Firewall - Segurana e Auditoria Informtica - 4 Ano Informtica de Gesto Universidade Jean Piaget de Moambique

ndice
Introduo ................................ ................................ ................................ ................................ ........... 4 O que Firewall? ................................ ................................ ................................ ................................ 5 Definio ................................ ................................ ................................ ................................ ............ 6 Firewall Hardware vs Firewall Software ................................ ................................ ............................ 6 Firewall por software ................................ ................................ ................................ ...................... 6 Firewalls por hardware ................................ ................................ ................................ ................... 7 Como funciona? ................................ ................................ ................................ ................................ .. 7 Tcnicas de Firewall ................................ ................................ ................................ ........................... 7 Filtragem de pacotes (Packet Filtering) ................................ ................................ ........................... 7 Vantagens:................................ ................................ ................................ ................................ ... 8 Desvantagens: ................................ ................................ ................................ ............................. 8 Firewalls de aplicao (Proxies) ................................ ................................ ................................ ...... 9 Funcionamento ................................ ................................ ................................ ............................ 9 Vantagens ................................ ................................ ................................ ................................ .... 9 Desvantagens................................ ................................ ................................ ............................... 9 Filtragem de Pacotes vs Firewalls de aplicao ................................ ................................ ............... 9 Firewalls baseados no estado (stateful inspection firewalls)................................ ........................... 10 Vantagens ................................ ................................ ................................ ................................ .. 10 Desvantagens................................ ................................ ................................ ............................. 10 Comparao dos trs principais tipos de firewall ................................ ................................ ........... 10 Network Address Translation - NAT ................................ ................................ ............................. 11 Espaos de endereamento ................................ ................................ ................................ ........ 11 Traduo esttica ................................ ................................ ................................ ....................... 12 Traduo dinmica ................................ ................................ ................................ .................... 12 Limitaes ................................ ................................ ................................ ................................ . 12 Vantagens ................................ ................................ ................................ ................................ .. 12 DeMilitarized Zone - DMZ................................ ................................ ................................ ................ 12 Arquitectura da DMZ ................................ ................................ ................................ .................... 13 Funes de Firewall ................................ ................................ ................................ .......................... 13 Limitaes do Firewall................................ ................................ ................................ ...................... 15 Estratgias de Segurana ................................ ................................ ................................ ................... 16 Menor privilgio................................ ................................ ................................ ............................ 16 2

Firewall - Segurana e Auditoria Informtica - 4 Ano Informtica de Gesto Universidade Jean Piaget de Moambique Defesa em profundidade ................................ ................................ ................................ ................ 16 Ponto de Estrangulamento ................................ ................................ ................................ ............. 16 Concluso ................................ ................................ ................................ ................................ ......... 17 Bibliografia ................................ ................................ ................................ ................................ ....... 18

Firewall - Segurana e Auditoria Informtica - 4 Ano Informtica de Gesto Universidade Jean Piaget de Moambique

Introduo
Firewall um mecanismo de segurana de rede, muito eficiente, que tem como propsito impedir que os perigos da Internet se espalhem pela rede interna. Funciona na base de regras, estabelecidas pelo administrador da rede, um firewall tem a simples tarefa de aceitar ou rejeitar os pedidos que recebe. O firewall pode ser hardware ou software. Existem ainda algumas tcnicas de uso do firewall, neste trabalho, vamos apresentar as trs tcnicas mais usadas, que so a Filtragem por Pacotes, Firewall por Aplicao e Firewalls baseados no Estado. As tcnicas de firewall so escolhidas consoante a necessidade de cada um, sendo que normalmente usar essas tcnicas em simultneo melhor. Segundo a pesquisa, o firewall baseado no estado o mais completo, este mtodo inspecciona cada ligao que atravessa todos os interfaces do firewall assegurando-se que credvel. A nica desvantagem o seu elevado custo. Vamos falar tambm da NAT Network Address Translation, que tem sido confundida como uma tcnica de firewall, mas na verdade, responsvel por traduzir os IP, escondendo os IPs reais. Para implementar o NAT, existem duas regras, ou ele faz uma Traduo Esttica ou faz uma Traduo Dinmica. A DMZ tem como funo manter todos os servios que possuem acesso externo separados da rede local. Essa separao acaba por limitar um potencial dano em caso de comprometimento de algum destes servios por um invasor. Existem ainda vrios tipos de estratgias que podem ser aplicadas quando usamos firewall, estas podem ser usadas em simultneo. Vamos falar aqui das estratgias de Menor Privilegio, Defesa em Profundidade e do Ponto de estrangulamento, devemos garantir que esta ultima estratgias seja aplicada com eficincia.

