UNIVERSIDADE FEDERAL DE SANTA CATARINA

DEPARTAMENTO DE INFORMTICA E ESTATSTICA

CURSO DE PS-GRADUAO EM CINCIA DA COMPUTAO
Arquitetura de Redes de Computadores

SEMINRIO DE FIREWALLS

Alexandre Rosa Camy

Evandro R. N. Silva
Rafael Righi

FLORIANPOLIS SC - 2003

Sumrio
1 Introduo

2 Descrio do Firewall
2.1 O que um Firewall pode fazer ? . . . . . . . . . . . . . . . .
2.1.1 Um firewall o foco para tomadas de deciso . . . .
2.1.2 Um firewall pode ser usado como ponto de partida para
forar uma poltica de segurana . . . . . . . . . . . .
2.1.3 Um firewall pode gravar requisies . . . . . . . . . .
2.1.4 Um firewall limita a exposio da rede . . . . . . . .
2.2 O que um firewall no pode fazer ? . . . . . . . . . . . . . .
2.2.1 Um firewall no pode proteger a rede contra usurios
internos . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.2 Um firewall no pode proteger contra conexes que no
passam por ele . . . . . . . . . . . . . . . . . . . . .
2.2.3 Um firewall no pode proteger contra ameaas completamente novas . . . . . . . . . . . . . . . . . . . . . .
2.2.4 Um firewall no pode proteger contra vrus . . . . . .
3 Tipos de Firewall
3.1 Filtro de Pacotes . . . . . . . . . . . . . . . . . .
3.2 Servidores Proxy . . . . . . . . . . . . . . . . . .
3.2.1 Funcionamento de um Servidor Proxy . . .
3.2.2 Mtodos de utilizao de Servidores Proxy
3.2.3 Vantagens e Desvantagens . . . . . . . . .
3.3 Servidor Proxy X Filtro de Pacotes . . . . . . . .

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.

5
6
6

.
.
.
.

6
7
7
8

.
.

9
9

.
.
.
.
.
.

11
11
15
15
16
17
18

4 Tipos Adicionais de Firewall

19
4.1 Firewalls Hbridos . . . . . . . . . . . . . . . . . . . . . . . . 19
1

4.2 Firewalls Bastion Host . . . . . . . . . . . . . . . . . . . . . . 20

4.2.1 Funcionamento de um bastion host . . . . . . . . . . . 21
4.2.2 Honey Pot . . . . . . . . . . . . . . . . . . . . . . . . . 22
5 Arquitetura de Firewalls
23
5.1 Screened host . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
5.2 Screened Subnet . . . . . . . . . . . . . . . . . . . . . . . . . . 25
6 Concluso

27

Lista de Figuras
3.1 Exemplo de Filtro de Pacotes . . . . . . . . . . . . . . . . . . 12
3.2 Modelo de Servidor Proxy . . . . . . . . . . . . . . . . . . . . 16
4.1 Firewall de Tipo Hbrido . . . . . . . . . . . . . . . . . . . . . 20
4.2 Firewall tipo Bastion Host . . . . . . . . . . . . . . . . . . . . 21
5.1 Exemplo de screened host . . . . . . . . . . . . . . . . . . . . 24
5.2 Exemplo de screened subnet . . . . . . . . . . . . . . . . . . . 26

Captulo 1
Introduo
Segurana tem tornado-se uma das principais preocupaes de todas as organizaes que decidem conectar suas redes privadas Internet. Um nmero
cada vez maior de usurios demanda acesso a servios da Internet, como a
navegao pelas pginas da World Wide Web (WWW), correio eletrnico
(e-mail), Telnet e FTP (File Transfer Protocol). Por outro lado, mais e mais
organizaes decidem abrir parte de suas redes internas ao pblico externo,
oferecendo o acesso a pginas corporativas e a servidores de arquivos FTP.
Os administradores de redes, por tudo isso, passam a ter crescentes preocupaes a respeito da segurana de suas redes corporativas, quanto invaso por parte de agentes externos (como crackers). Estatsticas apontam
prejuzos de mais de 5 bilhes de dlares no perodo de 1997-1999, devidos
a ataques de hackers e gangues cibernticas. Naturalmente, o passo seguinte
a definio de uma poltica de segurana para a organizao, que permita evitar que usurios no autorizados tenham acesso a recursos privativos
das redes internas e permita proteger os dados internos contra uma possvel
exportao, tambm no autorizada. Neste contexto, os firewalls so uma
ferramenta importante.

