Conce|to t|pos vantagens e

desvantagens
|rewa|| um ques|to de segurana
com cada vez ma|s |mportnc|a no
mundo da computao
med|da que o uso de |nformaes e
s|stemas cada vez ma|or a proteo
destes requer a ap||cao de
ferramentas e conce|tos de segurana
ef|c|entes
f|rewa|| uma opo prat|camente
|mpresc|nd|ve|
Vamos mostrar o que f|rewa|| seus
t|pos modos de func|onamento e o
porqu de us|o em seu computador
s s|stemas f|rewa|| nasceram no
f|na| dos anos 80 fruto da
necess|dade de cr|ar restr|o de
acesso entre as redes ex|stentes
com po||t|cas de segurana no
con[unto de protoco|os 1C]I
-esta poca a expanso das redes
acadm|cas e m|||tares que cu|m|nou
com a formao da AkA-1 e
poster|ormente a Internet e a
popu|ar|zao dos pr|me|ros
computadores tornandose a|vos fce|s
para a |nc|p|ente comun|dade hacker
Casos de |nvases de redes e fraudes
em s|stemas de te|efon|a comearam
a surg|r e foram retratados no
f||me loqos de 6uerro (War
Games) de 1983
m 1988 adm|n|stradores de rede
|dent|f|caram o que se tornou a pr|me|ra
grande |nfestao de v|rus de computador e
que f|cou conhec|do como Internet Worm
m menos de 24 horas o worm escr|to
por kobert 1 Morr|s Ir d|ssem|nouse por
todos os s|stemas da ento ex|stente
Internet (formado exc|us|vamente
por redes governamenta|s e
de ens|no) provocando um
Verdade|ro apago na rede
termo em |ng|s f|rewa|| faz a|uso
comparat|va da funo que este
desempenha para ev|tar o a|astramento de
acessos noc|vos dentro de uma rede de
computadores a uma parede ant|chamas
que ev|ta o a|astramento de |ncnd|os
pe|os cmodos de
uma ed|f|cao
que |rewa||
|rewa|| pode ser def|n|do como uma barre|ra de
proteo que contro|a o trfego de dados entre
seu computador e a Internet (ou entre a rede onde
seu computador est |nsta|ado e a Internet) Seu
ob[et|vo perm|t|r somente a transm|sso e a
recepo de dados autor|zados x|stem f|rewa||s
baseados na comb|nao de hardware e software
e f|rewa||s baseados somente em software ste
|t|mo o t|po recomendado ao uso domst|co e
tambm o ma|s comum
xp||cando de mane|ra ma|s prec|sa o
f|rewa|| um mecan|smo que atua como
defesa de um computador ou de uma
rede contro|ando o acesso ao s|stema por
me|o de regras e a f||tragem de dados A
vantagem do uso de f|rewa||s em redes
que somente um computador pode atuar
como f|rewa|| no sendo necessr|o |nsta|
|o em cada mqu|na conectada
Como o |rewa|| unc|ona
n ma|s de uma forma de
func|onamento de um f|rewa|| que var|a
de acordo com o s|stema ap||cao ou
do desenvo|vedor do programa
-o entanto ex|stem do|s t|pos bs|cos de
conce|tos de f|rewa||s o que baseado
em f||tragem de pacotes e o que
baseado em contro|e de ap||caes
kazes para ut|||zar um f|rewa||
A segu|r so c|tadas as 3 pr|nc|pa|s razes
para se usar um f|rewa||
1 o f|rewa|| pode ser usado para a[udar
a |mped|r que sua rede ou seu
computador se[a acessado sem
autor|zao Ass|m poss|ve| ev|tar que
|nformaes se[am capturadas ou que
s|stemas tenham seu func|onamento
pre[ud|cado pe|a ao de hackers
2 o f|rewa|| um grande a||ado no
combate a v|rus e cava|osdetr|a
uma vez que capaz de b|oquear
portas que eventua|mente
se[am usadas pe|as pragas d|g|ta|s"
ou ento b|oquear acesso a
programas no autor|zados
3 em redes corporat|vas poss|ve|
ev|tar que os usur|os acessem
