1

ESCOLA SUPERIOR ABERTA DO BRASIL – ESAB

FIREWALL COM SISTEMA OPERACIONAL LINUX

Leandro Marcel Freitas e Santos1

Resumo

Este estudo teve o objetivo de analisar as ferramentas de firewall baseado no sistema

operacional Linux, disponíveis a custo zero ou reduzido para qualquer ambiente, de pequeno à
grande porte, visando a proteção das rede de computadores e servidores, das mais variadas
ameaças lógicas, tais como: vírus, hackers, crackers e cyber terroristas. Em todos os ambientes
tecnológicos existe a necessidade minimizar custos e garantir o acompanhamento de novas
tecnologias, tratando-se de firewall o universo de soluções comerciais é grande e que exige
muito conhecimento teórico, prático, altos investimentos em licenciamento anual, suporte 24x7
e treinamentos. Reconhecido o grande mercado e facilidade de implementação, o firewall
baseado em sistema operacional Linux é uma realidade e tem ganhado bastante espaço nas
corporações, principalmente na área de segurança e alta disponibilidade, quase em sua
totalidade as ferramentas de firewall, utiliza plataforma Linux, seja ela comercial ou free. O
Linux é mundialmente conhecido pela sua robustez e estabilidade frente a insegurança da
internet. Dentre os autores pesquisados para a constituição conceitual deste trabalho,
destacaram-se Morimoto, Carlos Eduardo (2009), Lima, Paulo de (2003), Tanenbaum, Andrew
S.(2003) e Matt Williamson(2012). A metodologia utilizada foi a pesquisa descritiva, tendo
como cenário para coleta de dados, o estudo de caso do ambiente computacional de 3 máquinas
virtuais para testes dos firewalls. As ferramentas de firewall baseado em Linux tem capacidade
de promover a segurança qualquer parque tecnológico, independentemente de seu tamanho e
com investimento mínimo em software ou licenças de uso, atendendo aos rígidos padrões de
segurança.

Palavras-chave: Segurança da informação. Segurança de servidores. Segurança de rede.

Segurança lógica. Firewall. Software livre.

1 Introdução

Nos anos 60, surgiu a ARPANET, projeto militar norte americano, com a participação

1
Pós-graduando em Redes de Computadores na Escola Superior Aberta do Brasil – ESAB.
leandromarcel@gmail.com
 2

de alguns centros de pesquisas e instituições de ensino americanas. A princípio o projeto era

para comunicação entre militar, que não pudesse ser destruída por qualquer tipo de ataque. A
grande e importante ideia é que independente da falha a rede pudesse manter a conectividade,
sem interromper seu funcionamento, utilizando várias caminhos para conexão. O modelo foi
utilizado para interligar algumas instituições de ensino, Universidade da Califórnia em Los
Angeles, Universidade da Califórnia em Santa Bárbara, Universidade de Utah e Stanford
Research Institute conforme Lima (2003). Com esse advento o projeto tomou um rumo
diferente do princípio militar, expandindo-se e interligando diversas redes e diversos
equipamentos de plataformas e hardwares diferentes. Atualmente a internet é utilizada em larga
escala para troca de informações de todo tipo, seja ela lícita ou ilícita, para as mais diversas
finalidades, comerciais, pessoais ou governamentais. Segundo Andrew S. Tanenbaum (2003)
tanta informação não poderia ficar disponível para acesso de qualquer pessoa, valendo-se desse
argumento a segurança da informação protege as informações importantes dos computadores,
porque perda de dados ou suas adulterações poderá causar prejuízos pessoais irreparáveis, no
âmbito corporativo levar uma empresa a falência ou ainda um governo ao caos com vazamento
de informações, sendo necessário a aplicação de firewall para proteção. Segurança da
informação é a proteção dados importantes de vários tipos de ameaças para garantir a
continuidade do negócio, minimizar riscos ao negócio, maximizar retorno sobre os
investimentos e as oportunidades de negócio, como preconiza a ISO 27002 (2005).
Limitando a destrinchar e falar sobre algumas funcionalidades e atribuições mais
marcantes de cada ferramenta de firewall, voltado para segurança da informação, sem
aprofundar em todas as características, pois fugirá dos escopo da presente monografia, já que
algumas ferramentas evoluirão de forma tão grandiosa que deixaram de ser apenas firewall,
para se tornar multiservidor, agregando outras funcionalidades.
Neste artigo descrevo sobre a segurança da informação e a suas diretrizes primárias:
confidencialidade, integridade e disponibilidade. Baseado em boas práticas de utilização de
firewall e pautado na ISO 27002 (2005), que tange o assunto de segurança da informação,
visando a reduzir os riscos, o padrão existente para nortear também a utilização de um firewall.
A justifica do artigo se deve pela variedade de tipos de firewall disponíveis no mercado
e segundo os autores é necessário comparar os benefícios e os malefícios das ferramentas livres
e licenciadas.
Este trabalho foi realizado utilizando de estudo de caso, onde foram configuradas três
máquinas virtuais, para comparação, testes e implementação dos sistemas de firewalls,
buscando destacar as qualidades de cada ferramenta, bem como seus pontos negativos.
 3

