Internet Firewalls

Arquiteturas de Firewall
Packet Filters
Bastion Host
Arquiteturas screened subnet
Arquiteturas screened host
Packet Filters
Atuao de um Screening Router
Endereo IP fonte
Endereo IP destino
Protocolo: Se o pacote TCP, UDP
ou ICMP
Portas TCP ou UDP fontes
Portas TCP ou UDP destino
Tipo de mensagem ICMP (se for o
caso)
ACK bit no protocolo TCP
A interface na qual o pacote chega
A interface pela qual o pacote sai
Ataque do tipo IP spoofing
Xwindows, RPC, NFS, TFTP, SNMP,
NIS, etc.
Esquematizao de Regras de
filtragem (protocolo DNS)
Operaes de um Packet Filter
Vantagens e Desvantagens
Aes do Screening Router
Riscos na filtragem
Caractersticas desejveis em um
screening router

Mltiplos roteadores
Bastion Host
Tipos Especiais de Bastion Hosts
Dual-homed Host
Construindo um Bastion Host
Proxy Systems
Um Dual-homed host atuando como
proxy server
Como funciona um Proxy Server
Vantagens e Desvantagens
Screened Subnet
Introduo
Screened Subnet utilizando um nico
roteador
Anlise frente as Estratgias de
Segurana
Como construir uma screened
subnet utilizando ferramentas
freewares
Screened Host
Introduo
Anlise frente as Estratgias de
Segurana
Anexo
Ferramentas freeware
Ferramentas de autenticao
Ferramentas de packet filtering
Ferramentas Proxies

Arquiteturas de Firewall
O Firewall consiste em um conjunto de componentes organizados de uma forma
a garantir certos requisitos de segurana. Os componentes bsicos para a
construo de um firewall so:

Packet Filters : so responsveis pela filtragem (exame) dos pacotes

que trafegam entre dois segmentos de rede.
Bastion Host: computador responsvel pela segurana de um ou mais
recursos (servios) da rede.
Determinadas arquiteturas recebem denominaes especiais e servem
como referncia para a construo de uma infinidade de variantes. As
arquiteturas screened subnet e screened host podem ser consideradas
clssicas. Destacam-se porque so resultantes de uma disposio
bsica dos componentes packet filter e bastion host [SPO 96].

Packet Filters
Como um primeiro passo ao se implementar uma barreira de segurana em
uma rede de computadores, fundamental que se conheca os detalhes dos
protocolos de comunicao utilizados. Na Internet, a ateno deve ser voltada
aos protocolos IP, TCP, ICMP e UDP. Estes so os principais protocolos a nvel
de rede e transporte (Modelo OSI) que so considerados e examinados ao se
estabelecer regras de filtragem em um packet filter para a Internet. Este
mecanismo de filtragem a nvel de roteador possibilita que se controle o tipo de
trfego de rede que pode existir em qualquer segmento de rede;
conseqentemente, pode-se controlar o tipo de servios que podem existir no
segmento de rede. Servios que comprometem a segurana da rede podem,
portanto, ser restringidos.

Com o exposto acima, fica evidente que um packet filter no se

encarrega de examinar nenhum protocolo de nvel superior ao nvel de
transporte, como por exemplo o nvel de aplicao que fica como
tarefa dos application gateways (proxy servers). Portanto, qualquer
falha de segurana a nvel de aplicao no pode ser evitada utilizando
somente um packet filter.
O componente que realiza a filtragem de pacotes geralmente um roteador
dedicado, mas tambm pode ser um host de propsito geral configurado como
roteador, e recebe a denominao de screening router (FIG. 1). H ferramentas
freeware (veja Anexos) disponveis na Internet para se configurar um simples
PC como um roteador com recursos de filtragem de pacotes, consistindo em
uma alternativa de baixo custo. Deve-se ressaltar que o processo de filtragem
de pacotes acarreta num overhead ao sistema; portanto, para uma situao de
alto trfego necessrio que se utilize um roteador com uma velocidade de
processamento compatvel com as necessidades.

FIGURA 1 - Atuao de um Screening Router

Frizando que a filtragem dos pacotes no considera protocolos acima do nvel

de transporte, no tomada nenhuma deciso baseada no contedo dos
pacotes; ou seja, nos dados dos pacotes propriamente ditos. A filtragem que a
maioria dos screening routers realizam so baseadas nas seguintes
informaes:

