Firewall Suas Caractersticas e Vulnerabilidades

Vanderson C. Siewert
Departamento de ps-graduao Faculdade de Tecnologia do SENAI de Florianpolis
(CTAI Florianpolis)
Curso de especializao em gesto da segurana da informao em redes de
computadores - Ps-graduao Lato Sensu
vandersoncs@gmail.com

Resumo: Este artigo trata dos funcionamento, caractersticas e

vulnerabilidades de um firewall baseado em software livre. A ferramenta
IpTables ser discutida.
1. Introduo
Com o aumento de conectividade e facilidade de acesso a grande rede, a
Internet, a segurana da informao um assunto cada vez mais discutido dentro das
corporaes e/ou instituies. Sendo assim algum mecanismo e/ou ferramenta para
garantir a segurana da informao est sendo utilizado, no esquecendo a implantao
de uma poltica de segurana da informao, mesmo que informal, mas toda elas esto
preocupadas com a segurana das suas informaes.
Atualmente empresas de todos os segmentos e tamanhos buscam meios
tecnolgicos para aplicar as polticas de segurana implantadas na corporao, visando
coibir seus usurios de utilizarem alguns recursos tecnolgicos que podem ser a porta de
entrada de algum cracker, vrus, ou qualquer outra ameaa segurana da informao.
Uma das ferramentas da segurana da informao o firewall, que interage com
os usurios de forma transparente, permitindo ou no o trfego da rede interna para a
Internet, como da Internet para o acesso a qualquer servio que se encontre na rede
interna da corporao e/ou instituio. Desta forma todo o trfego, tanto de entrada
como de sada em uma rede, deve passar por este controlador que aplica de forma
implcita algumas das polticas de segurana adotadas pela corporao.
Existem dois tipos bsicos de firewall, o filtro de pacotes, que trabalha na
camada de rede do protocolo Internet Protocol (IP) e tem os controles implementados
para guardar ou no o estado da conexo, e o proxy, que faz a autenticao do usurio
para liberar alguns servios da camada de aplicao do protocolo IP.
O primeiro tipo no tem interao com um usurio em especfico, mas sim com
um endereo IP, ou uma rede, sempre baseado na origem ou destino. O segundo tipo
permite fazer a autenticao do usurio, porm trabalha na camada de aplicao
somente o que dificulta o bloqueio de servios de baixo nvel, como por exemplo, a
conexo do servio Secure Shell (SSH) que trabalha na camada de rede.
Por este motivo a discusso gira em torno de um firewall que aplique parte das
polticas de segurana por autenticao do usurio, mas no baseados na origem e/ou
destino da conexo, como atualmente.
O artigo estar descrevendo o funcionamento, caractersticas do IpTables, os
tipos de firewall, a arquitetura de firewalls e algumas vulnerabilidades encontradas no
IpTables.

2. Funcionamento de um firewall
Conforme Palma e Prates (2000, p. 9), cada vez mais os administradores tm que
controlar e monitorar o acesso a recursos das redes de computadores. Com isto,
surgiram ferramentas que implementam diversas funes, entre elas o filtro de pacotes,
que trabalha na camada de rede1, e os servidores proxy, que trabalham na camada de
aplicao2. Estas camadas baseiam-se no modelo de referncia Transmition Control
Protocol/Internet Protocol (TCP/IP) e encontram-se descritas em Pricas (2003, p. 35).
O firewall, como o nome sugere (traduzindo, parede de fogo) uma barreira
tecnolgica entre dois pontos de uma rede, onde normalmente o nico ponto de acesso
entre a rede interna e a Internet.
Conforme Camy (2003), o firewall dever permitir somente a passagem de
trfego autorizado, alm disse tem a funo de filtrar todo o trfego de rede que passa
por ele, dizendo o que permito e o que bloqueado ou rejeitado. Pode ser comparado
com uma seqncia de perguntas e respostas. Por exemplo, o firewall faz uma pergunta
ao pacote de rede, se a resposta for correta ele deixa passar o trfego ou encaminha a
requisio a outro equipamento, se a resposta for errada ele no permite a passagem ou
ento rejeita o pacote.
O IpTables dividido em trs tabelas que so subdivididas por sua vez em listas
de regras, denominadas chains. As tabelas so Filter, Network Address Translation
(NAT) e Mangle.
2.1. Tabela Filter:
Conforme Neto (2004), essa tabela do IpTables divida em trs chains, sendo
utilizada para um firewall filtro de pacotes, que ser abordado nesse artigo:
Input: a regra que faz a filtragem do trfego de entrada no firewall. Por
exemplo, se o servio de SSH for configurado nesse computador, nessa chain que
dever ser liberado o acesso de entrada.
Forward: a regra que faz a filtragem do trfego que passa pelo firewall, ou seja
o que deve ser redirecionado a outro host ou interface de rede. Por exemplo, se um
computador precisar acessar o servio de e-mail externo, nessa chain que dever
ser liberado o acesso.
Output: a regra que faz a filtragem do trfego de sada do firewall, por
exemplo, se o servio de SSH for configurado nesse computador, nessa chain que
dever ser liberado o acesso de sada.
A figura 1 explica os testes que os pacotes so submetidos na tabela filter.