Fi

ll

it i i

ti i i t

ti M

t i

Fi w ll
Fi w ll i t i it i it it i i t O i i i i ll t t ti i t t i t li i l

O que Firewall?
As redes de comput dores tem como objecti o pri cipal permitir que qualquer computador li ado a rede possa trocar i ormaes com outros computadores da mesma rede li remente. Num mundo perfeito, sem pessoas mal intencionadas, esse seria um mtodo perfeito para a red e funcionar, facilitando assim a li ao uni ersal entre sistemas. Nesse caso, cada computador seria li re de escol er: y y y Com quem pretendem se comunicar; Que informaes pretendem partil ar; Quais dos seus servios pretendem disponibili ar.

Este modo de funcionamento chama-se host b sed security, ou seja, segurana baseada em host, pois cada computador ou servidor implementa os seus prprios mecanismos de seg rana. assim que u funciona a Internet e a rede das nossas casas ou escritrios. Mas na prtica, difcil garantir que os computadores de uma rede possam cumprir as polticas de segurana existentes. Pois estes tem como principal objectivo garantir o funcionamento dos sistemas de softw re, sendo por isso difcil, mant -los seguros, isto deve-se mais a incerteza que se tem quanto ao cumprimento das polticas de seguranas por porte dos usurios duma rede. Quando uma rede esta ligada a outras, e no exista garantia de segurana, precisamos de colocar outros mecanismos que possam garantir a segurana e proteco dos nossos recursos que esto alojados na parte segura da rede, de possveis ataques de invasores provenientes da parte insegura da rede. A nica maneira de garantir essa segurana cortando parcialmente a ligao da rede, impedindo que ns que estamos na parte segura ou insegura da rede possamos trocar informaes sem restries.

Ilustrao 1 - Toda informao passa pelo Firewall

O dispositivo responsvel por isso chama-se firew ll, e ele pode ser instalado na rede em forma de softw re ou de hardware.

Firewall - Segurana e Auditoria Informtica - 4 Ano Informtica de Gesto Universidade Jean Piaget de Moambique

Definio
Podemos definir Firewall como sendo uma barreira de proteco, que controla o trfego de dados entre um computador e a Internet (ou entre a rede no geral e a Internet). Tem como objectivo permitir somente a transmisso e a recepo de dados autorizados. Existem firewalls baseados na combinao de hardware e software e firewalls baseados somente em software. Os firewalls baseados em software so mais comuns e so os recomendados para o uso domstico. Resumindo, o firewall um mecanismo que funciona como defesa de um computador ou mesmo de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados. Ao usar o firewall em rede, s um computador pode actuar como firewall, no sendo preciso instala-lo em cada computador conectado a essa rede. Os firewalls podem fazer diversos controles:
y

Controle de Servio: o Determina quais servios Internet (tipos) estaro disponveis para acesso. Controle de Sentido: o Determina o sentido de fluxo no qual servios podem ser iniciados. Controle de Usurio: o Controla o acesso baseado em qual usurio est requerendo (tipicamente os internos, ou externo via VPN1). Controle de Comportamento: o Controla como cada servio pode ser usado (ex: anti-spam2).

Fi w ll H dw

vs Fi w ll Softw

As solues de hardware e software de firewall foram concebidas para bloquear o acesso no autorizado a computadores. Os firewalls ajudam a prevenir os hackers de interceptarem dados privados ou colocar Cavalos de Tria 3 ou outras ameaas da Internet em computadores em rede. Vamos tentar compreender as diferenas entre o software de firewall e os firewalls por hardware.

Fi w ll por softw

Um programa de software de firewall instalado individualmente em cada computador. Para proteger todos os computadores de uma empresa, cada um ter de ter o software de firewall instalado. Isto pode ser bastante dispendioso e difcil de manter e dar assistncia.

Virtual Private Network ou Rede Privada Virtual, so tneis de criptografia entre pontos autorizados, criados atravs da Internet ou outras redes pblicas e/ou privadas para transferncia de informaes, de modo seguro, entre redes corporativas ou usurios remotos. 2 So aplicativos instalados geralmente com a inteno de interceptar mensagens no requisitadas pelo destinatrio. 3 Em ingls Trojan horse, um programa malicioso que entra no computador e libera uma porta para uma possvel invaso.

Firewall - Segurana e Auditoria Informtica - 4 Ano Informtica de Gesto Universidade Jean Piaget de Moambique Ao usar o software de firewall numa empresa, significa que ser necessrio que cada utilizador individual tome decises sobre se deve permitir ou negar o acesso de um determinado programa Internet. Assim, os utilizadores sem grande experincia em segurana ou em computadores podem sentir-se desconfortveis ao lidar com os diversos pedidos e alertas que um software de firewall lhes apresenta. O Software tem falhas, que so descobertas com o tempo, por isso essencial que seja constantemente actualizado. tambm muito importante que seja feita a anlise permanente dos logs 4.