Endereo IP fonte;
Endereo IP destino;
Protocolo: Se o pacote TCP, UDP ou ICMP;
Portas TCP ou UDP fontes;
Portas TCP ou UDP destino;
Tipo de mensagem ICMP (se for o caso).
No protocolo TCP existe um flag denominado ACK que utilizado para
confirmao de pacotes e tambm pode ser utilizado para detectar se o pacote
o primeiro de uma solicitao de conexo. Quando o flag no estiver setado
significa que o pacote se refere a uma solicitao de conexo e, caso contrrio,
o pacote corresponde a alguma conexo j existente (FIG. 2). Desta forma, o
packet filter pode bloquear um servio inbound (de fora para dentro; ou seja, o
servidor est na rede interna) apenas no permitindo o fluxo de pacotes com o
ACK setado destinado a um servidor interno associado a port (por exemplo, a
port 23 do telnet) do servio bloqueado. Em protocolos no orientados a
conexo, por exemplo o protocolo UDP, no possvel tomar nenhuma deciso
deste tipo; ou seja, nestes protocolos, nunca se sabe se o pacote que est
chegando o primeiro que o servidor est recebendo. Para fazer uma filtragem
correta dos pacotes, importante saber se o protocolo bidirecional (pacotes

fluem nos dois sentidos, cliente para servidor e vice-versa) ou unidirecional.

No se pode confundir servios inbound (a rede interna provendo algum
servio) e servios outbound (o cliente est na rede interna e o servidor na
Internet) com pacotes inbound (pacotes que chegam na rede interna) e pacotes
outbound (pacotes que saem da rede interna); ou seja, ambos os servios
apresentam pacotes inbound e outbound caso o protocolo seja bidirecional.

FIGURA 2 - ACK bit no protocolo TCP

importante que o roteador tenha facilidades de filtragem por interfaces de

rede. Ou seja, todas as interfaces disponveis no roteador so submetidas s
regras de filtragem, possibilitando que as regras sejam aplicadas considerando
as seguintes informaes:

A interface na qual o pacote chega;

A interface pela qual o pacote sai.
O IP Spoofing (FIG. 3) um ataque que pode ser evitado com a
aplicao do recurso exposto acima. Neste ataque o intruso tenta se
passar como um host interno (um host considerado confivel)
utilizando o endereo IP deste como o endereo fonte. Se a filtragem
realizada por interface em ambos os sentidos, este ataque no
funciona porque jamais um pacote pode chegar do mundo externo
(Internet) tendo como endereo fonte o endereo de uma mquina
que est na rede interna; ou seja, s poderia chegar naquela interface
no outro sentido.

FIGURA 3 - Ataque do tipo IP spoofing

Eis alguns exemplos de regras de filtragem que poderiam ser aplicadas em um

screening router:

Bloquear todas as solicitaes de conexo de hosts da rede externa

com a sub-rede "X.X.8" (conectada em alguma interface do roteador),
exceto conexes SMTP (Porta TCP nmero 25);
Bloquear todas as conexes para e de certos sites considerados no
confiveis;
Desabilitar source routing (roteamento de e para a mquina destino
especificado no prprio pacote);
Bloquear os servios considerados inseguros tais como Xwindows,
RPC, NFS, TFTP, SNMP, NIS, etc.
A sintaxe dessas regras de filtragem depende do produto (roteador) utilizado
porque atualmente no existe um padro de sintaxe. aconselhvel montar
uma tabela com as possibilidades de pacotes para cada servio a ser provido.
Veja um exemplo na TABELA 1. Descrio dos campos da tabela:

direction, a direo do pacote (in: entrando no roteador; out: saindo

do roteador);
source address, o endereo fonte;
destination address, o endereo destino;

protocol, o protocolo utilizado;

source port, a porta fonte;
destination port, a porta destino;
ACK set, indica se o flag ACK est setado;
notes apresenta um breve comentrio sobre a regra.
TABELA 1 - Ex. Esquematizao de Regras de filtragem (protocolo
DNS)

Operaes de um Packet Filter

Quase todos os dispositivos atuais de filtragem de pacotes operam da seguinte
maneira[SIY 95]:

Os critrios de filtragem de pacotes devem ser armazenados para as

portas do dispositivo de filtragem de pacotes. Os critrios de filtragem
de pacotes so chamados regras de filtragem de pacotes.
Quando o pacote chega em uma porta, os cabealhos do pacote so
analizados. Muitos dispositivos examinam os campos somente nos
cabealhos dos protocolos IP, TCP ou UDP.
As regras de filtragem so armazenadas em uma ordem especfica.
Cada regra aplicada ao pacote na ordem em que as regras esto
armazenadas.
Se uma regra bloqueia a transmisso ou recepo do pacote, o pacote
bloqueado.
Se uma regra permite a transmisso ou recepo do pacote, o pacote
aceito para prosseguir.
Se um pacote no satisfaz qualquer regra ele bloqueado.
Pelas regras 4 e 5 fica evidente que a ordem das regras de filtragem
de fundamental importncia. Uma ordenao incorreta das regras
pode acarretar em bloqueio de servios vlidos e em permisso de
servios que deveriam ser negados. Da regra 6 segue a filosofia "O
que no expressamente permitido proibido".
Vantagens e Desvantagens
Algumas vantagens dos packet filters so:

Pode ajudar a proteger toda uma rede, principalmente se este o

nico roteador que conecta a rede interna Internet;
A filtragem de pacotes transparente e no requer conhecimento nem
cooperao dos usurios;
Est disponvel em muitos roteadores.
Algumas desvantagens so:
As ferramentas de filtragem atualmente disponveis no so perfeitas;
Alguns protocolos no so bem adaptados para a filtragem;
Algumas polticas no podem ser aplicadas somente com a filtragem
de pacotes.
Quando se aplica alguma restrio em algum protocolo de mais alto
nvel, atravs de nmeros de ports, espera-se que nada alm do
prprio servio esteja associado quela port; entretanto, usurios
internos mal intencionados podem subverter este tipo de controle
colocando outro programa (desenvolvido por ele) associado a essa

port. Como citado anteriormente, um firewall no apropriado para se

defender de ameaas internas.
Aes do Screening Router
O roteador encarregado da filtragem dos pacotes pode executar uma srie de
atividades que servem, entre outras coisas, para monitorar o sistema. Algumas
atividades so:

Realizar logs de acordo com a configurao especificada pelo

administrador. Dessa forma, possvel analisar eventuais tentativas
de ataque, bem como verificar a correta operao do sistema;
Retorno de mensagens de erros ICMP: caso um pacote seja barrado
existe a possibilidade de se enviar ao endereo fonte alguma
mensagem com o cdigo de erro ICMP do tipo host unreachable ou
host administratively unreachable. Entretanto, tais mensagens, alm
de causar um overhead, podem fornecer algumas informaes sobre o
packet filter ao atacante, pois dessa forma ele poderia descobrir quais
os protocolos que so barrados e quais esto disponveis; portanto,
recomenda-se que no se retorne nenhum cdigo ICMP de erro para
hosts na rede externa.
Riscos na filtragem
A filtragem por endereo fonte apresenta alguns riscos. H dois tipos de
ataques possveis:

Source address: o atacante forja o endereo fonte utilizando o

endereo de uma mquina (externa ou interna) considerada confivel
(trusted) pelo firewall (FIG. 02)l. Este ataque pode ter sucesso
principalmente quando o atacante no precisa capturar (ou seja, estar
em um caminho entre o firewall e o host forjado) nenhum pacote e
quando,caso a mquina forjada seja interna, no houver mecanismos
de filtragem que impeam o ip spoofing (citado anteriormente); a
resposta ao ataque poderia ser o envio de alguma informao (por
exemplo o arquivo passwd) via email diretamente ao atacante;
Man in the middle: alm de forjar o endereo, nesse ataque o atacante
deve estar no caminho entre o firewall e o host confivel porque ele
tem de capturar os pacotes que so, na realidade, enviados ao host
confivel (da a denominao do ataque).
Muitos desses ataques s funcionam quando o host confivel (aquele
cujo endereo utilizado pelo atacante) estiver fora de operao,
porque assim que ele receber algum pacote que no esteja relacionado
com nenhuma conexo que ele tenha iniciado ele solicitar que a
conexo forjada seja encerrada. Existem vrias formas de se evitar

que o host confivel tome conhecimento da conexo forjada pelo

atacante, eis alguns mtodos:
Confundindo o roteamento entre a mquina real (host confivel) e a
mquina alvo;
Utilizando um ataque onde somente a primeira resposta requerida,
de tal forma que o reset solicitado pela mquina real no importar;
Inundando a mquina real com pacotes lixo (por exemplo, pacotes
ICMP) enquanto o ataque ocorre, de forma que a mquina real ficar
ocupada tentando processar os pacotes lixo que ela recebe;
Utilizando source routing.
A filtragem baseada na port fonte apresenta um problema semelhante quele
da filtragem pelo endereo fonte. Assume-se que a uma determinada port um
determinado servio esteja associado, mas nada impede (como citado
anteriormente) que algum com os devidos direitos (por exemplo, root no Unix)
substitua o servidor por outro. Para evitar este tipo de ataque, deve-se garantir
que o servidor seja confivel e execute somente o permitido; impedindo, de
outra forma, que o cliente devidamente modificado posso solicitar alguma
facilidade que comprometa o servidor. Portanto, fundamental que tanto o
servidor como tambm os clientes utilizados no sejam passiveis de serem
alterados indevidamente por pessoas mal intencionadas. Vale salientar que
uma soluo plausivel a tcnica de type enforcement (abordada
anteriormente) implementada a nvel de sistema operacional.
Caractersticas desejveis em um screening router
Eis algumas caractersticas altamente desejveis a fim de que se possa realizar
uma filtragem de pacotes bem apurada:

Ter uma boa performance na filtragem dos pacotes: um overhead

aceitvel de acordo com as necessidades;
Pode ser um roteador dedicado ou um computador de propsito geral
executando algum sistema de roteamento;
Permitir uma especificao de regras de forma simples;
Permitir regras baseadas em qualquer cabealho ou critrio metapacket (por exemplo, em qual interface o pacote chegou ou est
saindo);
Aplicar as regras na ordem especificada;
Aplicar as regras separadamente para pacotes que chegam e partem
em e de cada interface de rede;
Registrar informaes sobre pacotes aceitos e rejeitados;
Ter capacidade de teste e validao.
Mltiplos roteadores

Em muitas configuraes mais seguras, como a screened subnet, constata-se

que h pelo menos dois roteadores no firewall: um interno (entre a rede interna
e a perimeter network) e outro externo (entre a Internet e a perimeter
network). Esta uma aplicao das estratgias defense in depth e multiple
defense (caso os roteadores sejam produtos diferentes). H tambm a situao
em que se utiliza um nico roteador mas com mltiplas interfaces de rede (por
exemplo: uma interface conectada na Internet, outra com a perimeter network
onde esto os bastion hosts e a outra conectada rede interna).

Para cada roteador existente no firewall devem ser elaboradas as

regras de filtragem baseadas na sua posio relativa dentro do firewall
e, quando possivel, no se deve poupar na redundncia (caso um
roteador falhe, o outro impedir que a falha se propague alm dos
seus domnios).

Bastion Host
Bastion host qualquer mquina configurada para desempenhar algum papel
crtico na segurana da rede interna; constituindo-se na presena pblica na
Internet, provendo os servios permitidos segundo a poltica de segurana da
empresa.

Marcus Ranum um dos responsveis pela popularidade deste termo

na comunidade profissional de firewall, segundo ele "bastions so
reas crticas de defesa, geralmente apresentando paredes fortes,
salas para tropas extras, e o ocasional til repositrio de leo quente
para desencorajar os atacantes[CHA 95]".
Um bastion host deve ter uma estrutura simples, de forma que seja
fcil de garantir a segurana. importante que se esteja preparado
para o fato de que o bastion host seja comprometido, considerando
que ele provavelmente (dependendo do site) ser alvo de ataques.
O bastion host tem responsabilidades diferentes do packet filter,
dependendo do seu tipo. Alguns autores enfatizam que enquanto o
packet filter atua em um nvel mais baixo o bastion host se encarrega
de todos os nveis (referentes ao modelo OSI). Na realidade, um host
pode acumular tanto as funes de filtragem de pacotes como tambm
pode prover alguns servios; neste caso, ele seria um packet filter e
bastion host simultaneamente (exemplo: dual homed host).
Independentemente de qual seja a nomenclatura adotada, o que se
deve ter em mente o papel que estes dois componentes
desempenham: filtragem e provedor de servios. Traando um
paralelo destes dois componentes em relao ao modelo OSI, o packet
filter realiza algum exame dos pacotes at o nvel 4 (transporte)
enquanto que o bastion host se encarrega basicamente dos nveis
superiores (fundamentalmente o de aplicao, nvel 7).
Este tipo de mquina tambm recebe a denominao de application gateway
porque funciona como um gateway a nvel de aplicao. Os servidores
disponveis nos bastion host so denominados de proxy servers; ou seja,
servidores por procurao que atuam como intermedirios entre o cliente e o
servidor. Neste caso, os servios s podem ser providos via bastion host,
obrigando o cliente (por exemplo, via regras de filtragem nos roteadores) a
acessar estas mquinas; portanto, este um mecanismo que garante que o
servio ser provido de forma segura para usurios internos e externos e
impede que o bastion host seja desviado (a no ser que o roteador seja
comprometido e as regras de filtragem alteradas).

Tipos Especiais de Bastion Hosts

Dependendo da localizao do bastion host dentro do firewall, tem-se alguns
tipos de mquinas com funes diferenciadas na segurana, os quais so[CHA
95]:

Dual homed host: trata-se de um computador com duas interfaces de

rede conectadas cada uma a segmentos diferentes de rede. Uma das
caractersticas fundamentais dessa configurao que o roteamento
direto (IP forwarding) desabilitado e, portanto, todo o roteamento
realizado a nvel de aplicao. Neste caso, todos os servios segurados
podem ser fornecidos via procurao (proxy servers) e somente o
trfego referente aos servios habilitados via proxy e aqueles
especificados pelas regras de filtragem circulam entre os dois
segmentos de rede conectados ao bastion host (FIG. 4);
Victim machines: estas mquinas abrigam servios que no so
considerados fceis de serem segurados. A mquina configurada
basicamente somente com os servios fornecidos para garantir que
nada mais significativo esteja a disposio do atacante caso a mquina
seja comprometida. Geralmente uma screened subnet possui uma ou
mais mquinas deste tipo;
Internal bastion hosts: so aquelas mquinas com maior interao
com as mquinas internas (por exemplo, uma mquina que recebe o
email e o reenvia a um servidor de correio eletrnico residente na rede
interna).
FIGURA 4 - Dual-homed Host

