Segurança de redes I 3

Prévia do material em texto

Segurança de Redes I
Aula 3: Segurança com roteadores
Apresentação
Vamos conhecer um pouco mais sobre os roteadores e como nos podem ser úteis nas estratégias de segurança de redes.
Veremos que os roteadores, muito embora estejam projetados para rotear tráfego entre segmentos diferentes (domínios
de broadcast distintos), podem ser con�gurados a nível dos seus scripts, ou seja, com restrições. Entenderemos como
são implementadas tais restrições.
Veri�caremos que os módulos de hardwares e/ou software podem ser utilizados para criar camadas de �rewall
implementadas sobre arquiteturas de roteadores. Em resumo, veremos que é possível adicionar mais funções do que
aquelas que esperamos existir em um roteador, genericamente falando.
Objetivos
De�nir o conceito de roteador;
Explicar as noções de roteador com Access List, lista de Acesso (Access List: ACL) e controle do tráfego com ACL;
Analisar o software e o hardware de �rewall adicionados à plataforma roteador, bem como o �rewall em roteador Wi-
Fi.
O que é um roteador?
Um roteador é um dispositivo destinado à prática de encaminhamento de pacotes de dados entre segmentos de rede distintos
ou o que chamamos de “domínios de broadcast diferentes”.
Na prática, um roteador examinará cada pacote de dados que chega oriundo de um segmento de rede e que precisa ser
encaminhado para outro segmento, observando o campo de endereço de destino e avaliando o seu conhecimento sobre este
destino.
Cada pacote traz na sua construção aquilo que chamamos de cabeçalho e nele está contida uma série de informações
importantes que ajudam no tratamento e no encaminhamento destes pacotes. Aqui, farei uma análise mais direcionada ao
mundo IP, utilizando como exemplo o protocolo IPv4.
 Destaques sobre os campos do cabeçalho da camada de rede
 Clique no botão acima.
Destaques sobre os campos do cabeçalho da camada de rede
Versão: Fornece a versão IP (4).
Tamanho do cabeçalho (IHL): Fornece o tamanho do cabeçalho do pacote.
Tipo de serviço: Este campo tem um valor binário de 8 bits. É destinado a determinar a prioridade de cada
pacote. É o campo utilizado pelos mecanismos de QoS para aplicar política de prioridades dependendo do
serviço. O roteador, ao ser capaz de realizar "tratamento" dos pacotes, abre a possibilidade para que o mesmo
possa ser con�gurado, ganhando, dessa forma, a capacidade  de julgar o encaminhamento que dará a este
mesmo pacote baseado nas premissas que foram parametrizadas na instância "Tipo de serviço".
Comprimento do pacote: Este campo traz como informação o tamanho total do pacote, expresso em bytes. A
abrangência deste valor vai do cabeçalho aos dados de um pacote.
Identi�cação: Este campo é utilizado para a identi�cação, unívoca, de todos os fragmentos de um dado pacote
IP. Os pacotes, na maioria das vezes, são fragmentados.
Flag mais fragmentos: Refere-se a um bit, componente do campo da �ag, que é utilizado para questões de
fragmentação e a sua respectiva reconstrução de um dado pacote. A �ag possui vários campos e dentre estes
destaca-se o "Mais fragmentos (MF)" que, se for con�gurado, irá signi�car que ele não é o último fragmento de
um pacote e que virão outros na sequência, os quais necessitarão de tratamento. Quando um elemento de
destino recebe os pacotes que se destina a ela e percebe MF = 1, este começa o processo de análise e
tratamento dos demais fragmentos, recompondo-o e colocando-os em ordem até receber um fragmento com MF
= 0 e um conteúdo diferente de 0 no campo “Deslocamento de fragmento”. Com isso, o processo foi concluído e o
pacote reconstruído. Um dado pacote que não passou pelo processo de fragmentação possui todas as
informações de fragmentação iguais a zero (MF = 0, Deslocamento de fragmento = 0).
Flag não fragmentar: O �ag não fragmentar (DF) indica a permissibilidade ou não da ocorrência de fragmentação
de um dado pacote. Se DF = 1, então o pacote não será fragmentado.
