aula 02 src final
DESCRIPTION
Segurança da InformaçãoTRANSCRIPT
Curso: SEGURANÇA EM REDES DE COMPUTADORES
Conteudista: Luis Claudio dos Santos
AULA 02
FIREWALL
Ao final desta aula você deverá ser capaz de:
1) Diferenciar filtros de pacotes e filtros de estado.
2) Explicar o funcionamento de um proxy.
3) Conceituar de DMZ (zona desmilitarizada).
Pré-requisitos
Como pré-requisitos para esta aula o aluno deverá ter conhecimentos no mínimo acadêmicos
sobre as redes de computadores (topologias, arquiteturas, funcionamento da internet,
protocolos da pilha TCP/IP, endereçamento IP, VLSM, entendimento dos cabeçalhos de
protocolos de rede e de transporte, portas de aplicação etc.).
1. A Defesa de Perímetro
Um perímetro é uma linha (imaginária ou não) que limita uma determinada área. No
nosso contexto, o perímetro de segurança da informação tem duas dimensões: uma lógica,
relacionada ao conceito abstrato da área que separa o atacante e a informação dentro da
rede; outra física, relacionada ao conceito concreto de limites fisicamente impostos para o
acesso à informação. No primeiro caso, o perímetro lógico é definido a partir da configuração
de roteadores, switches, servidores etc. No segundo caso, o perímetro físico é definido através
de barreiras impostas pelas próprias instalações da empresa (sala de servidores, hack,
gabinete do servidor etc.).
Figura 2.1: O firewall é o ponto único de contato entre as redes cujo tráfego é filtrado por ele.
E onde se é que encaixa o firewall nesta história? Ora, o firewall é a principal barreira
de perímetro do ponto de vista lógico. É o que veremos nessa aula seguir.
2. O que são Firewalls?
Talvez você já tenha lido ou ouvido definições incorretas de firewall parecidas com
esta: “um firewall é um equipamento colocado entre a rede de uma empresa e a internet para
impedir invasões e outros tipos de ataques.”
Em nossa aula precisamos trabalhar com um conceito mais preciso e formal (mesmo
por que, a definição acima possui erros graves...).
Um firewall é um equipamento?
Diagramação, por favor, deixar essa pergunta centralizada no texto.
Não, não é. Firewall é uma aplicação que pode ser executada em um roteador, em um
servidor (dedicado ou não) ou mesmo em uma máquina adquirida juntamente com o firewall
customizada pelo próprio fabricante para a sua execução (appliance). Portanto, firewall é um
sistema. Outra pergunta:
Um firewall sempre é colocado entre a rede de uma empresa e a internet?
Diagramação, por favor, deixar essa pergunta centralizada no texto.
Não necessariamente. Você pode muito bem usar o firewall para separar o tráfego
entre dois departamentos da sua empresa, entre um laboratório de testes e a sua rede
administrativa, entre a sua DMZ (veremos esse conceito mais a frente) e a sua intranet etc. O
firewall apenas separa duas redes com regras de acesso e segurança diferentes uma da outra.
Além disso, apenas para sermos um pouco mais rogorosos, o firewall não irá assegurar a
proteção dos ativos, pois isso depende de muita coisa.
Figura 2.2: Firewall entre duas redes. Nem sempre uma rede precisa ser externa à empresa.
Que tal escrevermos uma boa definição de firewall (formal e correta) que sirva aos
propósitos deste curso?
Diagramação, por favor, deixar essa pergunta centralizada no texto.
Vamos definir firewall como “uma aplicação localizada em um ponto único de contato
entre duas ou mais redes que executa políticas de negação ou de permissão de tráfego
conforme regras pré-definidas de comunicação entre usuários, aplicações, sistemas ou
equipamentos destas redes”. Ok. Ficou grande demais esta definição...
Vamos então apelar para uma definição simples e rigorosamente correta dada pela
norma ISO 27001: “firewall é um sistema ou combinação de sistemas que protege a fronteira
entre duas ou mais redes”.
Nossa definição é utilizada pelos principais autores que tratam deste tema e é,
obviamente, uma definição que está mais de acordo com a realidade prática da segurança de
redes e para as bases que precisamos estabelecer nesta aula antes de seguirmos adiante.
Normalmente haverá redes a serem protegidas (uma rede local interna, por exemplo)
e redes de onde se espera que partam a maioria das ameaças (uma rede externa como a
internet, por exemplo). Daí, uma questão importante que surge desta definição é a idéia de
ponto único de contato.
Um firewall precisa mesmo estar localizado no ponto único de contato entre as redes?
Diagramação, por favor, deixar essa pergunta centralizada no texto.
Sim... Claro que precisa! Precisa e é um erro básico não garantir isso. Perceba que esta
restrição é justamente o que garante que nenhum usuário, aplicação ou sistema de uma das
redes conseguirá acessar a outra sem passar pelo firewall. Caso contrário, de que adiantariam
todas as regras de segurança implementadas no firewall, não é mesmo?
Início da Caixa de Curiosidade
Na década de 1990 era comum em redes protegidas com firewall o setor de
informática das organizações adquirir computadores e retirar as suas placas de fax modem
antes de enviá-los aos usuários. Naquela época, o acesso doméstico à internet era feito de
forma discada e praticamente todas as máquinas eram fabricadas com estas placas. Retirar a
placa evitava que os usuários tentassem burlar as regras do firewall da organização (muitos
acessavam, de dentro da empresa, sites não permitidos pela política de segurança; ou, de suas
residências, as respectivas máquinas de trabalho na empresa para adiantar um relatório; etc.).
Hoje os novos computadores raramente vêm com placas de fax modem para realizar acesso
discado, mas isso não quer dizer que o problema tenha sido resolvido. Pelo contrário.
Fim da Caixa de Curiosidade
3. Vulnerabilidades dos Firewalls
Há vulnerabilidades inerentes ao conceito de firewall que dificilmente poderão ser
totalmente eliminadas (pelo menos não a um custo-benefício razoável). Estas vulnerabilidades
devem ser bem entendidas e administradas pelo pessoal de TI diretamente envolvido com a
segurança da informação na empresa.
o O firewall só consegue proteger o perímetro.
O firewall só protege o tráfego que passa por ele e, portanto, ele não protege uma
rede contra ataques vindos de dentro dela. As estatísticas sobre segurança variam
e às vezes não são totalmente isentas (principalmente aquelas geradas por
fabricantes de soluções). Apesar disso, todas são unânimes em um ponto: a
maioria dos ataques hoje em dia parte da rede interna (atenção para o significado
de interno no seu caso). Veremos a partir da próxima aula que várias outras
tecnologias auxiliam os firewalls neste sentido (IDSs etc.).
o O firewall não impede outros enlaces entre as redes.
O firewall não pode analisar tráfego que não passa por ele. Ora, isso você já sabe...
Algo que você talvez ainda não tenha analisado é o fato de que a quantidade de
furos nas redes modernas aumenta a cada dia. O que antes se resumia a alguns
acessos discados feitos por usuários mais avançados, hoje pode ser feito através
de uma série de dispositivos USB, aparelhos celulares etc. sem muito
conhecimento de TI. Um único ponto de acesso a outras redes que não passa pelo
firewall significa uma vulnerabilidade que torna inócua toda segurança
implementada por ele. E, infelizmente, a simples implementação de um firewall
não resolve esta questão.
o Há como causar danos a uma rede sem transpor o firewall.
