Académique Documents
Professionnel Documents
Culture Documents
em
que a lista ser processada, que geralmente de regras especificas para regras
mais gerais.
A HISTRIA DO FIREWALL
O conceito de Firewall comeou a ser utilizado no final da dcada de 80, quando
roteadores separavam pequenas redes. Assim, separadas, as redes poderiam instalar
aplicativos e gerenciar seus recursos da forma lhes fosse conveniente. Caso essas
aplicaes apresentassem algum problema congestionando a rede, as redes dos demais
segmentos no seriam afetadas.
Os primeiros firewalls que trabalhavam a segurana de redes surgiram no incio
dos anos 90. Eram mecanismos que lidavam com um pequeno conjunto de regras,
como: Algum da rede A pode acessar a rede B, ou algum da rede C no pode acessar a
rede B. Esses firewalls eram efetivos, mas bastante limitados.
A segunda gerao de firewalls foi mais desenvolvida, pois usavam filtros de
pacotes e de aplicativos (proxy) alm de trazer uma Interface grfica para gerenciar as
regras. Estes dispositivos eram conhecidos como Bastion Host (computador que
exposto totalmente a um ataque, sendo colocado no lado da DMZ - Demilitarized zone
-, desprotegido por um firewall ou por filtros de roteadores. Firewalls ou roteadores que
provm acesso de controle ao permetro da rede, so considerados Bastion Hosts).
O primeiro produto dessa gerao foi o DEC Firewall, desenvolvido pela equipe
de Network Systems da Digital Equipment Corporation. Ele foi configurado e instalado
para uma grande empresa qumica da costa leste americana, em 13 de junho de 1991.
Durante os prximos meses, Marcus Ranum (da DEC) inventou proxies de segurana e
re-escreveu muito do cdigo do firewall. O Firewall foi produzido e batizado do DEC
SEAL (Security External Acess Link). O DEC SEAL era composto de um elemento
externo chamado de Gatekeeper, de um gateway de filtragem, conhecido como Gate e
um dispositivo interno chamado Mail Hub (Figura 01 aofim da pgina).
Ao mesmo tempo, Cheswick e Bellovin da Bell Labs, experimentavam um
firewall baseado em comutao de circuitos. O produto originado desse experimento foi
chamado de Raptor Eagle, que chegou depois de seis meses depois do DEC SEAL. Em
seguida foi lanado o ANS Interlock.
Em 1 de Outubro de 1993, foi lanado o TIS (Trusted Information Systems)
FWTK (Firewall Tookit) em cdigo fonte para a comunidade da internet. Ele
disponibilizava a base para o produto comercial TIS firewall. Um tempo depois ele foi
chamado de Gauntlet. Esse produto foi usado por desenvolvedores, governos e indstria
com base para sua segurana de acesso a internet.
Em 1994, a Check Point lanou seu produto chamado Firewall-1, introduzindo
uma interface amigvel para o mundo de segurana da internet. Os produtos antes do
Firewall-1 necessitavam a edio de arquivos ASCII com editores ASCII. A Check
Point introduziu cones, cores, mouse e ambiente grfico X11 para a interface de
configurao e administrao, simplificando a instalao e administrao do firewall.
Por isso, a Check Point tornou-se lder de mercado no seguimento de segurana de
internet com o Firewall-1 ocupando em Dezembro de 2003 48% do market-share desse
segmento.
FILTRO DE PACOTES
Os primeiros firewalls usavam a filtragem de pacote somente para proteger a rede
interna de usurios externos. O firewall verificava o cabealho de cada pacote que entra
na rede interna e tomava a deciso de permitir ou bloquear o pacote baseado no IP
usado e o numero da porta especificado no cabealho, na parte de TCP ou UDP.
Por mais que essa funcionalidade seja uma das funes principais de um
Firewall, a filtragem de pacotes usada dessa forma no o suficiente para garantir a
segurana na rede. A inspeo de pacotes precisa ser mais esperta em quais pacotes
devem ser esperados em resposta de um legtimo pedido de um usurio da rede interna e
que pacotes no foram solicitados e devem ser bloqueados. Quando um Firewall ve um
pacote saindo, ele sabe que uma resposta chegara em breve, e que deve somente
permitir a chegada dos pacotes esperados de resposta. Essa informao lembrada
chamada de estado (state). Essa forma mais inteligente de filtragem de pacotes
chamada de filtragem de pacotes de estado (stateful packet filtering).