Responsvel pelo endereamento e roteamento IP da rede, possibilitando a conexo entre equipamentos

de rede.

Responsvel pela comunicao entre as aplicaes e as demais camadas de rede possibilitando a

transmisso de dados.

Figura 1 Tabela Filter

2.2. Tabela NAT:
Conforme Neto (2004), essa tabela do IpTables divida em trs chains e
implementa um firewall NAT, que ser abordado nesse artigo:
Prerouting Destination-NAT (DNAT): a regra utilizada para fazer alteraes
em pacotes antes do roteamento. Por exemplo, o firewall de borda deve encaminhar
requisies do protocolo HyperText Transfer Protocol (HTTP), porta 80, para o
servidor de pginas que est localizado na DeMilitarized Zone (DMZ), ento a regra
a ser utilizada nessa chain pois ela trata o destino do NAT, que faz a traduo de
endereos.
Postrouting Source-NAT (SNAT): a regra utilizada para fazer alteraes em
pacotes aps o roteamento. Por exemplo, o servidor de pginas HTTP, porta 80, no
deve retornar seu IP de origem na DMZ, mas sim um endereo IP vlido na Internet,
que est na interface de rede do firewall de borda. Sendo assim essa a regra a ser
utilizada por ela trata a origem da traduo de endereos IP.
Output (NAT): a regra que bloqueia ou libera todos os pacotes com origem no
host firewall. Por exemplo, a sada do servio de SSH.
A figura 2 explica os testes que os pacotes so submetidos na tabela NAT.

Figura 2 Tabela NAT

2.3. Tabela Mangle:
Conforme Neto (2004), essa a tabela que faz alteraes especiais nos pacotes
em um nvel de complexidade maior, permitindo alterar a prioridade do pacote, seja
ele de entrada ou sada, conforme seu Type Of Service (TOS). composta por cinco
chains, pode ser utiliza independente do tipo de firewall implementado.
Prerouting: altera ou marca os pacotes antes do roteamento.
Input: altera ou marca os pacotes de entrada no host firewall.

