firewall

Prévia do material em texto

�PAGE �102�
S. Sandri, J. Stolfi, L.Velho
Firewall – Estudo e Configuração
Regina Ravazi da Câmara
Universidade do Vale dos Sinos (UNISINOS) – São Leopoldo, RS-Brasil.
{camararegina7@gmail.com}�
Resumo. Este artigo descreve um breve estudo sobre um componente de segurança que controla o acesso entre duas ou mais redes, o Firewall. Descrevendo também, seu funcionamento, as suas características e suas configurações utilizando a ferramenta Iptables que através de uma interface com o usuário permite a criação de regras de Firewall.
1. Introdução
	O firewall é um termo em inglês que em português significa parede de fogo. O Firewall designa uma medida de segurança implementada com o objetivo de limitar ou impedir o acesso de terceiros a uma determinada rede ligada à Internet (NUNES, 2007).
	O firewall é uma importante ferramenta de segurança, principalmente no ramo empresarial. Conforme Douglas e Rafael (2007) muitas empresas mantêm grandes quantidades de informações confidenciais guardadas em servidores pelo mundo, segredos comerciais, planos de desenvolvimento de produtos, estratégias de marketing, análises financeiras, entre outros. A divulgação dessas informações para um concorrente poderia causar impactos negativos para a organização.
	O Firewall podem ser implementados através de um roteador, um PC (personal computer) com software especial, um sistema com esta capacidade ou um conjunto de hospedeiros, todos configurados especificamente para proteger um site ou uma sub-rede de protocolos e serviços não confiáveis (SILVA, FRANKLIN, 1997).
						Segundo Luís Rodrigo Gonçalves (2005) outro uso frequente dos firewalls é ser utilizado para filtrar quem pode acessar máquinas da rede interna a partir da internet, este tipo de filtragem normalmente é baseada no endereço IP a origem da conexão e em alguns casos em seu Mac Adress.
2. Funcionamento Firewall
	A principal função de um firewall é proteger os dados da rede interna, aquela que não está conectada a internet, de ataques vindos da rede externa, normalmente a internet. Ou seja, tem por objetivo impedir acessos lógicos não autorizados a um determinado ambiente (GONÇALVES, 2005).
	Conforme Douglas e Rafael (2007) o firewall é como uma barreira que impões limites e controla todo o tráfego de dados entre um ou mais computadores e uma rede externa, que pode ser, por exemplo, a Internet. Ilustrativamente este fato pode ser observado na Figura 1.
Figura 1 – Ilustração do funcionamento do firewall
														Os Firewalls são componentes comuns em pequenas e grandes empresas nos dias atuais e normalmente são implementados no gateway, nas interconexões de rede, ou seja, onde o tráfego é constante, isso garante que todo o tráfego da rede passará pelo firewall, como aponta Loanidis (2000 24 apud KUROSE; ROSS, 2006) localizar o firewall em um único ponto de acesso à rede facilita a administração e a imposição de uma política de segurança de acesso.
3. IPTABLES
	É um software de firewall utilizado no Linux que permite a realização de filtragem dos pacotes. As Listas de Controle de Acesso (ACL – em inglês Access Control List) utilizadas por ele estão todas armazenadas em memória, processo este que acelera os mecanismos de filtragem e redirecionamento (GONÇALVES, 2005).
4. Funcionamento e Configuração do IPTABLES
	O iptables trabalha comparando o tráfego de rede que a máquina recebe com um conjunto de regras pré-especificadas, as quais definem as características que os pacotes devem possuir para corresponderem às regras, e as ações que serão tomadas para esses pacotes.
	Quando ocorre uma correspondência entre um pacote e uma regra, uma ação será tomada, e a essa ação dá-se o nome de target. O target (“objetivo”) pode determinar se um pacote será aceito ou descartado, movido para outra cadeia para processamento, logado, ou ainda outras opções.
	A arquitetura do iptables agrupa o processamento dos pacotes de rede em tabelas por função (filtro de pacotes, tradução de endereços de rede e outras formas de configuração de pacotes), cada qual possui cadeias (chains) de regras de processamento. As regras consistem em correspondências (matches) usadas para determinar a quais pacotes cada regra será aplicada, e objetivos (targets), que determinam o que será feito com os pacotes que correspondam às regras.
	O iptables organiza suas regras de acordo com a seguinte estrutura: uma tabela contém cadeias, e as cadeias contém regras, como podemos ver na figura 2.