Caso o bastion host esteja localizado junto a sub-rede interna (como na

arquitetura screened host), ele pode ser facilmente desviado (bypassed)na
ocorrncia do roteador externo ser comprometido. O mesmo no ocorreria caso
este bastion host fosse do tipo dual homed e estivesse entre o roteador externo
e a rede interna. Em [CHA 95] h a recomendao para no se utilizar a
configurao do dual homed host fundida com o roteador interno porque todo o
trfego interno pode ser capturado caso o bastion host seja comprometido. Em
contrapartida, a fuso do bastion com o roteador externo pode ser realizada
sem que ocorra grandes problemas (caso exista um roteador interno).
Construindo um Bastion Host
Uma vez definidos os servios a serem providos pelo bastion host, configura- se
a mquina de acordo com o tipo de bastion host necessrio. Caso o servio seja
extremamente seguro, poder-se-ia prov-lo utilizando apenas filtragem de
pacotes, mas importante observar que abrir uma passagem para uma
mquina interna para prover tal servio significa tornar todas as demais
mquinas da sub-rede igualmente atingveis caso o roteador seja
comprometido. A soluo manter todos os servios disponveis Internet em
um ou mais bastion hosts e, caso o servio seja considerado altamente
inseguro, deve-se escolher uma mquina vtima para prov-lo.

H alguns passos bsicos para construir um bastion host[CHA 95]:

Tornar a mquina segura;
Desabilitar todos os servios no desejados;
Instalar ou modificar os servios que se deseja prover;
Reconfigurar a mquina a partir de uma configurao conveniente para
desenvolvimento em seu estado final de execuo;
Rodar uma auditoria de segurana para estabelecer uma linha base;
Conectar a mquina na rede na qual ela ser utilizada.
Uma mquina dual homed deve ter o roteamento direto entre as duas
interfaces desabilitado (conforme dito anteriormente). Para que isso seja feito,
algumas vezes necessrio que o kernel do sistema operacional seja
recompilado; entretanto, h algumas plataformas que permitem que essa
configurao seja realizada de uma forma mais flexvel sem que precise
recompilar o sistema. Infelizmente, desabilitar o roteamento direto nem sempre
suficiente para desabilitar todos os recursos de roteamento da mquina. Em
algumas plataformas como por exemplo as baseadas no Unix BSD (SunOS,
Ultrix,etc), possvel desabilitar o roteamento direto mas geralmente
permanece a opo de source routing habilitada. Source routing um
mecanismo de roteamento que consiste no seguinte: junto ao pacote, alm das
informaes convencionais, envia-se a rota (as mquinas pelas quais deve

passar) que o pacote deve seguir at o destino, de forma que as mquinas

intermedirias por onde o pacote trafegar no utilizaro as suas potencialidades
de roteador para definir a rota, seguindo estritamente a rota especificada no
pacote. Se o screening router permitir, deve-se desabilitar pacotes source
routed, aliviando o bastion host deste problema. Utilizando IP spoofing e source
routing fica fcil ao atacante obter sucesso em suas investidas (alm de forjar o
endereo ele garante que os pacotes seguiro direto para a sua mquina).
Considerando que o mecanismo de source routing no considerado necessrio
a nenhum servio usual fornecido via Internet, a melhor soluo rejeitar
qualquer pacote deste tipo no choke point do firewall; ou seja, no roteador
externo.
Proxy Systems
Uma maneira de tornar seguro um servio no permitir que cliente e servidor
interajam diretamente. Proxy systems so sistemas que atuam em nome do
cliente de uma forma transparente. Os servios proxies so implementaes
mais seguras que as convencionais, provendo apenas as facilidades necessrias
para fornecer o servio. Estes procuradores residem em algum bastion host no
firewall. Para que estes hosts no sejam desviados (bypassed) necessrio que
seja utilizado em conjunto um packet filter, de forma que este force o trfego
(dos servios via procurao) atravs do bastion host, ou ento se utiliza um
dual homed host como servidor porque desta forma ele funciona como um
choke point de fato sem que para isso seja necessrio um roteador (FIG. 5).

FIGURA 5 - Um Dual-homed host atuando como proxy server.

Como funciona um Proxy Server

Alguns servios, denominados store-and-forward, tais como SMTP, NNTP e NTP,
suportam proxying de uma forma natural. Estes servios so projetados de tal
forma que as mensagens (email, news, clock settings) so recebidos por um
servidor e ento armazenados at que eles possam ser enviados adiante para
um outro servidor apropriado. Portanto, cada host intermedirio atua como
uma espcie de procurador.