Fi w lls por h dw

Os firewalls com base em hardware protegem todos os computadores da sua rede. Uma firewall com base em hardware possui uma manuteno e administrao mais fcil do que os firewalls de software individuais. A soluo ideal para as empresas um firewall por hardware integrada numa soluo de segurana abrangente. Para alm de um firewall, a soluo dever incluir suporte para uma rede privada virtual (VPN), anti-vrus, anti-spam, anti-spyware5, filtragem de contedos e outras tecnologias de segurana. Ao escolher uma destas opes, devemos procurar uma soluo de segurana de fcil utilizao e que possa crescer juntamente com as suas necessidades de segurana.

Como funciona?
O firewall quebra a comunicao livre entre redes seguras e inseguras, fazendo a gesto do fluxo de informao e limitando o acesso livre, pois dar acesso livre muito perigoso, pois deixa a informao da empresa vulnervel a roubos. Existem muitos mecanismos capazes de fazer esse trabalho, na aplicao delas nunca devemos prevenir por completo o fluxo de pacotes, pois deixaria de haver ligao em rede, por outro lado, no devemos permitir o acesso completo de informao, pois isso seria o mesmo que no ter nenhum firewall.

Tcnicas de Fi w ll
Um firewall utiliza um ou mais dos seguintes mtodos para controlar o trfego que circula na rede:
y y y

Filtragem de pacotes; Firewalls de aplicao e Firewall baseado no estado.

Filtragem de pacotes (Packet Filtering)

Neste caso, os pacotes de dados so analisados e confrontados com um conjunto de filtros predefinidos pela configurao do firewall por parte do utilizador. Os pacotes de dados que estiverem de acordo com os padres pr-estabelecidos pela configurao passam pelo firewall, caso contrrio sero pura e simplesmente recusados.
4 5

Termo utilizado para descrever o processo de registo de eventos relevantes num sistema computacional. So utilizados para combater programas espies.

Firewall - Segurana e Auditoria Informtica - 4 Ano Informtica de Gesto Universidade Jean Piaget de Moambique Um firewall com filtragem de pacotes pode ser um router6 com software de filtragem de pacotes. A filtragem de pacotes trabalha ao nvel de rede do modelo OSI, cada pacote de dados examinado quando a transferncia de dados feita de uma rede para a outra. A filtragem de pacotes normalmente feita a pacotes IP e baseada nos seguintes campos:
y y y y

Endereo IP fonte Endereo IP destino Porta TCP/UDP fonte Porta TCP/UDP destino

Os pacotes de dados compatveis com as regras de controlo de acesso so autorizados a passar, aqueles que no obedecerem s regras sero desde logo barrados. Como tudo na vida, os firewalls por filtragem de pacotes tambm tem as suas vantagens e desvantagens: Vantagens: y No so necessrias alteraes ao nvel do cliente. Toda configurao feita nos routers, esta uma das razes que leva a filtragem de pacotes a ser considerada uma tecnologia de firewall barata e sem grandes sofisticaes; y A maior parte dos routers encontrados no mercado j incluem inmeras potencialidades de filtragem de pacotes, reduzindo assim a necessidade de hardware ou software extra;
y

Este mtodo uma das melhores solues quando a empresa:

o Tem um oramento baixo; o No tem grandes exigncias ao nvel de segurana; o No considera os controlos de acessos como sendo um factor essencial.

Desvantagens: y A filtragem de pacotes tem um nvel de segurana extremamente primrio,

y

As suas regras so extremamente difceis de especificar, e no tem facilidade de auditoria e registo de eventos, ou seja, o feed ack proporcionado ao utilizador muito reduzido, como consequncia desse facto, caso alguma das regras seja violada, no h forma de o saber, e se por ventura houver a possibilidade de descobrir, provavelmente j ser bastante tarde para poder agir. No nos permite executar testes de eficcia, o que poder significar ter o sistema com falhas graves ao nvel da segurana e no existir forma de o saber. Este mtodo bastante vulnervel a hackers, que podem usar os seus conhecimentos aprofundados para entrar na rede. Por isso, aconselha-se o uso deste mtodo associado ao uso de um firewall por software como complemento adicional de forma a melhorar a segurana da rede.


Em portugus Roteador, usado para fazer a comutao de protocolos, a comunicao entre diferentes redes de computadores provendo a comunicao entre computadores distantes entre si.

