi
chamado de Raptor Eagle, que chegou depois de seis meses depois do DEC SEAL. Em
seguida foi lanado o ANS Interlock.
Em 1 de Outubro de 1993, foi lanado o TIS (Trusted Information Systems)
FWTK (Firewall Tookit) em cdigo fonte para a comunidade da internet. Ele
disponibilizava a base para o produto comercial TIS firewall. Um tempo depois ele foi
chamado de Gauntlet. Esse produto foi usado por desenvolvedores, governos e indstria
com base para sua segurana de acesso a internet.
Em 1994, a Check Point lanou seu produto chamado Firewall-1, introduzindo
uma interface amigvel para o mundo de segurana da internet. Os produtos antes do
Firewall-1 necessitavam a edio de arquivos ASCII com editores ASCII. A Check
Point introduziu cones, cores, mouse e ambiente grfico X11 para a interface de
configurao e administrao, simplificando a instalao e administrao do firewall.
Por isso, a Check Point tornou-se lder de mercado no seguimento de segurana de
internet com o Firewall-1 ocupando em Dezembro de 2003 48% do market-share desse
segmento.

FILTRO DE PACOTES
Os primeiros firewalls usavam a filtragem de pacote somente para proteger a rede
interna de usurios externos. O firewall verificava o cabealho de cada pacote que entra
na rede interna e tomava a deciso de permitir ou bloquear o pacote baseado no IP
usado e o numero da porta especificado no cabealho, na parte de TCP ou UDP.
Por mais que essa funcionalidade seja uma das funes principais de um
Firewall, a filtragem de pacotes usada dessa forma no o suficiente para garantir a
segurana na rede. A inspeo de pacotes precisa ser mais esperta em quais pacotes
devem ser esperados em resposta de um legtimo pedido de um usurio da rede interna e
que pacotes no foram solicitados e devem ser bloqueados. Quando um Firewall ve um
pacote saindo, ele sabe que uma resposta chegara em breve, e que deve somente
permitir a chegada dos pacotes esperados de resposta. Essa informao lembrada
chamada de estado (state). Essa forma mais inteligente de filtragem de pacotes
chamada de filtragem de pacotes de estado (stateful packet filtering).
Mesmo com essa filtragem de pacotes de estado, a rede ainda possue algumas
vulnerabilidades que vale serem ressaltadas:
A rede externa pode aprender o IP usado na rede interna. Esse problema ser resolvido
com o NAT (Network Address Translation).
A filtragem de pacotes limitada, j que ela s analisa uma pequena parcela do pacote.
Para tal ser usado Proxy de aplicao para analisar mais a fundo o pacote.
FILTRAGEM DE DADOS DO IP
Filtro de pacotes so regras que avaliam as informaes no cabealho de um pacote
toda vez q um chega ao firewall, para ento ser decidido se permitido ou no a sua
passagem.
Caso seja permitido a passagem do pacote, ele toma o seu caminho
normalmente. Porm nenhum pacote passa por roteador ou firewall sem sofrer algumas
modificaes. Antes do pacote tomar o seu caminho o roteador ou firewall reduz o valor
da TTL (Time-To-Live) no cabealho em pelo menos 1. Se o TTL, que o emissor

provavelmente configurou como 128, atingir a marca de 0, o pacote descartado.