Forward: altera ou marca os pacotes que so redirecionados outro host ou

interface de rede.
Output: altera ou marca os pacotes gerados localmente antes de serem roteados.
Postrouting: altera ou marca os pacotes aps o roteamento.
Todas as chains ou regras mencionadas da tabela mangle, so interpretadas antes
da tabela filter e NAT, sempre correspondendo diretamente regra das tabelas
seguintes, fazendo a alterao ou marcao do pacote conforme seu TOS. Por
exemplo, se for alterado o TOS do trfego de sada do host firewall, na regra
postrouting, ele primeiro passar pela tabela mangle e depois pela tabela NAT na
regra correspondente, no caso a regra postrouting.
Mas o que TOS?
Conforme Silva (2006), o tipo de servio, TOS, um campo no cabealho do
protocolo IP verso 4, que tem a finalidade de especificar qual a prioridade do
pacote, conforme definio do algoritmo First In First Out (FIFO), ou fila, do
prprio kernel do Linux. A vantagem de utilizar o TOS a priorizao dos servios.
Todos os pacotes tem a prioridade normal de servio no cabealho, mas este
campo pode ser alterado, que o que a tabela mangle sugere, ou seja, um pacote
pode ser marcado com um nvel de prioridade maior, conforme o tipo de servio.
Os valores aceitos pelo campo no cabealho do protocolo IP com suas
definies so:
0 ou 0x00: a especificao para prioridade normal ou Normal-Service;
2 ou 0x02: a especificao para custo mnimo ou Minimize-Cost;
4 ou 0x04: a especificao para mxima confiana ou Maximize-Reability;
8 ou 0x08: a especificao para mximo processamento ou MaximizeThroughput;
16 ou 0x10: a especificao para espera mnima ou Minimize-Delay;
Sendo assim a tabela mangle marca ou altera o campo no cabealho do
protocolo IP, conforme a prioridade especificada pelo administrador do sistema
firewall.
3. Caractersticas de um firewall IpTables
So mostradas algumas caractersticas principais do IpTables, conforme Silva
(2006).
3.1. Suporte a interfaces de origem e destino de pacotes, o que facilita o
entendimento e implementao das regras;
3.2. Especificao de portas de origem e destino, o que possibilita o refinamento da
regra e tem a facilidade de liberar somente o que necessrio;
3.3. Suporte aos principais protocolos, User Datagram Protocol (UDP), TCP e
Internet Control Message Protocol (ICMP), inclusive com suporte aos tipos de
mensagem ICMP. O suporte a esses protocolos permite que seja liberado o
acesso somente aos servios necessrios e aos protocolos necessrio no
abrindo brechas de segurana;
3.4. Permite nmero ilimitado de regras por chain, ou seja no impe um limite de
regras por implementao de firewall;
3.5. Suporte ao estado das conexes, o que pode degradar ou melhorar a
performance de comunicao conforme a estrutura de rede e a necessidade dos
servios utilizados;

3.6. Implementa masquerading, ou seja, no vai mostrar para o mundo externo,

normalmente a Internet, qual o endereo IP que originou a transmisso na rede
interna, somente mostra o endereo vlido na Internet que vez a requisio;
3.7. Suporte a priorizao de trfego de rede, o que permite marcar os pacotes com a
maior ou menor prioridade, TOS, conforme a necessidade especfica do
ambiente;
3.8. Limitao de passagem de pacotes/conferncia de regra, o que permite proteger
a rede e o host firewall contra ataques do tipo synflood, ping flood, Denied of
Service (DoS), entre outros;
3.9. Suporte a DNAT e SNAT o que permite fazer o redirecionamento de portas,
baseado na origem e/ou destino;
Todas essas caractersticas so atendidas e so verdicas se a implementao do
firewall for feita por um administrador que conhea as regras e saiba manipular
corretamente as regras no IpTables. O prprio firewall deve ser imune a invases,
inclusive seu sistema operacional, caso esse pr-requisito no seja atendido, o IpTables
pode apresentar qualquer tipo de vulnerabilidade, no por que a ferramenta ineficiente,
mas sim por que foi mau configurada, o mesmo ocorre tambm para os sistemas
operacionais que implementam os firewalls.
4. Tipos de firewall
Existem alguns tipos de firewall classificados conforme o autor, segundo Neto
(2004), existem trs tipos de firewall, filtro de pacotes, NAT e hbrido e segundo Camy
(2003), existem dois tipos principais de firewall o filtro de pacotes e o proxy.
4.1. Firewall filtro de pacotes
Conforme Camy (2003), o filtro de pacotes tem o objetivo de permitir ou no a
passagem de pacotes pela rede, tudo isso baseado em regras pr-definidas. Situados
geralmente em roteadores, por representarem o ponto de acesso entre duas redes.o
mecanismo de filtragem permite o controle de trfego em qualquer segmento da
rede, possibilitando que servios que comprometam a rede protegida possam ser
barrados.
Segundo Neto (2004), alm das funcionalidades j mencionadas o filtro de
pacotes tem a capacidade de analisar os cabealhos dos pacotes trafegados,
conforme a anlise desses cabealhos e das regras pr-definidas, o firewall pode
decidir o destino dos pacotes, deixando-o passar, rejeit-lo ou ento bloque-lo.
Este sem sombra de dvida o tipo de firewall mais implementado na
atualidade, ou seja, no aplicar esses conceitos bsicos no proteger sua rede,
deixando portas de comunicao nocivas abertas e permitindo o livre trfego de
pacotes no confiveis pela rede.
4.2. Firewall NAT
Segundo Neto (2004), o princpio de funcionamento desse tipo de firewall
manipular a rota padro dos pacotes que passam pelo kernel do firewall, utilizando o
conceito de traduo de endereo, o que agrega algumas funcionalidades, sendo as
principais manipular o endereo de origem (SNAT) e de destino (DNAT), realizar o
masquerading, mascaramento de endereo IP privado.
Esse tipo de firewall permite diversas possibilidades, mas vo alm da proposta
do filtro de pacotes, pois permite algumas particularidades no roteamento de
pacotes.