Deslocamento de fragmento: Tanto um dado roteador como outros elementos de rede necessitam desenvolver a
dinâmica da fragmentação dos pacotes para que estes possam ser encaminhados de um dado meio físico para
outro e que possui um valor de MTU menor do que a interface pela qual o pacote sairá. Quando isso é veri�cado,
o processo de dinâmica do pacote IPv4 utiliza-se do campo “Deslocamento de fragmento” e da �ag MF, contidos
Versão (Version) Tamanho do cabeçalho (IHL) Tipo de serviço (ToS) Tamanho total (Total lenght)
Identificação (Identification) Flags Deslocamento de fragmento 
(Fragment offset)
Tempo de vida (TTL) Protocolo (Protocol) Soma de verificação do cabeçalho 
(Checksum)
Endereço IP de origem (Source address)
Endereço IP de destino (Destination address)
Opções + Complemento (Options + Padding)
no cabeçalho IP, para realizar o processo de reconstrução do pacote quando é entregue ao seu destino. O campo
de “Deslocamento de fragmento” identi�cará em que ordem o fragmento do pacote deverá ser colocado no
processo de reconstrução.
Tempo de vida (TTL): O campo TTL constitui-se de um conjunto de valores binários, 8 bits no total, os quais
indicam qual o tempo de vida ainda resta para que o pacote sobreviva na rede. O TTL terá seu valor diminuído
cada vez que o pacote é processado por um dado roteador ao longo do percurso para se chegar ao destino (a
cada salto). Toda vez que TTL = 0, o roteador que estiver tratando o pacote descartará ou abandonará esse dado
pacote e, então, o mesmo será removido do �uxo de dados da rede.
Protocolo: Esse campo no cabeçalho possui uma constituição de 8 posições que indicam qual é o tipo de
payload de dados que o pacote está carregando: dá a camada "dica" do que se trata o pacote, viabilizando a
camada de rede saber sobre os dados contidos no campo de informação e para qual protocolo apropriado das
camadas superiores o pacote deverá ser entregue. Alguns exemplos dos valores possíveis são:
01, referente ao ICMP.
06, referente ao TCP.
17, referente ao UDP.
Soma de veri�cação do cabeçalho: Sobre este campo ocorrerá o processo de veri�cação dos erros contidos no
cabeçalho do pacote.
Endereço IP de origem: O endereço IP de origem contém um determinado valor binário, forjado pela combinação
dos 32 bits que o constituem. Este campo representa o valor do endereço do host de origem do pacote da
camada 3.
Endereço IP de destino: O endereço IP de destino contém um determinado valor binário, forjado pela
combinação dos 32 bits que o constituem. Este campo representa o valor do endereço do host de destino do
pacote da camada 3.
Opções: Refere-se a uma reserva de campos no cabeçalho do IPv4 que podem, por previsão, serem ocupados
com novas funções não previstas originalmente, mas com admissão factível. Podem, por exemplo, ser novos
serviços.
Uma dessas informações se refere ao campo “Endereço IP de destino” e outra ao campo de “Endereço IP de origem”.
Essas informações contam para o roteador de que segmento veio o pacote e para quem deve ser enviado.
Ao interpretar a informação “Endereço IP de destino”, contida no pacote, especi�camente nos campos de cabeçalho,
ele determinará, após consulta às suas tabelas internas de roteamento, se conhece o endereço IP de destino (a rede),
se sabe como chegar a este destino e por qual interface ele sabe alcançar o destino.
Todo o funcionamento de um roteador está baseado nas tabelas de roteamento, pois, ao receber um dado pacote por uma de
suas interfaces, o roteador irá “ler” ou “analisar” a sua tabela de roteamento, e veri�car se possui uma ou mais rotas para
alcançar o destino pretendido e por quais interfaces ele irá fazê-lo.
Uma vez de posse da informação sobre qual o caminho seguir para alcançar o destino, o roteador executa o encaminhamento
do pacote: Ele realiza o roteamento.
 (Fonte: FREEPIK2 / Shutterstock).
Um roteador é responsável pelo tráfego que ocorre dentro do chamado “domínio de roteamento” (na Intranet ou na Internet),
tratando da mecânica desse roteamento.