Mesmo com essa filtragem de pacotes de estado, a rede ainda possue algumas
vulnerabilidades que vale serem ressaltadas:
A rede externa pode aprender o IP usado na rede interna. Esse problema ser resolvido
com o NAT (Network Address Translation).
A filtragem de pacotes limitada, j que ela s analisa uma pequena parcela do pacote.
Para tal ser usado Proxy de aplicao para analisar mais a fundo o pacote.
FILTRAGEM DE DADOS DO IP
Filtro de pacotes so regras que avaliam as informaes no cabealho de um pacote
toda vez q um chega ao firewall, para ento ser decidido se permitido ou no a sua
passagem.
Caso seja permitido a passagem do pacote, ele toma o seu caminho
normalmente. Porm nenhum pacote passa por roteador ou firewall sem sofrer algumas
modificaes. Antes do pacote tomar o seu caminho o roteador ou firewall reduz o valor
da TTL (Time-To-Live) no cabealho em pelo menos 1. Se o TTL, que o emissor
pequenos pacotes que esquece de se focar em outras tarefas. Isso chamado denial-ofservice attack.
Algumas implementaes do TCP/IP cometem o erro de remontar o pacote e
alguns hackers se aproveitam desse erro, mandando um pacote completo que
disfarado como um fragmento.
BURLANDO O IP E O ROTEADOR
Da mesma maneira que voc pode falsificar o remetente em uma carta ou falsificar o
"De:" de um email, um hacker pode usar uma fonte de endereo IP falsa nos pacotes
que ele enviar ao seu firewall. Isso conhecido como "IP Spoofing"
O firewall no pode confiar somente no endereo de IP do emissor para decidir
se o pacote tem permisso de passar. Pelo mesmo motivo, no til usar filtro de
pacotes para bloquear pacotes baseando-se no IP do emissor. Logo o firewall tem que
ser capaz de distinguir de que interface de rede o pacote chegou. Pacotes chegados de
uma interface de rede externa, mas mostrando que veio de um endereo de IP interno
deve ser bloqueado imediatamente.
A seguir esto alguns motivos para um hacker fazer isso:
A rede interna pode j ter um Cavalo de Tria instalado em um dos computadores. O
hacker tem somente que usar esse aplicativo para comear a fazer o mal, o que
similar a mandar uma mensagem codificada para avisar ao programa.
O hacker pode desabilitar temporariamente o computador do qual ele mascarou o IP e
pode responder o pacote de resposta com mais tempo e calma. Isso se assemelha
queles voice-mail messages irritantes que algumas pessoas parecem gostar, onde
voc pensa que a pessoa que voc ligou realmente atendeu. Mas ao invest disso a
mensagem tem pauses deliberadas e finge responder o que voc diz.
O pacote com o IP mascarado pode conter um lista de endereos de IPs que o
pacote deve visitor para chegar ao seu destino. Isso chamado Source
Router.Obviamente, o hacker lista um endereo de IP que ele est monitorando
naSource Router. Para prevenir-se desse tipo de ao, o firewall deve descartar todos
pacotes que tem as opes do Source Router ligadas.
NAT (NETWORK ADDRESS TRANSLATION)
Originalmente o NAT foi criado para salvar IPs usados na internet. O IP formado por
um numero de 32 bits, e com esse numero de bits s possvel ter 4 bilhes de
endereos de IP diferentes. Como as empresas estavam usando um grande numero de
IPs, a quantidade de IPs disponveis estava acabando. Em Maio de 1994, a RFC1631
sugeriu uma soluo a curto prazo NAT. Porm, o NAT ofereceu muitas vantagens que
eram inesperadas.
Com o NAT, todos computadores na internet pode usar um leque de IPs
privados, tais como 10.0.0.0/8, que no est em uso na internet. Quando ele se conecta a
internet, o NAT troca o IP privado, que pode ser representado por 10.65.1.7, que est no
campo Source IP no cabealho do pacote, pelo seu prprio IP publico, 23.1.8.3 e manda
o pacote para a rede externa. O destinatrio pensa que o emissor original 23.1.8.3 e
manda um pacote de resposta de volta para esse endereo. O NAT computa o pacote
como recebido para o endereo 23.1.8.3 e destroca o endereo o enviado para o original.
