Firewall

Junho 2014

Firewall
Cada computador ligado internet (e, de maneira mais geral, a qualquer rede informtica)
susceptvel de ser vtima de um ataque de um pirata informtico. A metodologia empregada
geralmente pelo pirata informtico consiste em varrer a rede (enviando pacotes de dados de
maneira aleatria) procura de uma mquina ligada, seguidamente procura uma falha de
segurana para a explorar e aceder aos dados que a se encontram.

Esta ameaa ainda maior se a mquina est permanentemente ligada Internet por vrias
razes :

A mquina alvo susceptvel de estar ligada sem, no entanto, ser supervisionada;

A mquina alvo est ligada geralmente com uma banda concorrida mais larga ;
A mquina alvo no altera (ou pouco) o endereo IP.

Assim, necessrio, tanto para as redes de empresas como para usurios da internet que
possuem uma conexo com fios ou ADSL, proteger-se das intruses na rede instalando um
dispositivo de proteco.

O que que um firewall?

Um firewall (chamado tambm "pra-fogo"), um sistema que permite proteger um computador
ou uma rede de computadores das intruses que provm de uma rede terceira (nomeadamente
da Internet). O firewall um sistema que permite filtrar os pacotes de dados trocados com a rede,
trata-se assim de umaponte estreita filtradora que comporta, no mnimo, os interfaces rede
seguintes:

um interface para a rede a proteger (rede interna);

um interface para a rede externa.
O sistema firewall um sistema software, assentando s vezes num material rede especfico,
constituindo um intermedirio entre a rede local (ou a mquina local) e uma ou vrias redes
externas. possvel pr um sistema firewall em qualquer mquina e com qualquer sistema
desde que:

A mquina seja suficientemente potente para tratar o trfego;

O sistema esteja protegido;
Nenhum outro servio alm do servio de filtragem de pacotes funcione no servidor.

Se o sistema firewall fornecido numa caixa preta tipo chave na mo, utiliza-se o termo de
appliance.

Funcionamento de um sistema firewall

Um sistema firewall contm um conjunto de regras predefinidas que permitem:

Autorizar a conexo (allow);

Bloquear a conexo (deny);
Rejeitar o pedido de conexo sem avisar o emissor (drop).

O conjunto destas regras permite instalar um mtodo de filtragem dependente da poltica de

segurana adoptada pela entidade. Distinguem-se habitualmente dois tipos de polticas de
segurana que permitem :

ou autorizar unicamente as comunicaes autorizadas explicitamente:

Tudo o que no autorizado explicitamente proibido.

ou impedir as trocas que foram explicitamente proibidas.

O primeiro mtodo sem dvida alguma mais seguro, mas impe contudo uma definio
precisa e vinculativa das necessidades de comunicao.

A filtragem simples de pacotes

Um sistema firewall funciona com o princpio da filtragem simples de pacotes (em ingls
stateless packet filtering). Analisa os cabealhos de cada pacote de dados (datagrama) trocado
entre uma mquina da rede interna e uma mquina externa.

Assim, os pacotes de dados trocados entre uma mquina da rede externa e uma mquina da
rede interna transitam pelo firewall e possuem os seguintes cabealhos, sistematicamente
analisados pelo firewall:

endereo IP da mquina emissora;

endereo IP da mquina receptora;
tipo de pacote (TCP, UDP, etc.) ;
nmero de portas (lembre-se: uma porta um nmero associado a um servio ou a uma
aplicao rede).

Os endereos IP contidos nos pacotes permitem identificar a mquina emissora e a mquina

alvo, enquanto o tipo de pacote e o nmero de porta do uma indicao sobre o tipo de servio
utilizado.

O quadro abaixo d exemplos de regras de firewalls:

Rgle Action IP source IP dest Protocol Port source Port dest

1 Accept 192.168.10.20 194.154.192.3 tcp any 25

2 Accept any 192.168.10.3 tcp any 80

3 Accept 192.168.10.0/24 any tcp any 80

4 Deny any any any any any

As portas reconhecidas (cujo nmero est compreendido entre 0 e 1023) so associadas a

servios correntes (as portas 25 e 110, por exemplo, esto associadas ao correio electrnico, e a
porta 80 Web). A maior parte dos dispositivos firewall est configurada no mnimo, de maneira
a filtrar as comunicaes de acordo com a porta utilizada. aconselhvel bloquear todas as
portas que no so indispensveis (de acordo com a poltica de segurana escolhida).

A porta 23, por exemplo, frequentemente bloqueada por defeito pelos dispositivos firewall
porque corresponde ao protocolo Telnet permitindo emular um acesso por terminal a uma
mquina distante de maneira a poder executar comandos distncia. Os dados trocados por
Telnet no so codificados, o que significa que um indivduo pode ouvir a rede e eventualmente
roubar as senha que circulam em aberto. Os administradores preferem geralmente o protocolo
SSH, conhecido por ser mais seguro e fornecendo as mesmas funcionalidades que oTelnet.

A filtragem dinmica

A filtragem simples de pacotes dedica-se apenas a examinar os pacotes IP independentemente

uns dos outro, o que corresponde ao nvel 3 do modelo OSI. Ora, a maior parte das conexes
assenta no protocolo TCP, que gere a noo de sesso, para garantir o bom desenrolar das
trocas. Por outro lado, numerosos servios (o FTP, por exemplo) iniciam uma conexo sobre
uma porta esttica, mas abrem dinamicamente (ou seja, de maneira aleatria) uma porta, para
estabelecer uma sesso entre a mquina que faz de servidor e a mquina cliente.