Os roteadores, automaticamente:
1
Preenchem e mantêm as tabelas deroteamento.
2
Executam processos e protocolos de
roteamento dinâmico para atualização de
rotas.
3
Associam os endereços de pre�xos de
domínios de roteamento às interfaces.
4
Atribuem e controlam métricas de
roteamento.
5
Aceitam con�gurações estáticas das rotas
para a propagação dos pacotes.
Roteador com ACL (Acssess List)
Muitas vezes não temos à mão um elemento próprio para que se possa implementar uma solução clássica de segurança, ou
seja, uma plataforma de �rewall, como a �gura clássica de um dispositivo destinado a esta função especí�ca.
O roteador, como foi visto acima, é um equipamento especí�co cuja função é conectar diferentes segmentos de redes
mediante uma consulta à sua tabela de roteamento, cuja formação pode ser feita por aprendizado dinâmico ou ter informações
escritas estaticamente.
Um roteador, porém, pode ser con�gurado para assumir outro papel: O de um elemento de segurança, realizando críticas
sobre os pacotes que serão analisados por ele, observando campos na estrutura de seus cabeçalhos, de acordo com o que foi
visto anteriormente.
Dentre esses campos, alguns principais:
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
1
Tipo de serviço
2
Protocolo
3
Endereço IP de origem
4
Endereço IP de destino
Cada pacote que passa pelos roteadores traz informações que serão usadas como argumentos de crítica para que se possam
aplicar políticas de cerceamento, e com elas, criar níveis de segurança similares ao que se consegue com alguns tipos de
�rewalls.
Vamos entender melhor como isso funciona?
Exemplo
Um dado roteador ao receber um pacote poderá realizar uma crítica analisando:
O endereço IP de origem.
O endereço IP de destino.
O tipo de protocolo de transporte (TCP ou UDP).
A porta de serviço (soket).
A crítica a ser realizada pelo roteador será feita mediante a comparação dos argumentos contidos no cabeçalho dos pacotes com
aqueles argumentos que estão de�nidos em uma lista prévia que faz crítica para liberar o acesso ou negar o acesso. A esta lista
damos o nome de “lista de acesso”.
 (Fonte: Anucha Cheechang / Shutterstock).
O que é uma lista de acesso (ACL)?
É um dos recursos que podem ser utilizados em diversas funcionalidades dentro dos equipamentos, por exemplo, Cisco:
roteadores e switches.
Trata-se de uma lista sequencial de instruções de permissão ou negação na
qual se faz críticas sobre endereços, protocolos e portas de serviço (soket).
Essa lista fornece uma forma adequada e, por que não, e�ciente, para realizarmos o controle de tráfego de dentro para fora e
vice-versa, entre segmentos de rede, podendo ser nas ACL's, declarados todos os protocolos de rede roteados.
 (Fonte: Omelchenko / Shutterstock).
Um dos grandes pontos, e de extrema importância, na
segurança de uma rede é a capacidade de manter o controle
do �uxo de pacotes em um dado segmento, objetivando
protegê-lo de falhas, de degradação dos serviços, de
sinistros que lesam a integridade e proteger o valor dos
dados. Todas estas ações ou são frutos de natureza
intencional ou são relativas a falhas de procedimentos de
usuários.
Uma boa solução, coberta de efetividade, no quesito de segurança, não deve estar calçada apenas em recursos técnicos. A
elaboração de uma boa política de segurança também traz efetividade e e�cácia. A de�nição das diretrizes de segurança é
muito importante, colaborando com a elaboração do processo de políticas.
Agora que já sabemos o que é uma ACL, vamos aprofundar nosso conhecimento sobre o tema.
Controle do tráfego com ACL
"Uma lista de controle de acesso (ACL) é uma lista de regras
ordenadas que permitem ou bloqueiam o tráfego de pacotes
baseado em certas informações presentes 'nos pacotes'.
Uma ACL permite ou bloqueia o tráfego de pacotes – um
pacote que não é explicitamente permitido será bloqueado
pela regra que bloqueia tudo. Outro erro comum durante a
criação de uma lista de controle de acesso é o esquecimento
deste fato."