2 Desenvolvimento

Segundo o grande autor Carlos E. Morimoto (2009, P.16):

Os servidores Linux podem ser divididos em dois grandes grupos: os servidores de

rede local e os servidores de internet. Os servidores de rede local são tipicamente
usados para compartilhar a conexão, compartilhar arquivos e impressoras, autenticar
os usuários e servirem como firewall, enquanto os servidores de Internet hospedam
sites e aplicações disponíveis para a grande rede.

Os servidores são equipamentos de grande desempenho com arquitetura física

específica, com grande poder de processamento de grande número de requisições.
O servidor de firewall, basicamente tem a função de ser o gateway de saída para internet
e o inverso a porta de entrada do mundo exterior a rede internet, quando permitido, conforme
ISO27002 (2005). Sendo assim todo e garantindo aderência às melhores práticas todo servidor
de firewall necessita de duas interfaces de rede, uma para input (entrada de fluxo de dados) e
outra interface para output (saída de fluxo de dados), não se limitando a apenas essas, um
firewall sendo um gateway de rede pode operar com várias redes interna e várias redes externas,
utilizando de redundância de links e distribuição do mesmo para várias redes segregadas.
Toda comunicação recebida pelo servidor é processada e enquadrada em uma condição
de regra, seja ela de liberação ou negação. As políticas de um servidor de firewall estão
relacionada com o modus operandi do mesmo, fundamentalmente existem duas políticas
básicas, política de aceitação e política de rejeição:
Política de aceitação: todas as conexões são aceitas por padrão, processadas, enquadrada
em uma regra já estabelecida pelo administrador do firewall, para que seja bloqueada.
Política de rejeição: todas as conexões são rejeitadas por padrão, sendo aceitas somente
as conexões preestabelecidas pelo administrador do firewall.
No ponto de visto do usuário a primeira regra é a mais prática e menos autoritária,
utilizando dessa política os maiores fluxos de dados com a internet terão que ser analisado e
verificado sua necessidade de acesso, se realmente é pertinente ao escopo de trabalho de cada
instituição.
Já na utilização da segunda política, impera o autoritarismo puro, tudo é bloqueado e as
liberações ocorrem de acordo com a demanda e necessidade.
Outro ponto de vista importante a ser analisado e um firewall é quanto a tratativa das
 4