Firewall - Segurana e Auditoria Informtica - 4 Ano Informtica de Gesto Universidade Jean Piaget de Moambique

Firewalls de aplicao (Proxies)

Ao utilizar este mtodo de segurana, todo o trfego que atravessa a fronteira entre a parte pblica e a parte privada da rede encaminhado para o firewall, neste caso para o proxy, que funciona ao nvel de aplicao, podendo executar funes de autenticao, controlo de acessos, e muito importante, controlo de estado das ligaes, o que permite uma filtragem mais eficaz da informao. O firewall de aplicao ou proxy, recebe os pedidos do exterior, analisa-os e, caso todas as condies de segurana para acesso rede estejam reunidas, encaminha-os para o sistema adequado dentro da prpria rede. Por outro lado, todos os pedidos provenientes do interior da rede, sero encaminhados para o proxy que se ir incumbir de contactar os respectivos sistemas de rede exteriores. O uso deste mtodo, significa que no haver comunicao directa entre os sistemas de rede interiores e exteriores, no entanto, para o utilizador, esse processo ser tr ansparente. Por isso, ao usarmos os firewalls de aplicao, a segurana da rede sai reforada, pois deixa de existir acesso directo do sistema externo ao sistema interno, com excepo do sistema proxy. Funcionamento Este mtodo s funciona em aplicaes conhecidas . 1. 2. 3. 4. O gateway de aplicao recebe uma conexo para uma aplicao suportada; Autentica o usurio externo atravs de senha; Para usurios vlidos uma segunda conexo para um servidor interno estabelecida; Todo trfego roteado entre ambas conexes.

Vantagens y Possibilitam o uso de filtragem com base em informao de nvel de aplicao. o Exemplo: URL7, possibilitando estabelecimento de zonas com diferentes tipos de acesso;
y

Possibilidade de actuarem de acordo com informao de estado e no apenas com base em regras de acesso estticas; Podem funcionar como arquivos temporrios de informao (caching servers), produzindo melhorias ao nvel do desempenho;

Desvantagens y A configurao e manuteno so muito mais complexas em relao filtragem de pacotes;

y

necessrio utilizar o software de proxy para cada aplicao;

Filtragem de Pacotes vs Firewalls de aplicao

Existem duas diferenas muito importantes entre filtragem de pacotes e firewalls de aplicao, as quais consideramos serem as mais importantes:
y

A filtragem de pacotes apenas inspecciona o cabealho do pacote, enquanto o firewall de aplicao analisa todos os dados de aplicao de um pacote.
Uniform Resource Locator, o endereo de um recurso disponvel em uma rede, seja a Internet, ou uma rede corporativa.

Firewall - Segurana e Auditoria Informtica - 4 Ano Informtica de Gesto Universidade Jean Piaget de Moambique A filtragem de pacotes deixa passar um pacote que foi por ela permitido, e, o mesmo pacote viaja entre a Internet e o computador da rede, enquanto um firewall de aplicao gera novamente um pacote atravs de um pacote que foi anteriormente permitido, ou seja, constri um novo pacote e envia do firewall para o servidor de Internet ou para o computador da rede, dependendo do sentido.

Usar ao mesmo tempo a filtragem de pacotes e o firewall de aplicao, resulta normalmente num controlo de acessos de nvel muito elevado.

Firewalls baseados no estado (stateful inspection firewalls)

Ao contrrio da filtragem de pacotes., este mtodo inspecciona cada ligao que atravessa todos os interfaces do firewall assegurando-se que credvel. So baseados e pretendem explorar exactamente a afirmao anterior, ou seja permitir e usar a juno entre packet filter e proxy. Este firewall analisa o trfego ao nvel do IP e TCP/UDP, construindo tabelas de estado das ligaes Internet de modo a que estejam salvaguardados os ataques do tipo spoofing, replaying, entre outros. Vantagens y Possibilitam um funcionamento ao nvel da aplicao de forma dinmica;
y

Podem incluir funcionalidades como, encriptao de dados, encapsulamento e balanceamento de carga; A manuteno e configurao so extremamente reduzidas e de fcil aplicao por parte do utilizador;

Desvantagens y A maior, que por sinal a nica desvantagem, referente a vertente econmica, visto que o preo deste tipo de tecnologia muito alto, isto porque este, muito mais eficiente que os anteriores, alem de que, usando esta tecnologia, o utilizador tem de intervir muito menos do que nos casos anteriores.

Comparao dos trs principais tipos de firewall

Na tabela seguinte, podemos ver as diferenas entre estes principais tipos de firewall: Tipos de Firewall
Informao de comunicao Estado derivado de comunicao Estado derivado da aplicao Manipulao da informao FILTRAGEM DE PACOTES Parcial No faz No faz Parcial FIREWALL DE APLICAO Parcial Parcial Completa Completa FIREWALL BASEADO NO ESTADO Completa Completa Completa Completa

10

Firewall - Segurana e Auditoria Informtica - 4 Ano Informtica de Gesto Universidade Jean Piaget de Moambique