(REDE NACIONAL DE ENSINO E PESQUISA, 2001)
Em uma ACL, estão presentes características que constam nos cabeçalhos dos pacotes a serem inspecionados. Sobre estas
informações de cabeçalho, tanto nos de camada 3 como nos de camada 4, se farão as críticas. Por exemplo, em uma dada
ACL podemos barrar a aplicação FTP, criticando a sua porta que consta no cabeçalho de camada 4. É importante dizer que,
uma ACL não irá �ltrar ou considerar nenhum tipo de comando de aplicação, no caso do exemplo, comandos de FTP.
Uma vez que o roteador realiza, na prática, um exame de cada pacote de dados que chega às suas interfaces, não é de se
estranhar que a usabilidade de ACLs aplicadas às suas interfaces é uma prática plausível, pois se aproveita o momento da
inspeção do pacote e se realiza o ato do controle de acesso baseado no uso de uma lista de permissão ou negação.
 (Fonte: Andrea Danti / shutterstock).
O �uxo do uso de uma ACL se dá da seguinte forma:
I. Uma interface recebe um pacote.
II. Roteador veri�ca tabela de rota:
a. Sem a existência de rota, o pacote é descartado e uma mensagem de ICMP (unreachable destination) é
enviada à origem.
b. Con�rma a existência de rota, agora busca a existência de uma ACL aplicada à interface por onde o
pacote entrou.
III. Roteador veri�ca se há ACL aplicada à interface:
a. Sem ACL, o pacote segue normalmente para o buffer ad porta de saída.
b. Com ACL, o roteador executa a leitura das regras contidas e pratica a mesma conforme as diretrizes
contidas nela, analisando o pacote.
O processo de escoamento de um �uxo de dados que cursa por uma interface de comunicação pode, por natureza de sua
dinâmica, ser bidirecional, o que nos permite aplicar uma ACL em uma dada direção em função da dinâmica deste �uxo que
cursa pela interface.
Vejamos as formas de aplicação das ACLs:
ACL aplicada à entrada de uma dada interface, denominada inbound: Quando os pacotes são checados e considerados se
devem ou não continuar seu �uxo.
 
ACL aplicada à saída de uma dada interface, denominada outbound: Quando os pacotes são checados e considerados se
devem ou não continuar seu �uxo.
Atenção
Todos os pacotes que são gerados pelo plano de controle de um roteador para a efetiva troca de tabelas de roteamento não serão
afetados por ACL do tipo outbound, pois serão gerados pelo próprio sistema, o que leva a uma incoerência para ele. Só serão
considerados para bloqueio, aqueles pacotes fruto de troca de tabelas de roteamento de outros sistemas (roteadores) através de
ACL do tipo inbound, pois estas, por serem externas, podem estar contaminadas.
As ACLs podem ser de dois tipos, a saber:
Clique nos botões para ver as informações.
Este tipo de lista possui baixo recurso de veri�cação, ou seja, veri�ca o IP de origem de um pacote que pode ser ou não
roteado. Baseado no IP da rede, sub-rede ou endereço de host, a regra indicará se é ou não permitido o envio do pacote
por outra interface.
ACL Padrão (standard) 
Este tipo de lista possui maior riqueza de detalhes de argumentos para serem veri�cados. Com esta característica o
administrador de segurança possui maior �exibilidade na elaboração das regras.
ACL Estendida (extended) 
Nas listas do tipo ACL, são veri�cados os seguintes parâmetros de contexto de cabeçalho:
Endereços IP de origem e de destino.
Sokets de origem e de destino.
“Protocolos e alguns outros parâmetros, de forma a permitir ao administrador de segurança uma maior �exibilidade na
elaboração das regras” (REDE NACIONAL DE ENSINO E PESQUISA, 2001).
Sobre o aspecto da representatividade dos protocolos [alguns deles]...
"Nas listas de acesso, devem ser identi�cadas por nome; já
em outros, devem ser identi�cadas por número; e alguns
outros protocolos permitem a sua identi�cação por nome ou
número"
(REDE NACIONAL DE ENSINO E PESQUISA, 2001).
