Académique Documents
Professionnel Documents
Culture Documents
Vanderson C. Siewert
Departamento de ps-graduao Faculdade de Tecnologia do SENAI de Florianpolis
(CTAI Florianpolis)
Curso de especializao em gesto da segurana da informao em redes de
computadores - Ps-graduao Lato Sensu
vandersoncs@gmail.com
2. Funcionamento de um firewall
Conforme Palma e Prates (2000, p. 9), cada vez mais os administradores tm que
controlar e monitorar o acesso a recursos das redes de computadores. Com isto,
surgiram ferramentas que implementam diversas funes, entre elas o filtro de pacotes,
que trabalha na camada de rede1, e os servidores proxy, que trabalham na camada de
aplicao2. Estas camadas baseiam-se no modelo de referncia Transmition Control
Protocol/Internet Protocol (TCP/IP) e encontram-se descritas em Pricas (2003, p. 35).
O firewall, como o nome sugere (traduzindo, parede de fogo) uma barreira
tecnolgica entre dois pontos de uma rede, onde normalmente o nico ponto de acesso
entre a rede interna e a Internet.
Conforme Camy (2003), o firewall dever permitir somente a passagem de
trfego autorizado, alm disse tem a funo de filtrar todo o trfego de rede que passa
por ele, dizendo o que permito e o que bloqueado ou rejeitado. Pode ser comparado
com uma seqncia de perguntas e respostas. Por exemplo, o firewall faz uma pergunta
ao pacote de rede, se a resposta for correta ele deixa passar o trfego ou encaminha a
requisio a outro equipamento, se a resposta for errada ele no permite a passagem ou
ento rejeita o pacote.
O IpTables dividido em trs tabelas que so subdivididas por sua vez em listas
de regras, denominadas chains. As tabelas so Filter, Network Address Translation
(NAT) e Mangle.
2.1. Tabela Filter:
Conforme Neto (2004), essa tabela do IpTables divida em trs chains, sendo
utilizada para um firewall filtro de pacotes, que ser abordado nesse artigo:
Input: a regra que faz a filtragem do trfego de entrada no firewall. Por
exemplo, se o servio de SSH for configurado nesse computador, nessa chain que
dever ser liberado o acesso de entrada.
Forward: a regra que faz a filtragem do trfego que passa pelo firewall, ou seja
o que deve ser redirecionado a outro host ou interface de rede. Por exemplo, se um
computador precisar acessar o servio de e-mail externo, nessa chain que dever
ser liberado o acesso.
Output: a regra que faz a filtragem do trfego de sada do firewall, por
exemplo, se o servio de SSH for configurado nesse computador, nessa chain que
dever ser liberado o acesso de sada.
A figura 1 explica os testes que os pacotes so submetidos na tabela filter.
roteador interno. Essa rede de permetro para evitar ataques rede interna e
bastion host fica alocado na rede de permetro, considerando o mesmo alvo de
ataques, caso um atacante chegue at ele, no passar da rede de permetro, por
causa do filtro de pacotes implementado no roteador interno.
texto plano, um firewall sozinho no consegue solucionar este tipo de problema, tem
que ser implementado algum servio de criptografia diretamente no servidor de FTP. E
no caso do atacante utilizar um tnel SSH, com o firewall permitindo esse servio para
a rede interna, o mesmo pode perfeitamente utiliz-lo para estabelecer a troca de dados
pelo tnel se utilizando de outro protocolo que ser aplicado em cima do mesmo
servio de SSH, o que deixaria a rede interna com um baixo nvel de segurana.
Outra vulnerabilidade de firewalls IpTables que o filtro aplicado sempre com
base na origem ou destino, ento dentro de uma rede pode-se ter um equipamento que
tenha o servio http liberado diretamente para a Internet, caso esse equipamento esteja
desligado e outro equipamento for configurado para utilizar o mesmo endereo IP, esse
novo equipamento estar liberado para acessar o servio de http, uma possvel soluo
para esta vulnerabilidade seria a implementao de um firewall com autenticao.
Essas so algumas das vulnerabilidades encontradas atualmente no firewall
IpTables e em alguns outros firewalls. Algumas delas so causadas por falha humana,
como o caso de uma m configurao da ferramenta, onde essas so as mais crticas e
factveis a erros, por tratar diretamente o intelecto, o conhecimento e o ego do
administrador. Que sempre vai dizer que o seu firewall totalmente confivel.
7. Concluso
Firewalls so a primeira defesa da rede contra intrusos a partir da Internet ou
qualquer outra rede, conforme a necessidade. O IpTables uma ferramenta de extrema
importncia para hosts que implementam o servio de firewall, pois com a mesma que
os filtros, regras e priorizao de servios so aplicadas, alm claro de implementar
implicitamente algumas polticas de segurana, de forma transparente para o usurio
final.
Mas esses no so e no devem ser tratados como ponto nico de uma poltica
de segurana, mas sim uma parte, pois esse um termo muito mais abrangente que
sistemas de proteo ou bloqueios. As caractersticas mencionadas nesse artigo no so
exclusividade do IpTables, so as mais genricas possveis servindo para qualquer
firewall independente de desenvolvedor ou plataforma, assim como os tipos e
arquiteturas descritas.
A escolha do tipo de firewall a ser implementado vai conforme a necessidade e
aplicao, assim como a arquitetura, o desenvolvedor, o sistema operacional que o
mesmo utiliza e o ponto que normalmente esquecido, o conhecimento do
administrador.
Mesmo fazendo o papel de um rbitro, dizendo o que est liberado ou no,
apresenta algumas vulnerabilidades que podem ser burladas e que podem trazer riscos
rede protegida, ento essas vulnerabilidades devero ser combatidas com as tecnologias
atuais de firewall sempre integrando alguma funcionalidade a mais nesse equipamento,
tais como: o Intrusion Detection System (IDS) e o Intrusion Prvention System (IPS), que
podem tomar decises mais refinadas conforme o perfil configurado e tambm permite
inclusive o contra-ataque, em algumas situaes.
A implementao desse mecanismo de segurana em uma rede, principalmente
pelas vulnerabilidades que esto expostas, de extrema importncia.
Referncias