Captulo 2
Descrio do Firewall
Um Firewall um sistema, ou um grupo de sistemas, que aplicam uma
poltica de segurana entre a rede interna de uma organizao, e a Internet.
O Firewall determina os servios que podem ser acessados a partir do exterior, os utilizadores externos com autorizao para acessarem ao conjunto
de servios disponveis e tambm os servios externos que esto acessveis a
utilizadores internos.
Para que um Firewall seja eficiente, todo o trfego entre a Internet e a rede
ter que passar atravs dele, onde, ser inspecionado. Ele dever permitir
unicamente a passagem de trfego autorizado.
importante saber que este sistema no somente um roteador, ou um
computador com software especfico, mas uma combinao de ambos com
um propsito bem definido: verificar, analisar ou armazenar os dados que
trafegam por ele, para aplicar uma poltica de segurana.
A classificao do tipo de firewall obtida atravs da maneira de como
os mesmos bloqueiam o trfego entre diferentes redes. Podemos definir dois
grandes grupos de firewalls:
Filtro de pacotes;
Proxy.
De uma forma geral, um projeto de Firewall segue os seguintes princpios:
Todo trfego de dentro para fora e vice-versa, precisa passar atravs do
Firewall. Isso realizado por meio do bloqueio fsico de todo acesso
rede local exceto via Firewall;
5

 Somente trfego autorizado, conforme definido pela poltica local de

segurana, ter passagem permitida pelo Firewall.
O Prprio Firewall deve ser imune penetrao. Isso implica no uso
de sistemas confiveis com um sistema operacional seguro.

2.1

O que um Firewall pode fazer ?

A implementao de um Firewall pode ajudar a aumentar o nvel de segurana de uma rede, pois ele se torna o foco para tomadas de decises, j
que geralmente se localiza no ponto de entrada/sada de uma rede. Ele pode
tambm ser um incentivo para ser o ponto de partida para a implementao
de uma poltica de segurana em uma organizao, pois ele pode realizar o
monitoramento de todos os dados que trafegam pela fronteira de uma rede.
Alm disso, ele pode gravar as requisies solicitadas pelos usurios, e de um
modo geral limita a exposio de uma rede para o mundo externo. Muitas das
vantagens do uso de firewall vo alm da segurana, algumas so detalhadas
a seguir.

2.1.1

Um firewall o foco para tomadas de deciso

Um firewall como um ponto de controle. Todo trfego saindo e chegando

deve passar atravs desse nico e estreito ponto de controle. Um firewall
aumenta o grau de segurana de uma rede, pois ele permite que se concentre
a implementao de segurana nesse ponto de controle: o ponto onde a rede
se conecta Internet.

2.1.2

Um firewall pode ser usado como ponto de partida para forar uma poltica de segurana

Muitos dos servios oferecidos pela Internet so de natureza insegura. O firewall como se fosse o guarda de trnsito desses servios. Ele fora a implementao de uma poltica de segurana, apenas permitindo que os servios
aprovados passem atravs dele. Entenda-se por servios aprovados aqueles que pertencem as regras configuradas no firewall para que sejam aceitos.
Por exemplo, a gerncia de uma rede pode decidir que certos servios como
NFS e NIS so de alto risco para serem usados atravs do firewall. O firewall
6

no se importa com o que o sistema ou o usurio tentam fazer. Ele apenas

avalia a requisio e decide se ela dever ou no seguir em frente. Em uma
outra rede, por exemplo, a gerncia pode decidir que apenas um sistema
interno ter direito de comunicar com o mundo externo.
Ainda em um outro lugar, pode-se optar em permitir acesso de todos os
sistemas se um certo tipo ou pertencentes a um certo grupo. As variaes na
implementao de uma poltica de segurana so diversas.

2.1.3

Um firewall pode gravar requisies

Devido ao trfego que passa pelo firewall, ele se torna um bom lugar para
coletar informaes sobre o uso dos sistemas e da rede, bem como o uso
imprprio. Como um nico ponto de acesso, o firewall pode gravar o que
ocorre entre a rede protegida e o mundo externo.
Atravs do log possvel, por exemplo, determinar a origem de ataques
destinados rede interna, j que no log possvel obter informaes como
horrio e IP da mquina origem. Do mesmo modo, pode ser utilizado como
guia de consulta para as requisies que tem como alvo as mquinas externas
rede. Isso pode ser til, por exemplo, para se fazer trabalhos de estatstica,
bem como o levantamento dos perfis dos usurios da rede.

2.1.4

Um firewall limita a exposio da rede

Algumas vezes um firewall usado para dividir sub-redes dentro de uma

mesma rede.
Quando essa abordagem adotada, evita-se que problemas de segurana
que possam vir a acontecer em uma sub-rede se espalhem atravs de toda a
rede.
Em alguns casos necessrio fazer isso porque uma parte da rede precisa
de mais confiana que outra, ou at mesmo porque uma parte precisa ser mais
bem protegida que outra, o que muito comum no meio computacional.
Um caso tpico o exemplo de uma organizao que mantm um sistema
operando e acessa informaes a partir de um Banco de Dados que no pode
ser exposto. Com certeza, ser adotada uma poltica de segurana para
essa organizao que priorize ao mximo o grau de segurana na seo da
rede onde encontra-se esse Banco de Dados. Qualquer que seja a razo, a
existncia do firewall limita que o dano de um problema de segurana de uma
poro da rede se espalhe ao longo de toda a rede.
7

2.2

O que um firewall no pode fazer ?