Sobre o ponto de vista da identi�cação, as listas de acessos em um dado roteador devem ser identi�cadas de forma única.
Com relação à identi�cação de uma ACL, esta poderá ser implementada de forma simples por um número ou por umnome, o
que facilita a sua administração. Tratando-se de tecnologia CISCO, esse critério passou a ser oferecido pelos seus Sistemas
Operacionais de roteadores nas suas duas modalidades a partir da versão 11.2 do IOS.
Vejamos abaixo o exemplo CISCO de lista de acesso:
Tipo de lista de acesso Nome / Identificador
IP Standard
IP Extended
1 – 99 
100 – 199 
Por nome (do IOS 11.2 em diante)
IPx Standard 
IPx Extended 
IPx Filtro SAP
800 – 999 
900 – 999 
Por nome (do IOS 11.2 em diante)
Apple Talk 600 – 699
Vejamos, abaixo, a lista completa das identi�cações das ACLs no roteador CISCO. São as chamadas "listas numeradas". Cada
número ou range, identi�ca um tipo de protocolo.
Protocolo Faixa
IP standard 1 – 99
IP extended 100 – 199
Ethernet type code 200 – 299
Ethernet adress 700 – 799
Transparent bridging (protocol type) 200 – 299
Transparent bridging (vendor code) 700 – 799
Extended transparent bridging 1100 – 1199
DECnet and Extended DECnet 300 – 399
XNS 400 – 499
Extended XNS 500 – 599
Apple Talk 600 – 699
Source-Router bridging (protocol type) 200 - 299
Source-Router bridging (vendor code) 700 – 799
IPX standard 800 - 899
IPX extended 900 – 999
IPX SAP 1000 – 1099
VINES standard 1 -100
VINES extended 101 – 200
Simple VINES 201 - 300 
Quando terminarmos a construção e aplicarmos as ACLs às interfaces dos roteadores, o que teremos serão pontos de crítica
ao pacote que entra ou sai de uma dada interface: Lista de Entrada e/ou Lista de Saída, veja a �gura a seguir:
 Fonte: Autor
Em que:
Clique nos botões para ver as informações.
Pacotes de entrada são processados antes de serem roteados para a interface de saída. Uma ACL de entrada será
e�ciente porque evita a sobrecarga das pesquisas de roteamento se o pacote for descartado. Se for permitido pelos
testes, o pacote será processado para roteamento.
ACLs de entrada 
Pacotes de entrada são roteados para a interface de saída e, em seguida, processados pela ACL de saída". (ROVERE,
2018).
ACLs de saída 
Percebe-se, com isso, que um roteador pode ir além das funções primordiais que estamos acostumados a ler sobre ele no que
se trata das atribuições para as quais ele foi concebido inicialmente:
1. Rotear pacotes.
2. Consultar tabelas de rotas.
3. Trocar tabelas de rota na interação com outros roteadores através de protocolos de roteamento (RIP, OSPF, BGP etc.).
4. Realizar processo de NAT.
Com a capacidade de implementação de ACLs às suas interfaces, temos um ganho no papel do roteador, atuando nos quesitos
de segurança de uma rede. O grande ganho que se tem com a implementação de segurança, utilizando-se os roteadores, é
devido ao fato que o roteador pode inspecionar todo o tráfego de entrada, aplicando políticas de segurança e bloqueando o que
é indesejável.
Software de �rewall adicionado à plataforma roteador
Além de usar Access Control Lists nos roteadores, podemos implementar complementos ao seu Sistema Operacional. Um
desses complementos ou módulos adicionais pode ser uma camada de software destinada à segurança. Nesta aula, usarei o
modelo da CISCO, para dar exemplos de produtos, mas é importante lembrar que outros fabricantes têm soluções próprias
para seus produtos.
O "CISCO IOS �rewall" é exemplo das possibilidades que temos de adicionarmos camada de segurança a elementos que não se
destinam a esse �m. Aqui, tratamos de tecnologia CISCO, portanto, não vale para um roteador Juniper, Huawei, 3Com etc.