4.3. Firewall hbrido

Conforme Neto (2004), esse tipo de firewall agrega funes de filtro de pacotes
como tambm de NAT, no sendo somente a unio dos dois tipos, mas um tipo
isolado com propriedades prprias.
o tipo que atende as necessidades de um firewall de DMZ, pois alm de
permitir ou bloquear o trfego de pacotes, implementa tambm o mascaramento, o
SNAT e DNAT.
4.4. Firewall proxy
Segundo Marcelo (2005, p. 3), proxy um servidor HyperText Transfer
Protocol (HTTP), com caractersticas especiais de filtragem de pacotes, que
normalmente executado em mquinas com firewall, que so o front-end de uma rede
de computadores, ou seja, a entrada e sada para a Internet. Ele aguarda uma solicitao
da rede interna de uma estao cliente, de dentro do proxy, repassa a solicitao para um
servidor remoto, recebe a resposta e envia de volta a estao cliente.
Uma das vantagens do proxy o armazenamento temporrio de informao em
cache, que consiste em manter, no servidor, uma cpia de uma pgina acessada por uma
estao qualquer. Se outra estao solicitar a mesma pgina, no haver necessidade de
recorrer a Internet, uma vez que uma cpia da pgina j est no cache, o que possibilita
um aproveitamento melhor do link de comunicao com a Internet. Tambm pode
conter regras de acesso, para inibir os endereos proibidos.
Segundo Equipe Conectiva (2001, p. 133), o servidor proxy tem como principal
objetivo possibilitar a uma mquina da rede privada acessar a rede pblica, como a
Internet, sem que exista uma ligao direta entre a rede privada e a rede pblica. Sendo
assim, o servidor a mquina que tem acesso direto Internet e as demais mquinas
fazem solicitaes para ele, que faz o servio de procurador, ou seja, um sistema que
faz solicitaes em nome de outros.
O proxy pode ser considerado um firewall da camada de aplicao do modelo de
referncia TCP/IP, pois atua diretamente com os protocolos de transporte e de
aplicao.
5. Arquitetura de firewall
Conforme Equipe Conectiva (2001, p. 55), as principais arquiteturas de firewall
existentes so: Dual-Homed host, Screened host e Screened subnet,
5.1. Dual-Homed Host
Essa arquitetura normalmente montada sobre um computador que possui no
mnimo duas interfaces de rede, agindo tambm como um roteador entre as duas
redes conectadas as placas de rede, o que permite a retransmisso de pacotes
diretamente entre as redes, o que permite ainda que sistemas dentro do firewall se
comuniquem diretamente com a Internet e com a rede protegida, porm o acesso da
Internet para sistemas internos ou para a rede protegida bloqueado, isso claro, se
for bloqueado esse acesso.
Essa arquitetura prov alto controle, porm sua performance fica degradada, pois
realiza o maior processamento em cima de conexes. Como toda a rede interna
depende deste host para se conectar Internet, esse deve ser o mais seguro possvel,
para evitar que a conexo de toda a rede interna perca o acesso Internet. Esse tipo
de arquitetura indicado para redes com baixo trfego, onde o trfego pela Internet

no vital para a empresa, no prove servios Internet, como por exemplo, um

servidor de pginas e onde a rede protegida no contenha dados de alto valor.
Esse host fica posicionado entre a Internet e a rede interna, conforme mostrado
figura 3.