conexões estabelecidas, logo após enquadramento em uma regra, que pode ser stateless ou
statefull:
Stateless: as conexões são processadas, analisadas e não se mantém o rastreamento do
status da mesma, perfazendo uma análise estática.
Statefull: as conexões são processadas, analisadas e mantém-se por todo o tempo de
vida da mesma o seu status, perfazendo uma análise dinâmica.
O administrador de firewall, realizando uma breve análise sempre optará pelo registro
eventos do tipo Statefull, analisando e registrando em logs toda a atividade das conexões,
gerando subsídio para um estudo de eventuais incidentes ou até mesmo para prevenção de
qualquer tipo de problema.
As regras de firewall são baseadas em alguns padrões ou conjunto deles, como por
origem, destino, porta e por fim gerando uma ação.
A origem para se enquadrar em uma regra pode ser uma rede interna, uma rede externa,
um IP específico ou range de IP. Da mesma forma poderemos criar regras baseando-se em
destinos, podendo ser uma rede interna, uma rede externa, um IP específico ou um range de IP.
Ainda e não menos importantes pode-se criar regras com base no tipo de serviço e porta, pois
determinados serviços utilizam porta padrão específicas, conforme padronização estabelecida
pela IANA (Autoridade para Atribuição de Números da Internet). Tanenbaum (2003) explica
que o administrador de firewall pode utilizar 1 dos 3 itens mencionados acima para criação de
regra ou combinar dois ou todos, quanto mais informações na criação da regra, mais restrita ela
ficará, filtrando e aumentado proteção das informações atrás do firewall.
Cabe ao administrador de firewall, identificar, qualificar, analisar e avaliar cada situação
para implantação de um sistema confiável, que atenda a demanda exigida pelo cenário a ser
trabalhado, os resultados obtidos irão orientar e determinar as ações ou regras a serem
adaptadas, fazendo com que o firewall tenha sucesso em sua nobre atividade de defesa das
informações.
Para um administrador de firewall executar com eficiência seu trabalho, precisa
conhecer quais são seus inimigos, em sequência exemplifico algumas das mais sofisticadas
ameaças e seus possíveis danos:
Ataque DoS (Denial of Service) - É o ataque de negação de serviço, que tem como
objetivo deixar o servidor fora de operação por sobrecarga, esse tipo de ataque é promovido
requisitando milhares de vezes o serviço do servidor ataque, que não consegue processar as
requisições e entra em colapso.
Ataque DDoS - Igualmente falta como o DoS, com um abordagem mais ampla, onde o
 5

ataque acontece de várias frentes, e vários alvos, normalmente procuram alvos com
vulnerabilidades ou expostos.
Sniffer - Trata-se de um programa que monitora o tráfego da rede, a procura de
informações que pode ser útil ao atacante, essa tática é válida para pacotes TCP/IP, pois os
pacotes não são criptografados.
Brute Force - uma dos ataques mais usual, executa sequencialmente tentativas de quebra
usuários e senha, para acesso a serviços, sites, computadores ou arquivos. Esse tipo de ataque
pode até mesmo ser utilizado para assumir o controle de um firewall.
BackDoors - são falhas de segurança onde o usuário ou administrador de firewall
deixam portas de serviços abertas, sendo facilmente utilizada por um ataque para invasão de
sistema ou rede, segundo Cartilha de Segurança para Internet (2012).
A partir desse ponto iremos analisar alguns dos firewalls mais utilizados mundialmente,
são ferramentas consolidadas e amplamente testadas. Basicamente todas as ferramentas que
serão apresentadas estão em constantes atualizações, evoluindo para combater as ameaças à
segurança, que estão em constante evolução, buscando brechas ou falhas que não foram
contempladas por alguns firewall ou algum administrador que tenha esquecido de proteger
adequadamente sua rede.

2.1 Iptables

Uma das grandes utilização do sistema operacional Linux como firewall de borda é
através da configuração de regras do Iptables ou netfilter como também é conhecido, que é
incluído em quase todas as versões do sistema operacional Linux, ele é um módulo do Kernel
do Linux, que fornece além de firewall a função de NAT e log de dados.
Conforme Morimoto (2009), considerado rústico por alguns por sua simplicidade, o
iptables é uma ferramenta que abre e fecha as portas do servidor de firewall ou controla o
tráfego.
O Iptables trabalho com filtros de portas, endereços de origem e destino. Suporta
protocolos TCP, UDP, ICMP. Além de realizar tratamento do tráfego por chains, traduzindo
correntes, que seria o fluxo de entrada e saída.