serv|os ou s|stemas |ndev|dos a|m
de ter o contro|e sobre as aes
rea||zadas na rede sendo poss|ve| at
mesmo descobr|r qua|s usur|os as
efetuaram
|rewa||s ex|stentes
x|ste uma quant|dade grande de
so|ues de f|rewa|| d|spon|ve| ara
usur|os domst|cos que usam o
s|stema operac|ona| W|ndows um dos
ma|s conhec|dos o 2oneA|arm
(wwwzonea|armcom) que d|spe de
uma verso gratu|ta e outra paga com
ma|s recursos
Va|e c|tar que o
W|ndows [ vem
com um f|rewa||
que apesar
de no ser to
ef|c|ente um
bom a||ado na
segurana
|rewa|| Ap||cao
|rewa||s de contro|e de ap||cao
(exemp|os de ap||cao SM1 1
n11 etc) so |nsta|ados gera|mente
em computadores serv|dores e so
conhec|dos como proxy ste t|po no
perm|te comun|cao d|reto entre a
rede e a Internet
1udo deve passar pe|o f|rewa||
que atua como um |ntermed|ador
proxy efetua a comun|cao
entre ambos os |ados por
me|o da ava||ao do
nmero da sesso
1C dos pacotes
ste t|po de f|rewa|| ma|s comp|exo
porm mu|to seguro po|s todas as
ap||caes prec|sam de um proxy Caso
no ha[a a ap||cao s|mp|esmente no
func|ona m casos ass|m uma so|uo
cr|ar um proxy genr|co atravs de uma
conf|gurao que |nforma que
determ|nadas ap||caes usaro certas
portas ssa tarefa s bem rea||zada por
adm|nstradores de rede ou prof|ss|ona|s
de comun|cao qua||f|cados
f|rewa|| de ap||cao perm|te um
acompanhamento ma|s prec|so do trfego
entre a rede e a Internet (ou entre redes)
1a|s caracter|st|cas de|xam c|aro que este
t|po de f|rewa|| vo|tado a redes de porte
md|o ou grande e que sua conf|gurao
ex|ge certa exper|nc|a no assunto
Vantagens
W ode supr|r a def|c|nc|a dos mode|os
trad|c|ona|s e mapear todas as transaes
espec|f|cas que acontecem na camada da
ap||cao Web propr|etr|a
W or ser um term|nador do trfego SSL pode
ava||ar h|pertextos cr|ptografadas (n11S) que
or|g|na|mente passar|am desperceb|dos ou no
ana||sados por f|rewa||s trad|c|ona|s de rede
W oss|b|||tam o uso de f||tragem com base em
|nformao de n|ve| de ap||cao (exemp|o UkL
poss|b|||tando estabe|ec|mento de zonas com
d|ferentes t|pos de acesso)
W oss|b|||dade de atuarem de acordo com
|nformao de estado e no apenas com base em
regras de acesso estt|cas
W oss|b|||dade de func|onarem como arqu|vos
temporr|os de |nformao (cach|ng servers)
produz|ndo me|hor|as ao n|ve| do desempenho
esvantagens
W Ma|or comp|ex|dade de conf|gurao e
manuteno em re|ao f||tragem de
pacotes
W -ecess|dade de ut|||zao
de software de proxy para cada ap||cao
W Const|tuem pontos n|cos de fa|ha
||tragem de pacotes
f|rewa|| que traba|ha na f||tragem de
pacotes mu|to ut|||zado em redes
pequenas ou de porte md|o or me|o de
um con[unto de regras estabe|ec|das esse
t|po de f|rewa|| determ|na que endereos
Is e dados podem estabe|ecer
comun|cao e]ou transm|t|r]receber
dados
A|guns s|stemas ou serv|os podem ser
||berados comp|etamente (por exemp|o o
serv|o de ema|| da rede) enquanto outros so
b|oqueados por padro por terem r|scos
e|evados (como softwares de mensangens
|nstantneas ta| como o IC) grande
prob|ema desse t|po de f|rewa|| que as regras
ap||cadas podem ser mu|to comp|exas e causar
perda de desempenho da rede ou no serem
ef|cazes o suf|c|ente
ste t|po se restr|nge a traba|har nas
camadas 1C]I dec|d|ndo qua|s pacotes
de dados podem passar e qua|s no 1a|s
esco|has so regras baseadas nas
