Para que serve o Firewall ?

(Rede)

Firewall é o mecanis mo de segurança interposto entre a

rede interna e a rede externa ° com a f inalidade de liberar
ou bloquear o acesso de computadores remotos aos
serv iço s que são oferecidos em um perímetro ou den tro da
rede corpo rativa. Este meca nismo de seguran ça pode ser
baseado em hardware, software ou uma mistura dos dois.

Três fatores estão em risco quando nos con ectamo s a

Intern et, são eles, a reputação, os computadores e as
info rma ções guardadas, e três f atores prec isa m ser
resguardados, a pri vacidade, a integr idade e a
disponibil idade. E xiste m situaçõe s de riscos como, roubo
de conexão depois dela ter sido auten ticada, espionage m
de dados secretos enquanto em trân sito pela rede e um
usuário não autenticado convence a r ede que ele foi
autenticado.

Ele é o ponto de con exão com a Int ernet, tudo o que chega
à rede interna deve passar pelo Firewall, ele é ta mbém o
responsável p or aplicar as regras de seguran ça, auten ticar
usuários, logar trá fego p ara auditoria e deve limitar a
exposição dos host s interno s aos host s da In ternet,
entreta nto, alguma s tarefas não podem ser executadas,
como, proteger a rede con tra usuários internos mal
intencionado s, conexões que não pas sam p or ele, ameaças
novas, no qual ele não foi pa ram etrizado para e xecutar
uma ação.

Arqu itetura s de Firewall

Normalme nte, as empresa s preferem imple mentar um

Firewall baseado a pe nas e m uma máquina, seja ele um host
PC ou um roteador, entreta nto, os Fi rewalls mais robusto s,
são compos tos de v árias partes, veja alguma s arqu itetura s
a seguir:

Roteador com Triagem (Scree ning Router)

Essa é a ma neira mais simple s de se impleme ntar um

Firewall, po is o f iltro, apesar de ser de difíc il elaboração,
é rá pido de se implem entar e seu custo é ze ro, e ntretanto,
se as reg ras do roteador fo re m quebradas, a r ede da
empresa f icará totalme nte v ulnerável.

Figura
Screene d Router
1 : Gateway de Base Dupla
(Dual Homed Gateway)

Aqui, é posto uma única máquina com duas interfaces de

rede entre as duas r ede s (a In ternet e a rede da e mpresa).
Quase sempre, esse Gatewa y, chama do de Bastion Host
conta com um Pro xy de circu ito para auten tica r o aces so
da rede da e mpresa para a internet e f iltrar o acesso da
Intern et contra a r ede da empresa. Como na a rquitetura
anterior, se o Pr oxy fo r quebrado, a rede da empresa
ficará totalm ente v uln erá vel.

Figura
Dual Hom ed Gateway
2 : Gateway Host com
Tr iagem (Screened Host Gateway)

Roteador e Gateway aqu i, são usados conju ntam ente em

uma arquitetura, fo rma ndo assim, duas camadas de
prote ção.

Observe a figura aba ixo:

 Figura Screened Host
3: Gateway
A p rimeira camada, éa
rede externa, que es tá interligada com a Interne t através
do roteador, nes ta camada a rede só conta com o "filtro de
pacotes" que es tá implem entado no roteador e te m como
finalidade aceitar ou bloquear pacotes de rede seguindo
as regras definidas pela polít ica ad ministrativa da
empresa.

A segu nda camada, é a rede interna, e quem limita os

acessos nes te ponto é um Bastion Host com um Pr oxy
Firewall, po is nele, te mos um outro f iltro de pacotes além
de meca nismo s de aute nticação da própr ia rede interna.

Sub-rede com T riagem (Screened Subnet )

Roteador e Gateway, são usados aqu i ta mbém

conjunta men te em uma arquitetura que é bem parec ida com
a ar quitetura ant erio r, en tretanto, a camada de serv iços
nesta, f ica na mes ma linha da cama da interna, atrás do
Bastion Host Gateway, em uma das sub- redes que pode m
ser cr iadas nele, fo rtalece ndo be m os ser viços contra
ataques.
Observe a figura aba ixo:

Figura
Screened Subnets
4:
A p rimeira camada éa
externa, que está interligada com a In ternet atra vés do
roteador, nesta camada a r ede só conta com o "filtro de
pacotes" que es tá implem entado no roteador, e te m como
finalidade aceitar ou bloquear pacotes de rede seguindo
as regras definidas pela polít ica ad ministrativa da
empresa.

A segu nda camada está d ividida em duas partes, a de

serv iço s prestados (E xe mplo, E-mail, Web, Ftp e Ras) e a
interna (rede da empresa ) e elas recebem duas filtragens,
a do roteador e a do própr io programa Firewall. Esta
camada utiliza també m uma outra técnica chamada NAT,
que tem po r finalidade tran screver números de interne t em
números pr ivados, fortalecen do bem a transparência da
camada.

Entende ndo o Bastion Host

Bastion Host é qualquer computador configurado para
dese mpenhar algum papel crít ico na segurança da rede
interna; ele f ica publicame nte prese nte na Intern et,
provendo os serviços permitidos pela política de
segurança da empresa.

Compone ntes de um bom Firewall

Auten ticação - Processo que verif ica a identidade de um

usuário p ara ass egurar de que o mes mo que está pedindo o
acesso, seja de fato, o m esmo a quem o acesso é
autor izado.

Controle de Acesso - P rocesso que bloqueia ou permite

conexões de entrada ou de saída bas eado em f iltros de
acesso ou atra vés de mecanis mos inteligente s que
detecta m o uso abusivo, bloquean do o acesso
temporariament e.

Compatibilidade - O Fi rewall deve permiti r o pleno

funcioname nto dos serv iço s prestados na rede, bem como
interagi r ou até mes mo se integra r com as aplicações
serv idoras escolhidas pela corporação.

Auditoria - P rocesso v ital na detecção de vulnerabilidades

e acesso s indevidos.

Flexib ilidade - Facil idade no uso, fe rrame ntas de

administração de boa compree nsão e suporte técnico.

Nota: Um bom programa de segurança de rede é

construído po r um conjunto de programas e técnicas que
tem po r finalidade liberar ou bloquear serv iço s den tro de
uma rede interl igada à Internet de forma controlada.
Embora o Firewall seja a parte mais importante em um
programa de seguran ça, não deve mos esqu ecer a
importância de se util izar fer ram enta s que aux iliam na
detecção de brechas e v ulnerabilidades dos sist emas
operac ionais que estão e m uso na rede, bem como o uso
de programas que det ectam intrusos ou ataque s. É
importante também saber qual ação a ser tomada quando
ocor rer uma v iolação ou um serv iço importante p arar.

° A p rópria Interne t.

Onde encon trar p rogramas:

Firewall-1 www.check point.co m

Raptor www.symantec.co m
Aker www.a ker.com. br
Nok ia www.nokia.com/securitysolutions
Real Secure www. is s.net
Intern et
www. is s.net
Scanner