Académique Documents
Professionnel Documents
Culture Documents
Junho 2014
Firewall
Cada computador ligado internet (e, de maneira mais geral, a qualquer rede informtica)
susceptvel de ser vtima de um ataque de um pirata informtico. A metodologia empregada
geralmente pelo pirata informtico consiste em varrer a rede (enviando pacotes de dados de
maneira aleatria) procura de uma mquina ligada, seguidamente procura uma falha de
segurana para a explorar e aceder aos dados que a se encontram.
Esta ameaa ainda maior se a mquina est permanentemente ligada Internet por vrias
razes :
Assim, necessrio, tanto para as redes de empresas como para usurios da internet que
possuem uma conexo com fios ou ADSL, proteger-se das intruses na rede instalando um
dispositivo de proteco.
Se o sistema firewall fornecido numa caixa preta tipo chave na mo, utiliza-se o termo de
appliance.
O primeiro mtodo sem dvida alguma mais seguro, mas impe contudo uma definio
precisa e vinculativa das necessidades de comunicao.
Um sistema firewall funciona com o princpio da filtragem simples de pacotes (em ingls
stateless packet filtering). Analisa os cabealhos de cada pacote de dados (datagrama) trocado
entre uma mquina da rede interna e uma mquina externa.
Assim, os pacotes de dados trocados entre uma mquina da rede externa e uma mquina da
rede interna transitam pelo firewall e possuem os seguintes cabealhos, sistematicamente
analisados pelo firewall:
A porta 23, por exemplo, frequentemente bloqueada por defeito pelos dispositivos firewall
porque corresponde ao protocolo Telnet permitindo emular um acesso por terminal a uma
mquina distante de maneira a poder executar comandos distncia. Os dados trocados por
Telnet no so codificados, o que significa que um indivduo pode ouvir a rede e eventualmente
roubar as senha que circulam em aberto. Os administradores preferem geralmente o protocolo
SSH, conhecido por ser mais seguro e fornecendo as mesmas funcionalidades que oTelnet.
A filtragem dinmica
Assim, com uma filtragem simples de pacotes, impossvel prever as portas a deixar passar ou
a proibir. Para remediar, o sistema de filtragem dinmico de pacotes baseia-se na inspeco
das camadas 3 e 4 do modelo OSI, permitindo efectuar um acompanhamento das transaces
entre o cliente e o servidor. O termo anglo-saxnico stateful inspection ou stateful packet
filtering, ou filtragem de pacotes com estado.
A filtragem aplicativa
A filtragem aplicativa permite, como o seu nome o indica, filtrar as comunicaes aplicao por
aplicao. A filtragem aplicativa supe por conseguinte um bom conhecimento das aplicaes
presentes na rede, e nomeadamente a maneira como ela estrutura os dados trocados (portas,
etc.).
Um firewall que efectua uma filtragem aplicativa chama-se habitualmente ponte estreita
aplicativa (ou proxy), porque serve de retransmissor entre duas redes interpondo-se e
efectuando uma validao fina do contedo dos pacotes trocados. O proxy representa por
conseguinte um intermedirio entre as mquinas da rede interna e a rede externa, sofrendo os
ataques em seu lugar. Alm disso, a filtragem aplicativa permite a destruio dos cabealhos
que precedem a mensagem aplicativa, o que permite fornecer um nvel de segurana
suplementar.
Trata-se de um dispositivo eficiente, assegurando uma boa proteco da rede, desde que seja
administrado correctamente. Por outro lado, uma anlise fina dos dados aplicativos requer uma
grande potncia de clculo e traduz-se por isso, frequentemente, num atraso das comunicaes,
cada pacote deve ser analisado finamente.
Alm disso, o proxy deve necessariamente estar em condies de interpretar uma vasta gama
de protocolos e conhecer as falhas aferentes para ser eficaz.
Por ltimo, tal sistema pode potencialmente comportar uma vulnerabilidade, na medida em que
interpreta os pedidos que transitam por ele. Assim, recomenda-se dissociar o firewall (dinmico
ou no) do proxy, a fim de limitar os riscos de comprometimento.
Noo de firewall pessoal
Se a zona protegida se limita ao computador no qual o firewall est instalado, trata-se de um
firewall pessoal (firewall pessoal).
Assim, um firewall pessoal permite controlar o acesso rede das aplicaes instaladas na
mquina, e nomeadamente impedir os ataques do tipo Cavalo de tria, ou seja, programas
prejudiciais que abrem uma brecha no sistema para permitir um controlo distncia da mquina
por um pirata informtico. O firewall pessoal permite, com efeito, localizar e impedir a abertura
no solicitada por parte de aplicaes no autorizadas a ligar-se.
Por ltimo, a fim de garantir um nvel de proteco mximo, necessrio administrar o firewall e
nomeadamente supervisionar o seu dirio de actividade para ficar em condies de detectar as
tentativas de intruso e as anomalias. Alm disso, recomenda-se que efectue uma vigilncia de
segurana (subscrevendo os alertas de segurana dos CERT, por exemplo) a fim de alterar os
parmetros do seu dispositivo em funo da publicao dos alertas.
A instalao de um firewall deve, por conseguinte, fazer-se de acordo com uma verdadeira
poltica de segurana.