Ataques de DoS ao firewall podem prejudicar a rede protegida, uma vez que todo
o tráfego deve passar por ele. Fica óbvio perceber que não é preciso transpor o
firewall para causar incidentes de segurança da informação na sua empresa. Basta
atacar o próprio firewall. Perceba que esta máquina – obviamente – deve ser uma
máquina adequadamente administrada.
o O firewall precisa de portas abertas.
Este é um paradigma que não pode ser mudado. O firewall não existe para impedir
a passagem do tráfego; mas, sim, para selecionar o que passa e o que não passa.
Ou seja, algo deverá passar... É possível um ataque se basear em algum tipo de
tráfego permitido pelo firewall? Absolutamente sim! Basta refletir um pouco que
grande parte dos problemas relacionados aos códigos maliciosos que vimos na
Aula 01 depende da passagem de tráfego web (HTTP, porta 80/TCP) e de e-mail
(SMTP, porta 25/TCP; POP, porta 110/TCP e IMAP, porta 143/TCP). Todas estas
portas costumam estar abertas, pois, para o firewall, trata-se de um tráfego em
princípio legítimo.
o Um firewall precisa tomar decisões com base em informações parciais.
Este é outro paradigma que não deve mudar tão cedo. Sempre existe um limite até
onde o firewall pode segurar um pacote, atrasando a recepção, enquanto o
analisa. Com relação ao item anterior (o firewall precisa abrir algumas portas) você
poderia pensar na seguinte solução: “O firewall pode analisar todo o tráfego com
um anti-vírus antes de aceitá-lo.” Sinto muito, mas este tipo de firewall não
ganharia muito mercado. A latência introduzida por ele seria inviável para a
maioria das redes atuais. Na verdade, veremos que há firewalls que possuem um
comportamento próximo desta idéia, mas respeitando o limite onde o “remédio
passa a ser pior que a doença”. Porém, há vários ataques que se especializaram
em mostar a parte do tráfego que parece inocente aos olhos do firewall e esconder
a sua porção maliciosa na parte dos dados que ele não enxerga.
4. Tipos de Firewalls
Nesta seção vamos classificar os firewalls de acordo com as suas funcionalidades e
vamos aproveitar também para explicar um pouco a sua evolução. Ambas as idéias se
confundem um pouco, embora existam até hoje exemplos de uso de todos os tipos de
firewalls que veremos. Ou seja, por várias razões, um tipo de firewal tido como mais moderno
(por ter surgido como resultado da evolução tecnológica) não substituiu completamente o uso
dos outros tipos que vieram primeiro.
Pois bem, nesta seção iremos estudar quatro tipos de firewalls, a saber: listas de
acesso, firewalls stateless, firewalls stateful e proxies. Fique atento às características de cada
um e procure fixar as principais vantagens e desvantagens relacionadas ao seu uso.
4.1. Listas de acesso em roteadores
As primeiras implementações surgiram nos roteadores para filtrar pacotes que
passavam por estes equipamentos. As regras eram inseridas em uma lista através da
interface de comandos dos roteadores e eram lidas sequencialmente exatamente na
ordem em que eram inseridas. Qualquer alteração (inserção ou retirada de uma regra)
implicava, quase sempre, a necessidade de apagar a lista inteira e recriá-la. Não havia
nenhuma interpretação de estado de conexão e, por isso, todos os pacotes de uma
sessão precisavam ser interpretados como se eles fossem o primeiro pacote, mesmo
que se tratasse apenas do restante da informação de uma conexão já iniciada (e,
portanto, de acordo com as regras de acesso do firewall).
• Vantagem
A grande vantagem do uso deste tipo de firewall reside no fato de que não
é preciso adquirir um novo equipamento para implementar regras de
acesso simples. Se o roteador da empresa permite a implementação de
access-lists (que é o caso de toda a linha de roteadores dos grandes
fabricantes) as regras de firewall podem ser implementadas já na
entrada/saída da rede.
• Desvantagem
Os roteadores possuem uma função primordial na internet: rotear pacotes
o mais rapidamente possível. Assim, é extremamente aconselhável evitar
implementação de qualquer outra tarefa nestes equipamentos, sob pena
de introduzir uma latência inaceitável para certas aplicações. Roteadores
lentos (por deficiência de hardware, má configuração ou excesso de
tráfego) causam transtornos na internet, pois várias redes podem ser
prejudicadas pela sua lentidão. Assim, na medida em que a necessidade
de tratamento do tráfego fica mais complexa, se torna menos
aconselhável implementar todas as regras nos roteadores.
Início da caixa de verbete
Latência – A latência em uma rede depende de vários fatores. É resultado do tempo
necessário para que os bits viajem pelos cabos, do tempo necessário para interpretar os
pacotes em cada roteador, do tempo que as máquinas envolvidas levam para interpretar o
quadro etc.
Fim da caixa de verbete
Atualmente as listas de acesso ainda são usadas em roteadores de borda com
poucas mudanças com relação à sua primeira implementação. Quando a lista de
acesso causa latência inaceitável ao tráfego neste caso, apenas uma rede é
diretamente afetada e o administrador poderá agir prontamente.
Início da caixa de verbete
Roteador de borda – é aquele que separa uma rede de outras onde está presente uma
infraestrutura de roteamento mais complexa. Ele possui uma interface voltada para a rede
local, onde os pacotes podem seguir para o destino sem necessidade de roteamento adicional,
e outra interface voltada para o lado visto como externo, que normalmente é a internet.
Fim da caixa de verbete
4.2. Filtros de pacote (firewall stateless)
Filtros de pacote recebem vários outros nomes: firewall stateless, filtros sem
estado, filtros estáticos etc. Na evolução dos firewalls eles foram uma evolução natural
das listas de acesso. Na verdade, nem podemos dizer que se tratava, a rigor, de uma
evolução, pois o que as listas de acesso fazem é exatamente o mesmo que os filtros de
pacote fazem. A característica principal deste tipo de firewall é o fato de que as regras
se baseiam na análise de informações existentes nos campos dos cabeçalhos dos
protocolos de rede (IP ou ICMP) e de transporte (TCP e UDP). Ora, mas isso foi o que
vimos quando falamos de listas de acesso... Onde está a diferença então? A diferença
está, principalmente, na localização do firewall. Chamamos de filtros de pacotes os
firewalls que executam a função de aplicação de regras em equipamentos dedicados.
Foi com o advento deste tipo de firewalls que o seu uso começou a deslanchar.
• Vantagem
Esta solução é mais escalável, pois o hardware onde o firewall foi
instalado pode ser mais facilmente alterado para se adaptar à quantidade
de tráfego a ser filtrado, novas portas podem ser facilmente inseridas para
criar DMZs etc. Isso porque normalmente é mais fácil e barato realizar
upgrades de hardware dos servidores do que dos roteadores. Além disso,
os softwares para filtragem de pacotes evoluem mais rapidamente que as
listas de acesso em roteadores a fim de permitir a aplicação de regras com
base em mais campos, mais cabeçalhos, mais protocolos etc. Neste ponto,
as listas de acesso em roteadores são bem mais limitadas, até porque
garantir a segurança da rede não é a função principal destes
equipamentos.