O proxy server atua como um procurador que aceita as chamadas que

chegam e checa se uma operao vlida. Aps receber a chamada e
verificar que a solicitao permitida, o servidor procurador envia
adiante a solicitao para o servidor real. A procurao atua como
servidor para receber a solicitao que chega e como um cliente
quando envia adiante a solicitao (FIG. 6). Depois que a sesso
estabelecida, a aplicao procuradora atua como uma retransmissora e
copia os dados entre o cliente que iniciou a aplicao e o servidor.
Devido ao fato de todos os dados entre o cliente e o servidor ser
interceptado pelo application proxy ele tem controle total sobre a
sesso e pode realizar um logging to detalhado quanto se desejar.
FIGURA 6 - Funcionamento genrico de um Proxy Server

Para servios que no apresentam caractersticas originais de proxying (como

os citados acima), os detalhes do funcionamento do procurador dependem de
cada protocolo (servio) em questo. Em contrapartida, a comunicao do
programa cliente com o servidor proxy pode ser realizada de duas formas
distintas:

Custom client software: trata-se de um cliente modificado. Nessa

situao o programa cliente deve saber como o servidor proxy opera,
como contat-lo e como passar as informaes sobre o servidor real
solicitado. Para o usurio tudo se passa de uma forma completamente
transparente;
Custom user procedures: neste caso o usurio utiliza um cliente
convencional, sem alteraes, para contatar o servidor proxy. O
processo ocorre da seguinte forma: o usurio contata o servidor proxy
da mesma forma como um servidor qualquer; aps, utilizando
procedimentos diferentes (comandos do proxy server), ele fornece as
informaes acerca do servidor real a ser contatado; o servidor ento
realiza a conexo com o referido servidor e, feito isso, o usurio estar
numa interface igual quela que estaria caso estivesse acessado
diretamente o servidor remoto. A desvantagem desta alternativa a
falta de transparncia; entretanto, tem-se como vantagem a
reutilizao dos mesmos programas clientes.
Vantagens e Desvantagens
Algumas vantagens de sistemas procuradores so:

Permitem aos usurios acesso direto aos servios na Internet: apesar

de haver um procurador atuando em nome do cliente, este mantm a
iluso de estar ser comunicando diretamente com o servidor remoto;
Bons mecanismos de log: como todo o trfego dos servios procurados
passa pelo servidor procurador, e tudo at o nvel de aplicao, uma
grande quantidade de informaes podem ser registradas de acordo
com as necessidades de auditoria e segurana.
Algumas desvantagens dos servidores procuradores so:
H um atraso significativo entre o surgimento de um novo servio e
um correspndente servidor proxy;
Pode ser necessrio utilizar diferentes servidores procuradores para
cada servio;
Geralmente requerem modificaes nos clientes, nos procedimentos ou
em ambos;
Alguns servios no so viveis para operar via procuradores
(exemplo: talk, que parte baseado em TCP e parte em UDP);
Um servio por procurao no protege contra todas as fraquezas dos
protocolos, depende da habilidade de se determinar que operaes so
seguras em um determinado protocolo.
Quando um servidor procurador atende a um nico servio, recebe a
denominao de servidor dedicado ou application level. Quando um

servidor atende a uma certa gama de servios este denominado

servidor genrico ou circuit level. Um procurador genrico no pode
interpretar o protocolo de aplicao e precisa obter informaes
atravs de outros meios para poder atender aos servios. Esta a
principal desvantagem de um servidor genrico.

Screened Subnet

Introduo

Composta por componetes mais bsicos (packet filters e bastion hosts) esta
uma arquitetura que apresenta mltiplos nveis de redudncia e prov um bom
esquema de segurana, constituindo-se em um exemplo clssico de
arquiteturas de firewall.

Os componentes deste tipo de firewall incluem os seguintes (FIG. 7):

Perimenter Network: citado anteriormente, constitui-se numa sub-rede
situada entre a rede interna e a rede externa (Internet);
Roteador externo: diretamente conectado Internet e perimeter
network;
Roteador interno: diretamente conectado rede interna e perimeter
network;
Bastion hosts residentes na perimeter network.
FIGURA 7 - Sreened Subnet

Ao invs de se utilizar dois roteadores, o que pode ser muito caro dependendo
dos recursos disponveis, pode-se utilizar um nico roteador com trs interfaces
de rede mas que possibilite aplicar as regras de filtragem em cada interface em
ambos os sentidos (FIG. 8). Neste caso, segundo [CHA 95] "a soluo seria um
pouco mais complexa porque teria de se executar um merge dos dois conjuntos
de filtragem adotados no roteador externo e interno, agora substitudos por um
nico roteador".

FIGURA 8 - Screened Subnet utilizando um nico roteador.

H alguns servidores secundrios localizados na rede interna, fazendo para com

alguns servidores primrios localizados nos bastion hosts (mail servers, news
servers, DNS servers,etc).

