Escolar Documentos
Profissional Documentos
Cultura Documentos
Descrição de Firewall:
Um componente ou um conjunto de componentes que restringem o acesso entre a rede e a internet, ou entre
varias redes.
O projeto de um firewall passa primeiro pela escolha da sua arquitetura. Entre as principais arquiteturas
existentes temos: Dual-homed host, screened host e screened subnet.
Em todas as arquiteturas listadas acima encontramos uma entidade chamada Bastion Host, que pode ser
definido como um Gateway entre as duas redes usando como medida de segurança, o Bastion Host serve
para defender a rede interna contra ataques da rede externas. Dependendo da complexidade e da
configuração da rede o Bastion Host pode se proteger ou fazer parte de um sistema de segurança muito mais
complexo com varias camadas de proteção.
O nome se inspira nas proteções altamente fortificadas dos castelos medievais. Este computador costuma
oferecer algum serviço para a internet, tal como WWW e correio, entre outros, e costuma abrigar algum tipo
de filtro como, por exemplo, um servidor Proxy.
Uma outra palavra muito usada é DMZ, que significa De-Militarized Zone, ou zona desmilitarizada, nome
dado à região que separa as Coréias do Norte e do Sul, também conhecida como “Rede Periférica”.
Antes de conhecermos os conceitos de arquitetura de firewall vejamos o conceito de Bastion Host, ao qual
será muito referenciado nos documentos a seguir.
Princípios gerais
Mantenha simples: Quanto mais simples for o Bastion Host, mais simples será mante-lo seguro.
Todo serviço que um Bastion Host for fornecer, pode conter bugs, ou erros de implementações que podem
significar problemas de segurança. Portanto, tente deixar o Bastion Host o mais “enxuto” possível, deixando
serviços mais críticos em sua rede interna, como servidores http ou de correio eletrônico.
Prepare-se para ser invadido: Embora você tome todas as precauções de manter o Bastion Host seguro,
tenha em mente que ele é uma maquina mais acessada pelo mundo exterior. Somente antecipando o pior e
preparando um bom plano de contingência você poderá minimizar o problema.
Escolhendo o equipamento que será o Bastion Hosts
O primeiro passo para a implementação de um Bastion Host é escolher que tipo de maquina servirá para este
propósito
- Uma maquina mais lenta é um alvo menos convidativo. Há muito mais satisfação e prestígio a um cracker,
invadir um Supercomputador.
- Se invadida, uma máquina lenta é menos útil para atacar os sistemas internos ou outros sites. É mais
demorado para se compilar qualquer código; não é eficiente quando se tenta rodar dicionários de senhas, e
além de tudo tem um menor apelo para ataques.
- Um equipamento veloz pode desperdiçar boa parte de sua capacidade de processamento aguardando uma
conexão lenta por exemplo, o que significaria desperdício de dinheiro indiretamente.
O processo básico de configurar uma máquina para ser segura e resistente a um ataque segue os seguintes
passos:
1- Proteger a maquina.
2- Desabilitar todos os serviços indesejados.
3- Instalar ou modificar os serviços que o usuário deseja conceder.
4- Configurar a máquina de maneira adequada de acordo com a sua aplicação final.
5- Executar um exame de segurança para estabelecer um padrão de comparação.
6- Conectar a maquina na rede na qual ela será utilizada.
O filtro de pacotes é por exemplo, parte integrante do Kernel do Linux e suas configurações são feitas
através de ferramentas específicas para a versão do Kernel em uso; entre elas as mais conhecidas são a
ipchains e a iptables. Abaixo figura que demonstra como o Kernel toma a decisão para os pacotes.
A Seguir os principais conceitos de arquitetura de firewall
Dual-Homed Host
A arquitetura Dual-Homed host é montada sobre um computador com no mínimo duas interfaces de rede.
Este computador age então como um roteador entre as redes que estão conectadas às suas placas de rede. É
possível então usar este computador como um firewall.
Assim sendo pacotes IP recebidos de uma rede (por exemplo à internet) não são retransmitidos diretamente
para a outra (por exemplo, a rede interna protegida).
Sistemas dentro do firewall podem se comunicar com a internet e com a rede interna protegida, porém,
sistemas fora do firewall só conseguem se comunicar com o firewall , não podendo alcançar a rede
protegida. A comunicação direta entre sistemas está completamente protegida.
A arquitetura de rede para um firewall Dual-Homed host é muito simples; o Dual-Homed host fica situado
entre a Internet e a rede internet conforme figura abaixo.
A arquitetura Dual-Homed Hosts é provida de um controle de alto nível, mas, por outro lado, ela não possui
boa performance. Ela realiza muito mais trabalho por conexão do que por exemplo, o packet filter.
O Dual-homed host não suporta mais trafego do que um sistema equivalente ao packet filter.
Como toda a rede interna depende de uma única máquina para se conecta com o mundo exterior, deve-se ter
certeza de que a segurança que a cerca é a melhor possível, pois qualquer problema pode comprometer a
conexão de toda a rede interna ligada à internet. Se a empresa depende fortemente da internet isso pode se
transformar num problema grave.
Screened Host
Considerando que uma arquitetura Dual-Homed Host prove serviços para hosts ligados a varias redes, mas
com o serviço de roteamento desligado, a arquitetura Screened Host prove serviços somente para os hosts
que estão ligados na rede interna, usando para isso um roteador separado.
Nesta arquitetura a segurança primaria é fornecida por um packet filtering, neste caso um roteador. A figura
abaixo mostra de forma bem simplificada a arquitetura Screened Host.