• Desvantagem
A segurança do firewall implementado em hardware dedicado
depende da existência de um sistema operacional instalado nesta
máquina. Ou seja, é necessário, antes, instalar e configurar um sistema
operacional para, depois, instalar e configurar um firewall. A conseqüência
disso é óbvia: se o sistema operacional for invadido, o firewall estará
comprometido, ou seja, a quantidade de vulnerabilidades aumenta muito
e o firewall fica suscetível a diversos ataques. Os sitemas operacionais de
roteadores são bem limitados e isso tem um lado bom: menor número de
vulnerabilidades a serem exploradas.
Para evitar a instalação de seus firewalls em sistemas operacionais mal
configurados, alguns fabricantes vendem suas soluções já instaladas em
hardwares específicos chamados appliances.
Início da caixa de Verbete
Appliance - é o nome que os fabricantes dão a um hardware com sistema operacional
customizado, previamente instalado e configurado com as funções necessárias à manutenção
de seu software. Deste modo, boas aplicações de firewall, por exemplo, não têm a sua
credibilidade afetada pela instalação em sistemas mal configurados.
Fim da caixa de Verbete
Início da Caixa de Curiosidade
Alguns desenvolvedores são mais rigorosos e não confiam a ninguém a instalação do
sistema operacional onde os seus produtos serão executados. Estes fabricantes comercializam
firewalls apenas nas versões appliance. Outros desenvolvedores possuem versões para
instalação em um sistema e versões já instaladas em appliances (normalmente mais caras).
Exemplos de firewalls que são vendidos em appliances são o Firewall-1 (da Check Point) e o
ASA (da Cisco Systems).
Fim da Caixa de Curiosidade
4.3. Filtros de estado (firewall stateful)
Filtros de estado recebem vários outros nomes: firewall stateful, filtros com
estado, filtros dinâmicos etc. Os filtros de estado representaram uma evolução com
relação às listas de acesso e aos filtros de pacote. Estes firewalls permitem
implementar políticas com base na relação que os pacotes de uma mesma conexão
guardam entre si. Este relacionamento é registrado através de parâmetros
armazenados no que esta tecnologia chama de “tabela de estado” das conexões ativas.
A figura 2.3 representa um esquema básico do funcionamento dos filtros de
estado. Note que a tabela de estado cumpre um papel importantíssimo juntamente
com as regras do firewall. Cada pacote é analisado a fim de saber se ele é um novo
pacote solicitando abertura de conexão ou se ele é um pacote referente a uma
conexão já ativa. Pacotes que fazem parte de uma conexão já iniciada não precisam
passar novamente pelo filtro das regras de negação ou permissão de acesso. Por outro
lado, novos pacotes solicitando aberturas de conexão poderão ser negados (reject ou
drop) ou aceitos (accept).
Figura 2.3: Esquema de uso de uma tabela de estado pelo firewall stateful.
Ilustração, por favor, refazer o esquema. Diagramação, deixar ao lado direito do
texto.
• Vantagem
Os filtros de estado permitem maior granularidade na filtragem do
tráfego, uma vez que permitem avaliar, além dos parâmetros das camadas
mais baixas, o relacionamento entre pacotes pertencentes a uma mesma
conexão.
Outra vantagem que costuma ser apontada é o fato de que este tipo
de firewall é mais rápido que os firewalls stateless. Os filtros de estado
ganham velocidade ao analisar as regras de firewall apenas para pacotes
que iniciam conexões (que correspondem a uma pequena parte do
tráfego). Todos os pacotes subseqüentes (que não iniciam conexão)
precisarão apenas ser analisados segundo a tabela de estado a fim de
verificar se o pacote é referente a uma conexão já em andamento ou não.
Parte-se do princípio de que é mais rápido analisar alguns parâmetros da
tabela de estados do que todas as regras aplicadas no firewall (embora
isso seja relativo, pois depende de quantas regras existem no firewall e de
quantas conexões abertas existem na tabela).
Determinar se o pacote pertence a uma conexão já aberta depende da
análise de informações que caracterizam uma “conexão” na tabela de
estado, tais como: IP de origem e de destino, portas de origem e de
destino, flags IP, flags TCP etc. Quando tais informações são iguais, o
firewall admite que os pacotes pertencem à mesma conexão. Filtros de
estado conseguem registrar, inclusive, conexões que utilizam protocolo
UDP na camada de transporte (ou pseudo-conexões, uma vez que o
conceito de conexão não se aplica diretamente ao protocolo UDP). Isso é
conseguido através do uso de vários parâmetros para caracterizar uma
conexão
• Desvantagem
Quando comparados aos filtros de pacote, os filtros de estado
costumam ser mais caros, uma vez que implementam um tipo de filtragem
mais sofisticada.
Os filtros de estado são mais seguros que os filtros de pacote, pois
guardar o estado de conexões em andamento ajuda a evitar vários tipos
de ataque (como os ataques de spoofing). Lembre-se de que os filtros de
pacote, por outro lado, analisam cada pacote isoladamente como se não
houvesse absolutamente nenhuma relação entre eles.
Apesar de haver vantagnes óbvias dos filtros de estado com relação aos filtros de
pacote, tenha em mente que segurança da informação é algo relativo. Nem sempre a
vantagem reside na escolha de um ou de outro tipo de firewall em si; mas, sim, na
solução completa que se mostrar a mais apropriada para as necessidades da empresa.
Tenha bastante cuidado na hora de decidir entre estes dois tipos de firewalls e sempre
“coloque na balança” a relação custo-benefício de ambos.
Devemos ressaltar que existem características comuns aos filtros de estado e aos
filtros de pacotes. Por exemplo, o fato de que ambos são transparentes para os
usuários, ou seja, não é feita autenticação do usuário e as conexões são estabelecidas
diretamente entre as extremidades que se comunicam após a aceitação do tráfego
pela regras de firewall. Ou seja, o tráfego aceito apenas atravessa o firewall.
Outra semelhança é que ambos não analisam os dados da aplicação, ou seja, a
análise vai até, no máximo, o cabeçalho da camada de transporte. Veremos na
próxima seção que esta é a principal diferença entre os firewalls (sejam stateful ou
stateless) e os proxies.
Figura 2.4: Os filtros de pacote e de estado interceptam o tráfego na camada de rede e o
analisam com base nos dados da camada de rede e de transporte.
Ilustração, refazer essa imagem. Os termos em inglês devem ser traduzidos, segue a lista:
Aplication – Apresentação; Presentation – Apresentação
Session – Seção Transport – Transporte
Network – Rede Data Link – Enlace
Physical – Física Dynamic State Tables – Tabelas de Estado
Início da Atividade
Atividade 01 - Objetivo 01
Você está envolvido em uma implementação de firewall e sua equipe discute sobre a
implementação de um filtro de pacotes ou de estados. No final, chega-se à conclusão de que o
filtro de pacotes é mais adequado por causa de sua eficácia e eficiência maiores. Esta decisão
foi correta? Explique.
Quantidade de Linhas: deixar 08 linhas.
Resposta
Eficácia está relacionada ao nível de segurança; eficiência, com a repidez na filtragem.
