Betinho Juma

Francisco Pedro Maco

Jlio Jos Marcos
Jnior Baslio Uecha
Neva Tiago Maga Moiss

Farewall
Licenciatura em Informtica

Universidade Pedaggica
Nampula
2017
 Betinho Juma
Francisco Pedro Maco
Jlio Jos Marcos
Jnior Baslio Uecha
Neva Tiago Maga Moiss

Farewall
Licenciatura em Informtica

Trabalho de pesquisa da cadeira de

Segurana Informtica a ser apresentado
no departamento de ESTEC, como
requisito de avaliao, sob orientao do
docente da Cadeira

Docente: dr. Ali Selemane

Universidade Pedaggica
Nampula
2017
 ii

ndice
ndice de Figuras ............................................................................................................................ iii

Introduo ........................................................................................................................................ 4

Farewall ........................................................................................................................................... 5

Funcionamento de farewall ............................................................................................................. 5

Tipos de farewall ............................................................................................................................. 6

Filtro de Pacotes .............................................................................................................................. 6

Filtro de Pacotes com Estado........................................................................................................... 7

Proxy de servios ou Firewall de aplicao ..................................................................................... 7

Inspeo ........................................................................................................................................... 8

Arquiteturas de Firewall .................................................................................................................. 8

Dual homed host ........................................................................................................................... 8

Screened host ................................................................................................................................... 9

Arquitetura Screened Subnet ......................................................................................................... 10

Limitaes dos firewalls ................................................................................................................ 10

Concluso ...................................................................................................................................... 12

Referncias bibliogrficas ............................................................................................................. 13

 iii

ndice de Figuras
Figura 1: Representao bsica de um farewall .............................................................................. 5
Figura 2: filtro de pacotes no contexto da pilha TCP/IP ................................................................. 6
Figura 3: arquitetura dual homed host ............................................................................................. 8
Figura 4: arquitectura de Screened host .......................................................................................... 9
 4

Introduo
Actualimente a utilizao cada vez maior da Internet e a criao de ambientes cooperativos, levam
a uma crescente preocupao quanto segurana, consequentemente, pode-se ver uma rpida
evoluo em sistemas de segurana. Por tanto, devido s diversas necessidades de se garantir a
segurana do ambiente computacional, foram criados mecanismos de segurana de controlo de
acesso a ele, dentre outros, o Firewall, compondo assim os diversos permetros de segurana de um
sistema computacional. Sendo assim, o presente trabalho visa fazer um aprofundamento de um dos
mecanismos de segurana em ambientes computacionais que o farewall. Far se uma breve
meno dos conceitos, tipos e a sua arquitectura.
 5

Farewall
JNIOR (2006) define o como um dispositivo de segurana que tem como objetivo filtrar o que
, ou no, emitido e ser acessado de dentro de uma rede ou para dentro da rede. Funciona, de acordo
com essa compreenso, como uma barreira que impe limites e controla o trfego de dados entre
um ou mais computadores e uma rede externa (Internet, rede vizinha, etc.).

Representao bsica de um farewall

Figura 1: Representao bsica de um farewall

Fonte: JNIOR (2006)

Funcionamento de farewall
Toda a facilidade trazida pelo aumento do acesso Internet tambm serviu para tornar os
computadores menos seguros, transformando o uso de um firewall em uma regra bsica de defesa.
Embora no seja o produto mgico que deixar uma rede 100% protegida, ele essencial na difcil
tarefa de evitar problemas de segurana. Porm, antes de utilizar essa ferramenta preciso entender
como ela funciona, (MORIMOTO, 2010).

O firewall o caminho que toda informao de uma rede local precisa passar e ser fiscalizada antes
de entrar ou sair. Ao forar a verificao de toda informao que entra ou sai do computador para
a rede, o firewall fecha o cerco a qualquer tentativa de invaso. Ele basicamente tranca todas as
portas de acesso, que so os canais por onde os servios conversam entre si, ao PC e a partir da
somente computadores e portas autorizadas podem ter comunicao. Esses movimentos sero
registrados para serem analisados posteriormente. O melhor modo de manter a rede e o computador
protegido configurar o firewall para que ele bloqueie o mximo de portas possveis e deixar
apenas o que estiver realmente sendo usado. Para conseguir essa meta, a pessoa que o administra
deve conhecer bem os conceitos de Internet, a prpria rede fsica e a ferramenta utilizada, alm de
sustentar um constante monitoramento dos registros feitos pelo firewall. Como um firewall no
pode simplesmente fechar todas as portas pois o computador perderia sua utilidade, o administrador
 6

fica responsvel por determinar quais podero ficar abertas. Com isso, ele ir capturar todas as
informaes que entram ou saem da rede e ir liberar ou bloquear os pacotes (conjunto de
informaes) somente depois de comparar os dados com as diretivas de segurana. Felizmente,
essa uma tarefa que ele faz muito bem e rapidamente.