Um firewall oferece excelente proteo contra ameaas de rede, mas eles no

so a soluo completa para o problema de segurana. Certas ameaas esto
fora do alcance do firewall. Essa ameaas precisam ser cuidadas pela corporao, pois de nada adiantaria a existncia de um excelente firewall se a
corporao no se preocupar com o acesso fsico de usurios rede e a simples educao dos usurios para serem mais cuidadosos, como por exemplo,
a escolha de boas senhas e o hbito de no deixar uma mquina logada sem
estar fisicamente presente.

2.2.1

Um firewall no pode proteger a rede contra usurios

internos

Um firewall pode impedir que um usurio do sistema envie informaes de

domnio da organizao para fora atravs de uma conexo de rede: ele simplesmente no teria direito de requisitar tal conexo. Mas o mesmo usurio
poderia copiar os dados em um disquete ou at mesmo um pedao de papel
e carreg-lo usando uma simples pasta. Se o invasor j se encontra dentro
da rede, de nada adianta a existncia do firewall.
Usurios podem roubar dados, danificar hardwares e modificar programas
com sutileza, de modo que essas modificaes jamais passem pelo firewall.
Um exemplo disso o caso de um programador de uma Instituio Financeira
que muda o cdigo fonte de um programa para redirecionar dinheiro para a
sua prpria conta. Esse tipo de ataque no pode ser detectado pelo firewall.
Neste caso, seria necessrio que a Instituio possusse uma equipe para fazer
auditoria dos sistemas da organizao, reduzindo a possibilidade de sofrer
ataques dessa natureza.

2.2.2

Um firewall no pode proteger contra conexes

que no passam por ele

Um firewall pode efetivamente controlar o trfego que passa atravs dele. No

entanto, nada pode ser feito com um trfego que no atravessa o firewall. Por
exemplo, de que adiantaria um firewall se for permitido que uma mquina da
rede se conecte a uma mquina da Internet via discagem direta? O firewall
no tem como impedir que uma mquina se conecte ao mundo externo atravs

de um modem.
Algumas vezes, usurios tecnicamente espertos ou administradores de sistema configuram suas prprias portas dos fundos para entrar na rede, como
uma conexo atravs de um modem. Isso acontece, pois muitas vezes esses
usurios se chateiam com restries impostas pelo firewall. Nesse caso, nada
pode ser feito por parte do firewall, pois trata-se de um problema de gerenciamento de pessoas, no um problema tcnico.

2.2.3

Um firewall no pode proteger contra ameaas

completamente novas

Um firewall projetado para proteger uma rede contra ameaas conhecidas. At que um firewall bem projetado pode proteger contra algumas novas
ameaas, desde que ele seja projetado para rejeitar todas as requisies por
natureza e somente aceitar as requisies explicitamente descritas. Com isso,
se por exemplo, um firewall projetado para somente aceitar requisies destinadas a atender o servio Web e recusar todas os demais servios, ento
ele estar protegido contra um novo servio que venha a surgir no mundo
computacional.
No entanto, nenhum firewall pode automaticamente defender a rede contra todas as novas ameaas que aparecem. Periodicamente as pessoas descobrem novas maneiras de atacar, usando servios anteriormente confiveis ou
usando ataques que simplesmente nunca foram usados. No se pode jamais
configurar um firewall uma vez e achar que essa configurao proteger a
rede eternamente.

2.2.4

Um firewall no pode proteger contra vrus

Um firewall no pode manter os vrus fora de uma rede. Embora muitos

firewalls rastreiem todo o trfego chegado para determinar se ele ou no
permitido para atravessar o firewall, o rastreamento feito, na maioria das
vezes, em funo dos endereos e nmero de portas origem e destino; e no
pelo contedo da mensagem. At mesmo com o uso de softwares sofisticados
de filtragem de pacotes, a proteo contra vrus em um firewall no praticvel, pois existem simplesmente muitos tipos de vrus e muitas maneiras de
um vrus se esconder dentro dos dados trafegados.
Para detectar um vrus em um pacote qualquer de dados passando atravs
de um firewall muito difcil, pois requer:
9

1. Identificao de que o pacote parte de um programa;

2. Determinao do que o programa deveria fazer;
3. Determinao de que a modificao por causa de um vrus.
At o primeiro dos itens um desafio. A maioria dos firewalls esto protegendo mquinas de diversos tipos com formatos de executveis diferentes.
Um programa pode ser um executvel compilado ou um simples script, como
por exemplo, um script shell para UNIX. Alm do mais, a maioria dos programas so empacotados e geralmente compactados antes de serem trafegados.
Por todas essas razes, usurios podem trazer vrus em pacotes que trafegam
pelo firewall, mesmo que ele seja o mais seguro possvel. At se fosse possvel
fazer um trabalho perfeito de bloquear vrus no firewall, de qualquer forma,
o problema de vrus no seria resolvido, pois nada seria feito com relao
a fonte mais comum de vrus: softwares baixados da Internet via discagem
direta ou trazidos de casa atravs de disquetes.
A melhor prtica para resolver o problema de vrus atravs de proteo
via software e a conscientizao dos usurios, fazendo com que eles se preocupem com os perigos provocados pelos vrus e tomem as devidas precaues
para combater esse problema.

