O que um FIREWALL?

Um Firewall uma 'passagem' ("gateway") que restringe e controla o fluxo

do trfego de dados entre redes, mais comumente entre uma rede
empresarial interna e a Internet. Os Firewalls podem tambm estabelecer
passagens seguras entre redes internas.

Castelos e suas fortificaes so comumente usados em analogia na

descrio dos mecanismos de defesa de um sistema de Firewalls. Um castelo
projetado para proteger as pessoas do lado de dentro dos ataques e
tentativas de invaso vindas do lado de fora. Existe portanto, um permetro
de defesa que mantm os atacantes o mais afastados quanto possvel.
(paredes externas, fossos, crocodilos, etc). O porto do castelo o 'posto de
controle' por onde as pessoas e suprimentos devem passar para poder entrar
ou sair do castelo. o ponto de maior concentrao de recursos de defesa do
castelo.

O Firewall esse 'posto de controle' das redes internas que, de forma ativa,
inspeciona e controla o fluxo do trfego de dados entre as redes. No caso de
um Firewall com Proxy, o trfego nunca transita livremente entre as redes.
Ao invs disso o Proxy 're-empacota' (ou mascara) as requisies e as
respostas.

Nenhum Servidor interno acessado diretamente de uma rede externa e

nenhum Servidor externo acessado diretamente a partir da rede interna.

Pense nas pessoas dentro do castelo. Durante os tempos de tenso, eles

podem preferir manter-se dentro do castelo e usar os 'agentes proxy'
(representantes) para cuidar de seus interesses e necessidades fora do
castelo.Parte de um projeto confivel de uma rede conectada na Internet a
criao de uma 'zona desmilitarizada' ou DMZ (demilitarized zone) que
justamente uma rede parcialmente protegida que se localiza entre a rede
protegida e a rede desprotegida.

A DMZ protegida por um sistema de defesa perimetral, muito semelhante

aos muros externos e fossos dos castelos. Imagine a praa de comrcio de
um castelo. Nos tempos medievais, as pessoas da regio e comerciantes
podiam entrar nessa rea do castelo com certa facilidade para entregar e
retirar mercadorias. noite, os portes eram fechados e os mantimentos
trazidos para dentro do castelo, normalmente aps uma inspeo rigorosa.
Os guardas eram posicionados nos portes do castelo durante o dia para
inspecionar todas as pessoas que entram e saem do castelo. Se arruaceiros
eram localizados tentando entrar no castelo, eles os impediam e os botavam
para fora.

A DMZ segue exatamente essa analogia. Os usurios de Internet podem

entrar livremente na DMZ para acessar Servidores WEB Pblicos (Sites
comuns), enquanto que os roteadores de alerta localizados nos pontos de
acesso filtram todo o trfego no permitido, como por exemplo, inundaes
de pacotes de dados vindos de Hackers que tentam impedir o funcionamento
do sistema por saturao (Ataques do tipo DoS - Deny of Service ou Negao
de Servio). Ao mesmo tempo a rede interna privada est protegida por
Firewalls altamente seguros. Dentro dos muros do castelo existia a 'torre
principal', que era uma estrutura altamente segura que proporcionava a
ltima defesa contra os atacantes.

Interessantemente, os castelos se mostraram estruturas altamente capazes

de resistir aos ataques at a apario dos canhes. No sculo 16, Essex e
Cromwell derrotaram muitos castelos na Irlanda com pouca milcia. Eles
simplesmente estouravam os parapeitos na parte superior dos castelos para
que se tornassem indefensveis e a ento escalavam suas paredes.
Comparativamente, que tipos de armas nossas defesas das redes iro
enfrentar? Os Firewalls se tornaram equipamentos bastante sofisticados com
o passar dos anos, mas eles no constituem uma soluo nica e absoluta.
Eles consistem apenas um dos diversos recursos necessrios disponveis para
os administradores de segurana da rede. Observe: Um Firewall pode ser
composto de diversos componentes, incluindo um Roteador, um servidor
Gateway e um Servidor de Autenticao.