Tipos de farewall
MORIMOTO, (2010) define treis tipos de farewall a saber: Filtro de Pacotes, Filtro de Pacotes com
estado e Proxy de servios, que sero detalhados a seguir.

Filtro de Pacotes
Este tipo de firewall consiste na ao de controle seletivo do fluxo de dados que chega e sai de um
segmento de rede, habilitando, ou no, o bloqueio de pacotes com base em regras especificadas via
endereos IP, protocolos (portas) e tratamento do incio da conexo, (MORIMOTO, 2010).

Filtrar = peneirar, separar;

Funciona na camada de rede e de transporte;
Faz controlo do trfego que entra e sai na rede;
transparente aos usurios;
As regras so estticas static packet filter;
As regras dos filtros contm:
Endereo IP de origem;
Endereo IP de destino;
Protocolos TCP, UDP, ICMP;
Portas TCP ou UDP de origem;
Portas TCP ou UDP de destino;
Tipo de mensagem ICMP.

Figura 2: filtro de pacotes no contexto da pilha TCP/IP

Fonte: (MORIMOTO, 2010).
 7

Os filtros de pacotes simples tambm so chamados de stateless firewall. Cada pacote tratado de
forma isolada: no guarda o estado da conexo e no sabe se o pacote faz parte de uma conexo
feita anteriormente.

Segundo Scarfone e Hoffman (2008), os filtros de pacotes sem estado tm como caractersticas:

Alta vazo examina os dados sobre a camada de rede;

Baixo overhead e flexveis podem ser implantados em qualquer infraestrutura de redes,
onde a sua velocidade e flexibilidade tornam ideal o uso como permetro de uma rede no
confivel, bloqueando o trfego de entrada, um procedimento conhecido como filtro de
entrada;
Abrem brechas permanentes no permetro da rede so vulnerveis a ataques e exploits
que tiram vantagens das vulnerabilidades existentes dentro da pilha TCP/IP;
No oferecem autenticao.

Filtro de Pacotes com Estado

Estes filtros realizam as mesmas funcionalidades do filtro de pacotes, mas tambm podem manter
o estado das conexes por meio de mquinas de estado. Este tipo de firewall tambm possibilita o
bloqueio de varreduras, controlo efetivo de fluxo de dados e tratamento do cabealho TCP, alm
de verificar os campos do datagrama, com o objetivo de identificar possveis ataques.
(MORIMOTO, 2010).

A funo de inspeo dos pacotes melhora em comparao com as funes do filtro de pacotes,
pois ele acompanha o estado das conexes e bloqueia os pacotes que no esto de acordo com o
estado esperado. Isto ocorre atravs da incorporao de uma maior sensibilizao da camada de
transporte.

Tal como acontece com a filtragem de pacotes, a inspeo de estado intercepta pacotes na camada
de rede e fiscaliza-os para ver se essas conexes so permitidas por uma regra de firewall existentes.

Proxy de servios ou Firewall de aplicao

O firewall de aplicao, tambm conhecido como proxy de servios (proxy services) ou
apenasproxy uma soluo de segurana que atua como intermedirio entre um computador ou
uma rede interna e outra rede, externa - normalmente, a internet. Geralmente instalados em
servidores potentes por precisarem lidar com um grande nmero de solicitaes, firewalls deste
tipo so opes interessantes de segurana porque no permitem a comunicao direta entre origem
e destino. (MORIMOTO, 2010).
 8

Portanto, em vez de a rede interna se comunicar diretamente com a internet, h um equipamento

entre ambos que cria duas conexes: entre a rede e o proxy; e entre o proxy e a internet. Ou seja,
todo o fluxo de dados necessita passar pelo proxy. Desta forma, possvel, por exemplo,
estabelecer regras que impeam o acesso de determinados endereos externos, assim como que
probam a comunicao entre computadores internos e determinados servios remotos.

Este controle amplo tambm possibilita o uso do proxy para tarefas complementares: o
equipamento pode registrar o trfego de dados em um arquivo de log; contedo muito utilizado
pode ser guardado em uma espcie de cache (uma pgina Web muito acessada fica guardada
temporariamente no proxy, fazendo com que no seja necessrio requisit-la no endereo original
a todo instante); determinados recursos podem ser liberados apenas mediante autenticao do
usurio; entre outros.

Inspeo
Os farewalls de inspeo so tidos como uma evoluo dos filtros dinmicos, os firewalls de
inspeo de estado trabalham fazendo uma espcie de comparao entre o que est acontecendo e
o que esperado para acontecer.

Para tanto, firewalls de inspeo analisam todo o trfego de dados para encontrar estados, isto ,
padres aceitveis por suas regras e que, a princpio, sero usados para manter a comunicao.
Estas informaes so ento mantidas pelo firewall e usadas como parmetro para o trfego
subsequente.

Arquiteturas de Firewall
O firewall pode ser aplicado de formas diferentes em uma rede, atendendo as necessidades da
empresa. (RODRIGUES, 2014).