Defindidos os servios a serem providos, pode-se elaborar as regras

de filtragem para os roteadores externo e interno. Vale ressaltar que
um pouco de redundncia sempre ajuda e, como alternativa, repete-se
algumas das regras de filtragem adotadas no roteador externo
tambm no roteador interno, de forma que o interno ainda se
configure como uma barreira caso o externo seja atacado com
sucesso.
Com relao aos servios disponveis nos bastion hosts, h uma
grande gama de alternativas de boas ferramentas (proxy servers)
disponveis na Internet como freeware; ou seja, sem nenhum custo.
Anlise frente as Estratgias de Segurana
Para melhor definir quo seguro uma arquitetura de firewall pode ser, uma
alternativa verificando de que maneiras tal estrutura pode satisfazer as
estratgias de segurana. Eis alguns pontos bsicos:

Least privilege: h uma srie de possibilidades, pois todos os servios

que so fornecidos exclusivamente via procuradores asseguram que os

clientes internos tero essa nica possibilidade de acessar um servidor

externo na Internet;
Defense in depth: os hosts internos esto protegidos tanto pelo
roteador externo como pelo interno, assim como os bastion hosts
esto protegidos tanto pelo roteador externo como tambm pela sua
prpria configurao;
Choke point: a perimeter network o choke point nessa arquitetura.
Caso todos os servios sejam fornecidos via procurao, os bastion
hosts sero os choke points em particular;
Weakest link: no h nenhuma weakest link bvia nessa configurao.
Tudo depende de quo bem configurados esto os procuradores;
mesmo assim, caso o bastion host seja comprometido, o
prosseguimento do atque depender de como esse servio pode servir
como meio de propagao de um ataque para a rede interna;
Fail safe: o princpio "Tudo que no expressamente permitido
proibido" assegura que qualquer servio novo que se queira prover s
ser permitido caso o screening router seja apropriadamente
configurado;
Universal participation: pode ser voluntria ou involuntria (caso o
firewall seja o nico choke point). Tambm depende de quo
transparente o firewall pode ser, o que est relacionado com as
caractersticas dos procuradores e das facilidades disponveis nos
programas clientes. De qualquer forma, a educao dos usurios
fundamental para que se tenha compreenso das medidas de
segurana adotadas. Se no houver cooperao, o firewall pode deixar
de ser o nico ponto de acesso Internet bastanto para isso que um
usurio descontente acesse um provedor via linha discada.
Diversity of Defense: esta estratgia encontra aplicao em diversos
pontos, eis alguns exemplos: utilizando roteadores de diferentes
marcas ou ento, caso sejam utilizados computadores configurados
como screening routers, adotando diferentes ferramentas de filtragem
de pacotes nos dois roteadores.
Como construir uma screened subnet utilizando ferramentas freewares
possvel construir um firewall do tipo screened subnet utilizando apenas
ferramentas freeware (Veja Anexo). A diferena entre um produto comercial e
algumas ferramentas freeware uma questo muito relativa. Enquanto o
cdigo fonte de uma ferramenta freeware est disponvel para que todos
possam estudar e adaptar as suas necessidades, permitindo uma depurao de
fato, um produto comercial geralmente no torna pblico o cdigo fonte,
restando ao usurio a opo de acreditar piamente que o produto seguro

(security through obscurity). Em contrapartida, o freeware permite que pessoas

mal intencionadas (os atacantes) possam estudar o cdigo, mas tambm no
se pode esquecer que h uma srie de pessoas trabalhando para que a
ferramenta no seja comprometida por furos (bugs). Infelizmente, caso algum
descubra um furo em algum produto comercial, h uma potencial chance de
que este algum seja um vilo porque mais provvel que um indivduo mal
intencionado esteja tentanto descobrir falhas numa arquitetura no aberta.

Utilizando ferramentas freeware, pode-se construir uma screened

subnet com os seguintes compontes (entre outras tantas opes):
Screening routers (interno e externo): Hardware bsico necessrio: PC
(x86), duas interfaces Ethernet (16-bit SMC); Sistema Operacional:
DOS; Ferramenta adotada: Drawbridge Packet Filter, a qual torna um
PC numa bridge com recursos de filtragem de pacotes.
Bastion hosts: Hardware bsico: PC (80386 ou superior), uma
interface Ethernet, memria RAM dependente dos servios a serem
providos; Sistema Operacional: Linux (implementao Unix tambm
disponvel livremente); Ferramenta: Firewall Toolkit da empresa
Trusted Information Systems, oferece uma srie de proxy servers
(FTP, HTTP, GOPHER, RLOGIN, TELNET e X11), mecanismos de
autenticao, uma ferramenta para proteger o servidor de correio
eletrnico e uma srie de outros componentes.
Os demais recursos disponveis nos PCs, tais como mmoria RAM e
espao em disco, dependem de fatores como carga (trfego) nos
roteadores e dos servios providos pelos bastion hosts.