10

Captulo 3
Tipos de Firewall
Existem dois tipos prin cipais de firewalls comercialmente disponveis hoje,
os quais so:
Filtro de Pacotes;
Servidores Proxy.
Ambos os tipos agem como um filtro entre redes com servios restritos
oferecidos em ambas as direes. As sesses que seguem ilustram com detalhes estes dois tipos.

3.1

Filtro de Pacotes

Os filtros de pacotes constituem um tipo de Firewall e seu objetivo permitir, ou no, o acesso de um pacote a uma rede, baseado em regras prestabelecidas. Eles situam-se geralmente em roteadores, pois estes representam o ponto de ligao de uma rede com outra (isolamento poltico). A
Figura 3.1 mostra uma rede protegida por um roteador com capacidade de
filtragem de pacotes, tambm chamado de screening router.
Este mecanismo de filtragem realizado no roteador possibilita que se controle o tipo de trfego que pode existir em qualquer segmento de rede. Conseqentemente, pode-se controlar o tipo de servios que podem existir no
segmento de rede. Servios que comprometem a segurana da rede protegida
devem, portanto, ser barrados.

11

Figura 3.1: Exemplo de Filtro de Pacotes

Os filtros de pacotes no se encarregam de examinar nenhum protocolo de
nvel superior ao nvel de transporte, como por exemplo, o nvel de aplicao
(tarefa dos servidores proxy). Neste sentido, qualquer falha de segurana
na camada de aplicao no ser evitada utilizando-se o recurso de filtro de
pacotes.
Salientando que a filtragem dos pacotes no considera protocolos acima da
camada de transporte, no tomada nenhuma deciso baseada no contedo
dos pacotes, ou seja, nos dados dos pacotes propriamente ditos. As regras de
filtragem que a maioria dos roteadores executam so baseadas nas seguintes
informaes:
endereo IP de origem;
endereo IP de destino;
protocolos TCP, UDP, ICMP;
portas TCP ou UDP origem;
portas TCP ou UDP destino;
tipo de mensagem ICMP;
12

 importante que o roteador tenha facilidades de filtragem por adaptador

de rede. Assim, todos os adaptadores de rede disponveis no roteador so
submetidos s regras de filtragem, considerando as seguintes informaes:
o adaptador de rede pelo qual o pacote chega;
o adaptador de rede pelo qual o pacote sai.
Para exemplificar a vantagem do uso de filtragem atravs de adaptadores
de rede, imagine um ataque do tipo IP Spoofing. Neste ataque, um intruso
tenta se passar com um host interno (confivel) utilizando o endereo IP
deste como endereo fonte. Se a filtragem realizada por adaptador em
ambos sentidos, este tipo de ataque no funciona, por que jamais um pacote
pode chegar da Internet tendo como endereo fonte o endereo de uma
mquina que est na rede interna.
A principal vantagem do uso de filtro de pacotes incrementar a segurana da rede onde ele esta sendo aplicado. Alm desta, outras vantagens
so a transparncia aos usurios (no precisam ter conhecimento do filtro)
e a ampla variedade de programas filtro de pacotes disponveis no mercado
(muitos distribudos gratuitamente). Contudo, algumas desvantagens tambm esto presentes. As mais significantes so: as ferramentas de filtragem
disponveis no so perfeitas, alguns protocolos no so bem adaptados
filtragem e algumas polticas de segurana no podem ser aplicadas somente
com a utilizao de filtragem de pacotes.
O equipamento que realiza o processo de filtro de pacotes pode executar
uma srie de atividades que servem, entre outras coisas, para monitorar o
sistema. Algumas atividades esto descritas abaixo:
Realizar logs de acordo com a configurao especificada pelo administrador. Desta forma, possvel analisar eventuais tentativas de ataque,
bem como verificar a correta operao do sistema;
Retorno de mensagens de erro ICMP: caso um pacote seja barrado,
existe a possibilidade de se enviar ao endereo fonte alguma mensagem
com cdigo de erro ICMP do tipo Host Unreachable ou Host Administratively Unreachable. Entretanto, tais mensagens, alm de causar
atraso na rede, podem fornecer algumas informaes sobre o filtro de
pacotes ao atacante, pois desta forma ele poderia descobrir quais os
protocolos que esto barrados e quais esto disponveis.
13