Dual homed host

Figura 3: arquitetura dual homed host

 9

Fonte: (RODRIGUES, 2014)

Formada por um equipamento que tem duas interfaces de rede.

Funciona como separador entre duas redes.
O Firewall torna-se um ponto nico de falhas.
Aqui s existe um nico caminho de comunicao, portanto, todo o trfego passa por este firewall,
no havendo acesso da rede interna para a rede externa (e vice-versa) diretamente. A principal
vantagem desta abordagem que h grande controlo do trfego. A desvantagem mais expressiva,
por sua vez, que qualquer problema com o dual-homed uma invaso, pode pr em risco a
segurana da rede ou mesmo paralisar o trfego.

Screened host

Figura 4: arquitectura de Screened host

Fonte: (RODRIGUES, 2014)

Na arquitetura Screened Host, em vez de haver uma nica mquina servindo de intermediadora
entre a rede interna e a rede externa, h duas: uma que faz o papel de roteador (screening router) e
outra chamada de bastion host.

O bastion host atua entre o roteador e a rede interna, no permitindo comunicao direta entre
ambos os lados. Trata se de uma camada extra de segurana: a comunicao ocorre no sentido
rede interna - bastion host - screening router - rede externa e vice-versa.
 10

O roteador normalmente trabalha efetuando filtragem de pacotes, sendo os filtros configurados

para redirecionar o trfego ao bastion host. Este, por sua vez, pode decidir se determinadas
conexes devem ser permitidas ou no, mesmo que tenham passado pelos filtros do roteador.

Arquitetura Screened Subnet

Para RODRIGUES, (2014) a arquitetura Screened Subnet tambm conta com a figura do bastion
host, mas este fica dentro de uma rea isolada de nome DMZ, sigla para Demilitarized Zone - Zona
Desmilitarizada.
A DMZ, por sua vez, fica entre a rede interna e a rede externa. Acontece que, entre a rede interna
e a DMZ h um roteador que normalmente trabalha com filtros de pacotes. Alm disso, entre a
DMZ e a rede externa h outro roteador do tipo.
Esta arquitetura mostra se bastante segura, uma vez que, caso o invasor passe pelo primeiro
roteador, ter ainda que lidar com a zona desmilitarizada. Esta inclusive pode ser configurada de
diversas formas, com a implementao de proxies ou com a adio de mais bastion hosts para lidar
com requisies especficas.

Limitaes dos firewalls

RODRIGUES, (2014) diz que os firewalls tm suas limitaes, sendo que estas variam conforme
o tipo de soluo e a arquitetura utilizada. De fato, firewalls so recursos de segurana bastante
importantes, mas no so perfeitos em todos os sentidos.

Em suma podemos mencionar as seguintes limitaes que os farewalls apresentam:

Um firewall pode oferecer a segurana desejada, mas comprometer o desempenho da rede

(ou mesmo de um computador). Esta situao pode gerar mais gastos para uma ampliao
de infraestrutura capaz de superar o problema;
A verificao de polticas tem que ser revista periodicamente para no prejudicar o
funcionamento de novos servios;
Novos servios ou protocolos podem no ser devidamente tratados por proxies j
implementados;
Um firewall pode no ser capaz de impedir uma atividade maliciosa que se origina e se
destina rede interna;
 11

Um firewall pode no ser capaz de identificar uma atividade maliciosa que acontece por
descuido do usurio - quando este acessa um site falso de um banco ao clicar em um link
de uma mensagem de e-mail.
Firewalls precisam ser "vigiados". Malwares ou atacantes experientes podem tentar
descobrir ou explorar brechas de segurana em solues do tipo;
 12

Concluso
Nesta etapa importa deixar algumas consideraes sobre o apreendido durante a elaborao do
trabalho. Sendo que o farewall como um dispositivo de segurana que tem como objetivo filtrar o
que , ou no, emitido e ser acessado de dentro de uma rede ou para dentro da rede. Com a crescente
evoluo da tecnologia actualmente existem firewalls pessoais, que so instalados individualmente
em cada computador, mesmo que isso adicione mais segurana. O ideal que seja colocado um
entre a rede local e a externa. muito importante enfatizar que o uso dele no nenhuma garantia
de proteo, e nem se quer deve servir como desculpa para deixar de usar um antivrus ou qualquer
outra ferramenta que ajude a melhorar a defesa dos computadores e da rede.
 13

Referncias bibliogrficas
JNIOR, David; Firewall, Pouso Alegre, 2006.

Disponvel em:

http://herveiras.rs.gov.br/editais/09-07-16-124823-firewall.pdf

Acessado aos: 23/09/2017

MORIMOTO, Carlos E. Servidores Linux, guia prtico. Sul Editores, Porto Alegre, 2010.

RODRIGUES, Vanessa; Segurana de Redes, Brasil, 2014.

Disponivel em:

http://187.7.106.13/vanessa/TURMAS%20T7%20T8%20T9/SEGURANCA%20DE%20REDE/F
irewall.pdf

Acessado aos: 23/09/2017