Figura 3 Dual-Homed Host

5.2. Screened Host
Nessa arquitetura existe um roteador separado, normalmente chamado de
roteador de borda e um host chamado de bastion host, que nada mais que um
dispositivo que implementa um alto grau de segurana e um roteador separado para
a rede interna. Neste caso a segurana primria implementada pelo filtro de
pacotes que est implementado no roteador de borda e a segurana secundria
implementada pelo bastion host, prov servios somente para a rede interna.
O filtro de pacotes que est implementado no roteador de borda, deve permitir
acesso direto Internet somente para o bastion host, e os computadores da rede
internet devem estabelecer as conexes Internet somente passando por ele. Se o
bastion host for atacado, ou se o roteador de borda estiver comprometido, toda a
rede interna estaria vulnervel. Essa arquitetura indicada para redes onde chegam
poucas conexes pela Internet, onde a rede Interna for relativamente segura e no
recomentado caso o screened host seja um servidor web.
A figura 4 mostra um diagrama do que a arquitetura screened host.

Figura 4 Screened Host

5.3. Screened Subnet
Essa arquitetura um melhoramento da arquitetura screened host, ou seja tem
uma camada extra de segurana. implementada uma rede de permetro com o fim
de proteger a rede interna da Internet, e existe tambm um roteador externo e um

roteador interno. Essa rede de permetro para evitar ataques rede interna e
bastion host fica alocado na rede de permetro, considerando o mesmo alvo de
ataques, caso um atacante chegue at ele, no passar da rede de permetro, por
causa do filtro de pacotes implementado no roteador interno.

Figura 5 Screened Subnet

6. Algumas vulnerabilidades do firewall IpTables
Como no poderia deixar de ser o firewall IpTables tambm est sujeito falhas
e vulnerabilidades, portanto a discusso em cima deste ponto bastante abrangente e
necessria, para que a ferramenta seja cada vez mais melhorada conforme a
necessidade.
Um firewall qualquer nunca vai proteger uma rede de seus usurios internos,
independente da arquitetura, tipo, sistema operacional ou desenvolvedor, pois os
usurios podem manipular os dados dentro das corporaes das formas mais variadas
possveis, como exemplo, se utilizando de um pen drive, para roubar ou passar alguma
informao para um terceiro ou at mesmo para uso prprio.
Se esse mesmo firewall for implementado sem nenhum bloqueio na sada, como
por exemplo, a poltica padro da chain output da tabela filter ser liberado e no
bloqueado, essa mquina est vulnervel e qualquer requisio poder partir dela sem
problema algum, pois est sendo permitido isso, seja para a Internet ou para a rede
interna.
Um firewall nunca ir proteger contra servios ou ameaas totalmente novas, ou
seja, se hoje surgir um novo tipo de ataque spoofing, no necessariamente esse firewall
vai proteger desse tipo de ataque, pois uma nova tcnica existente no mercado e at o
final de sua implementao, no se tinha conhecimento sobre a mesma, o que acarreta
na espera de uma nova verso que supra essa necessidade.
Se existir alguma outra fonte de conexo Internet, que no passe pelo firewall,
como exemplo, um acesso discado Internet, tanto o administrador como o firewall,
no podero garantir a segurana dessa conexo, pois o firewall tem que ser o nico
ponto de sada para a Internet, onde todo o trfego deve passar e para o administrador
tambm muito difcil encontrar esse tipo de problema ainda mais para redes que tem
uma complexidade maior e tambm um nmero maior de equipamentos.
Um firewall tambm no ir proteger contra vrus, pois os vrus so pacotes de
dados como outros qualquer. Para identificar um vrus necessria uma anlise mais
criteriosa, que onde o antivrus atua.
As vulnerabilidades encontradas nos protocolos de comunicao, como por
exemplo, no protocolo File Transfer Protocol (FTP), onde a comunicao dada em