A Figura 1 Exemplifica a configuração nativa do iptables.

 6

Figura 1: Print screen sistema operacional Linux Ubuntu 14.06

Fonte: Elaboração própria (2017).

Como demonstrado na figura 1, o iptables é configurado via linha de comando, na

sequência um exemplo de script simples de firewall:

Figura 2: Print screen script simples de firewall

Fonte: Elaboração própria (2017).

Considerando que todas as portas do servidor Linux estejam fechadas antes da

configuração acima informada e considerando que a interface eth1 esteja devidamente
conectada e configurada na internet e que a interface eth0 esteja devidamente configurada e
com acesso a rede interna, teremos o seguinte resultado:
Da linha 1 até a linha 3, carrega no servidor o módulo NAT do iptables, Network
Address Translation, que também é conhecido como masquerading, que formalmente seria a
tradução da rede interna, para a rede mundial de computadores, a internet, fazendo com que
 7

uma rede privada acesse o mundo exterior, ativando o roteamento de pacote da rede interna
para rede externa e ao contrário. Morimoto(2009) explica que é importante observar que por
ser tratar de uma ferramenta em sistema operacional Linux, utiliza a grafia sensitive case ou
seja faz diferenciação dos caracteres minúsculos e maiúsculos, portanto o comando informado
poderá sofrer alterações ou efeito inesperado se não seguir à risca as designações aqui exibidas.
Para executar o controle de fluxo de pacotes o Iptables utiliza de ganchos, definidos como
PREROUTING, FORWARD, OUTPUT, INPUT e POSTROUTING.
O gancho PREROUTING processa o pacote imediatamente após chegar em uma
interface, o FORWARD processa o pacote que passaram pelo gateway, sendo enviado por uma
interface saindo por outra, o OUTPUT processa o pacote após o mesmo ter sido gerado pelo
próprio servidor, INPUT processa o pacote que serão enviados ao servidor local e o
POSTROUTING processa o pacote imediatamente após sair por uma interface.
Linha 4, concede acesso aos computadores ligados na rede local, desde que estejam
chegando via interface eth0.
Linha 5, concede acesso ao servidor de firewall remotamente via SSH secure shell, que
é um protocolo de rede criptografado, sendo acessível nessa configuração pela porta padrão 22.
Linha 6, concede acesso através da interface de loopback, que é utilizada pelo próprio
servidor para testes, na interface lo.
Linha 7, efetua o bloqueio de todas as outras portas, efetuando assim o duro trabalho do
firewall, se protegendo e protegendo toda a rede interna.
Percebe-se que o firewall com iptables é uma ferramenta robusta, de grande
desempenho, que compre com eficiência o que é requerido para pequenas, média e grandes
redes. Pode-se observar que com apenas algumas linhas de código no script foi possível
fornecer liberação de acesso à internet, liberação de acesso remoto via SSH, acesso ao loopback
e bloqueia do difere e não se enquadra nas regras.
Contra a ferramenta estão: a necessidade conhecimento aprofundado em cada letra das
sintaxes dos comandos e complicação da linha de comando para efetuar as configurações,
conforme explica Morimoto (2009).

2.2 ClearOS Gateway

É um sistema operacional baseado em Linux, que diferente do Iptables ele não é uma
ferramenta dentro do sistema operacional e sim um sistema operacional montado para ser
firewall, como podemos conferir na figura 2, a própria instalação é personalizada e voltada
 8

especificamente para servidor dedicado de firewall.

A figura 3 exibi a interface gráfica de instalação do ClearOS.

