Firewall

Descrição de Firewall:
Um componente ou um conjunto de componentes que restringem o acesso entre a rede e a internet, ou entre
varias redes.

Os componentes podem ser tanto equipamentos servidores de plataforma PC ou produtos específicos

distribuídos pelos principais fabricantes, sejam eles 3COM, D - Link, Cisco, Alcatel, etc.

O projeto de um firewall passa primeiro pela escolha da sua arquitetura. Entre as principais arquiteturas
existentes temos: Dual-homed host, screened host e screened subnet.

Em todas as arquiteturas listadas acima encontramos uma entidade chamada Bastion Host, que pode ser
definido como um Gateway entre as duas redes usando como medida de segurança, o Bastion Host serve
para defender a rede interna contra ataques da rede externas. Dependendo da complexidade e da
configuração da rede o Bastion Host pode se proteger ou fazer parte de um sistema de segurança muito mais
complexo com varias camadas de proteção.

O nome se inspira nas proteções altamente fortificadas dos castelos medievais. Este computador costuma
oferecer algum serviço para a internet, tal como WWW e correio, entre outros, e costuma abrigar algum tipo
de filtro como, por exemplo, um servidor Proxy.

Uma outra palavra muito usada é DMZ, que significa De-Militarized Zone, ou zona desmilitarizada, nome
dado à região que separa as Coréias do Norte e do Sul, também conhecida como “Rede Periférica”.

Antes de conhecermos os conceitos de arquitetura de firewall vejamos o conceito de Bastion Host, ao qual
será muito referenciado nos documentos a seguir.

Conceito de Bastion Hosts:

Um Bastion Host é a sua presença pública na Internet. Pense como se fosse à recepção de um prédio.
Estranhos, podem não ter permissão de subir as escadas nem mesmo utilizar os elevadores. Mas podem
vagar livremente pela recepção e se informarem do que necessitam. Como uma recepção de um edifício, os
Bastion Hosts são expostos a possíveis elementos hostis. Estes por sua vez, tendo ou não permissão,
precisam inicialmente passar pelos Bastion Hosts antes de alcançarem à rede interna.

Princípios gerais

Mantenha simples: Quanto mais simples for o Bastion Host, mais simples será mante-lo seguro.
Todo serviço que um Bastion Host for fornecer, pode conter bugs, ou erros de implementações que podem
significar problemas de segurança. Portanto, tente deixar o Bastion Host o mais “enxuto” possível, deixando
serviços mais críticos em sua rede interna, como servidores http ou de correio eletrônico.

Prepare-se para ser invadido: Embora você tome todas as precauções de manter o Bastion Host seguro,
tenha em mente que ele é uma maquina mais acessada pelo mundo exterior. Somente antecipando o pior e
preparando um bom plano de contingência você poderá minimizar o problema.
Escolhendo o equipamento que será o Bastion Hosts
O primeiro passo para a implementação de um Bastion Host é escolher que tipo de maquina servirá para este
propósito

Quão rápida deve ser ?

Em sua maioria os Bastion Hosts não precisam ser máquinas velozes e potentes. Aliás é até bom que não
sejam, além do custo mais baixo, podemos usar os seguintes argumentos para não super equipar uma
máquina que fará às vezes de um Bastion host.

- Uma maquina mais lenta é um alvo menos convidativo. Há muito mais satisfação e prestígio a um cracker,
invadir um Supercomputador.

- Se invadida, uma máquina lenta é menos útil para atacar os sistemas internos ou outros sites. É mais
demorado para se compilar qualquer código; não é eficiente quando se tenta rodar dicionários de senhas, e
além de tudo tem um menor apelo para ataques.

- Um equipamento veloz pode desperdiçar boa parte de sua capacidade de processamento aguardando uma
conexão lenta por exemplo, o que significaria desperdício de dinheiro indiretamente.

O processo básico de configurar uma máquina para ser segura e resistente a um ataque segue os seguintes
passos:

1- Proteger a maquina.
2- Desabilitar todos os serviços indesejados.
3- Instalar ou modificar os serviços que o usuário deseja conceder.
4- Configurar a máquina de maneira adequada de acordo com a sua aplicação final.
5- Executar um exame de segurança para estabelecer um padrão de comparação.
6- Conectar a maquina na rede na qual ela será utilizada.

O que é filtro de pacotes:

Um filtro de pacotes é simplesmente um mecanismo que decide que tipos de data gramas podem ser
processados normalmente e quais serão descartados.

O filtro de pacotes é por exemplo, parte integrante do Kernel do Linux e suas configurações são feitas
através de ferramentas específicas para a versão do Kernel em uso; entre elas as mais conhecidas são a
ipchains e a iptables. Abaixo figura que demonstra como o Kernel toma a decisão para os pacotes.
 A Seguir os principais conceitos de arquitetura de firewall

Dual-Homed Host
A arquitetura Dual-Homed host é montada sobre um computador com no mínimo duas interfaces de rede.
Este computador age então como um roteador entre as redes que estão conectadas às suas placas de rede. É
possível então usar este computador como um firewall.

Assim sendo pacotes IP recebidos de uma rede (por exemplo à internet) não são retransmitidos diretamente
para a outra (por exemplo, a rede interna protegida).

Sistemas dentro do firewall podem se comunicar com a internet e com a rede interna protegida, porém,
sistemas fora do firewall só conseguem se comunicar com o firewall , não podendo alcançar a rede
protegida. A comunicação direta entre sistemas está completamente protegida.

A arquitetura de rede para um firewall Dual-Homed host é muito simples; o Dual-Homed host fica situado
entre a Internet e a rede internet conforme figura abaixo.
A arquitetura Dual-Homed Hosts é provida de um controle de alto nível, mas, por outro lado, ela não possui
boa performance. Ela realiza muito mais trabalho por conexão do que por exemplo, o packet filter.

O Dual-homed host não suporta mais trafego do que um sistema equivalente ao packet filter.
Como toda a rede interna depende de uma única máquina para se conecta com o mundo exterior, deve-se ter
certeza de que a segurança que a cerca é a melhor possível, pois qualquer problema pode comprometer a
conexão de toda a rede interna ligada à internet. Se a empresa depende fortemente da internet isso pode se
transformar num problema grave.

A arquitetura Dual-Homed host é apropriada em um firewall para um sistema com as seguintes

características:

- Pequeno trafego na internet.

- Tráfego pela internet não é critico para a empresa.
- Não há serviços a prover aos usuários da internet.
- A rede protegida não contém dados de alto valor.

Screened Host
Considerando que uma arquitetura Dual-Homed Host prove serviços para hosts ligados a varias redes, mas
com o serviço de roteamento desligado, a arquitetura Screened Host prove serviços somente para os hosts
que estão ligados na rede interna, usando para isso um roteador separado.

Nesta arquitetura a segurança primaria é fornecida por um packet filtering, neste caso um roteador. A figura
abaixo mostra de forma bem simplificada a arquitetura Screened Host.