Escola De Educação Profissional QI

Tópicos Avançados de Informática (Redes)

Firewall

George Naíla Velton

Porto Alegre, 06 de Maio de 2008

Este último é o tipo recomendado ao uso doméstico e também é o mais comum. . Ambos não devem ser comparados para se saber qual o melhor. alguns de seus tipos. o firewall é um mecanismo que atua como "defesa" de um computador ou de uma rede. Assim. Principais razões para utilizar um firewall A seguir são citadas as 3 principais razões (segundo o InfoWester) para se usar um firewall: 1 . Seu objetivo é permitir somente a transmissão e a recepção de dados autorizados. Existem firewalls baseados na combinação de hardware e software e firewalls baseados somente em software. A vantagem do uso de firewalls em redes. existem dois tipos básicos de conceitos de firewalls: o que é baseado em filtragem de pacotes e o que é baseado em controle de aplicações. 3 . COMO O FIREWALL FUNCIONA Há mais de uma forma de funcionamento de um firewall. aplicação ou do desenvolvedor do programa. fazendo que a comparação não seja aplicável. Este trabalho mostrará o que é firewall. sendo possível até mesmo descobrir quais usuários as efetuou.o firewall é um grande aliado no combate a alguns tipos de vírus e cavalos de tróia. Explicando de maneira mais precisa. uma vez que é capaz de bloquear portas que eventualmente sejam usadas pelas "pragas digitais" ou então bloquear acesso a programas não autorizados. não sendo necessário instalá-lo em cada máquina conectada. controlando o acesso ao sistema por meio de regras e a filtragem de dados. O QUE É FIREWALL Firewall pode ser definido como uma barreira de proteção. uma vez que cada um trabalha para um determinado fim. que varia de acordo com o sistema. No entanto. é que somente um computador pode atuar como firewall. modos de funcionamento e o porquê de usá-lo em seu computador.em redes corporativas. além de ter o controle sobre as ações realizadas na rede.o firewall pode ser usado para ajudar a impedir que sua rede ou seu computador seja acessado sem autorização. À medida que o uso de informações e sistemas é cada vez maior. que controla o tráfego de dados entre seu computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet).INTRODUÇÃO Firewall é um quesito de segurança com cada vez mais importância no mundo da computação. O firewall é uma opção praticamente imprescindível. a proteção destes requer a aplicação de ferramentas e conceitos de segurança eficientes. 2 . é possível evitar que informações sejam capturadas ou que sistemas tenham seu funcionamento prejudicado pela ação de hackers. é possível evitar que os usuários acessem serviços ou sistemas indevidos.