Figura 2 – Arquitetura IPTABLES
4.1. Tabelas
	Exemplos de tabelas do Iptables:
Filter - responsável pela filtragem de todos os pacotes que passam pelo host, não importando origem e destino;
Nat - responsável pelo controle dos pacotes que passam pelo host, mas cuja origem ou destino não é o mesmo. 
Mangle - permite alterar características específicas do pacote, como por exemplo: o TOS (Tipo de Serviço) o que permite implementar um sistema simples de QOS ( qualidade de serviço).
4.2. Comandos
Os Comandos podem, por exemplo, adicionar ou excluir uma regra.
É representado sempre por letra maiúscula, tendo algumas exceções (-h).
 -N - cria uma user chain 
 -X - Exclui uma regra por seu nome 
 -P - muda a política default de uma chain 
 -L - lista as regras de uma chain 
 -F - apaga todas as regras de um chain 
 -Z - limpa todos os contadores de bytes e pacote de uma chain 
 -A - acrescenta uma regra a uma chain 
 -I - insere regra numa posição da chain 
 -R - troca posição de regra na chain 
 -D - apaga regra de uma chain 
 -h - Ajuda do comando 
 -C - Verifica as regras básicas do firewall 
4.3. Chain
Podemos especificar a situação do tratamento do pacote. 
INPUT - consultado para dados que chegam ao PC. 
OUTPUT - consultado para dados que saem do PC. 
FORWARD - consultado para dados que são redirecionados para outra máquina ou outra interface de rede. 
4.4. Parâmetros
-p (protocolo) - define qual protocolo TCP/IP. (TCP,UDP e ICMP). 
-s (origem) - define qual o endereço de origem 
-d (destino) - define qual o endereço destino 
-i (interface) - define o nome da interface da rede onde trafegarão os pacotes de entrada e saída do firewall. Utilizado em mascaramento com NAT 
-j (ir para) - redireciona uma ação desde que as regras sejam similares. 
-f (fragmentos) - trata datagramas fragmentados. 	
4.5. Ação
Indicam se os pacotes serão ou não aceitos. 
ACCEPT – aceita o pacote 
DROP – rejeita o pacote 
REJECT – rejeita o pacote e envia um aviso 
5. Exemplo de Configuração
Para configuração do Firewall utilizando o Iptables, deve-se seguir seguinte sintaxe:
Iptables [-t tabela] [comando] [chain] [parâmetro] [ação]
A seguir temos um exemplo desta configuração.
root@ubuntu: ~# iptables -A INPUT -d www.gmail.com -j REJECT
root@ubuntu: ~# iptables -A OUTPUT -d www.gmail.com -j REJECT
root@ubuntu: ~# iptables -A FORWARD -d www.gmail.com -j REJECT
root@ubuntu: ~# iptables –L
Chain INPUT (policy ACCEPT)
Target prot opt source 					 destination
REJECT all -- anywhere gru09s10-f5.le100.net rej
le 
Chain FORWARD (policy ACCEPT)
Target prot opt source 					 destination
REJECT all -- anywhere gru09s10-f5.le100.net rej
le 
Chain OUTPUT (policy ACCEPT)
Target prot opt source 					 destination
REJECT all -- anywhere gru09s10-f5.le100.net rej
le 
Através da configuração acima, foi bloqueado todos os meios de entrada e saída da rede somente para o site www.gmail.com na tentativa de acessar este site, será emitido um aviso. Os demais sites continuaram funcionando normalmente.
5.Referências
 NUNES, Paulo. Conceito de Firewall. Disponível em: <http://www.knoow.net/ciencinformtelec/informatica/firewall.htm>Acessado em 13 de Junho de 2017.
 COSTA, D. M. e LIMA, R. A. Estudo do IPCop como Firewall de Aplicação. Trabalho de Conclusão de Corso - Centro Universitário da Fundação Educacional de Barretos – UNIFAB. Barretos, 2010. [ Orientador: Prof. Fábio Fernando da Silva]
 KUROSE, James F.; ROSS, Keith W. Redes de Computadores e a Internet: Uma Abordagem top-down. 3ª Ed. São Paulo: Pearson Makron Books, 2006.
 COSTA, J. Apostila de Linux. São Paulo, 2014. Disponível em: <www.jeffersoncosta.com.br> Acessado em 09.06.2017
 GONÇALVES, L.R. Apostila do Curso de Segurança. Universidade Estácio de Sá. Petrópolis, 2005.
Proceedings of the XII SIBGRAPI (October 1999) 101-104
Proceedings of the XII SIBGRAPI (October 1999)