Neste exemplo, o "CISCO IOS �rewall" é uma das várias opções de recursos de software adicionais que conferem upgrade de
funções no CISCO IOS . Esse pacote, software, traz para os roteadores CISCO um ganho muito grande devido aos recursos
avançados de �rewall, permitindo aos roteadores que o suportam, adentrarem outro nível de funções e usabilidade na rede.
É claro que há soluções especí�cas de segurança, mas, com esses pacotes, a CISCO consegue trazer os seus roteadores para
o universo de suas soluções de segurança, transformando as plataformas roteadoras em mais um elemento de universo e
aprimorando, com isso, a capacidade da rede de suportar aplicativos de Internet, por exemplo, de missão crítica.
Os ganhos que se adquirem quando se adota a camada de software de segurança em um roteador são substanciais: Aumenta-
se o leque de opções e a variedade de ferramentas dedicadas à segurança.
O administrador da rede passa a contar, nesse momento,
com a capacidade ampliada em funções do roteadores,
oferecendo um nível apropriado de funcionalidade para
atender aos requisitos da diretiva de segurança.
 (Fonte: Anucha Cheechang / Shutterstock).
http://estacio.webaula.com.br/cursos/go0345/aula3.html
Seja como uma unidade autônoma ou trabalhando em conjunto com um
dispositivo de �rewall dedicado, os recursos do �rewall do IOS oferecem
opções �exíveis e con�áveis para estender a proteção de segurança em
toda a rede.
Esse tipo de solução tem por consequência garantir o nível de disponibilidade de uma infraestrutura de rede, conferindo maior
segurança e protegendo-a contra possíveis ataques, vírus e worms da camada de rede e de aplicativos. O que é, de qualquer
jeito, aquilo que está nas linhas gerais de qualquer solução de hardware e/ou software dedicado às premissas de segurança,
mas aqui está aplicada em adição à camada de rede na �gura de um roteador.
Esse tipo de solução é muito útil, por exemplo, nos casos de
telefonia IP, protegendo  terminais SIP (Session Initiation
Protocol) e os respectivos recursos que realizam o processo
de controle de chamadas e que estão integrando uma
infraestrutura de rede.
 (Fonte: Magnetic Mcc / Shutterstock).
No nosso caso aqui explorado – ambiente CISCO –, o IOS �rewall possui comportamento stateful, no qual o processo de
inspeção é realizado no nível dos pacotes de acordo com o comportamento do estado deles. Esta é uma funcionalidade
fornecida em função do algoritmo de segurança adaptável da Cisco denominado ASA .
O ASA usa uma abordagem estável para segurança. Nessa abordagem, cada pacote de entrada é veri�cado exaustivamente no
ASA e nas informações do estado da conexão na memória.
O ASA aplica as seguintes regras padrão:
1 - Permitir todas as conexões de tráfego originadas da rede interna de alta segurança para uma rede externa de segurança
inferior, a menos que seja especi�camente negada por uma ACL.
2 - Permitir qualquer tráfego para o qual a inspeção do aplicativo tenha sido con�gurada e o tráfego tenha sido determinado
como aceitável.
http://estacio.webaula.com.br/cursos/go0345/aula3.html
3 - Descartar e registrar tentativas de iniciar conexões com um slot de conversão (por exemplo, um servidor protegido pelo
�rewall) a partir do exterior, a menos que exista uma ACL que permita essa conexão.
4 - Liberar e registrar pacotes IP roteados de origem.
5 - Negar todo o tráfego do protocolo ICMP (Internet Control Message Protocol) de interfaces de baixa segurança através do
�rewall, exceto se explicitamente permitido. Isso impede que as respostas ao tráfego ICMP de saída possam ser entregues
com êxito. Por exemplo, se um host externo for "pingado" usando um eco ICMP, o resultado parecerá uma solicitação expirada
porque o pacote de resposta de eco ICMP será bloqueado na interface externa e nunca alcançará o host de origem original.
6 - Permitir todo o tráfego ICMP para o próprio �rewall (isso pode ser desativado ou controlado com a inspeção ICMP).