Para dizer que o filtro de pacote é mais seguro (eficaz) é necessário que o tráfego da rede
necessite guardar estados de conexões. Em alguns casos, apenas filtros de pacotes ou listas de
acesso (ambos sem estado) fornecem segurança suficiente. Por outro lado, com relação à
eficiência, a rapidez de um e de outro tipo de filtro depende do tipo de tráfego que circula na
rede e dos parâmetros que compõem as informações da tabela de estado. Enfim, em termos
absolutos, o filtro de pacote tende a ser mais rápido e mais eficiente que o filtro de estado e,
portanto, mais caros. De qualquer modo, é sempre bom analisar prós e contras e um item
importante nesta discussão sempre é o custo envolvido.
Fim da Atividade
Início da Caixa de Multimídia
O conceito de firewall stateful (filtros de estado) surgiu em 1991 e os créditos da sua
invenção normalmente são dados à empresa Check Point (fabricante do Firewall - 1). Uma boa
descrição desta tecnologia pode ser vista em http://www.checkpoint.com/products/firewall-
1/firewall-1_primer.html. Página acessada em 10 de novembro de 2010.
Fim da Caixa de Multimídia
4.4. Proxies (application firewalls)
Os proxies também são chamados de firewalls de aplicação, gateways de
aplicação, proxy de aplicação etc. Os proxies são sistemas que possibilitam maior
granularidade para a tomada de decisões de bloqueio ou permissão de tráfego. Um
proxy pode fazer tudo o que os filtros de pacote e de estado fazem e, além disso,
desempenhar funções diretamente ligadas à análise da aplicação. Na verdade, a rigor,
o proxy é apenas a parte do software que executa a análise do campo de dados da
aplicação. Portante, um proxy que também aplica filtros baseados em regras conforme
vimos nas seções anteriores (stateful ou stateless) é, na verdade, um sistema com
funções de proxy e de filtro de estados e/ou de pacotes. Em sistemas Linux, por
exemplo, encontramos exemplos claros de como estas funções podem ser divididas e
executadas por aplicações diferentes: o IPTables exerce as funções de firewall e o
SQUID exerce as funções de proxy.
Figura 2.5: Conexões atravessam o firewall, mas não o proxy.
Uma definição formal de proxy que vamos usar neste curso é: “um programa que
lida com servidores externos no lugar de clientes internos.” O cliente se comunica com
servidor proxy e este, por sua vez, encaminha as requisições dos clientes (desde que
aprovadas) para os servidores reais na rede externa; as repostas destes servidores
externos são, posteriormente, encaminhadas de volta aos clientes. Em resumo, as
conexões dos clientes terminam nele e é o proxy que, de fato, se comunica com o
mundo externo em lugar dos clientes.
• Vantagem
Temos uma série de vantagens oriundas do fato de que o proxy
consegue enxergar os dados das aplicações. Por exemplo, a possibilidade
de autenticação dos usuários que queiram navegar na internet. Outra
vantagem que torna mais seguro o acesso à internet é o fato de que
nenhuma conexão é estabelecida entre uma máquina da rede interna e
uma máquina externa. O proxy não funciona como uma ponte por onde o
tráfego passa; ele funciona como uma espécie de despachante que recebe
as solicitações e inicia, ele próprio, conexões com o mundo externo (e vice-
versa).
• Desvantagem
Se por um lado o uso dos proxies aumenta a segurança da rede
impedindo qualquer comunicação direta entre máquinas internas e
máquinas externas; por outro, ele aumenta a latência da rede. Assim, o
hardware de equipamentos que executam proxies precisa ser rápido e
robusto. Além disso, este tipo de solução não é transparente para o
usuário, necessitando, normalmente, de uma etapa de autenticação
(usuário/senha). Porém, isso está de acordo com a máxima da segurança
da informação: quanto maior a segurança, menor a funcionalidade do
ponto de vista do usuário. Paciência.
Início da Atividade
Atividade 02 - Objetivo 02
Uma equipe responsável por montar o projeto de arquitetura de duas redes da mesma
empresa entre as quais será instalado um firewall. A discussão gira em torno de se instalar um
firewall de aplicação e um filtro de pacotes e todos os argumentos giram em torno da
eficiência na filtragem. Como resolver a questão?
Quantidade de Linhas: deixar 06 linhas.
Resposta
Há muitas diferenças entre o filtro de pacotes e o firewall de aplicação além da
eficiência, a saber: custo, transparência para o usuário, autenticação do usuário, arquitetura
pretendida (veremos na próxima sessão), entre outras. Perceba ainda que, como se trata de
separar duas redes da mesma organização, as regras de acesso provavelmente serão mais
brandas que as do firewall instalado entre a empresa e a internet. Logo, para resolver a
questão, vários outros parâmetros ainda precisam ser discutidos a fim de que fique clara a
escolha mais adequada para o cenário da organização. Por exemplo, o volume de tráfego entre
as redes e as exigências quanto a taxas de transmissão, latência etc.
Fim da Atividade
5. Regras de Seleção e Políticas
Em geral, as regras de firewall são baseadas em critérios de seleção e políticas que
definem a ação a ser executada. A seleção pode se basear em várias informações, dependendo
do tipo de firewall (stateless, stateful ou proxy) e as políticas normalmente envolvem a
aceitação ou não do tráfego analisado.
A seguir, listamos exemplos entre os muitos critérios de seleção possíveis (alguns já
mencionados nas seções anteriores). Dependendo da sintaxe, um tráfego pode ser
selecionado por uma regra (dizemos que houve um match entre a regra e o tráfego analisado)
quando há coincidência de:
o IP da máquina ou da rede de origem (rede inteira, ou parte dela);
o IP da máquina ou da rede de destino (rede inteira, ou parte dela);
o Protocolos de camada de rede (IP, ICMP etc) ou transporte (TCP, UDP etc.);
o Flags IP (D, T e R do campo type-of-service), flags TCP (URG, ACK, PSH, RST, SYN e
FIN) e outros tipos de flags (fragmentação do IP etc.);
o Portas de origem e de destino;
o Perfil de usuário;
o Perfil de aplicação;
Observe as três regras abaixo, cuja política é a de permissão do tráfego que coincida
com os critérios de seleção (match):
o permit tcp 192.168.0.0 0.0.255.255 host 192.168.4.2 eq 80
o permit tcp 192.168.0.0 0.0.255.255 host 192.168.4.2 eq 21
o permit icmp 192.168.0.0 0.0.255.255 host 192.168.4.2
A primeira e a segunda regras permitem todo tráfego originado na rede
192.168.0.0/16 destinado às portas 80 (HTTP) e 21(Telnet), respectivamente, da máquina
192.168.4.2. A terceira regra permite tráfego ICMP (ping, trace etc) originado na rede
192.168.0.0/16 para a máquina 192.168.4.2. Podemos dizer que este firewall confia na rede
192.168.0.0/16.
Figura 2.6: Exemplo de visualização da lista de acesso “minha_lista” em um roteador.
Ilustração, por favor, refazer essa imagem.
Além da política de permissão (permit) a ação aplicada nos casos anteriores poderia
ser a de não aceitação do tráfego. Neste caso, as regras poderiam começar com reject ou drop.