Network Address Translation - NAT

Muitas vezes confundida como uma tcnica de firewall, o mecanismo de traduo de endereos de rede (em ingls Network Address Translation - NAT) foi criado para responder escassez de endereos IP com o protocolo IPv4. Com efeito, em endereamento IPv4 o nmero de endereos IP disponiveis, no suficiente para permitir que todas as mquinas que necessitam de estar ligadas Internet consigam faz-lo. O princpio do NAT consiste ento em utilizar um endereo IP rotvel (ou um nmero limitado de endereos IP) para conectar o conjunto das mquinas da rede realizando, a nvel da ponte estreita de conexo Internet, uma traduo entre o endereo interno (no rotvel) da mquina que deseja ligar e o endereo IP da ponte estreita. Por outro lado, o mecanismo de traduo de endereos permite proteger a rede interna, j que camufla completamente o endereamento interno. Com efeito, para um observador externo rede, todos os pedidos parecem provir do mesmo endereo IP. Espaos de endereamento O organismo que gere o espao de endereamento pblico (endereos IP rotveis) a Internet Assigned Number Authority (IANA). O RFC 1918 define um espao de endereamento privado que permite a qualquer organizao atribuir endereos IP s mquinas da sua rede interna sem risco de entrar em conflito com um endereo IP pblico atribudo pelo IANA. Estes endereos ditos no rotveis correspondem aos intervalos de endereos seguintes:
y y y

Classe A : de 10.0.0.0 a 10.255.255.255 ; Classe B : de 172.16.0.0 a 172.31.255.255 ; Classe C : de 192.168.0.0 a 192.168.255.55 ;

Todas as mquinas de uma rede interna, conectadas Internet atravs de um switch e que no possuem um endereo IP pblico, devem utilizar um endereo contido num destes intervalos. Para as pequenas redes domsticas, o intervalo de endereos de 192.168.0.1 a 192.168.0.255 geralmente utilizado. Quando um pacote passa pelo firewall com NAT/PAT configurado, a seguinte sequncia de eventos ocorre:
y y y y y y y

O pacote chega interface de entrada; O equipamento verifica o pacote contra a ACL de entrada; Se o pacote permitido, o equipamento consulta a tabela de roteamento para determinar a interface fsica de sada; Se a traduo de endereo est habilitada e o pacote combina com o critrio de seleco, o equipamento cria uma entrada na tabela NAT para aquela conexo; O equipamento cria uma entrada na tabela de estado da conexo (stateful); O pacote roteado para a interface de sada e verificado contra a ACL de sada; Se permitido, o pacote transmitido.

Basicamente existem dois tipos de regras que podem ser criadas: regras estticas e dinmicas. 11

Firewall - Segurana e Auditoria Informtica - 4 Ano Informtica de Gesto Universidade Jean Piaget de Moambique Traduo esttica O princpio do NAT esttico consiste em associar um endereo IP pblico a um endereo IP privado interno rede. O switch (ou mais exactamente a ponte estreita) permite por conseguinte associar a um endereo IP privado (por exemplo 192.168.0.1) um endereo IP pblico rotvel na Internet e fazer a traduo, tanto num sentido como no outro, alterando o endereo no pacote IP. A traduo de endereo esttica permite assim ligar mquinas da rede interna Internet de maneira transparente mas no resolve o problema da escassez de endereos, na medida em que n endereos IP rotveis so necessrios para ligar nas mquinas da rede interna. Traduo dinmica O NAT dinmico permite partilhar um endereo IP rotvel (ou um nmero reduzido de endereos IP rotveis) entre vrias mquinas em endereamento privado. Assim, todas as mquinas da rede interna possuem virtualmente, vistas do exterior, o mesmo endereo IP. a razo pela qual o termo mscara IP (em ingls IP masquerading) s vezes utilizado para designar o mecanismo de traduo de endereo dinmico. Para poder partilhar os diferentes endereos IP sobre um ou vrios endereos IP rotveis, o NAT dinmico utiliza o mecanismo de traduo de porta (PAT- Port Address Translation), ou seja a afectao de uma porta fonte diferente a cada pedido, de maneira a poder manter uma correspondncia entre os pedidos que provm da rede interna e as respostas das mquinas na Internet, todos dirigidos para o endereo IP switch. Limitaes Por reconhecer apenas os protocolos TCP e UDP, no possvel estabelecer uma conexo que no utilize um desses protocolos. O nmero gerado pela tabela de hash 8 tem apenas 16 bits, o que faz com que esta tcnica permita apenas 65505 conexes activas. Dependendo das dimenses da rede e do nmero de pedidos feitos pelos computadores desta rede, o limite de 65505 pode ser facilmente atingido. Vantagens As entradas no NAT so geradas apenas por pedidos dos computadores de dentro da rede privada. Sendo assim, um pacote que chega ao router vindo de fora e que no tenha sido gerado em resposta a um pedido da rede, ele no encontrar nenhuma entrada no NAT e este pacote ser automaticamente descartado, no sendo entregue a nenhum computador da rede. Isso impossibilita a entrada de conexes indesejadas e o NAT acaba funcionando como um firewall.