Um Firewall monitora o trfego que entra e que sai e filtra, redireciona, re-
empacota e/ou rejeita pacotes. Esses pacotes podem ser filtrados com base
em seus IPs de origem e destino, porta TCP de origem e destino, nmero
total (ou serie ?) de bits do cabealho do TCP e assim por diante.

No caso de um Firewall do tipo Proxy, o Firewall o endereo de destino de

todas as conexes que saem e entram. Possui a capacidade de executar
amplas varreduras de segurana e validao nos pacotes por ele
processados. Os Proxys executam verses de softwares e protocolos testados
extensivamente e livres de mal-funcionamentos (bugs).

Os Firewalls podem fazer cumprir as polticas de segurana de uma

organizao atravs da filtragem de todo o trfego que sai e entra na
empresa, garantindo que o mesmo est dentro dos parmetros de segurana
pr-estabelecidos pelas polticas de uso da rede. Recursos sofisticados de
auditoria, deteco de intrusos e metodologias de autenticao so hoje
parte da maioria dos Firewalls comerciais.

A RFC 2979, "O Comportamento e os Requisitos dos Firewalls de Internet (

Behavior of and Requirements for Internet Firewalls ) de Outubro de 2000
descreve outras caractersticas dos Firewalls.

Os Hackers e os agressores esto crescendo constantemente em nmero, em

agressividade e evoluindo em conhecimento. Em 2000, a China anunciou que
no teria como se manter no nvel dos EUA militarmente e que, portanto,
ameaou o financiamento de uma guerra de 'tecnologia da informao'
contra os Estados Unidos. Os sistemas de computadores das instalaes
militares esto sob ataques constantes, sejam eles sofisticados ou ordinrios.
Quantos intrusos no detectados podero existir nesses sistemas?

Por exemplo, um agressor pode planejar um ataque com antecedncia

usando tcnicas de e-mails infectados com vrus para introduzir os chamados
'programas zumbis' em centenas ou milhares de computadores de usurios
comuns (e inocentes dentro do contexto do ataque), muitos dentro de sua
prpria rede (usurios locais). Esses programas zumbis so programados
para despertar num determinado momento e comear a promover ataques

contra outros sistemas. O verdadeiro agressor no pode ser identificado

porque os ataques so originados de computadores inocentes por toda a
Internet. Toda a Internet pode se tornar uma grande arma apontada para a
sua rede privada.

Em funo dessas ameaas, os Firewalls so necessrios em praticamente

todo computador conectado Internet, especialmente os conectados
constantemente como o caso das conexes ADSL (ex. Speedy, Velox,
BrTurbo, etc) e cabo (ex. Virtua / AJato, etc), para citar os mais comuns no
Brasil. Uma instalao domiciliar comum interliga dois computadores (o dos
pais e o das crianas) para que ambos possam usufruir de uma mesma
conexo ADSL ou cabo. Considerando que essa conexo est constantemente
ligada, ela possui um nmero de IP contnuo que publicado / divulgado
como se fosse uma bandeira na Internet. Os Hackers descobrem o IP mais
cedo ou mais tarde e voltam constantemente para examinar e descobrir as
brechas at serem capazes de danificar os sistemas. Os Firewalls so
projetados para proteger esses 'sistemas' (rede como um todo) ao mesmo
tempo que minimizam a complexidade da configurao.

Terminologias do Firewall

A padronizao da termologia usada nos Firewall ajuda na compreenso das

tecnologias envolvidas nos Firewalls. A RFC 2647, "Termologias de
Benchmarking para Performance de Firewall (Benchmarking Terminology for

Firewall Performance)" (Agosto 1999) um dos documentos que tentam

estabelecer essa terminologia. Os termos mais importantes que ele descreve
so destacados abaixo. Para uma descrio mais completa desses termos,
sugerimos a consulta a essa RFC. A lista abaixo foi reordenada para
aumentar sua clareza e alguns termos foram substitudos para agregar maior
consistncia.