Assim, o comportamento dos firewalls de acordo com cada política pode ser:
o Permit (Accept ou Allow)
Os pacotes são aceitos e uma nova entrada é criada na tabela de estados para
registrar esta nova conexão.
o Reject (Allert)
Os pacotes são descartados e uma mensagem ICMP é enviada à sua origem
informando sobre o descarte.
o Drop (Deny ou Discard)
Os pacotes são descartados de forma silenciosa, ou seja, nenhuma mensagem é
enviada à sua origem.
Você notou que há duas formas de descartar um pacote: reject e drop? E deve estar se
perguntando: qual delas é a melhor?
Claro que se a sua intenção é garantir maior grau de segurança, o drop é mais
indicado; a última coisa que você deve fazer é dar informações adicionais a um possível
atacante. Além disso, o reject consome mais recursos do firewall, pois é necessário gerar uma
resposta para cada pacote descartado. O drop costuma ser utilizado em firewalls recém
instalados (ou mesmo quando novas regras são adicionadas) para depurar problemas de
configuração e validar o seu funcionamento.
Devemos ressaltar ainda que os termos accept, drop e reject não são padronizados e,
por isso, variam um pouco em algumas bibliografias e os fabricantes tendem a usar termos
distintos (ou inventar os seus próprios termos). Alguns exemplos de termos usados:
o Para aceitar: accept, permit, allow etc.
o Para não aceitar sem aviso à origem: drop, deny, discard etc.
o Para não aceitar com aviso à origem: reject, alert etc.
Assim, você deve ficar atento quanto a isso e procura estudar a documentação do
sistema a fim de determinar o comportamento do firewall quando ele rejeita ou aceita um
pacote aplicando uma determinada política. Em resumo, na prática, para um firewall que está
completamente instalado, configurado e em produção, recomenda-se a política mais silenciosa
possível. Isso lhe trará maior segurança e desempenho.
6. Topologias de Firewalls
Uma dúvida comum quando começamos a estudar firewalls é sobre a sua localização
na rede (topologia) e sobre as implicações de configuração e uso que esta localização poderá
trazer (arquitetura). Pelo que estudamos até agora, você obviamente já deve ter uma idéia da
localização mais adequada destes sistemas (até mesmo pela nossa definição do que é um
firewall). Foi visto que um firewall é, na vedade, um sistema e não um equipamento. Como é
um sistema, ele pode ter suas funções distribuídas em mais de uma máquina e a localização
pode varia ligeiramente (sempre mantendo a idéia de estar situado no ponto único de contato
entre as redes envolvidas). A classificação que adotaremos neste curso é largamente utilizada
como base para outras bibliografias sobre o assunto e até mesmo por fabricantes deste tipo de
sistemas. Segue um resumo das principais topologias utilizadas, bem como uma descrição
breve das implicações sobre as arquiteturas correspondentes.
Início da caixa de multimídia
Você pode acessar o conteúdo do livro Building Internet Firewalls, 2ª edição (Elizabeth
D. Zwicky, Simon Cooper e D. Brent Chapmanrent, editora O´Reilly) através do link
http://docstore.mik.ua/orelly/networking_2ndEd/fire/index.htm. Este livro traz um
detalhamento formal das três arquiteturas apresentadas. Página acessada em 10 de novembro
de 2010.
Fim da caixa de multimídia
6.1. Dual Homed Host
Neste tipo de topologia o firewall possui duas interfaces de rede: uma
conectada à rede interna (por exemplo, a rede administrativa da sua empresa); outra
conectada à rede externa (por exemplo, a internet).
Observe que se a topologia escolhida for esta, o adminstrador poderá optar
por duas arquiteturas distintas. Por um lado, devido à sua localização, é possível
habilitar as funções de roteamento no próprio sistema de firewall. Se as funções de
roteamento estão presentes, o firewall poderá funcionar como filtro de pacote ou de
estado.
Figura 2.7: Esquema da topologia dual homed host.
Ilustração, por favor, refazer essa imagem.
Por outro lado, se nenhum tipo de roteamento de pacotes de uma rede para
outra estiver sendo realizado no firewall, este sistema deverá executar funções de
proxy. E necessário um roteador para fazer a passagem de pacotes de um lado para o
outro. Porém, o uso de um computador com funções de proxy e de um outro
equipamento com funções de roteamento permite adotar uma topologia mais robusta
chamada screened host. A topologia screened host é assunto de nossa próxima seção.
o Uso recomendado da topologia dual homed host
Esta topologia é aconselhada apenas quando o fluxo de tráfego entre as
redes é pequeno e não contém informações críticas ou dados sigilosos; ou
seja, apenas quando as restrições de segurança são mais simples e alguns
riscos podem ser aceitos pela organização.
6.2. Screened Host
Neste tipo de topologia o sistema de firewall é implementado pelo roteador e
pelo computador denominado bastion host.
Todo o tráfego dos clientes (ou para os clientes) deve passar pelo bastion host.
Perceba que o roteador exerce função central bloqueando qualquer tentativa de
acesso das máquinas da rede interna diretamente para a rede externa (ou vice-
versa, dependendo de qual rede se quer proteger) sem passar pelo bastion host.
No exemplo a seguir a rede externa é a internet e a rede interna é uma rede local
de uma empresa.
Figura 2.8: Esquema da topologia screened host.
Ilustração, por favor, refazer essa imagem.
Início da Caixa de Verbete
Bastion host - é um computador que desempenha atividades sensíveis na rede e que,
por isso, possuem requisitos de segurança diferenciados. Normalmente bastion hosts são
máquinas que aceitam conexões vindas da rede externa e são configuradas de forma a serem
mais robustas contra ataques de qualquer espécie.
Fim da Caixa de Verbete
Muita atenção para este conceito! Perceba que, formalmente, o roteador de
borda é responsável por algumas funções de filtro e, portanto, o sistema de
firewall neste caso é composto por dois equipamentos: o roteador e o bastion
host.
Esta topologia possui o inconveniente de o bastion host estar localizado na
mesma rede em que estão as outras máquinas da organização (rede interna). O
roteador de borda precisa então anunciar para a rede externa (no caso, a internet)
os endereços locais para que o bastion host passe a ser conhecido. Isso aumenta o
número de ameaças potenciais. Além disso, qualquer comprometimento do
bastion host permitirá acesso direto e imediado do invasor à rede local.
Esta topologia normalmente é acompanhada de uma arquitetura onde o
bastion host exerce funções de proxy e, ocasionalmente, funções de filtro de
estado (stateful) e o roteador de borda exerce funções de filtro de pacote
(stateless) através de listas de acesso (access-lists).
o Uso recomendado desta topologia
Quando as restrições de segurança são intermediárias. Esta é uma solução
que fornece maiores possibilidades de implementação de barreiras de
perímetro com relação à topologia dual homed host vista na seção
anterior. Porém, ela ainda é menos segura e robusta que a solução
screened subnet, que veremos na próxima seção.
Início da Caixa de Multimídia
NP.: Sugiro colocar esse trecho grifado como um verbete lá perto do termo em negrito e aqui
colocar o restante do texto, como informação adicional. [Ok.]