Com isso, vemos que é uma solução adequada, principalmente se observarmos essa usabilidade por parte de �liais, ambientes
de pequenas e médias empresas ou serviços gerenciados. É uma boa solução para contenção de ameaças e funciona em
complemento com outro tipos de recursos de segurança, tais como NAT e a �ltragem de conteúdo, criando em sua conjugação
uma solução de ambiente tecnológico completamente integrado, destinado à chamada “segurança de perímetro”.
Os conceitos de segurança, incluindo o termo “segurança de perímetro”, derivaram de termos militares. O perímetro nada mais
é do que uma linha imagináriaque separa uma empresa de outras redes, geralmente a Internet.
E essa linha de demarcação é implementada por um dispositivo que pode oferecer a comunicação entre as redes, geralmente
representada por um roteador ou dispositivo com �nalidade similar, anexada ou sequenciada de um dispositivo de segurança,
chamado de �rewall, ou incorporando a função de �rewall em sua arquitetura interna, acumulando a função.
 Fonte: Autor
Concluindo o assunto referente ao roteador suportando uma camada de software adicional, nos resta o seguinte alerta:
Antes de aplicarmos o recurso de camada adicional de função de segurança
em um roteador, devemos saber quais são os requisitos necessários que
este recurso demanda.
Ou seja, devemos realizar os seguintes questionamentos:
Quanto de memória �ash o software necessita?
Qual é a capacidade de memória exigida?
Em qual a versão do Sistema Operacional o roteador deve estar operando?
Qual é a capacidade mínima de processamento disponível no roteador, considerando a sua operação atual?
Se for necessário upgrade do hardware, este tem capacidade de ser expandido?
Qual é o volume de dados esperado que pretendemos encaminhar e analisar no roteador nas suas novas funções?
O roteador possui capacidade de assimilação de novo tráfego e/ou função?
Entendemos agora que não basta simplesmente aplicar a camada de software no roteador, mas, devemos entender nossas
demandas, os pré-requisitos para upgrade e as reais condições de capacidade da plataforma que temos nas mãos para realizar
a operação. Sem conhecer esses aspectos não poderemos ter sucesso na implementação, quanto mais na operacionalização
do processo de segurança.
 (Fonte: asharkyu / Shutterstock).
Hardware de �rewall adicionado à plataforma roteador
Similar à adição de somente a camada de software nos roteadores, temos também a opção de instalarmos um módulo de
hardware nos roteadores além da camada de software de segurança.
O módulo de hardware, uma placa dedicada à função, será o ambiente no qual será executado o software de �rewall – uma
placa de função especí�ca para suportar esta funcionalidade, e não mais uma aplicação rodando no nível de memória
compartilhada em um roteador.
 Fonte: Cisco.
No caso da CISCO, este módulo é denominado “módulo de serviço de dispositivo de segurança adaptável da Cisco” (ASA SM –
ASA Service Module). Ele é um hardware de segurança de rede integrado ao roteador, de alta velocidade.
Um exemplo disso é o que acontece com a linha de roteadores CISCO C7600 que possui um módulo de alto desempenho ASA
SM, que além de oferecer alto rendimento, possui baixa latência e alta disponibilidade, pré-requisitos necessários para esta
função agregada às funções do roteador.
Essa placa tem como característica não possuir interface física para ligações externas. O módulo inclui interfaces lógicas no
próprio roteador, se comunicando com este a nível de barramento interno. Se houver necessidade de acessar o �rewall, esse
processo se dará acessando a porta do console virtual, via roteador.
Firewall em roteador Wi-Fi
Muitas infraestruturas utilizam roteadores de menor porte para tratarem de suas conexões com a Internet. Podem não ser
equipamentos com as capacidades dos hardwares das linhas CISCO, Juniper, 3Com, HUAWEI, mas são peças necessárias e
que atendem muitas das demandas atuais.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
 Fonte: TP Link.
Fica claro que para realizar segmentações internas de rede, viabilizando desempenho com integração entre diversos domínios
de redes internas e também externa, devemos primar pelo uso de plataformas performáticas. Porém, algumas corporações
possuem restrições de investimento e não precisam de muito poder em seus hardwares de rede.
