Firewall

Março 2017

Firewall

Cada computador ligado à internet (e, de maneira mais geral, a qualquer rede informática) é susceptível de ser vítima de um ataque de um pirata informático. A metodologia empregada geralmente pelo pirata informático consiste em varrer a rede (enviando pacotes de dados de maneira aleatória) à procura de uma máquina ligada, seguidamente procura uma falha de segurança para a explorar e aceder aos dados que aí se encontram.

Esta ameaça é ainda maior se a máquina está permanentemente ligada à Internet por várias razões :

  • A máquina alvo é susceptível de estar ligada sem, no entanto, ser supervisionada;
  • A máquina alvo está ligada geralmente com uma banda concorrida mais larga ;
  • A máquina alvo não altera (ou pouco) o endereço IP.



Assim, é necessário, tanto para as redes de empresas como para usuários da internet que possuem uma conexão com fios ou ADSL, proteger-se das intrusões na rede instalando um dispositivo de protecção.

O que é que um firewall?

Um firewall (chamado também "pára-fogo"), é um sistema que permite proteger um computador ou uma rede de computadores das intrusões que provêm de uma rede terceira (nomeadamente da Internet). O firewall é um sistema que permite filtrar os pacotes de dados trocados com a rede, trata-se assim de umaponte estreita filtradora que comporta, no mínimo, os interfaces rede seguintes:

  • um interface para a rede a proteger (rede interna);
  • um interface para a rede externa.

corta-fogo


O sistema firewall é um sistema software, assentando às vezes num material rede específico, constituindo um intermediário entre a rede local (ou a máquina local) e uma ou várias redes externas. É possível pôr um sistema firewall em qualquer máquina e com qualquer sistema desde que:

  • A máquina seja suficientemente potente para tratar o tráfego;
  • O sistema esteja protegido;
  • Nenhum outro serviço além do serviço de filtragem de pacotes funcione no servidor.



Se o sistema firewall é fornecido numa caixa preta tipo “chave na mão”, utiliza-se o termo “de appliance”.

 

Funcionamento de um sistema firewall

Um sistema firewall contém um conjunto de regras predefinidas que permitem:

  • Autorizar a conexão (allow);
  • Bloquear a conexão (deny);
  • Rejeitar o pedido de conexão sem avisar o emissor (drop).



O conjunto destas regras permite instalar um método de filtragem dependente da política de segurança adoptada pela entidade. Distinguem-se habitualmente dois tipos de políticas de segurança que permitem :

  • ou autorizar unicamente as comunicações autorizadas explicitamente:

“Tudo o que não é autorizado explicitamente é proibido”.
  • ou impedir as trocas que foram explicitamente proibidas.



O primeiro método é sem dúvida alguma mais seguro, mas impõe contudo uma definição precisa e vinculativa das necessidades de comunicação.

A filtragem simples de pacotes


Um sistema firewall funciona com o princípio da filtragem simples de pacotes (em inglês “stateless packet filtering”). Analisa os cabeçalhos de cada pacote de dados (datagrama) trocado entre uma máquina da rede interna e uma máquina externa.

Assim, os pacotes de dados trocados entre uma máquina da rede externa e uma máquina da rede interna transitam pelo firewall e possuem os seguintes cabeçalhos, sistematicamente analisados pelo firewall:

  • endereço IP da máquina emissora;
  • endereço IP da máquina receptora;
  • tipo de pacote (TCP, UDP, etc.) ;
  • número de portas (lembre-se: uma porta é um número associado a um serviço ou a uma aplicação rede).



Os endereços IP contidos nos pacotes permitem identificar a máquina emissora e a máquina alvo, enquanto o tipo de pacote e o número de porta dão uma indicação sobre o tipo de serviço utilizado.

O quadro abaixo dá exemplos de regras de firewalls:

RègleActionIP sourceIP destProtocolPort sourcePort dest
1Accept192.168.10.20194.154.192.3tcpany25
2Acceptany192.168.10.3tcpany80
3Accept192.168.10.0/24anytcpany80
4Denyanyanyanyanyany



As portas reconhecidas (cujo número está compreendido entre 0 e 1023) são associadas a serviços correntes (as portas 25 e 110, por exemplo, estão associadas ao correio electrónico, e a porta 80 à Web). A maior parte dos dispositivos firewall está configurada no mínimo, de maneira a filtrar as comunicações de acordo com a porta utilizada. É aconselhável bloquear todas as portas que não são indispensáveis (de acordo com a política de segurança escolhida).

A porta 23, por exemplo, é frequentemente bloqueada por defeito pelos dispositivos firewall porque corresponde ao protocolo Telnet permitindo emular um acesso por terminal a uma máquina distante de maneira a poder executar comandos à distância. Os dados trocados por Telnet não são codificados, o que significa que um indivíduo pode ouvir a rede e eventualmente roubar as senha que circulam em aberto. Os administradores preferem geralmente o protocolo SSH, conhecido por ser mais seguro e fornecendo as mesmas funcionalidades que oTelnet.

A filtragem dinâmica


A filtragem simples de pacotes dedica-se apenas a examinar os pacotes IP independentemente uns dos outro, o que corresponde ao nível 3 do modelo OSI. Ora, a maior parte das conexões assenta no protocolo TCP, que gere a noção de sessão, para garantir o bom desenrolar das trocas. Por outro lado, numerosos serviços (o FTP, por exemplo) iniciam uma conexão sobre uma porta estática, mas abrem dinamicamente (ou seja, de maneira aleatória) uma porta, para estabelecer uma sessão entre a máquina que faz de servidor e a máquina cliente.