texto plano, um firewall sozinho no consegue solucionar este tipo de problema, tem
que ser implementado algum servio de criptografia diretamente no servidor de FTP. E
no caso do atacante utilizar um tnel SSH, com o firewall permitindo esse servio para
a rede interna, o mesmo pode perfeitamente utiliz-lo para estabelecer a troca de dados
pelo tnel se utilizando de outro protocolo que ser aplicado em cima do mesmo
servio de SSH, o que deixaria a rede interna com um baixo nvel de segurana.
Outra vulnerabilidade de firewalls IpTables que o filtro aplicado sempre com
base na origem ou destino, ento dentro de uma rede pode-se ter um equipamento que
tenha o servio http liberado diretamente para a Internet, caso esse equipamento esteja
desligado e outro equipamento for configurado para utilizar o mesmo endereo IP, esse
novo equipamento estar liberado para acessar o servio de http, uma possvel soluo
para esta vulnerabilidade seria a implementao de um firewall com autenticao.
Essas so algumas das vulnerabilidades encontradas atualmente no firewall
IpTables e em alguns outros firewalls. Algumas delas so causadas por falha humana,
como o caso de uma m configurao da ferramenta, onde essas so as mais crticas e
factveis a erros, por tratar diretamente o intelecto, o conhecimento e o ego do
administrador. Que sempre vai dizer que o seu firewall totalmente confivel.
7. Concluso
Firewalls so a primeira defesa da rede contra intrusos a partir da Internet ou
qualquer outra rede, conforme a necessidade. O IpTables uma ferramenta de extrema
importncia para hosts que implementam o servio de firewall, pois com a mesma que
os filtros, regras e priorizao de servios so aplicadas, alm claro de implementar
implicitamente algumas polticas de segurana, de forma transparente para o usurio
final.
Mas esses no so e no devem ser tratados como ponto nico de uma poltica
de segurana, mas sim uma parte, pois esse um termo muito mais abrangente que
sistemas de proteo ou bloqueios. As caractersticas mencionadas nesse artigo no so
exclusividade do IpTables, so as mais genricas possveis servindo para qualquer
firewall independente de desenvolvedor ou plataforma, assim como os tipos e
arquiteturas descritas.
A escolha do tipo de firewall a ser implementado vai conforme a necessidade e
aplicao, assim como a arquitetura, o desenvolvedor, o sistema operacional que o
mesmo utiliza e o ponto que normalmente esquecido, o conhecimento do
administrador.
Mesmo fazendo o papel de um rbitro, dizendo o que est liberado ou no,
apresenta algumas vulnerabilidades que podem ser burladas e que podem trazer riscos
rede protegida, ento essas vulnerabilidades devero ser combatidas com as tecnologias
atuais de firewall sempre integrando alguma funcionalidade a mais nesse equipamento,
tais como: o Intrusion Detection System (IDS) e o Intrusion Prvention System (IPS), que
podem tomar decises mais refinadas conforme o perfil configurado e tambm permite
inclusive o contra-ataque, em algumas situaes.
A implementao desse mecanismo de segurana em uma rede, principalmente
pelas vulnerabilidades que esto expostas, de extrema importncia.

Referncias

CAMY, Alexandre Rosa; SILVA, Evandro R. N.; RIGUI, Rafael. Seminrio de

firewalls. 2003. 27 f. Seminrio Curso de Ps-Graduao em Cincia da Computao,
Universidade Federal de Santa Catarina, Florianpolis.
SILVA, Gleydson Mazioli. Guia Foca GNU/Linux. [Vitria ES], [2006?].
Disponvel em: <http://www.guiafoca.org/>. Acesso em: 17 Fev. 2007.
EQUIPE CONECTIVA. Segurana de redes: firewall. [Curitiba]: Conectiva S.A.,
2001.
MARCELO, Antonio. Squid: configurando o proxy para Linux. 4. ed. Rio de Janeiro:
Brasport, 2005.