Os principais riscos encontrados no processo de filtragem de pacotes

encontram-se na anlise do endereo IP fonte. Existem dois ataques possveis neste sentido e seus nomes so IP Spoofing (citado anteriormente) e
Man in the Middle. No segundo, alm de forjar o endereo fonte, o atacante
deve estar no caminho ente o Firewall e host confivel porque ele tem de
capturar os pacotes que so, na verdade, enviados ao host confivel. Muitos
desses ataques s funcionam quando o host confivel estiver fora de operao,
pois assim que ele receber algum pacote que no esteja relacionado a nenhuma conexo que tenha iniciado, ele solicitar que a conexo forjada seja
encerrada.
A filtragem baseada na porta apresenta um problema semelhante quele
da filtragem pelo endereo IP de origem. Assume-se que a uma determinada
porta um servio esteja associado, mas nada impede que algum com os
devidos direitos substitua o servidor por outro. Para evitar este tipo de
ataque, deve-se garantir que o servidor seja confivel e execute somente o
permitido, ou seja, to importante quanto a aplicao de filtro de pacotes,
o investimento em segurana no prprio equipamento que o mantm e nos
servios disponveis na rede.
Outras consideraes relevantes sobre filtro de pacotes so:
Alguns filtros de pacotes tm a capacidades de realizar acompanhamento
de sesses TCP. Este procedimento chamado de inspeo com estado. Atravs dele podemos utilizar as flags TCP para tomar decises
sobre bloqueio ou permisso de um pacote. Um primeiro exemplo, pode
ser o bloqueio de um pacote que chega ao firewall e no foi solicitado
por nenhum equipamento de dentro da rea protegida (no pode existir
pacotes internos de uma conexo antes dela ser iniciada). Alm desta
utilidade, este recurso til para diminuir o atraso do filtro do pacotes.
Um exemplo uma conexo com vrios pacotes legais. Normalmente,
cada pacote da conexo analisado e tem seu acesso permitido. Com inspeo por estado, pode-se criar uma tabela dinmica com as conexes
permitidas e abertas e os seus pacotes internos passariam direto pelo
filtro, sem a necessidade de terem seu cabealho comparado s regras.
O processo de filtragem de pacotes acarreta um atraso (overhead) na
atividade de roteamento. Portanto para uma situao de alto trfego
necessrio que se utilize um roteador com velocidade de processamento
compatvel com as necessidades da rede alvo.
14

3.2

Servidores Proxy

Servidores proxy so aplicaes especializadas em um firewall que assumem

as requisies dos usurios de uma rede para os servioes de internet, como o
FTP, Telnet, WWW, dentre outros. Um servidor proxy pode ser configurado
em plataformas host, que podem ser desde simples computadores pessoais a
um complexo servidor multiprocessador.
Uma maneira de tornar um servio mais seguro, no permitir que cliente
e servidor interajam diretamente. Desta forma, os servidores proxy atuam
em nome do cliente, de uma forma transparente. Entretanto no permite que
qualquer pacote passe diretamente entre os mesmos. Este sistema de proteo
pode ajudar a prevenir alguns ataques em nvel da camada de aplicao.
A transparncia um grande benefcio do servidor proxy, pois, para o
usurio, ele representa a iluso de que o usurio est se comunicando diretamente com uma mquina externa. J para a mquina externa, o proxy
representa a iluso de que ela se comunica com o usurio.

3.2.1

Funcionamento de um Servidor Proxy

Os serios de Store-and-Forward, tais como: SMTP, NNTP e NTP, so projetados de tal forma que as mensagens (email, news, clock settings) so recebidas por um servidor e armazenadas at que possam ser retransmitidas
para outro servidor apropriado. Desta forma, cada host intermedirio atua
como uma espcie de procurador.
Um servidor proxy atua de forma similar, pois aceita as chamadas que
chegam e verifica se uma operao vlida, ou seja, se est de acordo com as
polticas de segurana. A Figura 3.2 ilustra o funcionamento de um servidor
proxy.
Primeiro o usurio estabelece uma conexo com o servidor proxy no firewall (passo 1). O proxy junta a informao enviada pelo usurio e verifica se
o endereo solicitado permitido realizando uma busca no Banco de Dados
de Autorizao (passo2). Caso a chamada seja permitida, ele reenvia adiante
a solicitao para o servidor real, mas com o endereo IP do firewall (passo
3), protegendo assim o verdadeiro endereo de origem da solicitao. Ao receber um pacote de respostas (passo 4), examina seu contedo e em seguida
verifica se o pacote pertence a uma solicitao interna. Em caso positivo,
repassa-o ao solicitante (passo 5). Depois que a sesso estabelecida (passo
6), o servidor proxy atua como uma retransmissora e copia os dados entre
15

o cliente que iniciou a aplicao e o servidor. Desta forma, ele tem controle
total sobre a sesso e pode realizar um logging to detalhado quanto desejar.

Figura 3.2: Modelo de Servidor Proxy

Esta caracterstica de logging, permite o monitoramento de atividades e
a gravao de eventos especficos. Um exemplo de evento pode ser: Host
10.113.12.1 initiated a Telnet to Host 10.24.2.21 at 2:00 a.m. Sunday, April
16, 1996 . Tais tipos de informao podem ser muito importantes na deteco de um ataque.