tudo o que chega à rede interna deve passar pelo Firewall. interagir ou até mesmo se integrar com as aplicações servidoras escolhidas pela corporação. O grande problema desse tipo de firewall. Por meio de um conjunto de regras estabelecidas. endereço IP do destinatário. são eles. . ferramentas de administração de boa compreensão e suporte técnico.Facilidade no uso. ameaças novas. logar tráfego para auditoria e deve limitar a exposição dos hosts internos aos hosts da Internet. a privacidade. algumas tarefas não podem ser executadas. proteger a rede contra usuários internos mal intencionados.. autenticar usuários. a integridade e a disponibilidade. decidindo quais pacotes de dados podem passar e quais não. o serviço de e-mail da rede). é que as regras aplicadas podem ser muito complexas e causar perda de desempenho da rede ou não serem eficazes o suficiente. ele é também o responsável por aplicar as regras de segurança.. Flexibilidade . seja de fato. bem como.Processo que bloqueia ou permite conexões de entrada ou de saída baseado em filtros de acesso ou através de mecanismos inteligentes que detectam o uso abusivo. esse tipo de firewall determina que endereços IPs e que dados podem estabelecer comunicação e/ou transmitir/receber dados. Controle de Acesso . TIPOS DE FIREWALL: Filtragem de pacotes O firewall que trabalha na filtragem de pacotes é muito utilizado em redes pequenas ou de porte médio. Auditoria Processo vital na detecção de vulnerabilidades e acessos indevidos. Componentes de um bom Firewall: Autenticação . conexões que não passam por ele. Este tipo se restringe a trabalhar nas camadas TCP/IP. entretanto. bloqueando o acesso temporariamente.Processo que verifica a identidade de um usuário para assegurar de que o mesmo que está pedindo o acesso.Três fatores estão em risco quando. espionagem de dados secretos enquanto em trânsito pela rede e um usuário não autenticado convence a rede que ele foi autenticado. Tais escolhas são regras baseadas nas informações endereço IP remoto. tal como o ICQ). além da porta TCP usada.O Firewall deve permitir o pleno funcionamento dos serviços prestados na rede. Existem situações de riscos como. como. e três fatores precisam ser resguardados. Compatibilidade . Ele é o ponto de conexão com a Internet. o mesmo a quem o acesso é autorizado. por terem riscos elevados (como softwares de mensagens instantâneas. Alguns sistemas ou serviços podem ser liberados completamente (por exemplo. os computadores e as informações guardadas. Nos conectamos a Internet. no qual ele não foi parametrizado para executar uma ação. a reputação. enquanto outros são bloqueados por padrão. roubo de conexão depois dela ter sido autenticada.

muro. procurador. Proxy é uma palavra em inglês que. Tudo deve passar pelo firewall. a aplicação simplesmente não funciona. que atua como um intermediador. uma solução é criar um "proxy genérico". . E o que é Firewall? Segundo Michaelis é Firewall – parede. inclusive. o que permite um controle ainda maior do que pode ou não ser acessível. significa: Proxy . Em casos assim. um equipamento que presta um serviço de procurador de um computador de uma rede em outra rede.) são instalados geralmente em computadores servidores e são conhecidos como proxy. Este tipo não permite comunicação direta entre a rede e a Internet. Isto coloca o Servidor Proxy como um dos três tipos clássicos de Firewall. também é capaz de analisar informações sobre a conexão e notar alterações suspeitas. Este tipo de firewall é mais complexo. etc. O Serviço de Proxy age como representante de um usuário que precise acessar um sistema do outro lado do Servidor Proxy. em essência. guarda-fogo. representante. O firewall de aplicação permite um acompanhamento mais preciso do tráfego entre a rede e a Internet (ou entre a rede e outra rede). Essa tarefa só é bem realizada por administradores de rede ou profissionais de comunicação qualificados. evitando que o endereço IP do computador seja conhecido na outra rede. através de uma configuração que informa que determinadas aplicações usarão certas portas. É possível. Firewall de aplicação Firewalls de controle de aplicação (exemplos de aplicação: SMTP.Quando devidamente configurado. HTTP. além de ter a capacidade de analisar o conteúdo dos pacotes. pois todas as aplicações precisam de um proxy. SERVIDOR PROXY Proxy Server x Firewall Inicialmente precisamos definir o que é um Servidor Proxy. FTP. porém muito seguro. segundo o Michaelis. Portanto Servidor Proxy é. Tais características deixam claro que este tipo de firewall é voltado a redes de porte médio ou grande e que sua configuração exige certa experiência no assunto. contar com recursos de log e ferramentas de auditoria. esse tipo de firewall permite que somente "computadores conhecidos troquem determinadas informações entre si e tenham acesso a determinados recursos".procuração. Caso não haja. O proxy efetua a comunicação entre ambos os lados por meio da avaliação do número da sessão TCP dos pacotes. substituto. Um firewall assim.