Firewall - Um dispositivo (ou grupo de dispositivos) que fora a adoo de

polticas de segurana em redes. Os Firewalls conectam redes protegidas ou
desprotegidas, ou suporta redes de 3 segmentos, o que permite a criao
das redes DMZ

Redes Protegidas - Um ou mais segmentos de rede no qual o acesso

controlado. As redes protegidas so muitas vezes chamadas de 'redes
internas', mas a RFC 2647 estipula que o termo inapropriado porque os
Firewalls esto sendo adotados de forma crescente dentro das redes das
empresas, onde, por definio, todos os segmentos de rede so 'redes
internas'. Isso vem da conscientizao de que os ataques, ou acessos
indevidos podem vir de dentro da prpria empresa (usurios locais).

Redes Desprotegidas - Um ou mais segmentos de rede em que o acesso no

controlado pelo Firewall.

Zona Desmilitarizada (DMZ) - (Do Ingls 'Demilitarized Zone' (DMZ) ) o

segmento, ou segmentos, de rede localizado entre as redes protegidas e
desprotegidas. A DMZ pode no ser conectada a uma rede protegida. A DMZ
pode tambm incluir sistemas de defesa perimetrais. Por exemplo, a DMZ
pode ser construda para que se assemelhe (ou simule) a rede protegida,
induzindo os hackers armadilhas virtuais que auditam suas aes de modo
a se tentar localizar a origem (localizao na Internet) do ataque.

Firewall de Base Dupla - um Firewall com duas interfaces, uma conectada

na rede protegida e outra conectada na rede desprotegida.

Firewall de Base Tripla (ou 3 Segmentos) - um Firewall que pode ser

conectado a trs segmentos de rede. A rede protegida, a DMZ e a rede
desprotegida.

Proxy - uma requisio para uma conexo feita em nome de um servidor.

O servidor Proxy, ou simplesmente Proxy, localiza-se entre a rede protegida
e a rede desprotegida. Pense numa rea de quarentena onde as pessoas
internas usam um telefone para se comunicar com as pessoas de fora. Todas
as conexes externas direcionadas a essa regio interna do Proxy (protegida)
terminam no prprio Proxy. Isso elimina efetivamente o roteamento de IP
entre as redes. O Proxy re-empacota as mensagens na forma de novos
pacotes que possuem permisso de trafegar na poro protegida da rede. Da
mesma forma, ele re-empacota as mensagens internas destinadas aos
endereos externos rede protegida em pacotes que possuem o endereo do
prprio Proxy como sendo o endereo de origem da mensagem, no lugar da
origem verdadeira (interna). Mais importante que tudo isso, o Proxy

inspeciona e filtra todo o trfego que passa por ele. As regras predefinidas
so usadas para determinar que trfego deve ser encaminhado para fora e
que trfego deve ser bloqueado. Existem dois tipos bsicos de Proxy:
Software de software, ou aplicao e Circuitos de Proxy.

Traduo de Endereos de Rede (NAT) - (Do Ingls ' Network Address

Translation (NAT) ') um mtodo de mapear a transposio de um ou mais
endereos de IP internos e reservados em um ou mais endereos de IP
pblicos. O NAT foi criado para conservar as quantidades de endereos IPv4
e se referir a um bloco especfico de endereos IP que nunca so
reconhecidos ou roteados para a Internet. Com ele e possvel a definio de
esquemas prprios de IP dentro das redes. Um dispositivo NAT traduz entre
endereos internos e externos, e comumente usado combinado com
servios Proxy. Esses dispositivos so implementados em Firewalls para dar
suporte aos esquemas de endereos particulares como definido na RFC 1918.

Software de Proxy - um servico de Proxy que configurado e

implementado em funo das especificaes do usurio, em contrapartida a
existncia de configuraes estticas (que o caso dos Circuitos de Proxy).
O software de Proxy executa todas as funes necessrias de um Proxy, mas
para aplicaes especficas. Em contraste, um Proxy bsico executa filtragens
genricas de pacotes. Um Software de Proxy somente processa pacotes
relacionados as aplicaes que ele suporta. Se o Proxy no preparado para
determinados tipos de programas, os pacotes provenientes de ou para os
mesmos so descartados. Os pacotes so transferidos somente aps a
conexo se estabelecer, que por sua vez depende de autenticao e
autorizao.