Figura 3: print screen interface gráfica do sistema operacional ClearOS 6.4

Fonte: Elaboração própria (2017).

O firewall ClearOS é de utilização extremamente fácil e intuitiva para administradores

de firewall, visto que utiliza interface gráfica para edição e manipulação de regras.
O desenvolvimento de regras de firewall é simplificada por cliques que geram as
configurações do firewall para liberação e bloqueio de portas.
Por padrão todas as portas deste sistema operacional são bloqueadas, ficando a cargo do
administrador efetuar as liberações, conforme a necessidade.
Dentre as funcionalidade do ClearOS estão as de prover outros tipos de serviços voltado
a servidores, tais como servidor de impressão, servidor de ldap autenticação e controle de
usuários de rede, servidor de arquivos, servidor de e-mail, servidor de páginas da web, servidor
de ftp file transport protocol e proxy Squid entre outros.
O ClearOS é fornecido em 3 pacotes, Community Edition, Home Edition e Business
Edition, essas 3 pacotes basicamente não os mesmos, diferenciado apenas pelo valor anual a
ser cobrado pelo suporte da ferramenta.
Percebe-se que o ClearOS é um sistema operacional de fácil utilização e com diversas
 9

outras possibilidades de aplicação devido a sua grande gama de serviços disponíveis além de
firewall de rede e segurança de rede.
Contra a ferramenta tem um custo de aproximadamente R$ 420,00 / ano pelo suporte e
inserção de diversas outras funcionalidade de podem diminuir a capacidade de processamento
do firewall, visto que terá seu hardware ocupado com outros serviços. Outro detalhe é que a
utilização do mesmo servidor de firewall para outras funcionalidades, não é vista tido com boa
prática, pois outras funcionalidades pode ser a abertura necessária para receber uma ataque.

2.3 Pfsense

Assim como o ClearOS o PFsense é uma solução de firewall incorporado ao sistema

operacional ou seja não se pode instalar o PFsense e qualquer sistema operacional com uma
ferramenta adicional para segurança de rede.
Segundo Williamson(2012) o Pfsense é considerado um UTM (Unified Threat
Management), central unificada de gerenciamento de ameaças, ele é baseado na plataforma
Unix FreeBSD.
Projetado a partir de 2004 por Chris Buechler e Scott Ullrich, com o nome de M0n0wall
e evoluindo para appliance (software integrado a um dispositivo de hardware), hoje em dia o
Pfsense está na versão 2.3.4, a ferramenta também conta com interface gráfica, além de pacotes
de tradução para diversos idiomas, incluindo o Português.
Conforme o padrão do firewall o sistema operacional pfsense é instalado e
disponibilizado com todas as portas fechadas, a não ser as portas de manipulação, 80 ou 8080
conforme selecionado na instalação e ainda conta com proteção de bloqueio, que por fatalidade
pode-se incluir regras que podem bloquear todo o acesso ao servidor na parte gráfica, que se dá
através de navegador nas portas já mencionadas.
A figura 4 demostra o Dashboard ou tela inicial do PFsense.
 10

Figura 4: print screen tela de monitoramento PFsense 2.3

Fonte: Elaboração própria (2017).

Com pfsense pode-se trabalhar com recurso de NAT, Traffic Shaper, virtualização de
IP's, DHCP server, DNS Forwarder, DNS Resolver, Load Balancer, NTP, VPN e Portal de
autenticação para acesso à internet. Dentre os serviços mais interessantes e utilizados no Pfsense
está o Traffic Shaper, que prioriza o tráfego de dados, otimizando determinados serviços que
passam pelo fluxo processado. O Load Balancer, faz o balanceamento de carga dos links
utilizados, tanto interno, como externo, já a VPN é utilizada para ligação criptografada entre
duas redes.
O Pfsense ainda conta com a funcionalidade de redundância de servidores, fazendo com
que o serviço de firewall, se mantenha ativo, mesmo que um servidor do grupo de dois
servidores venha a ficar inoperante, tal troca de servidores ou perda de um deles, segundo
Williamson (2012) passa despercebido pelos usuários, mantendo o fluxo normal de atividades
da rede.