Descartando o pacote evitamos um lopping infinito de um pacote no meio.
O pacote pode ser modificado ainda mais ao passar pelo firewall. Ainda iremos
discutir como o NAT e Proxy de aplicao influenciam essas mudaas.
Podem ser criadas regras de filtragem que checam os seguintes campos de um pacote:
IP de origem: o endereo de IP que o pacote lista como seu emissor. Esse campo
no necessariamente o IP original do emissor. Esse Ip pode ser modificado por
legalmente por NAT ou algum hacker pode ter mudado o campo, isso chamado
de IP spoofing.
IP de destino: o endereo de IP para onde o pacote est sendo mandado. Tem-se
que ter certeza que foi listado o IP real nas regras de filtragem e no o nome do
DNS ( Domain Name System), tais como server3.jabbajoe.com.
ID de protocolo IP: Um cabealho IP pode ser seguido por vrios cabealhos de
protocolos. Cada um desses protocolos tem seu prprio ID de protocolo IP. Os
exemplos mais conhecidos so TCP (ID 6) e UDP (ID 17).
Numero de portas TCP ou UDP : O numero da porta indica que tipo de servio o
pacote destinado. Alguns tipos de ICMP so mensagens muito teis, porm
outros so muito perigosas e no pode ser permitido a sua passagem pelo
firewall.
Flag de fragmentao: Pacotes podem ser quebrados em pacotes ainda menores
para serem acomodados em redes que suportam somente pacotes pequenos.
Ajuste de opes do IP: Funes opcionais no TCP/IP que podem ser
especificadas nesse campo. Essas opes so apenas usadas para diagnstico, de
forma que o firewall possa descartar pacotes com opes de IP determinadas.
Checando os campos mencionados acima, os filtros podem diferenciar pacotes
que vo da rede interna para a Internet ou da Internet para rede interna. A interface da
rede em que o pacote chega j um critrio muito importante. Porque um hacker pode
facilmente forjar um IP falso para o pacote que est sendo enviado e isso o firewall no
pode identificar. Porm, se o pacote chega a rede externa usando um IP do emissor de
uma rede interna, o firewall pode reconhecer rapidamente a falha no IP, simplesmente
notando que o pacote est na rede externa.
ICMP
Muitos pacotes ICMP so teis em diagnostico de conectividade da rede. O
melhor e mais conhecido exemplo o PING que manda um ICMP Echo Request
(Pedido de Eco) para outra maquina. Se a maquina est disponvel, um ICMP Echo
Reply (Resposta de Eco) respondido. Outro ICMP til o TTL Exceeded and
Destination Unreachable, que indica quando um pacote no atingiu seu destino.
ICMP tambm possui mensagens que podem ser perigosas. O ICMP Redirect
pode ser usado para dizer ao firewall pra usar outro roteador para manda o pacote para o
destino. Issa funo mostra que o TCP/IP foi criado em uma poca onde os
computadores deveriam cooperar um com o outro. N verdade, o documento original
RFC777 que define o ICMP foi criado em Abril de 1981.
O ICMP Echo Request/Echo Reply tambm cria uma vulnerabilidade se usado
por hackers para descobrir quais endereos de IP esto disponveis. O firewall impede
esse tipo de uso do PING atravs do NAT.
A Tabela a seguir mostra exemplos de ICMP que permitem o PING interno.

O pacote passa por muitos fragmentos diferentes da Internet enquanto vai

do emissor para o destinatrio. Nem todos esses fragmentos suportam o
tamanho original de um pacote. O tamanha mximo de um pacote
chamado de Maximum Transmission Unit (MTU) da rede. Se um pacote tiver
que passar por um caminho que s suporta pacotes menores, esse pacote
ter que ser fragmentado em pacotes menores. Cada framento tem seu
prprio cabealho que contem o IP do emissor e receptor e a posio do
fragmento, como pode ser visto na imagem abaixo.

Dois aspectos de fragmentao so importantes:

Para acelerar o processo, os fragmentos no so unidos novamente. Eles seguem seu
caminho independentemente, para no final serem reunidos em ordem.
Cada fragmento contem apenas uma parte das informaes do TCP. Ento somente o
primeiro fragmento contem a parte TCP q especifica o numero da porta. As
outras tambm possuem informaes TCP, porem no o numero da porta.
Os fragmentos, exceto o primeiro, no contem indicaes de porta TCP, ento o
filtro de pacote no pode tomar nenhuma deciso baseada nisso. Bloqueando o segundo
e subseqentes fragmentos impede que todos os pacotes que passaram por um link com
tamanha de pacote pequeno continuem. O firewall guarda todos os fragmentos at que
todos estejam juntos, e assim usar o endereo de IP. Isso abre uma forte possibilidade de
um hacker fazer o firewall passe por um trabalho desnecessrio, especialmente se o
hacker nunca passar o ultimo pacote. O firewall fica to ocupado ordenando todos esse