Ento por que o NAT salva IPs? Porque nunca expe os endereos de IP 10.0.0.0/8 na
internet. Ento muitas companhias podem usar um mesmo leque de IPs privados, sendo
somente necessrio um (ou poucos) IPs pblicos.
Como o NAT sabe que tem que mandar o pacote endereado para 23.1.8.3 para
o original 10.65.1.7? O NAT tem uma lista de que endereos so trocados por cada
endereo original. Isso chamado de NAT mappings.
E se mais de um computador quiser usar o NAT para se comunicar com a
internet? O RFC1631 resolveu esse problema permitindo que o NAT tenha mais de um
endereo de IP publico e os use para os computadores da rede interna que precisarem.
Em toda implementao moderna do NAT,isso pode ser resolvido facilmente, no
mudando o endereo de IP do emissor para 23.1.8.3 mas mudando a sua porta por uma
no usada menor que 1023. Tudo que o NAT precisa fazer guardar uma lista com os
nmeros das portas e seus respectivos computadores.
ASPECTOS DE SEGURANA DO NAT
Mesmo salvando IP sendo lendo legal, no podemos esquecer que o NAT tambm tem
aspectos de segurana. Como uma ferramenta que troca os nmeros de IP, o NAT
esconde os originais na rede interna, o que se torna uma grande vantagem.
A possibilidade de guardar o IP original na rede interna uma das razes para que quase
todos firewalls usem NAT. A rede externa sempre ira ver o IP publico, e nunca ser
capaz de ver o IP privado.
Na rea do firewall, as pessoas enxergam o NAT mais como um mtodo de
segurana do que de salvar IP. O termo IP masquerading normalmente usado para
NAT, o que enfatiza o aspecto de esconder o IP.
Vale ressaltar que o NAT no faz nada para proteger o computador na rede
interna. Se o computador enganado a fazer uma conexo a um computador no
confivel na internet, o NAT joga os pacotes intrusos para frente e para trs. Um
Firewall deve sempre combinar NAT com Filtragem de Pacotes de Estado.Normalmente
no necessrio fazer esforo para que o NAT faa o seu trabalho. Diferente de
filtragem de pacotes, que tem que ser definido todos os protocolos que devem ser
permitidos, o NAT uma funo automtica do firewall.
CONSEGUNCIA DO NAT
novo pacote e envia do firewall pro servidor da internet (ou pro computador
remoto, dependendo do sentido).
O proxy de aplicao mantm duas conexes separadas. Uma conexo entre o
computador da rede interna com o Firewall. A outra do Firewall com o servidor de
internet.
Um proxy de aplicao oferece vrias vantagens:
O proxy de aplicao inspeciona uma poro inteira da aplicao do pacote. Essa
inspeo acontece quando o pedido enviado e quando o pacote de resposta do
servidor de internet volta.
J que o proxy de aplicao entende o protocolo de aplicao, pode criar um registro
muito mais detalhado do que foi enviado pelo firewall. Registros de filtragem de
pacotes sabem apenas sobre informaes do cabealho dos pacotes.
O computador da rede interna e o servidor de internet nunca tem uma conexo real. Ao
invs disso, o Firewall cria todos os pacotes que so enviados entre os dois. Isso
significa que problemas ou ataques associados a overflows de buffer ou
condies ilegais nos pacotes nunca alcanam o computador da rede interna.
O proxy de aplicao cria novos pacotes e envia ao interesse do enviador original. Ele
no roteia pacotes entre as redes. Se o proxy de aplicao ou o firewall carem, a
conexo de comunicao deixaria de existir. Enquanto que na filtragem de
pacotes, se o Firewall casse, o resultado seria a passagem de todo e qualquer
pacote que chegasse rede.
Um proxy de aplicao pode inspecionar trfegos na rede que usam mltiplas
conexes. A filtragem de pacotes no reconhece que conexes separadas da
mesma aplicao esto juntas.