|nformaes endereo I remoto
endereo I do dest|natr|o a|m da
porta 1C usada
uando dev|damente conf|gurado esse
t|po de f|rewa|| perm|te que somente
computadores conhec|dos troquem
determ|nadas |nformaes entre s| e
tenham acesso a determ|nados recursos
Um f|rewa|| ass|m tambm capaz de
ana||sar |nformaes sobre a conexo e
notar a|teraes suspe|tas a|m de ter a
capac|dade de ana||sar o contedo dos
pacotes o que perm|te um contro|e a|nda
ma|or do que pode ou no ser acess|ve|
Vantagens
W -o so necessr|as a|teraes ao n|ve| do
c||ente L tudo fe|to nos roteadores esta
uma das razes da f||tragem de pacotes ser
cons|derada uma tecno|og|a de
f|rewa|| barata e sem grandes sof|st|caes
W Mu|tos dos roteadores encontrados no
mercado [ |nc|uem |nmeras
potenc|a||dades de f||tragem de pacotes
reduz|ndo ass|m a necess|dade de
hardware ou software extra
W ste mtodo tornase bastante atrat|vo
quando oramento reduz|do quando
no h grandes necess|dades ou
ex|gnc|as ao n|ve| da segurana e o
contro|o de acessos no um fator
cons|derado essenc|a|
esvantagens
W A f||tragem de pacotes tem um n|ve| de
segurana extremamente pr|mr|o As suas
regras so extremamente d|f|ce|s de
espec|f|car e no tem fac|||dade de aud|tor|a
e reg|sto de eventos ou se[a o feedback
proporc|onado ao ut|||zador mu|to
reduz|do como consequnc|a desse fato
caso a|guma das regras se[a v|o|ada no h
forma de o saber e se por ventura houver a
poss|b|||dade de o v|rmos a saber
provave|mente [ ser bastante tarde para
poder ag|r
W -o nos perm|te executar testes de ef|cc|a o
que poder s|gn|f|car ter o s|stema com fa|has
graves ao n|ve| da segurana e no ex|st|r forma
de o saber A|m de que os hackers "passaro por
c|ma" deste mtodo de segurana com extrema
fac|||dade Ass|m caso se use este mtodo
bastante aconse|hve| o uso de um f|rewa|| por
software como comp|emento ad|c|ona| para a
me|hor|a da segurana da rede
roxy |rewa|| ou Gateways de
Ap||cao
s conce|tos de gateways de ap||cao foram
|ntroduz|dos por Marcus kanum em 199S
1raba|hando como uma espc|e de ec|usa
o f|rewa|| de proxy traba|ha recebendo o f|uxo
de conexo tratando as requ|s|es como se
fossem uma ap||cao e or|g|nando um novo
ped|do sob a responsab|||dade do
mesmo f|rewa|| para o serv|dor de dest|no A
resposta para o ped|do receb|da
pe|o f|rewa|| e ana||sada antes de ser entregue
para o so||c|tante or|g|na|
W s gateways de ap||caes conectam as redes
corporat|vas Internet atravs de estaes
seguras (chamadas de bast|on hosts) rodando
ap||cat|vos espec|a||zados para tratar e f||trar
os dados (os proxy f|rewa||s)
W stes gateways ao receberem as requ|s|es
de acesso dos usur|os e rea||zarem uma
segunda conexo externa para receber estes
dados acabam por esconder a |dent|dade
dos usur|os nestas requ|s|es externas
oferecendo uma proteo ad|c|ona| contra a
ao dos crackers
esvantagens
W ara cada novo serv|o que aparece na
Internet o fabr|cante deve desenvo|ver o seu
correspondente agente de roxy Isto pode
demorar meses tornando o c||ente
vu|nerve| enquanto o fabr|cante no ||berta
o agente espec|f|co A |nsta|ao
manuteno e atua||zao dos agentes
do roxy requerem serv|os espec|a||zados e
podem ser bastante comp|exos e caros
W s prox|es |ntroduzem perda de desempenho
na rede [ que as mensagens devem ser
processadas pe|o agente do roxy