Uma definição formal de bastion host também poderia ser: “um sistema identificado
como ponto crítico à segurança da rede e que merece atenção especial.” Por atenção especial
entenda-se: auditorias regulares de logs, utilização de softwares como IDS e IPS, configurações
mais seguras (hardening), restrições de acesso local (login como administrador etc.), limitação
de recursos para instalar novos programas etc. Você pode ler mais sobre este tema em
http://docstore.mik.ua/orelly/networking_2ndEd/fire/ch10_01.htm. Esta página foi acessada
em 10 de novembro de 2010.
Fim da Caixa de Multimídia
6.3. Screened Subnet
Neste tipo de topologia o sistema de firewall é implementado por dois
roteadores e pelo bastion host. Ou seja, há dois equipamentos executando funções de
filtro. O primeiro protege a rede onde está localizado o bastion host. O segundo
protege a rede local.
Figura 2.9: Esquema da topologia screened subnet.
Ilustração, por favor, refazer essa imagem.
Perceba que o nível de segurança aumenta muito, pois ter acesso à rede do
bastion host não significa ter acesso direto à rede interna (o que é fato nas duas outras
topologias estudadas). Assim, o que é feito nesta topologia é retirar o bastion host da
parte interna da rede criando um segmento exclusivo para esta máquina.
Note, por exemplo, que o rotedor mais externo anuncia para a internet apenas
endereços da rede do bastion host e que, por isso, os endereços internos ficam
“escondidos” aumentando bastante a proteção das máquinas da rede local.
Esta topologia normalmente é acompanhada de uma arquitetura onde o bastion
host exerce funções de proxy e, ocasionalmente, funções de filtro de estado (stateful).
Além disso, ambos os roteadores (o externo e o interno) exercem funções de filtro de
pacote (stateless) através de listas de acesso (access-lists). Perceba que é um duplo
grau de segurança no nível de rede, além da segurança nas camadas superiores
implementada pelo bastion host.
o Uso recomendado desta topologia
Esta é a solução que fornece mais possibilidades de implementar barreiras
de perímetro aumentando a segurança. Esta topologia é a mais
recomendada quando se quer criar uma DMZ, por exemplo. O único
inconveniente a se considerar é o custo de implementação e manutenção
que é obviamente maior que o das topologias dual homed host e screened
host.
7. DMZ
DMZ é a sigla para zona desmilitarizada em inglês (demilitarized zone). A DMZ é uma
pequena rede situada entre uma rede tida como confiável e uma rede tida como não
confiável.
Figura 2.10: DMZ usando um firewall com três interfaces de rede.
Ilustração, por favor, refazer essa imagem.
Quando estudamos os firewalls, você deve ter notado que todos os nossos exemplos
citavam situações onde conexões eram iniciadas a partir de clientes internos para servidores
externos. Você acha que clientes externos podem solicitar conexões para servidores internos?
Sim, claro que podem. Porém, você concorda que estes servidores internos estão
sujeitos a regras de acesso diferentes das regras a que se sujeitam as máquinas clientes da
rede interna? É justamente por isso que surge a necessidade da criação de DMZs: para que tais
servidores possam ser localizados em um ponto da rede onde é possível se chegar passando
por regras de acesso menos restritivas.
Perceba que as regras de acesso no caso da DMZs são menos restritivas; agora, ao
contrário do que acontecia com as máquinas da rede local interna, passam a ser aceitos
pacotes destinados à DMZ solicitando abertura de conexão (bit SYN igual a “1”).
Assim, a DMZ permite que máquinas da empresa funcionem como servidores de
correio eletrônico (POP/IMAP e SMTP), web (HTTP), de arquivos (FTP etc.), de acesso remoto
(SSH, Telnet etc.) separados da rede local, limitando assim o potencial dano em caso de
comprometimento de algum destes servidores. Perceba que, ao contrário do que se possa
imaginar, com relação à posição na arquitetura da rede, as máquinas da DMZ estão mais
vulneráveis que as máquinas locais. Para garantir a proteção da rede interna, os servidores na
DMZ não devem ter nenhum tipo de acesso permitido à rede local.
Note, por último, que há várias formas de implementar uma DMZ. A idéia básica é
conseguir construir um novo segmento na topologia da rede a partir do que antes era
chamado de parte interna da rede: um segmento permanece sendo usado pelas máquinas da
rede local e o novo segmento será usado pelos servidores que formarão a DMZ.
Figura 2.11: DMZ usando dois firewalls, cada um com duas interfaces de rede.
Ilustração, por favor, refazer essa imagem.
Nesta seção apresentamos duas topologias possíveis conforme esquematizado nas
figuras. A vantagem da topologia que utiliza apenas um firewall com três interfaces de rede
(figura 2.10), obviamente, é o seu custo reduzido. Porém, a maior desvantagem é o fato de
que uma vez que o primeiro firewall tenha sido invadido, tanto a DMZ quanto a sua rede
interna estará comprometida (haja vista que o primeiro firewall é também o último).
Já a topologia baseada em dois firewalls (figura 2.11), tem a segurança como grande
aliada, pois o comprometimento de um dos firewalls, não compromete as máquinas internas.
Neste caso o atacante precisará vencer um segundo firewall. Em alguns ambientes onde esta
topologia é utilizada são usados firewalls de diferentes fabricantes para dificultar ainda mais a
invasão (invadir um primeiro sistema não significa ter encontrado uma forma fácil de invadir o
segundo). Note que este tipo de DMZ é um exemplo de implementação da arquitura screened
subnet que estudamos anteriormente.
Início da Caixa de Curiosidade
Em termos militares, uma zona desmilitarizada (DMZ) é uma area entre duas ou mais
regiões onde a atividade militar não é permitida. Em geral são estabelecidos acordos de paz
definindo termos de proibição das atividades bélicas. Muitas vezes as zonas desmilitarizadas
ficam em fronteiras internacionais entre países (mas não necessariamente). Podemos citar
exemplos: uma DMZ com largura de 2.5 km entre a Sérvia e Kosovo (criado por causa dos
conflitos dos Balcãs); uma DMZ coreana que separa os dois estados da península da Coreia
(criada pelas ONU em 1953 permitindo um cessar-fogo na Guerra da Coreia); entre outras.
Fim da Caixa de Curiosidade
Início da Atividade
Atividade 03 – Objetivo 03
Sua empresa possui vários servidores que precisam ser acessados por usuários a partir
da internet. A equipe responsável pela administração da rede opta por uma topologia que
utiliza dois equipamentos: um roteador configurado em uma máquina que estava sem uso e
outro equipamento que será o firewall.
a) Que arquitetura foi escolhida?
b) Que cuidados a equipe deve ter com relação a este roteador?
Quantidade de Linhas: deixar 08 linhas.
Resposta
A arquitetura escolhida foi a screened subnet. Formalmente falando, conforme vimos
em nossa aula, o sistema de firewall é composto pelos três equipamentos nesta arquitetura: os
roteadores (que geralmente implementa alguns filtros básicos) e o bastion host (que
normalmente implementa um ou mais proxies). Nesta arquitetura um cuidado que se deve
tomar é com relação à latência da rede. Os roteadores são pontos em série com todo o
tráfego, ou seja, se ele parar ou ficar congestionado, toda a comunicação com a rede interna
pára. Um cuidado mais especial se deve ter ao transforma um PC em roteador de produção,
pois seu hardware não foi customizado para tal (confiabilidade das interfaces de rede, funções
desnecessárias no sistema operacional, maior número de vulnerabilidades a serem exploradas
etc.)
