Faculdade de Tecnologia SENAC Pelotas/RS

Curso Superior de Tecnologia em Redes de Computadores

Administrao de Redes
Firewall de Rede

Sumrio
Apresentao
Conceito
Histrico
Protocolos de Rede
Tipos de Firewalls
Projeto de Firewall
Aplicaes
Estudos de Caso
Referncias

Administrao de Redes: Enfoque na Segurana da Informao.

Conceito
Segundo os autores, Cheswick e Bellovin,
um firewall uma coleo de componentes
ou um sistema localizado entre duas redes
e que possui as seguintes propriedades:
Todo o trfego entrante e sainte,
obrigatoriamente, dever passar pelo
firewall
Somente trfego autorizado de acordo
O objetivo de
umdever
firewall
com a poltica de segurana
local
previnir
que
usurios
ter permisso de passar
pelo
firewall
no-autorizados
O prprio firewall deve ser imune a
acessem recursos na
invases
rede interna e que
acessem recursos
Administrao de Redes: Enfoque na Segurana da Informao.
externos indesejados

Histrico
1987-1988 publicado um artigo pela empresa Digital
Equipament Corporation (DEC) sobre um modelo de
filtragem de pacotes ( stateless )
1989-1990 Comeam a aparecer as primeiras
tentativas de firewall stateful
1991
baseado

O primeiro firewall comercial DEC SEAL,

em proxies de aplicaes

1992 Lanado o firewall comercial da empresa

CheckPoint, o Firewall-1
1993 FreeBSD ipfilter
1994 FreeBSD ipfw , avanos em relao ao ipfilter
1995 - Linux ipfwadm , baseado no ipfw do FreeBSD, no
Kernel 1.2.1 do Linux
1997 Linux ipchains , evoluo do ipfwadm
1998 Linux iptables (NetFilter) , evoluo do ipchains
com recursos de statefull
Administrao de Redes: Enfoque na Segurana da Informao.

Tipos de Firewall
Stateless (Packet Filter)
Filtragem de pacotes, sem analisar o
estado da conexo
Stateful
Filtragem de pacotes, analisando o estado
da conexo (TCP e UDP)
Proxy de aplicao
Filtragem de acordo com o protocolo da
camada de aplicao
Firewall de aplicao
Filtragem somente pelo endereo IP de
origem, mais simples que os outros tipos
Administrao de Redes: Enfoque na Segurana da Informao.

Protocolos de Rede
O firewall dever inspecionar os pacotes de
acordo com as regras e polticas
configuradas
Os cabealhos dos pacotes da camada de
rede e de transporte so normalmente
inspecionados
Endereos IP de origem e destino
Protocolos da camada de rede: ICMP,
IGRP, ...
Protocolos da camada de transporte:
TCP e UDP
Portas de comunicao de origem e
destino
Administrao de Redes: Enfoque na Segurana da Informao.

Protocolos de Rede
Protocolo IP

Administrao de Redes: Enfoque na Segurana da Informao.

Protocolos de Rede
Protocolo ICMP

Administrao de Redes: Enfoque na Segurana da Informao.

Protocolos de Rede
Protocolo UDP

Administrao de Redes: Enfoque na Segurana da Informao.

Protocolos de Rede
Protocolo TCP

Administrao de Redes: Enfoque na Segurana da Informao.

Projeto de Firewall
Poltica de r egras
O que no expressamente permitido
proibido
O que no expressamente proibido
permitido
Hbrido
Zoneamento
Rede interna
Rede externa
DMZ (Demilitarized Zone)
Tipo de firewall
Administrao de Redes: Enfoque na Segurana da Informao.

Aplicaes
Microsoft Windows XP
Personal Firewall
ZoneAlarm
Microsoft Windows 7
Modem/Router ADSL

Administrao de Redes: Enfoque na Segurana da Informao.

Aplicaes
Linux
Kernel 2.0 (ipfwadm)
Kernel 2.2 (ipchains)
Kernel 2.4 e 2.6 (iptables)
FreeBSD
IPF
IPFW
PF
Pfsense ( http://www.pfsense.org/ )
distribuio baseada no FreeBSD
configurao pelo navegador
Disponvel em LiveCD (~60MB)

Administrao de Redes: Enfoque na Segurana da Informao.

Aplicaes
Comparativo

Fonte: http://en.wikipedia.org/wiki/Comparison_of_firewalls

Administrao de Redes: Enfoque na Segurana da Informao.

Estudo de Caso
Desempenho de rede com firewall
Qual o impacto da filtragem de pacotes e
do NAT no desempenho das aplicaes?
Cenrios de testes
Firewall: iptables (Ubuntu)
Ferramenta: Jperf (gerador de trfego)
Interfaces a 10 Mbit/s (s tinha estas
em casa!)
Firewall/Roteador: Pentium III, 128 MB
de RAM

Administrao de Redes: Enfoque na Segurana da Informao.

Estudo de Caso
Desempenho de rede com firewall
Metodologia
Gerar trfego entre os hosts e variar as
configuraes do firewall
Resultados

Concluso
O nmero de regras do firewall implica
diretamente no desempenho das
aplicaes
Administrao de Redes: Enfoque na Segurana da Informao.

Estudo de Caso
Firewall Builder ( http://www.fwbuilder.org/ )
Gerenciador de firewalls
Baseado em objetos (interfaces, redes,
hosts,...)
Gera regras para: Cisco ACLs, iptables,
ipfw, ipf,...

Disponvel paraDemonstrao
Linux, Windows e Mac OS
X
Cdigo-fonte aberto
Verso paga para Windows e Mac OS X

Administrao de Redes: Enfoque na Segurana da Informao.

Concluso

Os firewalls so um importante
recurso para aumentar a
segurana dos hosts
No o nico recurso de
segurana
Existem diversos tipos e
implementaes, com timas
alternativas em cdigo-fonte
aberto
Deve haver cuidado com o uso
de firewalls em relao ao

Administrao de Redes: Enfoque na Segurana da Informao.

Referncias

Livros
ZWICKY, E.; COOPER; Simon, CHAPMAN, D. B.
Construindo Firewalls para a Internet. 2 edio.
Campus, 2001
NOONAN, W.;DUBRAWSY, I. Firewall Fundamentals.
Cisco Press, 2006.
GHEORGHE, L. Designing and Implementing Linux
Firewalls and QoS. Packt Publishing, 2006.
STALLINGS, William. Criptografia e segurana de redes.
4 edio. Pearson, 2008.
CHESWICK, W.; BELLOVIN, S.. Firewalls and Internet
Security: Repelling the Wily Hacker. Online, disponvel
em http://www.wilyhacker.com/1e/

Administrao de Redes: Enfoque na Segurana da Informao.

Referncias

Sites

Documentao do Iptables
http://www.netfilter.org/documentation/index.html#documentatio
n-howto
Histrico sobre firewalls
http://www.cerias.purdue.edu/about/history/coast_resources/firewal
ls/
Firewall Builder
http://www.fwbuilder.org/
Evoluo dos firewalls comerciais

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/centri4/user/scf4ch3.h
tm

IPFW para Windows

http://wipfw.sourceforge.net/
M0n0wall
http://m0n0.ch/wall/
PfSense
http://www.pfsense.org/
IPCOP
http://www.ipcop.org/

Comparativo entre firewalls

Administrao de Redes: Enfoque na Segurana da Informao.