Circuitos de Proxy - um servio Proxy que define de forma esttica qual

trfego ser transferido. uma funo especialmente desenhada e
executada por Softwares de Proxy, usualmente definida para dar suporte a
conexes entre usurios internos e servidores externos. Os pacotes so re-
transmitidos sem que seja executado nenhum processamento extenso ou
filtros sobre os mesmos pois esses pacotes so oriundos de usurios internos
(logo possuem origem confivel) e so direcionados a endereos externos.
Entretanto, os pacotes que retornam em resposta aos enviados so
extensivamente examinados e filtrados.

Polticas - o documento que define as permisses de acesso para a rede

protegida, DMZ e a rede desprotegida. As polticas de segurana definem as
diretrizes do que no permitido ser acessado na rede.

Conjunto de Regras - o conjunto de regras de controle de acesso que

determinam quais pacotes so re-transmitidos e quais so ignorados.

Trfego permitido - So os pacotes que resultam da aplicao do conjunto de

Regras.

Trfego Ilegal - Pacotes que possuem rejeio especificada no conjunto de

regras.

Trfego Rejeitado - Pacotes que so descartados em funo da aplicao de

um conjunto de regras.

Autenticao - o processo de verificao de que o usurio que requer

acesso a rede realmente quem ele se diz ser. A entidade sendo autenticada
pode ser um computador especfico ou um usurio especfico, de forma que a
autenticao pode ser baseada na verificao do IP de origem, porta TCP ou
UDP, senhas, e outras formas avanadas de identificao como os cartes
tipo TOKEN e biometria.

Associao de Seguranas - o conjunto de informaes de segurana

atribudo para uma conexo, ou conjunto de conexes, especficas. Essa
definio cobre o relacionamento entre as polticas e as conexes. Essas
associaes podem se estabelecer durante o estabelecimento da conexo e
podem ser reiteradas ou revogadas durante a conexo.

Filtro de Pacotes - o processo de controle de acesso atravs do exame dos

pacotes baseados no contedo dos cabealhos dos mesmos. As informaes
de cabealho, como endereos de IP e nmero da porta TCP, so examinados
e comparados com o conjunto de regras, definindo-se ento se o mesmo
autorizado ou bloqueado.

Filtro de Pacotes Esttico - o processo de re-transmisso ou bloqueio de

trfego baseado no contedo de uma tabela fixa gerenciada pelo Firewall.
Quando usado, os pacotes s so re-transmitidos se pertencerem a uma
conexo que foi previamente estabelecida e que est sendo 'vigiada' pela
tabela esttica.

Registro (Logging) - o registro das requisies feitas pelos usurios ao

Firewall. Todas as requisies so tipicamente registradas, incluindo as
autorizaes, os bloqueios e as rejeies. Um sistema de deteco de
invases e intrusos monitora de forma ativa os pontos de acesso para
detectar hackers e rastrear o seu progresso.

SOCKS - um Circuito de Firewall que tenta garantir um canal seguro entre

dois pontos de endereo TCP/IP. Tipicamente, um cliente de acesso a WEB
localizado na parte interna de uma rede que quer acessar o servidor WEB
externo (na Internet, em outro segmento de rede da mesma empresa ou
outra parte da intranet). O SOCKS proporciona servios de Firewall, assim
como auditoria, gerenciamento, tolerncia a falhas e outros recursos.

A maioria dos Firewalls tambm executam autenticaes para verificar a

identidade dos usurios ou processos. O servio RADIUS o mais
comumente usado para isso. o mesmo servio de autenticao usado para
redes do tipo dial-up (conexo por linha telefnica discada convencional),
seja ela para acesso a rede de uma empresa ou conexo com um provedor
de acesso a Internet. Atravs da autenticao dos usurios, o Firewall passa

a possuir informaes adicionais para a filtragem de pacotes. Por exemplo,

ele pode autorizar que somente usurios especficos acessem determinados
servios. Os Firewalls modernos tambm suportam VPNs, que proporcionam
'tneis' virtuais seguros entre o Firewall e o usurio remoto atravs da
Internet. O Firewall autentica o usurio, codifica todas as informaes e
assegura sua integridade atravs do uso das assinaturas digitais.