Fim da Atividade
8. Firewalls Pessoais
Uma boa definição para firewall pessoal é: "trata-se de um aplicativo que intercepta
conexões de entrada e de saída em um computador pessoal e decide quais conexões podem
ser aceitas e quais podem ser recusadas de acordo com regras definidas pelo usuário."
É importante que você note duas diferenças básicas nesta definição com relação à
definição de firewall que você já possui.
Em primeiro lugar, a configuração do firewall pessoal será feita (com algumas
exceções) pelo usuário de uma máquina do tipo desktop, ou seja, os fabricantes destes
programas prezam (muito) pela facilidade de uso e configuração. Logo, não espere encontrar
nestes softwares funcionalidades avançadas de filtragem de tráfego.
A segunda diferença é óbvia: este firewall é instalado em uma máquina cliente onde o
usuário, geralmente, tem mais liberdade para executar aplicativos, ler e-mails, navegar na
internet etc. o que facilita a infecção por vírus ou outros tipos de códigos maliciosos, conforme
vimos na Aula 01. Porém, não há como evitar isso e este fato torna mais complexa a tarefa
destes programas pessoais. Por isso, normalmente, grandes fabricantes de anti-vírus
desenvolvem e comercializam versões de firewalls pessoais acompanhadas de seus softwares
de anti-vírus.
Início da Caixa de Multimídia
Há sites na internet que promovem testes dos firewalls pessoais mais populares e
geram rankings classificando-os de acordo com diversos critérios. Nestes sites, além de obter
uma lista dos principais firewalls pessoais, você pode obter informações para ajudar na sua
decisão sobre que firewall adquirir. Alguns links onde você pode encontrar informações deste
tipo são o http://www.matousec.com/projects/proactive-security-challenge/ e o
http://en.wikipedia.org/wiki/comparison_of_firewalls.
Além disso, caso você queira estudar um pouco mais sobre a teoria destes programas, acesse o
site http://www.rnp.br/newsgen/0201/firewall-pessoal.html. Estas páginas foram acessadas
em 10 de novembro de 2010.
Fim da Caixa de Multimídia
9. Conclusão
Os conceitos vistos nesta aula abrangem tudo o que é necessário para o bom
entendimento deste curso. Os quatro tipos de firewalls estudados (listas de acesso, filtros de
pacotes, filtros de estado e proxies) são os mais comumente listados na literatura. E você deve
procurar garantir que não restam dúvidas sobre as diferenças e semelhanças com relação a
cada um deles. Tudo isso será importante, por exemplo, para o entendimento dos conceitos de
VPN e IDS que veremos nas Aulas 03 e 04, respectivamente. Estas são tecnologias que
possuem conceitos intimamente relacionados com os conceitos de firewall.
A propósito, você percebeu que, pela própria definição, um firewall deve ter no
mínimo duas interfaces de rede? Assim, nossa classificação quanto à topologia pode variar um
pouco se considerarmos, por exemplo, o uso de firewalls com três ou mais placas de rede
(conforme o exemplo que demos na seção sobre DMZs). De qualquer modo, a classificação
vista nesta aula é a mais formal e, talvez por isso, seja uma das mais citadas e mais seguidas na
literatura e na maioria das topologias implementadas na prática.
Por último, é importante ressaltar que a configuração de firewalls depende da teoria
vista aqui, do conhecimento sobre o funcionamento das redes de computadores (algo que não
é nosso foco, mas é pré-requisito para este curso) e do conhecimento sobre os comandos
específicos de cada firewall (o que varia de acordo com cada fabricante). Bons especialistas em
segurança da informação dirão que o melhor firewall é aquele que é escolhido a partir das
necessidades reais da organização; e que, além disso, é bem configurado e administrado pela
equipe de TI.
Início da Atividade On Line
Objetivos 01 a 03
Acesse o fórum desta semana e tire suas dúvidas sobre o conteúdo desta aula. Nesta
semana vamos discutir algumas polêmicas que existem com relação ao fato de que os filtros
de pacotes não podem acessar a camada de aplicação. Há bibliografias que dizem o contrário...
Porém, veremos que tudo é uma mera questão de ponto de vista. Também iremos discutir
outras topologias possíveis além das três principais vista nesta aula. Além disso, ainda
discutiremos funcionalidades de alguns firewalls mais utilizados no mercado (custos,
vantagens e desvantagens etc.). Não perca esta discussão!
Fim da Atividade
10. Resumo
� Um firewall é um sistema (não um equipamento) posicionado no ponto único de
contato entre duas ou mais redes com restrições de acesso diferenciadas.
� Uma lista de acesso é um tipo de firewall de pacotes geralmente implementado em
um roteador de borda.
� Filtros de pacote (ou firewalls stateless) não armazenam informações de estado das
aplicações; filtros de estado (ou firewalls stateful) armazenam estas informações em
uma estrutura chamada “tabela de estado”.
� Os filtros de pacote e de estado não conseguem analisar os dados da aplicação; apenas
os proxies possuem tal funcionalidade.
� Há três classificações quanto à topologia dos firewalls: dual homed host, screened host
e screened subnet.
� A topologia dual homed host é mais adequada a redes pequenas com restrições
mínimas de segurança e com grau de tolerância ao risco maior que em outros
ambientes organizacionais.
� A topologia screened host é mais segura que a dual homed host, mas ainda possui
deficiências; a maior delas é o fato de que o bastion host também está na rede interna
juntamente com as máquinas a serem protegidas.
� A topologia screened subnet é a mais segura das três topologias, mas possui um custo
de implementação e manutenção maior por várias razões. A principal é o fato de ser
baseada no uso de dois roteadores em vez de apenas um como na screened host.
� Uma DMZ é, na verdade, a área criada pela topologia screened subnet; esta área fica
sujeita a regras de acesso menos restritivas que as da rede interna.
� Firewalls pessoais tendem a ser menos bem sucedidos que firewalls de rede por causa
das vulnerabilidades inerentes aos sitemas desktop nos quais eles são instalados e no
fato de que a sua configuração deve ser feita por usuários e não por administradores.
Próxima aula
Na próxima aula estudaremos o conceito de VPNs (Virtual Private Network), seu uso e
os principais protocolos relacionados. Também estudaremos os principais protocolos de enlace
(L2TP e PPTP), um protocolo de tunelamento muito comum (GRE) e concentraremos esforços
nas explicações sobre o protocolo IPSec e seus cabeçalhos de autenticação e confidencialidade
(AH e ESP).
Pratique o que você aprendeu e contribua com os fóruns desta aula fazendo os seus
questionamentos ou ajudando a esclarecer as dúvidas dos outros participantes. Até a próxima
aula!
Questões Finais
1) Enumere a primeira coluna de acordo com a segunda.
( ) Firewall stateful. ( 1 ) Não identifica relação entre os pacotes. ( ) Proxy. ( 2 ) Normalmente configuradas em roteadores. ( ) Firewall stateless. ( 3 ) Analisa dados da camada de aplicação. ( ) DMZ. ( 4 ) Cria tabelas de estado dinâmicas. ( ) Listas de acesso. ( 5 ) Área relativamente menos segura.
2) (Analista de Redes – MPE-AM/2008 – CESPE) Com relação à segurança de perímetro, julque os itens a seguir.