Vão existir casos que um Proxy transparente vai lhe oferecer o suficiente para fazer o que você quer fazer e vão existir casos em que você vai precisar de funções que somente um Proxy controlado está disposto a lhe oferecer. suas vantagens e desvantagens • Claro que dependendo do seu caso como um administrador de redes. o cliente é obrigado a passar pelo Proxy. pode ser utilizado para uso com SSL. Proxy. um Firewall é um equipamento ou programa que funciona como muro de proteção de uma rede de dados de acessos não desejados. Eles possuem mais opções que o Proxy transparente para facilitar o controle de quem pode ou não utilizar o Proxy. como o próprio Squid. oriundos de outras redes ou equipamentos. principalmente. programas como ICQ funcionam plenamente com ele e não precisa que as máquinas clientes sejam configuradas. em alguns casos. possuindo um desempenho na rede geralmente melhor. TIPOS DE PROXY Existem basicamente dois tipos de Proxy: o Proxy Transparente e o Proxy Controlado. Veja a seguir as diferenças: Proxy Transparente • Nele é simplesmente feito um repasse de pacotes vindos da internet para uma máquina que está na rede interna. Proxy para SSL e o uso de listas de controles de acesso (ACL's) que nós veremos mais à frente. VANTAGENS: Proxy Transparente É mais simples de ser configurado quando já está habilitado no Kernel.Então. . você vai ter que decidir qual tipo de Proxy você vai utilizar. Proxy Controlado • Essa é a categoria dos softwares especializados em agir como servidores Proxy. Qualquer equipamento que controle o tráfego por razões de segurança pode ser chamado Firewall. não possui nenhuma segurança de acesso e não possui um sistema de caching. é necessária a recompilação do Kernel do sistema. DESVANTAGENS: Proxy Transparente Possui menos recursos que um Proxy Controlado. pode servir para liberação de internet mediante autenticação do usuário e. o que o torna mais lento em uma rede. solicitação de autenticação. precisa de configurações no Kernel e. Proxy Controlado Com ele você pode utilizar listas de controles de acesso (ACL's) para controlar quem usa e quem não usa o seu Proxy. possui um sistema de caching.

chamado de Bastion Host conta com um Proxy de circuito para autenticar o acesso da rede da empresa para a internet e filtrar o acesso da Internet contra a rede da empresa. Como na arquitetura anterior. as empresas preferem implementar um Firewall baseado apenas em uma máquina. ARQUITETURAS DE FIREWALL Normalmente. a rede da empresa ficará totalmente vulnerável. se o Proxy for quebrado. pois o filtro. Figura 1 : Screened Router Gateway de Base Dupla (Dual Homed Gateway): Aqui. Quase sempre. entretanto. esse Gateway. pode ocorrer dos usuários removerem as configurações do Proxy assim que você tiver saído da sala e sua configuração é mais complicada. se as regras do roteador forem quebradas. são compostos de várias partes. os Firewalls mais robustos. a rede da empresa ficará totalmente vulnerável. . é rápido de se implementar e seu custo é zero. veja algumas arquiteturas a seguir: Roteador com Triagem (Screening Router): Essa é a maneira mais simples de se implementar um Firewall. seja ele um host PC ou um roteador. é posto uma única máquina com duas interfaces de rede entre as duas redes (a Internet e a rede da empresa).Proxy Controlado Programas como ICQ e o protocolo SMTP não funcionam muito bem com ele. entretanto. apesar de ser de difícil elaboração.

formando assim. . Observe a figura abaixo: Figura 3: Screened Host Gateway A primeira camada. duas camadas de proteção. são usados conjuntamente em uma arquitetura. que está interligada com a Internet através do roteador.Figura 2 : Dual Homed Gateway Gateway Host com Triagem (Screened Host Gateway) Roteador e Gateway aqui. é a rede externa. nesta camada a rede só conta com o "filtro de pacotes" que está implementado no roteador e tem como finalidade aceitar ou bloquear pacotes de rede seguindo as regras definidas pela política administrativa da empresa.

