Escolar Documentos
Profissional Documentos
Cultura Documentos
eriberto@eriberto.pro.br, joaomf@ucb.br
1. Introdução
Washington, DC, 21 de abril de 2009 [CNN, 2009, tradução] 1 - Milhares de arquivos
confidenciais, relativos ao projeto do mais avançado avião de combate dos EUA,
foram comprometidos por "hackers" não identificados nos últimos dois anos, conforme
o relato de oficiais superiores do sistema de defesa americano no Pentágono, que não
quiseram identificar-se, em virtude da sensibilidade da informação. Os invasores
tiveram acesso, pela Internet, não só ao projeto, mas também ao sistema de controle de
tráfego da Força Aérea.
No mundo atual, quase todas as atividades humanas, tanto nas profissões quanto
na vida pessoal, são assistidas por computadores. Em grande parte das vezes, esses
computadores trabalham em rede e tais redes têm contato com a Internet. Esse tipo de
cenário oferece um grande perigo, pois atacantes do mundo inteiro podem utilizar a
Internet como via de acesso para as redes que a ela se ligam. Isso não descarta a
2. Conceitos preliminares
Para entender sistemas de firewall, torna-se necessário o conhecimento de conceitos
básicos como protocolos de rede, modelo OSI e outros itens específicos. Esta seção
abordará tais conceitos.
2.2. Protocolo IP
O protocolo IP é o principal protocolo da família TCP/IP. Segundo [FOROUZAN,
2007, tradução]:
A [RFC 791, 1981]5 e as suas atualizações são responsáveis por especificar o IP.
A Figura 2 mostra a estrutura de um cabeçalho IP.
É importante citar que um dos campos mais interessantes do protocolo IP é o
"protocol". Este campo estabelece o protocolo a ser transportado pelo IP. Isso porque o
IP é um protocolo que transporta outros protocolos. Em outras palavras, dentro do
payload do IP só é possível encontrar um outro protocolo, que deve pertencer à lista dos
"protocolos IP". Essa lista é disponibilizada pela [IANA, 2009]6.
Vários protocolos IP, por serem muito utilizados, são muito populares. A Tabela
1 relaciona alguns desses protocolos IP.
Tabela 1 - Alguns dos protocolos IP mais conhecidos. Fonte: [IANA, 2009]8.
Nr Protocolo
1 ICMP
6 TCP
17 UDP
50 IPSec
51 IPSec
17 Disponível em <http://www.sans.org/reading_room/whitepapers/standards/ \
the_osi_model_an_overview_543>. Acesso em 29 nov. 2009.
• Sessão: responsável pelo controle de diálogo e sincronização entre
aplicações.
• Apresentação: realiza a tradução, (des)compressão e (de)cifragem de
dados de aplicações.
• Aplicação: provê serviços para os usuários.
Na prática, o TCP/IP pode ser disposto no modelo OSI de acordo com o
mostrado Figura 9.
2.8. DMZ
DMZ, que é a abreviatura de demilitarized zone ou zona desmilitarizada, é uma rede
separada utilizada para reunir servidores que terão contato com redes públicas externas.
[GORALSKI, 2009, tradução] afirma:
É importante salientar que, em princípio, a DMZ nunca deverá ter contato com as
redes internas por iniciativa própria. Isso porque, em caso de uma intrusão, o invasor
deverá ficar contido na DMZ, sem a possibilidade de saída daquele "bolsão".
3. Sistemas de firewall
Baseando-se nos conhecimentos anteriores, a partir deste ponto serão mostrados os
conceitos relativos a sistemas de firewall.
4. Elementos de firewall
Um sistema de firewall deverá ser composto por diversos elementos. Cada elemento terá
uma função específica, atuando em uma ou mais camadas do modelo OSI. As camadas
mais significativas são as 2 (enlace), 3 (rede), 4 (transporte) e 7 (aplicação).
A seguir, serão analisados os principais elementos que poderão compor sistemas
de firewall.
Figura 12 - O mascaramento.
A Figura 13 mostra uma situação de rede com base na qual será utilizada uma
regra de Netfilter para estabelecer o tráfego por estados.