[96] O perímetro de segurança da rede pode ser composto de: roteadores de borda, firewalls, IDSs, IPSs, terminadores de VPN, DMZs e redes com tráfego filtrado.
[97] O roteador de borda é o último roteador sobre o qual se pode ter controle antes de entrar, de fato, na internet. Geralmente, sua operação segue as políticas de roteamento e de acesso, neste caso implementadas por listas e acesso que controlam os tráfegos ingresso e egresso.
[98] Firewalls são pontos de concentração de tráfego que controlam o tráfego de entrada e de saída da rede. Entretanto, as regras e as características de implementação e operação lhes conferem menor especificidade e granularidade que as listas de acesso dos roteadores.
3) Que vulnerabilidades inerentes ao uso de firewalls dificilmente podem ser eliminadas por completo?
4) Com relação aos firewalls, qual a diferença entre as duas vulnerabilidades abaixo:
1. O firewall não protege contra ataques cujo tráfego não passa por ele. 2. O firewall não impede que haja outros pontos de comunicação entre as redes.
5) (Analista de Informações – ABIN/2004 – CESPE) Acerca das tecnologias, dos protocolos e dos elementos estruturais que permitem organizar a segurança dos sistemas de informação em redes, julgue os itens seguintes.
[102] Em um firewall é altamente recomendável a rejeição de pacotes provenientes de uma rede externa que tenham endereço IP de origem da rede interna.
6) (Analista de Sistemas – IPEA/2008 – CESPE) Acerca dos aspectos de segurança em sistemas de informação e redes TCP/IP, julgue o item.
[120] Um firewall é considerado uma boa proteção para ataques que envolvem colusões entre usuários internos da rede protegida e atacantes externos, pois o firewall tem a possibilidade de bloquear as comunicações entre eles.
7) (Analista de TI – DATAPREV/2006 – CESPE) Com relação às ferramentas de segurança de redes, julgue os itens subsequentes.
[72] Os firewalls realizam inspeção de cabeçalho em pacotes e podem abranger as informações das camadas de rede e de transporte.
[75] Os firewalls com inspeção de estado são aqueles que, além de realizar a inspeção do cabeçalho, também tratam do protocolo de aplicação.
8) (Perito Criminal Federal – PF/2004 – CESPE) Os sistemas de informação possuem diversas vulnerabilidades que podem ser exploradas para se comprometer a segurança da informação. Para reduzir os riscos de segurança, empregam-se diversos mecanismos de controle de proteção física e lógica desses sistemas. Acerca das vulnerabilidades e proteções dos sistemas de informação, julgue o item a seguir.
[104] Entre os diversos equipamentos que podem ser utilizados para aumentar o nível de segurança de uma rede de computadores corporativa, os firewalls exercem um papel fundamental. Para que sua ação possa ser eficaz, eles devem ser instalados entre a rede interna da organização e as redes do mundo externo e têm por objetivo filtrar o conteúdo que chega até a rede interna impedindo que ataques conhecidos sejam realizados.
9) (Analista de Trânsito – DETRAN/DF/2009 – CESPE) Com relação segurança em redes de computadores, julgue os itens a seguir.
[119] Com um proxy HTTP no firewall, os usuários remotos podem estabelecer uma conexão HTTP/TCP com o proxy, que examina o URL contido na mensagem de solicitação. Se a página solicitada for permitida para o host de origem, o proxy estabelece uma segunda conexão HTTP/TCP com o servidor e para ele encaminha a solicitação.
10) Qual das três topologias de firewall é a mais segura? Analise-a sob os aspectos de suas principais vantagens e desvantagens.
Respostas
1) 4 – 3 – 1 – 5 – 2
2) A afirmação [96] é verdadeira. IDSs, IPSs e VPNs também servem para delimitar o perímetro de segurança juntamente com firewalls e roteadores de borda. Segundo a classificação modenra de arquiteturas de firewall, o roteador de borda compõe o sistema de firewall. A afirmação [97] é verdadeira. Embora seja uma definição mais específica (e menos formal). O roteador de borda não precisa conectar uma rede à internet (como regra). A afirmação [98] é falsa. O que acontece é o contrário. As regras implementadas nas listas de acesso possuem menor nível de detalhamento do que as regras implementadas nos firewalls.
3) Enumerando conforme visto nesta aula: 1. O firewall só defende o perímetro; logo, não protege contra ataques cujo tráfego não passe por ele (internos). 2. Todo o tráfego entre as redes envolvidas nas regras do firewall deve passar por ele. 3. O firewall é uma entidade sujeita a ataques; se ele for comprometido, as redes que dependem dele serão afetadas. 4. O firewall existe para selecionar o que passa e o que não passa. Há ataques que exploram o tráfego permitido pelo firewall (relacionados a vulnerabilidades de aplicações, por exemplo). 5. O firewall não vai até o limite da
proteção possível, pois isso inviabilizaria a comunicação em rede. Ele sempre tomará decisões com base em um conjunto limitado de informações.
4) A primeira afirmação trata do tráfego que naturalmente não precisa passar pelo firewall (tráfego interno). A segunda afirmação trata do tráfego externo que chega à rede interna sem passar pelo firewall. São duas idéias diferentes.
5) A afirmação [102] é verdadeira. É um ataque do tipo IP spoofing.
6) A afirmação [120] é falsa. Colusão é sinônimo de ajustes fraudulentos, conchavos, conluio etc. Os firewalls são inócuos no que diz respeito à engenharia social. Claro que a dificuldade desta questão era saber o significado de colusão. Agora você já sabe!
7) A afirmação [72] é verdadeira. Embora a questão não especifique o tipo de firewall, não há nada de errado nela. Firewalls analisam cabeçalhos da camada de rede, de transporte e, no caso de proxies, podem analisar dados da aplicação. A afirmação [75] é falsa. Filtros de estado e filtros de pacote não analisam os dados da aplicação.
8) A afirmação [104] é falsa. O firewall não deve – obrigatoriamente - ser instalado entre uma rede interna e uma rede externa. Os firewalls são instalados entre redes com requisitos de acesso diferentes. A maioria dos exemplos sempre cita um firewall colocado entre uma rede interna e uma rede externa (a internet) e isso induz ao erro conceitual. A questão cobrou um rigor formal maior.
9) A afirmação [119] é verdadeira. Embora sejam citados vários protocolos e outros termos usuais na internet, a afirmação descreve exatamente o funcionamento de firewall de aplicação (proxy) que vimos nesta aula.
10) As três topologias estudadas foram: dual homed host, screened host e screened
subneted. Entre as três, a topologia screened subneted é a mais segura, pois há dois firewalls entre o provável atacante e a rede a ser protegida. Porém, ela possui um custo de implementação e administração mais elevado.
Referências
CHAPMAN, D. Brent. Building Internet Firewalls. 2ª ed. USA: O´Reilly, 2000.
NAKAMURA, Emilio T. Segurança de Redes em Ambientes Cooperativos. 1ª ed. Brasil:
Novatec, 2007.
ASSOCIAÇÃO BRASILEIRA DE NORMAS E TÉCNICAS. NBR ABNT ISO/IEC 27001 - Tecnologia
da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação -
Requisitos. Brasil, 2006.