3.2.2

Mtodos de utilizao de Servidores Proxy

A seguir encontram-se alguns diferentes mtodos que j foram ou so utilizados em servidores proxy.
Mtodo de Conexo Direta
O primeiro mtodo utilizado onde o usurio se conecta diretamente no
servidor proxy usando o endereo do firewall e o nmero da porta do proxy.
O servidor proxy ento pergunta ao usurio pelo endereo do host solicitado.
Este um mtodo de fora bruta usado pelos primeiros servidores. Existem vrias razes por que este o mtodo menos preferido, dentre as quais,
a mais importante que o mtodo necessita que os usurios conheam o endereo do firewall. Desta forma, o usurio deve entrar com 2 endereos para
cada conexo: o endereo do firewall e o do destino pretendido;
16

Mtodo do Cliente Modificado

Outro mtodo utilizado na configurao de um servidor proxy ter aplicaes de cliente modificado no computador do usurio. O usurio executa
estas aplicaes para fazer conexo atravs do firewall, inserindo o endereo
desejado. Estas aplicaes conhecem o endereo do firewall atravs de um
arquivo local de configurao que configura a conexo com o servidor proxy
no firewall.
Este mtodo potencialmente invisvel para o usurio. Entretanto, a
necessidade de se ter uma aplicao de cliente modificado para cada servio
na rede uma regresso.
Mtodo do Proxy Invisvel
Neste mtodo, no h a necessidade de modificar aplicaes de clientes, e
os usurios no tem de direcionar suas comunicaes manualmente para o
firewall, pois eles nem mesmo sabem que o firewall existe. Usando controles
de roteamento bsico, todas as conexes para a rede externa so roteadas
atravs do firewall.
Como os pacotes entram no firewall, eles so autmoaticamente redirecionados para um servidor proxy que executa suas funes sem que o usurio
perceba.

3.2.3

Vantagens e Desvantagens

Os sistemas de proxy possuem algumas vantegens e desvantagens, dependendo da situao.

Vantagens
Permite aos usurios acesso direto aos servios na internet:
Apesar de haver um procurador atuando em nome do cliente, este
mantm a iluso de estar se comunicando diretamente com o servidor
remoto;
Possui bons mecanismos de log: Devido ao fato de todo o trfego
dos servios procurados passarem pelo servidor proxy, uma grande
quantidade de informaes pode ser registrada de acordo com as necessidades de auditoria e segurana;
17

 Prov uma separao muito boa entre as redes: Pacotes no so

passados diretamente entre duas redes. Desta forma, alguns ataques
so filtrados ou pegos pelos servidores proxy.
Desvantagens
necessrio utilizar diferentes servidores proxy para cada servio;
Uma nova aplicao proxy deve ser desenvolvida para cada novo servio.
Isto um problema srio dado que novos servios de internet esto
sendo desenvolvidos todos os dias. Ainda por cima h um atraso significativo entre o surgimento de um novo servio e um correspondente
servidor proxy;
Alguns servios so inviveis para operar via servidores proxy, tais
como: talk, que parte baseado em TCP e parte baseado em UDP;

3.3

Servidor Proxy X Filtro de Pacotes

importante considerar que um servidor proxy atua de maneira diferente de

um filtro de pacotes, pois ele no toma as suas decises baseado em informaes contidas no cabealho de pacotes, mas sim em informaes forncedias
pelo servio, pois o proxy atua no nvel da camada de aplicao.
Os filtros de pacotes possuem uma vantagem em relao aos servidores
proxy no que se refere a performance, j que atuao ocorre nas camadas
inferiores da comunicao. Entretanto, em nvel de aplicao, a principal
vantagem dos servidores proxy a de permitir auditoria sobre o controle do
trfego, j que aplicaes especficas podem detalhar melhor os eventos associados a um dado servio. Neste caso, os servidores proxy levam vantagem,
tornando-se mais seguros.
Em geral, os dois tipos de firewall podem ser combinados, sendo muito
comum a utilizao de roteadores com filtros de pacotes combinada com o uso
de servidores proxy para controle do acesso dos usurios da rede corporativa
Internet.

18

Captulo 4
Tipos Adicionais de Firewall
Este captulo descreve brevemente dois tipos de firwalls alternativos. Ambas
so essencialemente uma combinao de filtragem de pacotes e servidores
proxy providos por um ou mais sistemas.

4.1

Firewalls Hbridos

A maioria dos firewalls podem ser classificados como um filtro de pacotes

ou um Servidor Proxy. Existem, no entanto, outros tipos de firewalls que
oferecem uma combinao destes dois tipos. Uma variao natural dos dois
tipos de firewalls descritos o sistema de firewall hbrido, que inclui tanto o
filtro de pacotes quanto o servidor proxy. A Figura 4.1 descreve este tipo:
Na configurao hbrida, os pacotes recebidos so primeiro submetidos a
um filtro de decises do filtro de pacotes. A aprtir dele, os pacotes podem ser
excludos, passados para o endereo desejado, ou passados para um servidor
proxy de espera para um posterior processamento.
Se a rede solicita a segurana do servidor proxy para alguns servios, e a
velocidade e flexibilidade do filtro de pacote para outros tipos de servios, o
firewall hbrido pode ser a melhor soluo. Entretanto, este tipo de firewall
tende a ser mais caro pelo fato de oferecer mais funcionalidades do que um
simples dispositivo, como um roteador.