Figura 13 - Um exemplo de filtragem por estados.
4.3. Proxies
A palavra proxy pode ser traduzida como procurador. Proxies servem de intermediários
entre clientes e servidores para que seja dado um determinado nível de segurança a tais
clientes ou aos serviços na rede. Eles atuam diretamente na camada 7 e entendem a
camada 3, para poderem selecionar o tráfego alvo. A [RFC 2616, 1999, tradução] diz:
19 Disponível em <http://publib.boulder.ibm.com/infocenter/iseries/v5r3/index.jsp?topic=/rzaie/ \
rzaieproxytypes.htm>. Acesso em 01 dez. 09.
Figura 15 - O proxy reverso. Fonte: [IBM, 2005]20.
No caso do proxy reverso, a requisição do cliente chega até ele (o proxy) e este
se encarrega de buscar os dados solicitados e entregar. Com isso, não há o contato
direto entre cliente e servidor. Há uma falsa situação de NAT porque o endereço IP que
20 Disponível em <http://publib.boulder.ibm.com/infocenter/iseries/v5r3/index.jsp?topic=/rzaie/ \
rzaieproxytypes.htm>. Acesso em 01 dez. 09.
chega ao servidor é o do proxy e não o do cliente. Esta situação pode ser vista na Figura
18.
4.4. IDS
O Intrusion Detection System é um elemento de firewall que tem a tarefa de analisar o
tráfego de rede, principalmente payload da camada 7, registrando em log os eventos
considerados maliciosos, como ataques ou requisições irregulares. Não há qualquer
bloqueio de tráfego.
Os IDS são elementos extremamente detalhistas, fornecendo toda a informação
possível sobre o ocorrido. Muitos falsos positivos são gerados pelos IDS e isso deve ser
4.5. IPS
O Intrusion Prevention System é um elemento similar ao IDS com três pequenas
diferenças:
• Bloqueia o tráfego malicioso.
• Não pode gerar falsos positivos.
• Tem que ser mais rápido do que um IDS, gerando logs menos detalhados.
Em virtude do IPS não poder gerar falsos positivos, o que bloquearia tráfego
legítimo, a política deverá ser diferente da utilizada para criar regras no IDS. Em
consequência, depois de todo IPS deverá haver um IDS. O objetivo é identificar nos logs
do IDS todo o tráfego malicioso que não foi bloqueado pelo IPS. Isso será muito útil
para gerar novas regras.
Os IPS que atuam como bridge são conhecidos como scrubbers. Eles atuam
silenciosamente e, por não possuírem endereço IP e não produzirem respostas, são
considerados invisíveis. Um exemplo é o HLBR23, que pode, inclusive, utilizar
expressões regulares nas suas regras.
É importante ressaltar que o conceito de IPS é relativamente recente (em torno
do ano de 2002) e que referências antigas poderão versar sobre IDS reativos e outros
aparatos obsoletos.
Todos os IPS e IDS mostrados na Figura 20 estão em bridge. Com isso, esses
IPS e IDS, por estarem instalados na camada 2 do modelo OSI, e em consequência não
possuírem endereço IP, são considerados invisíveis. No entanto, os IPS só serão
realmente invisíveis se descartarem o tráfego malicioso silenciosamente, sem enviar
qualquer aviso sobre esse fato para o atacante. IPS e IDS invisíveis, em princípio, devem
ser colocados antes dos filtros de pacotes, proxies e outros elementos de firewall, a fim
de proteger os mesmos.
Um dos mais importantes princípios de segurança é o de que ninguém é
confiável, nem mesmo os usuários internos. Então, deve haver uma preocupação de
proteção contra ataques internos. Funcionários insatisfeitos, por exemplo, podem realizar
ataques de vulto.
Como já foi dito, na Figura 20, os IPS e IDS, ambos em bridge, protegem os
demais elementos de firewall. Exceção feita ao roteador WAN, que pertence à empresa
de telecomunicações. No entanto, esse roteador está enquadrado no sistema de firewall
da rede por possuir regras de filtragem e tráfego (ACL ou Active Control List). Caso
não houvesse ACLs, o roteador WAN não faria parte do sistema de firewall.