Assim, com uma filtragem simples de pacotes, impossvel prever as portas a deixar passar ou
a proibir. Para remediar, o sistema de filtragem dinmico de pacotes baseia-se na inspeco
das camadas 3 e 4 do modelo OSI, permitindo efectuar um acompanhamento das transaces
entre o cliente e o servidor. O termo anglo-saxnico stateful inspection ou stateful packet
filtering, ou filtragem de pacotes com estado.

O dispositivo firewall de tipo stateful inspection assim capaz de assegurar um

acompanhamento das trocas, ou seja, de ter conta o estado dos antigos pacotes para aplicar as
regras de filtragem. Desta maneira, a partir do momento em que uma mquina autorizada inicia
uma conexo a uma mquina situada de outro lado do firewall,o conjunto dos pacotes que
transitam no mbito desta conexo ser aceite implicitamente pelo firewall.

Se a filtragem dinmica mais eficiente que a filtragem de pacotes bsica, no protege no

entanto da explorao das falhas aplicativas, ligadas s vulnerabilidades das aplicaes. Ora,
estas vulnerabilidades representam a parte mais importante dos riscos em termos de segurana.

A filtragem aplicativa

A filtragem aplicativa permite filtrar as comunicaes aplicao por aplicao. A filtragem

aplicativa opera por conseguinte no nvel 7 (camada aplicao) do modelo OSI, contrariamente
filtragem de pacotes simples (nvel 4). A filtragem aplicativa supe por conseguinte um
conhecimento dos protocolos utilizados por cada aplicao.

A filtragem aplicativa permite, como o seu nome o indica, filtrar as comunicaes aplicao por
aplicao. A filtragem aplicativa supe por conseguinte um bom conhecimento das aplicaes
presentes na rede, e nomeadamente a maneira como ela estrutura os dados trocados (portas,
etc.).

Um firewall que efectua uma filtragem aplicativa chama-se habitualmente ponte estreita
aplicativa (ou proxy), porque serve de retransmissor entre duas redes interpondo-se e
efectuando uma validao fina do contedo dos pacotes trocados. O proxy representa por
conseguinte um intermedirio entre as mquinas da rede interna e a rede externa, sofrendo os
ataques em seu lugar. Alm disso, a filtragem aplicativa permite a destruio dos cabealhos
que precedem a mensagem aplicativa, o que permite fornecer um nvel de segurana
suplementar.

Trata-se de um dispositivo eficiente, assegurando uma boa proteco da rede, desde que seja
administrado correctamente. Por outro lado, uma anlise fina dos dados aplicativos requer uma
grande potncia de clculo e traduz-se por isso, frequentemente, num atraso das comunicaes,
cada pacote deve ser analisado finamente.

Alm disso, o proxy deve necessariamente estar em condies de interpretar uma vasta gama
de protocolos e conhecer as falhas aferentes para ser eficaz.

Por ltimo, tal sistema pode potencialmente comportar uma vulnerabilidade, na medida em que
interpreta os pedidos que transitam por ele. Assim, recomenda-se dissociar o firewall (dinmico
ou no) do proxy, a fim de limitar os riscos de comprometimento.
Noo de firewall pessoal
Se a zona protegida se limita ao computador no qual o firewall est instalado, trata-se de um
firewall pessoal (firewall pessoal).

Assim, um firewall pessoal permite controlar o acesso rede das aplicaes instaladas na
mquina, e nomeadamente impedir os ataques do tipo Cavalo de tria, ou seja, programas
prejudiciais que abrem uma brecha no sistema para permitir um controlo distncia da mquina
por um pirata informtico. O firewall pessoal permite, com efeito, localizar e impedir a abertura
no solicitada por parte de aplicaes no autorizadas a ligar-se.

Os limites dos firewall

Um sistema firewall no oferece obviamente uma segurana absoluta, bem pelo contrrio. Os
firewall oferecem uma proteco apenas na medida em que o conjunto das comunicaes para
o exterior passa sistematicamente por seu intermedirio e que so configurados correctamente.
Assim, o acesso rede externa contornando o firewall outra falha de segurana.
nomeadamente o caso das conexes efectuadas a partir da rede interna com a ajuda de um
modem ou qualquer meio de conexo que escape ao controlo do firewall.

Da mesma maneira, a introduo de suportes de armazenamento, que provm do exterior, em

mquinas internas rede ou computadores portteis pode causar um grande prejuzo poltica
de segurana global.

Por ltimo, a fim de garantir um nvel de proteco mximo, necessrio administrar o firewall e
nomeadamente supervisionar o seu dirio de actividade para ficar em condies de detectar as
tentativas de intruso e as anomalias. Alm disso, recomenda-se que efectue uma vigilncia de
segurana (subscrevendo os alertas de segurana dos CERT, por exemplo) a fim de alterar os
parmetros do seu dispositivo em funo da publicao dos alertas.

A instalao de um firewall deve, por conseguinte, fazer-se de acordo com uma verdadeira
poltica de segurana.

Firewall Firewall Firewall (Brandmauer) Firewall (pare-feu) Firewall

Este documento, intitulado Firewall a partir de Kioskea (pt.kioskea.net) est disponibilizado sob a licena Creative
Commons. Voc pode copiar, modificar cpias desta pgina, nas condies estipuladas pela licena, como esta nota
aparece claramente.