DeMilitarized Zone - DMZ

Em portugus conhecida como zona desmilitarizada" uma pequena rede situada entre uma rede confivel e uma no confivel, geralmente entre a rede local e a Internet. A funo de uma DMZ manter todos os servios que possuem acesso externo (tais como servidores HTTP, FTP, de correio electrnico, etc.) separados da rede local, limitando assim o potencial dano em
8

uma sequncia de bits geradas por um algoritmo de disperso, em geral representada em base hexadecimal, que permite a visualizao em letras e nmeros (0 a 9 e A a F), representando 1/2 byte cada.

12

Firewall - Segurana e Auditoria Informtica - 4 Ano Informtica de Gesto Universidade Jean Piaget de Moambique caso de comprometimento de algum destes servios por um invasor. Para atingir este objectivo os computadores presentes em uma DMZ no devem conter nenhuma forma de acesso rede local. A configurao realizada atravs do uso de equipamentos de Firewall, que vo realizar o controlo de acesso entre a rede local, a internet e a DMZ. Os equipamentos na DMZ podem estar em um switch dedicado ou compartilha um switch da rede, porm neste ltimo caso devem ser configuradas Redes Virtuais distintas dentro do equipamento.

Arquitectura da DMZ
Three-Pronged Firewall Designa-se assim derivado da utilizao de uma firewall com 3 pontos de rede, um para a rede privada, outro para a rede pblica e outro ainda para a DMZ. Esta arquitectura caracteriza-se por ser simples de implementar e de baixo custo, no entanto, mais vulnervel e tem uma performance mais reduzida em comparao DMZ com dois firewalls. Multiple Firewall DMZ So utilizados diversas firewalls para controlar as comunicaes entre as redes externa pblica e interna (privada). Com esta arquitectura, temos uma segurana mais efectiva podemos balancear a carga de trfego de dados e podemos proteger vrias DMZ's para alm da nossa rede interna. A poltica de segurana aplicada no DMZ geralmente a seguinte:
y y y y y y

Trfego da rede externa para o DMZ autorizado; Trfego da rede externa para a rede interna proibido; Trfego da rede interna para o DMZ autorizado; Trfego da rede interna para a rede externa autorizado; Trfego do DMZ para a rede interna proibido; Trfego do DMZ para a rede externa recusado.

necessrio notar que possvel instalar uma DMZ internamente, para compartimentar a rede interna de acordo com diferentes nveis de proteco e assim evitar as intruses que vm do interior.

Funes de Firewall
Os firewalls podem fazer muito pela segurana. De fato, algumas vantagens do uso de firewalls se estendem at mesmo alm da segurana. Firewall o centro de ateno para decises de segurana:
y

como uma ponte de passagem obrigatria. Todo trfego que entra e sai deve passar por esse nico e estreito ponto de estrangulamento.

13

Firewall - Segurana e Auditoria Informtica - 4 Ano Informtica de Gesto Universidade Jean Piaget de Moambique
y

Um firewall oferece um enorme controlo da segurana de rede, porque permite concentrar todas as suas medidas de segurana num nico ponto (onde a rede se conecta com a Internet e/ou a outras redes).

A concentrao da segurana desta maneira, um mtodo muito mais eficiente do que espalhar as decises e tecnologias de segurana por toda a rede. Os Firewalls podem impor uma poltica de segurana:
y

A maior parte do contedo que pretendemos aceder da Internet so inseguros e podem tornar a nossa rede vulnervel. O firewall a guarda de trnsito para esses servios. Criando regras de segurana, o firewall somente permite que passem por ele os servios considerados seguros, rejeitando todo e qualquer outro contedo que no seja considerado seguro. As variaes nas normas de segurana do site so infinitas: o O firewall manter os servios potencialmente perigosos estritamente dentro da rede protegida por ele; o Ou pode se decidir que apenas um sistema interno deveria poder se comunicar com o mundo exterior; o Ainda se poderia decidir permitir o acesso de todos os sistemas de um certo tipo ou pertencentes a um determinado grupo. Um firewall pode ser chamado para ajudar a impor normas mais complicadas: o Por exemplo, apenas certos sistemas dentro do firewall tenham permisso para transferir arquivos de e para a Internet; o Usando outros mecanismos para controlar quais usurios tero acesso a esses sistemas, poder se controlar os usurios que tero esses recursos.

Dependendo das tecnologias escolhidas para implementar um firewall, ele poder ter uma capacidade maior ou menor de impor tais normas. O Firewall pode registar de modo eficiente actividade da Internet:
y

Como todo o trfego passa pelo firewall, ele fornece um bom lugar para a colecta de informaes sobre o uso do sistema e da rede e sobre o abuso.

Firewall limita sua exposio:

y

s vezes, um firewall usado para manter uma seco de rede de um site separada de outra seco. Fazendo isso, evita se que problemas que tm impacto sobre uma seco se espalhem por meio da rede interna.