Sub-rede com Triagem (Screened Subnet): Roteador e Gateway são usados aqui também conjuntamente em uma arquitetura que é bem parecida com a arquitetura anterior. É adicionada uma rede perimetral entre uma rede não confiável (geralmente a .A segunda camada é a rede interna. Em outras palavras a arquitetura Screened Subnet adiciona uma camada extra de segurança à arquitetura Screened Host. a camada de serviços nesta. fortalecendo bem a transparência da camada. é a externa. está dividida em duas partes. recebem duas filtragens. pois nele. em uma das sub-redes que podem ser criadas nele. E-mail. fica na mesma linha da camada interna. Observe a figura abaixo: Figura 4: Screened Subnets A primeira camada. Web. a do roteador e a do próprio programa Firewall. nesta camada a rede só conta com o "filtro de pacotes" que está implementado no roteador. atrás do Bastion Host Gateway. A segunda camada. que está interligada com a Internet através do roteador. e quem limita os acessos neste ponto é um Bastion Host com um Proxy Firewall. a de serviços prestados (Exemplo. entretanto. e tem como finalidade aceitar ou bloquear pacotes de rede seguindo as regras definidas pela política administrativa da empresa. Ftp e Ras) e a interna (rede da empresa). fortalecendo bem os serviços contra ataques. temos um outro filtro de pacotes além de mecanismos de autenticação da própria rede interna. Esta camada utiliza também uma outra técnica chamada NAT. e elas. que tem por finalidade transcrever números de internet em números privados.

Como uma recepção de um edifício os Bastion Hosts são expostos a possíveis elementos hostis. Abaixo um outro exemplo de DMZ: Entendendo o Bastion Host Bastion Host é qualquer computador configurado para desempenhar algum papel crítico na segurança da rede interna. É como se fosse a recepção de um prédio. sem que para tanto. Esta rede perimetral também é conhecida como DMZ (DeMilitarized Zone) ou zona desmilitarizada. tendo ou não permissão. Firewalls existentes Existe uma quantidade grande de soluções de firewall disponível. o usuário necessite ter muito conhecimento no assunto. uma rede com poucas regras de segurança que se comporta como uma outra sub-rede atrás de um firewall onde temos uma máquina segura na rede externa que não executa nenhum serviço. ou seja.zonealarm. podem não ter permissões de subir as escadas nem mesmo utilizar os elevadores. não causando problemas para a rede da empresa. ele fica publicamente presente na Internet. No caso de uma invasão de primeiro nível. Para usuários domésticos que usam o sistema operacional Windows. Em ambos os casos. o atacante terá acesso apenas ao firewall. .com). mas ficará preso na máquina do serviço que ele explorar.Internet) e uma rede confiável (rede local). com mais recursos. provendo os serviços permitidos pela política de segurança da empresa. Estes por sua vez. Já em invasões de segundo nível o atacante irá passar pelo firewall para a sub-rede interna. Mas podem vagar livremente pela recepção e se informarem sobre o que necessitam. Um Bastion Host é a sua presença pública na Internet. que oferecem bons níveis de segurança. mas apenas avalia as requisições feitas a ela e encaminha cada serviço para cada destino na rede interna. um dos mais conhecidos é o ZoneAlarm (www. é possível utilizar configurações prédefinidas. que dispõe de uma versão gratuita e outra paga. Estranhos. precisam inicialmente passar pelos Bastion Hosts antes de alcançarem a rede interna.

é um bom aliado na segurança.Vale citar que o Windows XP já vem com um firewall. Para ativá-lo. No entanto. este firewall é mais complexo e exige algum conhecimento do assunto.org). . Usuários de Linux podem contar com a ferramenta IPTables (www. para Linux ocorre o mesmo.iptables. inclusive para trabalhar na rede. que apesar de não ser tão eficiente. vá em Iniciar / Configurações / Conexões de Rede / Conexão Local / Propriedades / Avançado e habilite o item Firewall de Conexão com a Internet. Mas assim como existem várias opções para o Windows.

Sign up to vote on this title
UsefulNot useful