19

Figura 4.1: Firewall de Tipo Hbrido

4.2

Firewalls Bastion Host

O bastion host desempenha papel crtico na segurana da rede interna. Ele

prov os recursos permitidos segundo a poltica de segurana da empresa.
Consiste de um host fortemente protegido contra ataques, podendo ser parte
de um firewall. o nico computador da rede que pode ser acessado diretamente pelo lado de fora do firewall. Este endurecimento importante porque
o host frequentemente colocado onde h exposio direta na internet.
Um bastion host deve ter uma estrutura simples, de forma que seja fcil
garantir a segurana. imporante que se esteja preparado para o fato de
que o bastion host seja comprometido, considerando que ele, provavelmente
ser alvo de ataques.
Um firewall ou um roteador podem ser considerados bastion hosts. Pode
ser projetado com a finalidade de ser servidor Web, servidor FTP, entre outras
funoes que estiverem disponveis a usurios de fora da proteo interna da
rede.

20

4.2.1

Funcionamento de um bastion host

A Figura 4.2 mostra um exemplo de um permetro de rede que suporta um

bastion host simples.

Figura 4.2: Firewall tipo Bastion Host

Na Figura, possvel observar que o servio do firewall atual composto
por uma combinao de dois roteadores e do bastion host. O filtro do roteador
externo no suportado pela rede interna ou pelo bastion host. O roteador
interno limita todos os servios no suportados pela rede interna. Ele serve
como uma proteo primria para a rede interna. O bastion host prov
servios para usurios externos tais como: servidor de e-mail, FTP anonimo,
servios de DNS, um Servidor Web, etc. Em todo o permetro da rede, podem
haver vrios bastion hosts, cada um provendo um ou mais servios.
A idia principal por trs dos bastion hosts que eles so expansveis e
que so configurados para resistirem a ataques.

21

4.2.2

Honey Pot

De maneira diferente, os bastion hosts tambm podem ser usados para serem
chamariz para crackers, conhecido como honey pot. Sua funo atrair
a ateno de invasores com vulnerabilidades propositalmente deixadas para
que se possa coletar dados de eventuais tentativas de invaso e posterior
perseguio aos crackers. A sua configurao totalmente diferente da de
um computador comum. Devido ao seu papel de escudeiro da rede, todos
os protocolos, programas e portas so removidos se no forem extritamente
necessrios ao funcionamento. Todas as ferramentas e possibilidades de registros de logs devem ser mantidos o mais seguras possvel, evitando-se que
algum intruso possa apagar as evidncias da invaso. Mesmo que seja invadido, o cracker ainda no possui acesso rede interna, visto que ter que
passar por mais uma barreira, como o firewall, por exemplo.

22

Captulo 5
Arquitetura de Firewalls
Uma arquitetura de firewall descreve onde deve-se situar os diversos componentes que auxiliam para a proteo de uma rede de computadores. Existem
duas principais arquiteturas de firewalls descritas na literatura sobre o assunto. Seus nomes so screened host e screened subnet (o termo screened
refere-se a proteger, peneirar, investigar).

5.1

Screened host

Esta arquitetura caracterizada por no possuir uma sub-rede de segurana,

ou seja, a rede protegida esta diretamente conectada a rede externa, potencialmente a Internet. Nela existem apenas um roteador com capacidade de
filtragem de pacotes e um bastion host que se situa junto rede interna.
A Figura 5.1 apresenta os elementos que formam esta arquitetura e suas
posies na rede.
Nesta figura observa-se que os equipamentos da rede interna no tem seus
pacotes de dados repassados diretamente para a rede externa. Ao invs disso,
para terem acesso a um servio, eles devem utilizar um procurador, neste
caso, mantido pelo bastion host. Outra caracterstica, que um computador
externo no pode abrir conexo diretamente com elementos da rede interna,
a no ser com o bastion host.
As vantagens principais desta arquitetura que ela oferece um nvel moderado de segurana, relativamente fcil de configurar e dar manuteno e
o acesso dos equipamentos clientes aos servios proxy rpido, j que quem
o mantm est na rede interna . Como desvantagem, descreve-se o cuidado
23

Figura 5.1: Exemplo de screened host

que deve-se ter na construo e proteo do roteador, pois se este for comprometido, acessos diretos a rede interna sero possveis.
Algumas observaes sobre como ela satisfaz ou no s estratgias de
segurana esto abaixo:
Least Privilege: pode ser observada quando os servios so fornecidos
exclusiva-mente via procuradores; entretanto, o fato do bastion host
estar situado na rede interna e alm disso acumular privilgios de vrios
servidores, pode ser um fator que v contra o princpio do mnimo
privilgio devido a sua posio crtica.
Defense in Depth: esta estratgia no satisfatria, principalmente
porque basta que um dos computadores, roteador ou servidor, seja
comprometido, para que toda a rede interna esteja ao alcance do atacante.
Choke Point: o roteador realiza este papel nesta arquitetura.
Weakest link: o bastion host o alvo mais visado pelos atacantes porque
ele o servidor de diversos servios e est junto a rede interna.
Fail Safe: esta no uma arquitetura que permite falhas seguras de
uma forma geral. Visto que basta comprometer o bastion host para ter
acesso a rede interna.
24

 Diversity of Defense: pouco ou nenhuma oportunidade de se aplicar

esta estratgia, pois h um nico roteador.