pequenos pacotes que esquece de se focar em outras tarefas. Isso chamado denial-ofservice attack.
Algumas implementaes do TCP/IP cometem o erro de remontar o pacote e
alguns hackers se aproveitam desse erro, mandando um pacote completo que
disfarado como um fragmento.
BURLANDO O IP E O ROTEADOR
Da mesma maneira que voc pode falsificar o remetente em uma carta ou falsificar o
"De:" de um email, um hacker pode usar uma fonte de endereo IP falsa nos pacotes
que ele enviar ao seu firewall. Isso conhecido como "IP Spoofing"
O firewall no pode confiar somente no endereo de IP do emissor para decidir
se o pacote tem permisso de passar. Pelo mesmo motivo, no til usar filtro de
pacotes para bloquear pacotes baseando-se no IP do emissor. Logo o firewall tem que
ser capaz de distinguir de que interface de rede o pacote chegou. Pacotes chegados de
uma interface de rede externa, mas mostrando que veio de um endereo de IP interno
deve ser bloqueado imediatamente.
A seguir esto alguns motivos para um hacker fazer isso:
A rede interna pode j ter um Cavalo de Tria instalado em um dos computadores. O
hacker tem somente que usar esse aplicativo para comear a fazer o mal, o que
similar a mandar uma mensagem codificada para avisar ao programa.
O hacker pode desabilitar temporariamente o computador do qual ele mascarou o IP e
pode responder o pacote de resposta com mais tempo e calma. Isso se assemelha
queles voice-mail messages irritantes que algumas pessoas parecem gostar, onde
voc pensa que a pessoa que voc ligou realmente atendeu. Mas ao invest disso a
mensagem tem pauses deliberadas e finge responder o que voc diz.
O pacote com o IP mascarado pode conter um lista de endereos de IPs que o
pacote deve visitor para chegar ao seu destino. Isso chamado Source
Router.Obviamente, o hacker lista um endereo de IP que ele est monitorando
naSource Router. Para prevenir-se desse tipo de ao, o firewall deve descartar todos
pacotes que tem as opes do Source Router ligadas.
NAT (NETWORK ADDRESS TRANSLATION)
Originalmente o NAT foi criado para salvar IPs usados na internet. O IP formado por
um numero de 32 bits, e com esse numero de bits s possvel ter 4 bilhes de
endereos de IP diferentes. Como as empresas estavam usando um grande numero de
IPs, a quantidade de IPs disponveis estava acabando. Em Maio de 1994, a RFC1631
sugeriu uma soluo a curto prazo NAT. Porm, o NAT ofereceu muitas vantagens que
eram inesperadas.
Com o NAT, todos computadores na internet pode usar um leque de IPs
privados, tais como 10.0.0.0/8, que no est em uso na internet. Quando ele se conecta a
internet, o NAT troca o IP privado, que pode ser representado por 10.65.1.7, que est no
campo Source IP no cabealho do pacote, pelo seu prprio IP publico, 23.1.8.3 e manda
o pacote para a rede externa. O destinatrio pensa que o emissor original 23.1.8.3 e
manda um pacote de resposta de volta para esse endereo. O NAT computa o pacote
como recebido para o endereo 23.1.8.3 e destroca o endereo o enviado para o original.