Em alguns casos, isso ser feito porque uma seco de rede pode ser mais confivel que outras; em outros casos, porque uma seco mais confidencial que outra. Qualquer que seja a razo, a existncia do firewall limita os danos que um problema de segurana de rede pode causar rede global. Outras funcionalidades: 14

Firewall - Segurana e Auditoria Informtica - 4 Ano Informtica de Gesto Universidade Jean Piaget de Moambique
y

O Firewall prov uma localizao para o monitoramento de eventos relacionados com segurana atravs de auditorias, histricos e alarmes. O Firewall uma plataforma conveniente tambm para:
o NAT (Traduo de Endereo de Rede); o Proxy de We e o Gateway de email.

O Firewall pode servir como plataforma para VPN (Virtual Private Network)

Limitaes do Firewall
Segundo Chapman (2001), os firewalls oferecem uma excelente proteco contra ameaas rede, mas no so solues de segurana completa. Certas ameaas esto fora do controle do firewall. Precisam se descobrir outros meios para se proteger contra essas ameaas, incorporando segurana fsica, segurana de host e educao do usurio ao seu plano de segurana global. Firewall incapaz de proteger contra usurios internos:
y

Se o atacante j estiver dentro de um firewall, o sistema no pode fazer praticamente nada. Usurios internos podem roubar dados, danificar hardware e software e modificar subtilmente programas sem jamais chegarem perto do firewall: o Um firewall poderia impedir um usurio do sistema de ser capaz de enviar informaes patenteadas para fora de uma empresa por uma conexo de rede, assim, ele simplesmente no teria uma conexo de rede. o Porm, esse mesmo usurio poderia copiar os dados em disco, fita ou papel e lev-los para fora do edifcio em sua pasta.

As ameaas internas exigem medidas de segurana internas, como segurana de host e educao do usurio. O Firewall no protege contra conexes que no passam por meio dele:
y

Um firewall pode controlar de forma eficiente o trfego que passa atravs dele. Porm, no h nada que ele possa fazer no caso do trfego que no passa por ele. s vezes, usurios tecnicamente experientes ou administradores de sistemas configuram suas prprias portas dos fundos na rede (como uma conexo de rede dialup), seja temporria ou permanente, porque eles se irritam com as restries que o firewall impe a eles e a seus sistemas. O firewall no pode fazer nada esse caso.

Firewall no oferece proteco contra novas ameaas:

y

Um firewall projectado para proteger contra ameaas conhecidas: o Um firewall bem projectado tambm pode oferecer proteco contra algumas ameaas novas, negando qualquer servio com excepo de alguns servios novos e confiveis. 15

Firewall - Segurana e Auditoria Informtica - 4 Ano Informtica de Gesto Universidade Jean Piaget de Moambique
o O firewall impedir que as pessoas configurem servios novos e inseguros.

Porm, nenhum firewall pode se defender automaticamente contra toda nova ameaa que surge. As pessoas descobrem continuamente novos caminhos para atacar, usando servios que antes eram confiveis ou usando ataques que simplesmente no haviam ocorrido a ningum antes. No se pode esperar que, ao se configurar um firewall uma vez, ele proteger para sempre.

Estratgias de Segurana
Antes de decidir implementar um firewall importante ter o conhecimento de algumas estratgias bsicas empregadas na construo destes, visando uma maior segurana e confiabilidade de seu firewall.

Menor privilgio
Nesta estratgia, apenas da se os privilgios necessrio para que um determinado objecto consiga realizar a sua funo na organizao. Temos de ter cuidado de no dar privilgios inferiores ao necessrio para se realizar a tarefa, usamos este mtodo, para eliminar ou diminuir os danos causa dos por pessoas mal intencionadas. Para melhor percepo vamos dar um exemplo da vida real:
y

O carro que uso tem uma chave que serve para abrir as portas e para a ignio do carro, e tem outra chave diferente para abrir o porta-luvas. Assim posso entregar o carro ao motorista, deixando algo de valor no porta-luvas, desde que eu fique com a chave desse local.

Um sistema de filtragem de pacotes projectado para permitir apenas a entrada de pacotes para os servios necessrios um bom exemplo de estratgia de menor privilgio, que muito usado devido a sua eficincia e simplicidade. Falando em Internet, podemos dar alguns exemplos:
y y y

Todo usurio no precisa saber a senha de administrador do computador que usa; Todo usurio no precisa de aceder a todos os servios de Internet existentes; Todo usurio no precisa modificar todos os arquivos do sistema.

Defesa em profundidade
Nesta estratgia de segurana, a principal preocupao prevenir os acidentes e as consequncias que estes poderiam ter. Este principio, tem como objectivo no depender de um nico mtodo de defesa, instalando vrios nveis de proteco. Isto tornaria a tentativa de invaso por parte de atacantes, arriscada demais ou cansativa demais. Pois as chance de violar um nvel de proteco do sistema so muito maiores do que as de violar um sistema com vrios nveis de segurana.