Como a realidade é aquilo que encontramos na prática e não o que consideramos o ótimo e excelente, devemos nos habituar a
encontrar soluções que variam de mecanismos com alto desempenho até soluções chamadas “feijão com arroz” que,
popularmente dizendo, “dão para o gasto”. Pode parecer estranho, mas será demandado do agente solucionador ou consultor, o
estudo da necessidade e a indicação de uma boa solução que, muitas vezes é mais adequada ao bolso do que ao problema, ou
que pelo menos tende a tangenciar o problema.
Baseados nisso, mecanismos menores e mais simples, voltados para pequenos negócios e uso doméstico – linha SoHo
(Small-O�ce/Home-O�ce) – são desenvolvidos como plataformas de baixo custo para esse per�l de necessidade e usuário.
 (Fonte: Proxima Studio / Shutterstock).
As soluções de roteadores Wi-Fi foram desenvolvidas para facilitar a constituição de redes. Esses dispositivos utilizam em sua
estrutura um módulo de software de segurança, pois, apesar de pequenas plataformas, esses hardwares devem poder
desempenhar funções de segurança.
Veja a seguir a unção do recurso de �rewall nos roteadores Wi-Fi:
Cria mais uma barreira proteger a conexão Wi-Fi, evitando que informações sejam corrompidas, que aconteçam ataques
hackers e que malwares ou itens mal-intencionados circulem.
Faz com que ocorra uma varredura, ou �ltragem, dos pacotes de dados e endereços de portas da rede. Tal atividade pode
servir como mais uma aliada de segurança aos elementos de uma rede tipo PC, que possui a segurança reforçada em
conjunto com o �rewall de PC que estiver sendo usado, por exemplo o �rewall do Windows.
Pode vir desativado nos roteadores Wi-Fi, por padrão, em alguns modelos de roteadores, mas é possível habilitar de forma
simples. Veja um exemplo a seguir.
Exemplo
Na plataforma TP-Link – roteador Wireless Gigabit Dual Band AC900Archer C2 –, veri�camos que a solução de �rewall nos
fornece os seguintes quesitos:
DoS (Denial of Service).
Firewall SPI.
Filtro de endereço IP/MAC.
Filtro de domínio.
Vínculo de endereço IP e MAC.
Atividade
1. Para que serve o campo "Protocolo" contido no cabeçalho IP?
2. Em que se baseia um roteador para executar suas funcionalidades primárias?
3. Um roteador pode ser con�gurado como elemento de segurança? Caso sim, quais as críticas que os roteadores poderão
realizar se con�gurados para essa �nalidade, mediante listas de acesso para bloqueio?
4. Como um roteador funciona com a ACL aplicada a uma interface de entrada?
5. Qual é a característica de uma Lista de Acesso?
Notas
CISCO IOS
Sistema Operacional da CISCO.
ASA
Software Cisco Adaptive Security Appliance.
Referências
KUROSE, Jim; ROSS, Keith. redes de computadores e a Internet: uma abordagem top-down. 6. ed. São Paulo: Pearson, 2013.
, ; , p g p ,
MANNARA, Barbara. Como ativar o �rewall do roteador Wi-Fi e deixar a rede mais segura. Rio de Janeiro: TechTudo, 2016.
Disponível em: www.techtudo.com.br. Acesso em: 16 nov. 2019.
REDE NACIONAL DE ENSINO E PESQUISA. Segurança em roteadores. Boletim bimestral sobre tecnologia de redes, v. 5, n. 2,
2001. Disponível em: memoria.rnp.br/. Acesso em: 16 nov. 2019.
ROVERE, Rodrigo. Lista de Controle de Acesso (ACL) – parte 1. [S. l.]: Medium, 2018. Disponível em: medium.com. Acesso em:
16 nov. 2019.
STALLINGS, William. Criptogra�a e segurança de redes: princípios e práticas. 6. ed. São Paulo: Pearson, 2014.
Próxima aula
Segurança com �rewalls;
Tipos de �rewalls;
Firewall em Linux IpTable;
Virtualização de �rewall.
Explore mais
Pesquise na Internet sites, vídeos e artigos relacionados ao conteúdo visto. Em caso de dúvidas, converse com seu professor
on-line por meio dos recursos disponíveis no ambiente de aprendizagem.
javascript:void(0);
javascript:void(0);
javascript:void(0);