Infelizmente, um proxy de aplicao tambm possui desvantagens, tais como:
Proxy por aplicao: O servio de proxy de aplicao precisa entender o protocolo de
aplicao usado. Isso significa que o Firewall deve ter um especfico proxy de
aplicao para cada aplicao. A maioria dos Firewalls do suporte para vrias
aplicaes mais comuns, tais como FTP e HTTP. Mas muito diferente disso,
normalmente o proxy de aplicao no se encaixa.
Requerimento de configurao de proxy: Para alguns proxys de aplicao, o
computador da rede interna deve saber que ele est, na verdade, conectado ao
proxy de aplicao, e no ao servidor de internet. Os computadores que querem
usar os proxys de aplicao precisam de mudanas, Isso chamado proxy de
aplicao clssico. Se o computador da rede interna pode usar o proxy sem
nenhuma configurao especial, ento chamado de proxy de aplicao
transparente.
Como proxy de aplicao especfico para cada aplicao, o software do
firewall normalmente deixa voc configurar ajustes individuais para cada proxy de
aplicao suportado pelo firewall.
A imagem abaixo ilustra um Instant Messaging da AOL sobre um Proxy de
aplicao:
MONITORAMENTO E REGISTRO
Por que precisariamos fazer um registro extensivo j que configuramos o Firewall com
filtragem de pacotes, tivemos certeza que o NAT est escondendo os endereos Ips
privados e implementamos proxys de aplicao que separam a rede interna da internet?
Essa uma boa pergunta, e no respondida com um simples todo cuidado
pouco. verdade que um Firewall cuidadosamente configurado prov segurana para a
sua rede interna, mas preciso ter certeza de que tudo est correndo como o planejado.
Essa uma das razes pelo qual voc vai querer um registro do Firewall em toda
conexo que ele fizer e todo pacote q bloquear. bom ter certeza que o Firewall est to
seguro o quanto voc acha que ele est.
Abaixo seguem quatro boas razes para deixar o Firewall criar registros para
tudo o que ele faz:
Reportar uso: Voc vai querer agregar informaes em registros gerados para ter uma
indicao da performance do Firewall, seu uso, estatsticas e talvez at criao
de contas e cobrana pelo servio.
Deteco de intruso: J muito ruim se um Hacker infiltrou o seu sistema. Seria pior
ainda se ele o fizesse sem voc saber disso. Maior o tempo que o Hacker ficar
em seu sistema, maior o estrago que ele poder fazer. Frequentes inspees nos
registros podem revelar atividades suspeitas ou at mostrar evidncias de uma
invaso com sucesso em sua rede.
Descobrir o mtodo de ataque: Mesmo que voc detecte um intruso, voc precisa ter
certeza de que o hacker foi parado e que ele no conseguira invadir novamente
usando o mesmo mtodo. Para isso necessrio um cuidadoso estudo no registro
do Firewall. Dessa forma, eventualmente, voc acabar descobrindo como o
invasor conseguiu entrar na sua rede e quando foi a primeira vez que ele entrou.
Tais informaes revelam possveis aplicaes Cavalo de Tria que foram
deixadas para trs ou a invalidade de backups feitos depois do ato.
Evidncias legais: Um extensivo registro pode ser necessrio como evidncia de uma
invaso sua rede para propsitos legais. O registro pode dizer quando foi a
primeira vez que ele entrou e quais aes subsequentes ele tomou.
Um Firewall deve registrar todos os acessos. Quanto mais informao for
agregada, melhor.
Apesar de ser chato checar grandes arquivos com registros de informao, uma
ateno regular pode vir a detectar um possvel intruso antes que ele consiga fazer muito
dano. De qualquer forma, existem vrios softwares hoje em dia que facilitam a detectar
anomalias nos registros.
essencial tambm evitar a tentao de salvar espao no Disco Rgido
deletando arquivos de registro ou configurando o Firewall para fazer menos desses
arquivos. E para se manter uma rede sria e segura, necessrio manter os arquivos por
muito tempo, inclusive os mais velhos. Mantenha-os pelo menos at onde voc gostaria
de olhar ara analisar uma determinada situao.
bviamente, uma das primeiras coisas que um invasor vai tentar fazer alterar
ou deletar seus arquivos de registro para sumir com qualquer evidncia de sua
passagem. Por isso interessante guardar esses arquivos em um outro computador, ou
em dispositivos de gravao nica.
PERGUNTAS SUGERIDAS