or exemp|o o serv|o 1 manda um ped|do
ao agente do roxy para 1 que por sua vez
|nterpreta a so||c|tao e fa|a com o serv|dor
1 externo para comp|etar o ped|do
W A tecno|og|a atua| perm|te que o custo de
|mp|ementao se[a bastante reduz|do ao
ut|||zar CUs de a|to desempenho e ba|xo custo
bem como s|stemas operac|ona|s abertos
(L|nux) porm ex|gese manuteno espec|f|ca
para assegurar que se[a mant|do n|ve| de
segurana adequado (ex ap||cao de
correes e conf|gurao adequada dos
serv|dores)
|rewa||s baseados no estado
W ste f|rewa|| ana||sa o trfego ao n|ve|
do I e 1C]U constru|ndo tabe|as de
estado das ||gaes Internet de modo a que
este[am guardados dos ataques do
t|po spoof|ng rep|ay|ng entre outros
Vantagens
W oss|b|||tam um func|onamento ao n|ve| da
ap||cao de forma d|nm|ca
W odem |nc|u|r func|ona||dades como
encr|ptao de dados encapsu|amento e
ba|anceamento de carga
W A manuteno e conf|gurao so
extremamente reduz|das e de fc|| ap||cao
por parte do ut|||zador
esvantagens
W A ma|or desvantagem poder ser a questo do
preo a pagar por este t|po de tecno|og|a uma
vez que se trata de a|go mu|to ma|s ef|c|ente que
os anter|ores e com mu|to menos necess|dade de
|nterveno por parte do ut|||zador |ogo os
custos sero bastante e|evados por outro |ado
se a prem|ssa pr|nc|pa| for a segurana ento
sem dv|da que esta ser a me|hor so|uo a
adapta
f|rewa|| do W|ndows ho[e em d|a
provave|mente a tecno|og|a de segurana ma|s
usada pe|o comum ut|||zador ara a|m de ser
para um uso domst|co conf|ve| e seguro trata
se de um f|rewa|| por software que [ se encontra
|nc|u|do no s|stema operat|vo que ut|||zamos nas
nossas casas o W|ndows A|m do fator custo
ex|ste o fator de fac|||dade de conf|gurao
ut|||zao e manuteno do f|rewa|| do W|ndows
o qua| como do conhec|mento gera| no requer
nenhum conhec|mento aprofundado sobre a
matr|a segurana
m Segurana da |nformao chamase ngenhar|a
Soc|a| as prt|cas ut|||zadas para obter acesso a
|nformaes |mportantes ou s|g||osas em organ|zaes ou
s|stemas por me|o da enganao ou exp|orao da
conf|ana das pessoas
ara |sso o go|p|sta pode se passar por outra
pessoa assum|r outra persona||dade f|ng|r que
um prof|ss|ona| de determ|nada rea etc L
uma forma de entrar em organ|zaes que no
necess|ta da fora bruta ou de erros em
mqu|nas xp|ora as fa|has de segurana das
prpr|as pessoas que quando no tre|nadas
para esses ataques podem ser fac||mente
man|pu|adas
As empresas esto |nvest|ndo na
modern|zao de seus parques tecno|g|cos e
esto de|xando de |ado o fator humano A
engenhar|a soc|a| exp|ora essa vu|nerab|||dade
s pr|nc|pa|s a|vos so as grandes corporaes
porque segundo pesqu|sa rea||zada nos
stados Un|dos em 2002 os |nvest|mentos em
segurana no acompanham o cresc|mento das
empresas
s ataques de engenhar|a soc|a| no possuem
frmu|a nem mtodo def|n|do |es podem ter
aspectos f|s|cos e ps|co|g|cos -o f|s|co
exp|oram o |oca| de traba|ho vascu|ham ||xe|ras
e por te|efone se passam por outra pessoa
-o ps|co|g|co exp|oram o |ado sent|menta| das
pessoas -o 8ras|| a|nda no h uma |eg|s|ao
espec|f|ca que puna estes t|pos de cr|mes
ento a|m da consc|ent|zao e tre|namentos
constantes as empresas devem possu|r um
p|ano de cont|ngnc|a para eventua|s ataques e
ass|m garant|r a cont|nu|dade dos negc|os