Assim, com uma filtragem simples de pacotes, é impossível prever as portas a deixar passar ou a proibir. Para remediar, o sistema de filtragem dinâmico de pacotes baseia-se na inspecção das camadas 3 e 4 do modelo OSI, permitindo efectuar um acompanhamento das transacções entre o cliente e o servidor. O termo anglo-saxónico é “stateful inspection ” ou “stateful packet filtering”, ou “filtragem de pacotes com estado”.


O dispositivo firewall de tipo “stateful inspection” é assim capaz de assegurar um acompanhamento das trocas, ou seja, de ter conta o estado dos antigos pacotes para aplicar as regras de filtragem. Desta maneira, a partir do momento em que uma máquina autorizada inicia uma conexão a uma máquina situada de outro lado do firewall,o conjunto dos pacotes que transitam no âmbito desta conexão será aceite implicitamente pelo firewall.

Se a filtragem dinâmica é mais eficiente que a filtragem de pacotes básica, não protege no entanto da exploração das falhas aplicativas, ligadas às vulnerabilidades das aplicações. Ora, estas vulnerabilidades representam a parte mais importante dos riscos em termos de segurança.

A filtragem aplicativa

A filtragem aplicativa permite filtrar as comunicações aplicação por aplicação. A filtragem aplicativa opera por conseguinte no nível 7 (camada aplicação) do modelo OSI, contrariamente à filtragem de pacotes simples (nível 4). A filtragem aplicativa supõe por conseguinte um conhecimento dos protocolos utilizados por cada aplicação.

A filtragem aplicativa permite, como o seu nome o indica, filtrar as comunicações aplicação por aplicação. A filtragem aplicativa supõe por conseguinte um bom conhecimento das aplicações presentes na rede, e nomeadamente a maneira como ela estrutura os dados trocados (portas, etc.).

Um firewall que efectua uma filtragem aplicativa chama-se habitualmente “ponte estreita aplicativa” (ou “proxy”), porque serve de retransmissor entre duas redes interpondo-se e efectuando uma validação fina do conteúdo dos pacotes trocados. O proxy representa por conseguinte um intermediário entre as máquinas da rede interna e a rede externa, sofrendo os ataques em seu lugar. Além disso, a filtragem aplicativa permite a destruição dos cabeçalhos que precedem a mensagem aplicativa, o que permite fornecer um nível de segurança suplementar.

Trata-se de um dispositivo eficiente, assegurando uma boa protecção da rede, desde que seja administrado correctamente. Por outro lado, uma análise fina dos dados aplicativos requer uma grande potência de cálculo e traduz-se por isso, frequentemente, num atraso das comunicações, cada pacote deve ser analisado finamente.


Além disso, o proxy deve necessariamente estar em condições de interpretar uma vasta gama de protocolos e conhecer as falhas aferentes para ser eficaz.

Por último, tal sistema pode potencialmente comportar uma vulnerabilidade, na medida em que interpreta os pedidos que transitam por ele. Assim, recomenda-se dissociar o firewall (dinâmico ou não) do proxy, a fim de limitar os riscos de comprometimento.

Noção de firewall pessoal

Se a zona protegida se limita ao computador no qual o firewall está instalado, trata-se de um firewall pessoal (firewall pessoal).

Assim, um firewall pessoal permite controlar o acesso à rede das aplicações instaladas na máquina, e nomeadamente impedir os ataques do tipo Cavalo de tróia, ou seja, programas prejudiciais que abrem uma brecha no sistema para permitir um controlo à distância da máquina por um pirata informático. O firewall pessoal permite, com efeito, localizar e impedir a abertura não solicitada por parte de aplicações não autorizadas a ligar-se.

Os limites dos firewall

Um sistema firewall não oferece obviamente uma segurança absoluta, bem pelo contrário. Os firewall oferecem uma protecção apenas na medida em que o conjunto das comunicações para o exterior passa sistematicamente por seu intermediário e que são configurados correctamente. Assim, o acesso à rede externa contornando o firewall é outra falha de segurança. É nomeadamente o caso das conexões efectuadas a partir da rede interna com a ajuda de um modem ou qualquer meio de conexão que escape ao controlo do firewall.

Da mesma maneira, a introdução de suportes de armazenamento, que provêm do exterior, em máquinas internas à rede ou computadores portáteis pode causar um grande prejuízo à política de segurança global.

Por último, a fim de garantir um nível de protecção máximo, é necessário administrar o firewall e nomeadamente supervisionar o seu diário de actividade para ficar em condições de detectar as tentativas de intrusão e as anomalias. Além disso, recomenda-se que efectue uma vigilância de segurança (subscrevendo os alertas de segurança dos CERT, por exemplo) a fim de alterar os parâmetros do seu dispositivo em função da publicação dos alertas.

A instalação de um firewall deve, por conseguinte, fazer-se de acordo com uma verdadeira política de segurança.

Veja também


Firewall
Firewall
Firewall
Firewall
Firewall (pare-feu)
Firewall (pare-feu)
Firewall
Firewall
Este documento, intitulado 'Firewall ', está disponível sob a licença Creative Commons. Você pode copiar e/ou modificar o conteúdo desta página com base nas condições estipuladas pela licença. Não se esqueça de creditar o CCM (br.ccm.net) ao utilizar este artigo.