Ponto de Estrangulamento
O firewall de uma rede normalmente o ponto de estrangulamento, qualquer atacante que deseje entrar em sua rede deve passar obrigatoriamente pelo firewall. Devemos estar sempre preparados para defender desses ataques. Este mtodo no vale nada se a sua rede tiver um outro ponto de acesso a rede, que no seja o ponto de estrangulamento. 16

Firewall - Segurana e Auditoria Informtica - 4 Ano Informtica de Gesto Universidade Jean Piaget de Moambique

Concluso
Agora conseguimos perceber melhor, pelo menos de maneira bsica, o funcionamento do firewall. Tratando se de uma tecnologia que tem cada vez mais importncia, no somente para o uso em redes, mas tambm para o uso domstico. Portanto, se decidir usar um firewall em seu computador, procure por solues conhecidas para seu sistema operacional. Existem muitas que so gratuitas, contam com configuraes pr-definidas que exigem pouco conhecimento e no consomem muitos recursos do computador. Por outro lado existem outras, que exigem experincia no assunto, como o caso dos dispositivos firewall da Cisco. Para administradores de rede, obviamente, o uso de firewall tido como uma obrigao. H usurios, domsticos ou de escritrio, que acedem a internet e trabalham com dados importantes, expondo-os. Tais arquivos devem ser fortemente protegidos contra ataques mal intencionados. Hackers podem facilmente aceder os computadores caso os mesmos no possuam nenhum tipo de firewall. O trabalho expe solues com firewall, explicando seu funcionamento e como possvel proteger os computadores pessoais sem fragilizar qualquer acesso aos dados para os invasores externos e internos. Ter um firewall no suficiente, temos de garantir que este, seja o nico ponto capaz de ligar a rede interna a outras redes. Os firewalls evoluem com o passar dos anos e deixaram de ser somente um filtro de pacotes rudimentar para se tornarem sistemas sofisticados e com capacidade de filtragem cada vez mais avanados. O firewall do Windows , hoje em dia, provavelmente, a tecnologia de segurana mais usada pelo comum utilizador. Para alm de ser, para um uso domstico, fivel e seguro, trata-se de um firewall por software que j se encontra includo no sistema operativo que vulgarmente utilizamos nas nossas casas, o Windows. Este firewall muito fcil de configurar, utilizar e tambm de fcil manuteno, para utiliza lo no necessrio nenhum conhecimento aprofundado sobre a matria segurana. S o firewall no suficiente para ter uma rede segura, temos de configura-lo correctamente, escolhendo a melhor tcnica consoante os servios a serem utilizados e ainda podemos usa-lo associado a outras defesas, como por exemplo o Network Address Translation e o DMZ, entre outras.

17

Firewall - Segurana e Auditoria Informtica - 4 Ano Informtica de Gesto Universidade Jean Piaget de Moambique

Bibliografia
OLIVEIRA, Gustavo; GIROLDO, Davison; OLIVEIRA, Andre e SASAKI, Eduardo Segurana de Redes Firewall, Ciencia de Computao Faculdades de Valinhos; PICKERING, Rob; INTERNET FIREWALL TUTORIAL A White Paper, RPA Networks Julho de 2002; FELIPE, Daniel Santana; Desenvolvimento de um canal de comunicao seguro entre agentes distribudos e firewall, UNOESTE 2005; DVILA, Marcio; Segurana de Redes 2001; Brochura da MICROTIK Routers & Wireless Firewall; SHMIDT, Holly; FIREWALL Tools Report, IATAC 6 edio 2009; SCARFONE, Karen e HOFFMAN, Paul; Guidelines on Firewalls and Firewall Policy NST, Edio Especial 800-41, Reviso 1 Setembro de 2009; http://www.infowester.com/firewall.php http://firewall.no.sapo.pt/index_files/Page484.htm http://truques-dicas.com/tipos-de-firewall/ http://www.infoescola.com/redes-de-computadores/firewall/ http://www.cisco.com/web/PT/solutions/smb/innovators/how_to/articles/secure_my_business/small_b usiness_firewall_software.html http://www.networkexperts.com.br/index.php/tutoriais/8-cisco/44-configurando-nat-em-firewall-ciscoasa-parte-1.html http://pt.wikipedia.org/wiki/NAT#Limita.C3.A7.C3.B5es http://pt.wikipedia.org/wiki/DMZ_(computa%C3%A7%C3%A3o) http://pt.kioskea.net/contents/protect/dmz-cloisonnement.php3 http://pt.wikipedia.org/wiki/Cavalo_de_Troia_(computa%C3%A7%C3%A3o) http://ajuda.uolhost.com.br/index.php?p=resposta&res=616#rmcl http://dicionario.babylon.com/log_file/ http://pt.wikipedia.org/wiki/Antispyware http://pt.wikipedia.org/wiki/Roteador http://pt.wikipedia.org/wiki/URL

18