5.2

Screened Subnet

Esta arquitetura apresenta mltiplos nveis de redundncia e a mais segura que se pode conceber em termos de arquiteturas de firewall, pois aplica
conceitos de segurana desde a camada de rede at a de aplicao. Os componentes da arquitetura screened subnet esto descritos abaixo e podem ser
visualizados na Figura 5.2:
Zona desmilitarizada (DMZ): constitui-se em uma sub-rede situada entre a rede interna e a rede externa (Internet);
Roteador externo: equipamento conectado Internet (rede externa) e
rede intermediria;
Roteador interno: diretamente conectado a rede interna e a rede intermediria;
Bastion hosts: equipamentos localizados na rede intermediria (rede
de permetro).
Para o trfego externo, o roteador mais externo oferece proteo contra
os ataques externos mais comuns, bem como gerencia o acesso da Internet
subrede DMZ. Somente o bastion host (ou, s vezes, o servidor pblico,
dependendo da rigidez da poltica de segurana deste) est disponvel para
acesso. J o roteador interno prov uma segunda linha de defesa, gerenciando o acesso da subrede DMZ rede interna, aceitando somente o trfego
originado no bastion host.
Para o trfego de sada, as regras so semelhantes. Os sistemas internos
rede privada somente tm acesso ao bastion host, atravs do controle exercido
pelo roteador interno. E as regras de filtragem do roteador externo exigem o
uso de servios proxy para o acesso Internet, ou seja, s permitem o trfego
externo que se origina do bastion host.
Este arranjo traz diversos benfcios importantes: trs nveis de segurana
(roteador externo, bastion host e roteador interno) separam a Internet do
meio interno; somente a subrede DMZ conhecida na Internet, de modo
25

Figura 5.2: Exemplo de screened subnet

que no h meio de se conhecerem rotas de acesso rede interna; da mesma
forma, somente a subrede DMZ conhecida para a rede interna e no existem
rotas diretas para o acesso Internet.
A implementao desta arquitetura pode exigir muitos custos. Outra
maneira de posicionar os componentes desta arquitetura utilizar um nico
roteador com trs interfaces. A primeira interface deste roteador realiza
conexo com a Internet, a outra com a rede intermediria e a ltima, com
a rede interna. Como principal desvantagem apresentada, esta abordagem
concentra uma grande complexidade de filtragem de pacotes no roteador.

26

Captulo 6
Concluso
Firewalls vm protegendo redes locais privadas de intrusos hostis a partir da
internet, de modo que o nmeros de LANs hoje conectadas Web muito
maior do que se esperaria, dados os riscos de segurana envolvidos. Estes
sistemas permitem aos administradores de redes oferecer acesso a servios
especficos da internet a usurios internos selcionados, como parte de uma
poltica de gerenciamento de informao que envolve no apenas a proteo
da informao interna como tambm o conhecimento de quem acessa o que
na Web.
importante salientar que no apenas o firewall deve ser o nico componente da poltica de segurana em uma empresa. Juntamente com o firewall
deve ser criado um programa de conscientizao dos funcionrios que utilizam
a rede para evitar problemas de origem interna.
Todos os tipos de firewalls descritos neste relatrio esto em uso atualmente, o que mostra que no existe um firewall melhor. O melhor firewall
para um ambiente depende de vrios fatores, incluindo o nvel de conhecimento do administrador de firewall, os tipos de servios suportados, o oramento e a necessidade organizacional da empresa. Antes de escolher qual
tipo de firewall vai de encontro s necessidades do cliente, deve ser avaliado
as ameaas para a intranet em questo. Tambm preciso desenvolver uma
poltica de segurana.
A mais importante considerao em relao escolha so os tipos de
servios planejados para serem suportados pelo firewall. Por exemplo, se
desejado dar suporte a FTP, Telnet, e-mail e HTTP. Cada servio tem seus
prprios conjuntos de vulnerabilidade e possveis configuraes.

27

Bibliografia
[1] Amoroso, E.; Sharp, R. PCWeek Intranet and Internet Firewall
Strategies. Ed. Zi-Davis, Califrnia - USA, 1996.
[2] Tanenbaum, A. S. Redes de Computadores. Ed. Campus, So Paulo
- Brasil, 1999.
[3] Zwicky, E; Cooper, Simon . Contruindo Firewalls para a Internet.
Ed. OReilly, 2000.
[4] Oliveira, W. Segurana da Informao. Ed. Visual Books, 2001.

28