No sentido Internet - usuários, há um filtro de pacotes em um roteador (ambos na
camada 3, rede) que realiza a operação de NAT de redirecionamento para quem chega e
NAT de mascaramento para quem sai da rede. Além disto, esse filtro de pacotes (e
também estados, se for o caso) também possui regras bloqueando alguns tipos de
tráfegos. Ele permite o acesso da Internet e dos usuários à DMZ. Esse mesmo filtro,
agora atuando como filtro de estados, permite o acesso da Internet e da DMZ, de forma
restrita, aos usuários internos (apenas respostas a conexões iniciadas pelos usuários). É
princípio fundamental que a DMZ e a Internet, por iniciativa própria, não tenham acesso
às redes internas. Esse filtro também pode impedir o acesso da Internet ao servidor FTP
quando o tráfego não se tratar de resposta a uma solicitação de tal servidor.
É muito importante ressaltar que o NAT de redirecionamento não deve ser feito
de host para host mas sim de porta para porta. Considerando-se a máquina filtro de
pacotes citada, esta não deve redirecionar tudo que nela chegar para a máquina X, por
exemplo. O correto é redirecionar tudo o que chegar na porta 80 da máquina filtro, por
exemplo, para a porta 80 da máquina X. Isso evitará que qualquer outra porta aberta na
máquina X seja acessada de forma inoportuna por alguém da Internet.
A próxima máquina contém três elementos: um filtro de pacotes, um proxy
HTTP de encaminhamento transparente e um antivírus. Os objetivos são controlar o
acesso de usuários a sites da Internet, gerar um log de acessos, acelerar a navegação por
intermédio do uso de cache, controlar o uso do servidor FTP pelos usuários e detectar
possíveis vírus e worms em sites.
Depois da máquina anterior, com o objetivo de dar proteção a ela, aos servidores
da DMZ e servidor FTP, contra ataques de usuários, há uma dupla IPS-IDS em bridge.
Ainda, antes do servidor FTP e cada servidor da DMZ há um proxy reverso, evitando o
contato direto cliente-servidor.
Finalizando, em cada servidor e elemento de firewall deverá ser instalado um
verificador de integridade de arquivos.
9. Conclusão
A evolução da informática e a dependência da mesma pelo ser humano criou um novo
problema: a insegurança virtual. Atualmente, vive-se em rede. Vai-se ao banco em rede,
pede-se comida em rede, compra-se um MP3 player diretamente do Japão em rede. Com
essa faceta da vida moderna, cresce cada vez mais a necessidade de segurança. Na rede,
isso pode ser obtido por intermédio de um sistema de firewall.
Sistemas de firewall são mecanismos complexos, utilizados para prover
segurança às redes. É preciso haver a inspeção completa de cada pacote, analisando
cabeçalhos e payloads, buscando descobrir todos os riscos que os mesmos possam
CHESWICK, William R.; BELLOVIN, Steven M.; RUBIN, Aviel D. Firewalls and
Internet security. Addison-Wesley, 2ª edição, 2003.
EYCHENNE, Herve. Iptables - administration tool for IPv4 packet filtering and
NAT. Linux manpages, 2008.
IBM. Proxy server types and uses for HTTP Server. Disponível em
<http://publib.boulder.ibm.com/infocenter/iseries/v5r3/index.jsp?topic=/rzaie/ \
rzaieproxytypes.htm>. Acesso em 02 dez. 09.
ARAÚJO, André Bertelli; MOTA FILHO, João Eriberto. HLBR - Hogwash Light BR.
SourceForge.net, 2005. Disponível em <http://hlbr.sf.net>. Acesso em 01 dez. 2009.
______. HLBR - O emprego de uma bridge como IPS para a segurança em redes
de computadores. Eriberto.pro.br, 2006. Disponível em <http://www.eriberto.pro.br/
artigos/hlbr_wsl2006.pdf>. Acesso em 01 dez. 2009.
______. Proxy reverso HTTP com Squid (versão 2.6 ou superior). Eriberto.pro.br,
2009. Disponível em <http://tiny.cc/proxy_reverso_squid>. Acesso em 01 dez. 2009.