Ento por que o NAT salva IPs? Porque nunca expe os endereos de IP 10.0.0.0/8 na
internet. Ento muitas companhias podem usar um mesmo leque de IPs privados, sendo
somente necessrio um (ou poucos) IPs pblicos.
Como o NAT sabe que tem que mandar o pacote endereado para 23.1.8.3 para
o original 10.65.1.7? O NAT tem uma lista de que endereos so trocados por cada
endereo original. Isso chamado de NAT mappings.
E se mais de um computador quiser usar o NAT para se comunicar com a
internet? O RFC1631 resolveu esse problema permitindo que o NAT tenha mais de um
endereo de IP publico e os use para os computadores da rede interna que precisarem.
Em toda implementao moderna do NAT,isso pode ser resolvido facilmente, no
mudando o endereo de IP do emissor para 23.1.8.3 mas mudando a sua porta por uma
no usada menor que 1023. Tudo que o NAT precisa fazer guardar uma lista com os
nmeros das portas e seus respectivos computadores.
ASPECTOS DE SEGURANA DO NAT
Mesmo salvando IP sendo lendo legal, no podemos esquecer que o NAT tambm tem
aspectos de segurana. Como uma ferramenta que troca os nmeros de IP, o NAT
esconde os originais na rede interna, o que se torna uma grande vantagem.
A possibilidade de guardar o IP original na rede interna uma das razes para que quase
todos firewalls usem NAT. A rede externa sempre ira ver o IP publico, e nunca ser
capaz de ver o IP privado.
Na rea do firewall, as pessoas enxergam o NAT mais como um mtodo de
segurana do que de salvar IP. O termo IP masquerading normalmente usado para
NAT, o que enfatiza o aspecto de esconder o IP.
Vale ressaltar que o NAT no faz nada para proteger o computador na rede
interna. Se o computador enganado a fazer uma conexo a um computador no
confivel na internet, o NAT joga os pacotes intrusos para frente e para trs. Um
Firewall deve sempre combinar NAT com Filtragem de Pacotes de Estado.Normalmente
no necessrio fazer esforo para que o NAT faa o seu trabalho. Diferente de
filtragem de pacotes, que tem que ser definido todos os protocolos que devem ser
permitidos, o NAT uma funo automtica do firewall.
CONSEGUNCIA DO NAT

O uso do NAT tem uns inconvenientes, que no compensam as vantagens oferecidas.

O NAT est efetivamente falsificando um IP, apesar de normalmente no falarmos que
o Firewall faz essa falsificao (ao contrrio de um hacker malicioso). Um
invasor em uma rede protegida por NAT tem mais dificuldade em invadir pelo
lado de fora. Parece que todo o trfego est sendo feito pelo Firewall com o
NAT. Os registros criados pelo Firewall podem ajudar a determinar quem estava
usando e em que porta e quando. Mas certamente mais difcil do que ter obtido
diretamente o endereo IP do computador do Invasor.
Alguns protocolos criam uma lista com os IPs do emissor originais ou a porta de
origem um mais lugares, no somente no pacote. Na verdade, ISS no um
problema, mas se o firewall for trocar os nmeros automaticamente ele deve
saber onde esse protocolo litou os nmeros e os trocar apropriadamente. O NAT
normalmente j possui a funo de trocar esses nmeros em alguns protocolos
conhecidos, tais como o FTP e o ICMP. Porm no possui suporte para outros
protocolos desconhecidos, logo ser necessrio a instalao manual de um
adereo para isso.
Se o computador emissor encripta o cabealho de um pacote, ou os dados do pacote
so encriptados e contem o endereo de IP, o firewall talvez no seja capaz de
fazer as mudanas necessrias. A encriptao usada para proteger os pacotes de
possveis modificaes feitas por espies na rede. Logo, faz sentido que o
firewall tambm no conseguir fazer as suas alteraes.
PROXY DE APLICAO
Alm da filtragem de pacotes de estado e do NAT, uma outra funo de um bom
firewall o servio de Proxy de aplicao (as vezes chamado de application gateway).
Considere um Proxy de aplicao como uma elaborada verso de filtragem de pacotes.
Onde a filtragem de pacotes capaz de inspecionar dados em nveis mais baixos
de um pacote de IP, como um endereo IP ou um nmero de porta, um proxy de
aplicao capaz de inspecionar uma parte de dado de aplicao inteira de um pacote
de ip.
Um exemplo um proxy de aplicao FTP que pode analisar pacotes de FTP
por certo nomes de arquivos e bloquear os pedidos se necessrio.
Em outras palavras, o que acontece : Um computador da rede interna manda
um pedido particular para a internet para o Firewall. O Proxy de aplicao no Firewall
pega esse pedido, inspeciona o pacote inteiro com regras configuradas pelo
administrador do firewall, e ento gera novamente pedido para internet inteiro antes de
enviar para o servidor de destino. Quando a resposta chegar, o Firewall vai novamente
inspecion-la e, caso passe nas regras pr-estabelecidas, ele vai construir um pacote de
resposta (atravs da resposta) e enviar para o computador da rede interna.
Duas diferenas importantes sero mostradas a seguir sobre filtragem de
pacotes e proxy de aplicao:
A filtragem de pacotes