Screened Host

Introduo

Nesta arquitetura no h uma sub-rede de segurana (perimeter network)

entre a Internet e a rede Interna. Existem apenas um screening router e um
bastion host situado junto rede interna (FIG. 9).

FIGURA 9 - Screened Host

Anlise frente as Estratgias de Segurana

Esta no uma arquitetura muito segura (como foi bem citado acima), eis
algumas observaes sobre como ela satisfaz ou no as estratgias de
segurana:

Least privilege: pode ser observada quando os servios so fornecidos

exclusivamente via procuradores; entretanto, o fato do bastion host
estar situado na rede interna e alm disso acumular privilgios de
vrios servidores pode ser um fator que v contra o princpio do
mnimo privilgio devido a sua posio crtica.
Defense in depth: esta estratgia no satisfeita principalmente
porque basta que um dos componentes, roteador ou servidor, seja
comprometido para que toda a rede interna esteja ao alcance do
atacante.
Choke point: o roteador o choke point nesta arquitetura.
Weakest link: o bastion host o alvo mais visado pelos atacantes
porque ele o servidor de diversos servios e est localizado junto
rede interna.

Fail safe: esta no uma arquitetura que permite falhas seguras de

uma forma geral. Visto que basta comprometer o bastion host pra se
ter acesso a rede interna. Um certo nvel de falha segura possvel da
mesma forma como foi exposto para a arquitetura screened subnet
caso o screening router seja configurado segundo a filosofia "o que
no expressamente permitido proibido".
Universal participation: caso o roteador seja a nica via de acesso
Internet, tem-se participao involuntria dos usurios da rede
interna. Entretanto, valem as mesmas observaes feitas para a
arquitetura screened subnet.
Diversity of defense: pouca ou nenhuma oportunidade de se aplicar
esta estratgia pois h um nico roteador e bastion host.

Anexo
Ferramentas freeware

Ferramentas de autenticao
Ferramentas de packet filtering
Ferramentas Proxies
Ferramentas de autenticao
Algumas ferramentas de autenticao que merecem destaque so:

Firewall Toolkit da empresa TIS: apresenta vrios mecanismos que

suportam autenticao de senhas no reutilizveis. Endereo onde
pode ser obtido o toolkit:ftp://ftp.tis.com/pub/firewalls/toolkit/ O
mecanismo de one time passwords requer que seja utilizado o DES;
para obt-lo, uma referncia : ftp://ftp.psy.uq.oz.au/pub/DES/
Kerberos: um sistema de autenticao em redes para uso em redes
fisicamente inseguras, baseado no modelo de distribuio de chaves
apresentado por Needham e Schroeder. Ele permite que entidades
comunicantes via rede provem suas identidades uma outra
prevenindo que ataques de play back ocorram. Tambm suporta
mecanismos de teste de integridade e privacidade (utilizando o DES).
Referncias: ftp://athenadist.mit.edu/pub/kerberos/ftp://coast.cs.purdue.edu/pub/tools/unix/ke
rberos
Ferramentas de packet filtering
Algumas ferramentas que permitem que se adicione recursos de filtragem de
pacotes so:

Screend: trata-se de um pacote que permite que se adicione recursos

de filtragem de pacotes ao kernel de sistemas Unix BSD.
Referncia: ftp://ftp.vix.com/pub/vixieftp://coast.cs.purdue.edu/pub/t
ools/unix/screend
Drawbridge: permite transformar um PC com sistema operacional DOS
em um roteador com capacidade de filtragem de pacotes.
Referncias: ftp://net.tamu.edu/pub/security/TAMU/ftp://coast.cs.pur
due.edu/pub/tools/unix/TAMU/
Karlbridge: transforma um PC em uma bridge com recursos de
filtragem de pacotes.
Referncias: ftp://coast.cs.purdue.edu/pub/tools/dos/kbridge.zip
Ferramentas Proxies
Algumas sistemas de procuradores que merecem destaque so:

TIS Internet Firewall Toolkit: o mesmo citado anteriormente, consiste

em um conjunto de ferramentas. Entre elas, merecem destaque os
sistemaa de proxy servers. Este toolkit permite que se construa um
bastion host que atue como um application gateway (como descrito
neste trabalho). Os proxy servers disponveis atualmente so: FTP,
HTTP, Gopher, rlogin, Telnet, X11 e um procurador genrico.
SOCKS: trata-se de um procurador genrico. Permite que se adapte
programas clientes (apresenta bibliotecas para as plataformas Unix,
Windows e Macintosh) para poderem se comunicar com o procurador
que roda em ambiente Unix.
Referncias:ftp://ftp.nec.com/pub/security/socks.cstc/ ftp://coast.cs.p
urdue.edu/pub/tools/unix/socks/
UDP Packet Ralayer: um procurador genrico para protocolos
baseados em UDP.
Referncias:ftp://coast.cs.purdue.edu/pub/tools/unix/udprelay0.2.tar.gz