3 Conclusão

O presente trabalho tem como objetivo analisar ferramentas de firewall baseado em

sistema operacional Linux, em observância as vantagens de desvantagens de cada uma das
ferramentas analisadas, pontos que podem influenciar a escolha de um sistema de segurança
eficiente, robusto e confiável.
A cada dia cresce a busca por soluções de firewall para proteção de informações digitais,
estamos cada dia mais dependente da tecnologia e informatizando cada vez mais nossas vidas,
 11

alimentando e inserindo dia-a-dia mais informações no universo digital, o que não é diferente
na rotina empresarial, onde cada vez mais o papel perde espaço para arquivos eletrônicos.
Como explica Tanenbaum(2003) as ameaças virtuais estão em constante evolução e
mudança de foco, antigamente o grande mal causador de problemas era somente o vírus, que
destruía arquivos, sistema operacional, se propagava por rede. Hoje a lista de tipos de ameaças
e riscos que estão rondando nossa vida digital não para de crescer e mais recentemente na era
do ciberterrorismo, chegou a vez do sequestro digital de informações, criptografando
informações do usuário inutilizando todos os arquivos e solicitando resgate para envio de chave
para decriptação e retorno do arquivo a sua forma original.
Tanenbaum(2003) afirma, que realizando uma gestão de riscos na área de tecnologia da
informação percebe-se que é indispensável a utilização de ferramentas com as característica
aqui exibidas, destacaram-se alguns itens de crucial importância: atualização da ferramenta
disponibilizada, interface de utilização amigável e intuitiva, personalização de regras de
firewall, adaptando-se ao ambiente a ser utilizado e tempo de vida da ferramenta ou
amadurecimento.
Ao concluir este trabalha fica claro que o sistema operacional Linux, conta com diversas
ferramentas para implementação sistemática de segurada da informação e até mesmo para
utilização diárias para cunho residencial, por se tratar de uma ferramenta que minimiza as
probabilidade de risco a informação.
De acordo com Morimoto(2009), recomenda-se que por mais confiável que seja a
ferramenta de firewall utilizada, tanto na esfera residencial, como na empresarial, que se tenha
a noção de que nada é perfeito ou seguro para sempre e que a utilização de mais de uma
ferramenta de firewall em sequência, dando forma a um sistema de proteção denominado
firewall em profundidade, é certamente a maneira mais eficiente para segurança digital,
mesclando entre ferramentas, tipos de solução ou ainda de sistema operacional, agregando
maior confiabilidade e independência a uma única solução.

Referências

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR-ISO/IEC 270002:2005:

Tecnologia da Informação – Técnicas de Segurança - Código de Prática para Gestão da
Segurança de Informações. Rio de Janeiro, 2005, 120p.

COMITÊ GESTOR DA INTERNET NO BRASIL. Cartilha de segurança para internet.

 12

Versão 4.0. São Paulo, 2012 Disponível em:

https://www.cgi.br/media/docs/publicacoes/1/cartilha-seguranca-internet.pdf
Acesso 10 de Março de 2017.

LIMA, JOÃO PAULO DE. Administração de redes Linux: passo a passo. 1. ed. Goiânia:
Editora Terra, 2003

MORIMOTO, E. CARLOS. Servidores Linux: guia prático. 1.ed. Porto Alegre: Editora
Meridional, 2009

TANENBAUM, ANDREW S. Redes de Computadores. 4 ed. Rio de Janeiro: Editora

Elsevier, 2003.

WILLIAMSON, MATT. Pfsense 2.0. 2012 Disponível em: http://www.taggus.com.br/wp-

content/uploads/2012/09/livropfsense2-0ptbr-120227112435-phpapp02.pdf. Acesso 09 de
Março 2017.