inspeciona apenas o cabealho do pacote, enquanto o Proxy de

aplicao analiza todos os dados de aplicao de um pacote
A filtragem de pacotes passa um pacote que foi permitido. O mesmo pacote viaja entre
a internet e o computador da rede interna. Um proxy de aplicao gera
novamente um pacote atravs de um pacote que foi permitido. Ele constri um

novo pacote e envia do firewall pro servidor da internet (ou pro computador
remoto, dependendo do sentido).
O proxy de aplicao mantm duas conexes separadas. Uma conexo entre o
computador da rede interna com o Firewall. A outra do Firewall com o servidor de
internet.
Um proxy de aplicao oferece vrias vantagens:
O proxy de aplicao inspeciona uma poro inteira da aplicao do pacote. Essa
inspeo acontece quando o pedido enviado e quando o pacote de resposta do
servidor de internet volta.
J que o proxy de aplicao entende o protocolo de aplicao, pode criar um registro
muito mais detalhado do que foi enviado pelo firewall. Registros de filtragem de
pacotes sabem apenas sobre informaes do cabealho dos pacotes.
O computador da rede interna e o servidor de internet nunca tem uma conexo real. Ao
invs disso, o Firewall cria todos os pacotes que so enviados entre os dois. Isso
significa que problemas ou ataques associados a overflows de buffer ou
condies ilegais nos pacotes nunca alcanam o computador da rede interna.
O proxy de aplicao cria novos pacotes e envia ao interesse do enviador original. Ele
no roteia pacotes entre as redes. Se o proxy de aplicao ou o firewall carem, a
conexo de comunicao deixaria de existir. Enquanto que na filtragem de
pacotes, se o Firewall casse, o resultado seria a passagem de todo e qualquer
pacote que chegasse rede.
Um proxy de aplicao pode inspecionar trfegos na rede que usam mltiplas
conexes. A filtragem de pacotes no reconhece que conexes separadas da
mesma aplicao esto juntas.
Infelizmente, um proxy de aplicao tambm possui desvantagens, tais como:
Proxy por aplicao: O servio de proxy de aplicao precisa entender o protocolo de
aplicao usado. Isso significa que o Firewall deve ter um especfico proxy de
aplicao para cada aplicao. A maioria dos Firewalls do suporte para vrias
aplicaes mais comuns, tais como FTP e HTTP. Mas muito diferente disso,
normalmente o proxy de aplicao no se encaixa.
Requerimento de configurao de proxy: Para alguns proxys de aplicao, o
computador da rede interna deve saber que ele est, na verdade, conectado ao
proxy de aplicao, e no ao servidor de internet. Os computadores que querem
usar os proxys de aplicao precisam de mudanas, Isso chamado proxy de
aplicao clssico. Se o computador da rede interna pode usar o proxy sem
nenhuma configurao especial, ento chamado de proxy de aplicao
transparente.
Como proxy de aplicao especfico para cada aplicao, o software do
firewall normalmente deixa voc configurar ajustes individuais para cada proxy de
aplicao suportado pelo firewall.
A imagem abaixo ilustra um Instant Messaging da AOL sobre um Proxy de
aplicao:

MONITORAMENTO E REGISTRO
Por que precisariamos fazer um registro extensivo j que configuramos o Firewall com
filtragem de pacotes, tivemos certeza que o NAT est escondendo os endereos Ips
privados e implementamos proxys de aplicao que separam a rede interna da internet?
Essa uma boa pergunta, e no respondida com um simples todo cuidado
pouco. verdade que um Firewall cuidadosamente configurado prov segurana para a
sua rede interna, mas preciso ter certeza de que tudo est correndo como o planejado.
Essa uma das razes pelo qual voc vai querer um registro do Firewall em toda
conexo que ele fizer e todo pacote q bloquear. bom ter certeza que o Firewall est to
seguro o quanto voc acha que ele est.
Abaixo seguem quatro boas razes para deixar o Firewall criar registros para
tudo o que ele faz:
Reportar uso: Voc vai querer agregar informaes em registros gerados para ter uma
indicao da performance do Firewall, seu uso, estatsticas e talvez at criao
de contas e cobrana pelo servio.
Deteco de intruso: J muito ruim se um Hacker infiltrou o seu sistema. Seria pior
ainda se ele o fizesse sem voc saber disso. Maior o tempo que o Hacker ficar
em seu sistema, maior o estrago que ele poder fazer. Frequentes inspees nos
registros podem revelar atividades suspeitas ou at mostrar evidncias de uma
invaso com sucesso em sua rede.
Descobrir o mtodo de ataque: Mesmo que voc detecte um intruso, voc precisa ter
certeza de que o hacker foi parado e que ele no conseguira invadir novamente
usando o mesmo mtodo. Para isso necessrio um cuidadoso estudo no registro
do Firewall. Dessa forma, eventualmente, voc acabar descobrindo como o
invasor conseguiu entrar na sua rede e quando foi a primeira vez que ele entrou.
Tais informaes revelam possveis aplicaes Cavalo de Tria que foram
deixadas para trs ou a invalidade de backups feitos depois do ato.
Evidncias legais: Um extensivo registro pode ser necessrio como evidncia de uma
invaso sua rede para propsitos legais. O registro pode dizer quando foi a
primeira vez que ele entrou e quais aes subsequentes ele tomou.
Um Firewall deve registrar todos os acessos. Quanto mais informao for
agregada, melhor.
Apesar de ser chato checar grandes arquivos com registros de informao, uma
ateno regular pode vir a detectar um possvel intruso antes que ele consiga fazer muito
dano. De qualquer forma, existem vrios softwares hoje em dia que facilitam a detectar
anomalias nos registros.
essencial tambm evitar a tentao de salvar espao no Disco Rgido
deletando arquivos de registro ou configurando o Firewall para fazer menos desses
arquivos. E para se manter uma rede sria e segura, necessrio manter os arquivos por
muito tempo, inclusive os mais velhos. Mantenha-os pelo menos at onde voc gostaria
de olhar ara analisar uma determinada situao.
bviamente, uma das primeiras coisas que um invasor vai tentar fazer alterar
ou deletar seus arquivos de registro para sumir com qualquer evidncia de sua
passagem. Por isso interessante guardar esses arquivos em um outro computador, ou
em dispositivos de gravao nica.
PERGUNTAS SUGERIDAS

Qual a melhor estratgia ao se configurar um

Firewall?
R: Misturar as estretgias Allow-All e Deny-All.
O que significa o termo IP Spoofing?
R: A utilizao de uma fonte IP falsa nos pacotes enviados
ao Firewall
Defina NAT Mappings:
R: uma lista que o NAT de que endereos so trocados
por cada endereo original
Quais as duas diferenas mais importantes entre
Filtragem de Pacotes e Proxy de Aplicao?
R: A filtragem de pacotes inspeciona apenas o cabealho
do pacote, enquanto o Proxy de aplicao analiza todos os
dados de aplicao de um pacote
A filtragem de pacotes passa um pacote que foi
permitido. O mesmo pacote viaja entre a internet e o
computador da rede interna. Um proxy de aplicao gera
novamente um pacote atravs de um pacote que foi
permitido. Ele constri um novo pacote e envia do firewall
pro servidor da internet (ou pro computador remoto,
dependendo do sentido).
Como manter o Registro seguro?
R: Armazenando-o em um outro computador ou em um
dispositivo de gravao nica.
CONCLUSO: CONSIDERAES FINAIS
Existem hoje centenas de Firewalls diferentes, com leis e caractersticas nicas e
diferentes de todos os demais. Nosso estudo foi mais geral e abrangente, de forma a dar
a todos uma boa noo de como pode funcionar um Firewall. Vimos todas as
funcionalidades bsicas de um Firewall e aprendemos tambm diversas formas de evitar
que sua rede interna esteja sujeita a danos externos.
Por fim, podemos concluir que uma rede interna sem uma proteo de um
Firewall est completamente sujeita a receber dados nocivos. Portanto, um Firewall bem
administrado, rico em recursos e constantemente monitorado garantia de
confiabilidade no seu Sistema.