Limitações e Funcionalidades do Firewall

Prévia do material em texto

A simples instalação de um firewall não garante que sua rede esteja segura contra invasores. Um 
firewall não pode ser a sua única linha de defesa; ele é mais um dentre os diversos mecanismos e 
procedimentos que aumentam a segurança de uma rede. 
Outra limitação dos firewalls é que eles protegem apenas contra ataques externos ao firewall, 
nada podendo fazer contra ataques que partem de dentro da rede por ele protegida. 
Definição de firewall 
Um conjunto de componentes que tem como função analisar pacotes que trafegam entre redes, 
sendo tanto de uma rede interna para a Internet, quanto entre redes internas, permitindo que o controle, 
a autenticação e os registros de todo o tráfego sejam realizados. 
Sendo assim, um firewal é um conjunto de componentes, funcionalidades e tecnologias que 
definem a arquitetura de segurança de uma rede. 
Ao contrário do que muitos pensam um firewall não é um dispositivo único, mas sim ferramentas 
de segurança instaladas e configuradas de modo a trabalharem em conjunto, garantindo assim a 
aplicação dos parâmetros implementados pelo administrador de segurança para tratamento dos pacotes 
que trafegam pelas redes. 
•Logicamente é um separador, analisador ou filtro de pacotes; 
•Fisicamente pode ser um roteador, um computador ou uma combinação de roteadores e computadores 
com o software apropriado; 
•Pode ser comparado com um fosso de um castelo, e como um fosso, não é invulnerável. 
 
 
Funcionalidades 
Componentes que influem diretamente no nível de segurança do sistema: 
1. Filtros de pacotes; 
Realizam o roteamento de pacotes de maneira seletiva, de acordo com regras de filtragem 
definidas pela política de segurança da empresa. Funciona na camada de rede e de transporte 
TCP/IP, realizando as decisões de filtragem com base nas informações do cabeçalho de pacotes. 
Ex.: permissão de usuários internos à websites 
 
 
 
 
 
 
Vantagens dos filtros de pacotes: 
–Baixo overhead (processamento em excesso/alto desempenho da rede; - Barato, simples e 
flexível; 
–Transparente para o usuário (não necessita de reconfiguração); 
 
Desvantagens dos filtros de pacotes: 
–Permite conexão direta para hosts internos de clientes externos; 
–Dificuldade de filtrar serviços que utilizam portas dinâmicas; 
–Deixa brechas permanentes abertas no perímetro da rede (DMZ); 
–Difícil de gerenciar em ambientes complexos; 
 
2. Proxies; 
Atuam como um gateway entre duas redes, permitindo as requisições dos usuários internos e as 
respostas dessas requisições, de acordo com a política de requisições definidas. O usuário se conecta 
a uma porta TCP no firewall, que então abre outra conexão com o mundo exterior, restringindo a 
conexão direta entre um usuário interno e o ambiente externo. Ao conectar através do Proxy o 
endereço do host interno do usuário é mascarado parecendo que o tráfego teve origem no Proxy. 
 
3. Bastion hosts; 
São equipamentos em que são instalados os serviços a serem oferecidos para a internet. Para 
garantir a segurança dos Bastion hosts devem ser instalados patches (correções) de segurança a 
cada nova instalação. 
O Bastion Host seria o ponto de entrada, tipicamente dos seguintes serviços: 
•Sessões de E-mail que estejam chegando (SMTP) e distribuí-las para o site; 
•Requisições de FTP para o servidor de FTP anônimo; 
•Para consultas ao servidor de DNS interno. 
 
4. Zonas desmilitarizadas (DMZ); 
É uma rede que fica entre a rede interna, que deve ser protegida e a rede externa, caso o bastion 
host seja comprometido, a rede interna permanece protegida. 
 
5. Network Address Translation (NAT); 
O NAT é um componente usado para tratar problemas de rede de grande porte, onde há escassez 
de endereços IP, convertendo endereços inválidos para endereços roteáveis quando a rede externa é 
acessada, escondendo os endereços dos equipamentos da rede interna. 
 
 
6. Rede Privada Virtual (VPN); 
Criada para permitir a comunicação entre redes com protocolos diferentes, para assegurar a 
integridade das informações passou a utilizar criptografia para manter o sigilo dos dados 
trafegados entre as redes, o IP Security (IPSec). 
 
7. Autenticação/certificação; 
A autenticação e a certificação dos usuários é baseada em endereços IP, senhas, certificados 
digitais, tokens, smartcards ou biometria. 
 
8. Balanceamento de cargas e alta disponibilidade; 
Como deve ser o único ponto de acesso da rede interna à rede externa, todo o tráfego deve passar 
pelo firewall, tornando-se o gargalo dessa rede, é recomendável o uso de mecanismos de 
contingência. O balanceamento de cargas visa a divisão do tráfego entre dois firewalls que 
trabalham paralelamente, recebendo cada um uma conexão por vez. 
 
A evolução técnica 
Considerado uma tecnologia antiga (final da década de 80),na indústria de segurança, mas em 
constante evolução. Existe uma tendência de adicionar cada vez mais funcionalidades que podem não 
estar relacionadas necessariamente à segurança. Porém, essa integração deve ser feita com cuidado. 
Quanto mais funções o firewall possuir, maiores são as chances de algo dar errado. 
Os primeiros firewalls foram implementados em roteadores, interligando duas redes, com regras de 
controle baseadas em listas de controle de acesso (Access Control List - CRL) com decisões do tipo 
‘permitir’ ou ‘descartar’ pacotes de acordo com a origem, o destino e o tipo das conexões, tornando 
possível o controle dessas conexões da empresa, separando a rede externa não confiável, da rede interna 
da empresa. 
A partir daí houve um crescimento na integração dos serviços Web, criando a necessidade de maior 
proteção, e criação de firewalls mais complexos com proxies, filtragens de pacotes baseados em estados, 
híbridos e adaptativos. 
Serviços de rede que foram incorporados à tecnologia: 
• Autenticação; 
• Criptografia; 
• Qualidade de serviço; 
• Filtragem de conteúdo; 
• Antivírus; 
• Filtragem de URL; 
• Filtragem de palavras-chave para e-mails; 
• Filtragem de spam. 
 
As arquiteturas dos firewalls 
Utilizam componentes como roteadores escrutinadores (examinadores que buscam possíveis 
ameaças), proxies, zonas desmilitarizadas (DeMilitarized Zone – DMZ ou perimeter network) e bastian 
host. Eles formam arquiteturas conhecidas como Dual-homed Host Arquiteture, Screened Host 
Architecture e Screened Subnet Architecture, que são as arquiteturas clássicas. 
Dual-homed Host Arquiteture 
É formada por um equipamento que possui duas interfaces de rede e serve como separador entre as 
duas redes, interna e externa evitando o contato direto entre as duas, assim as comunicações são feitas 
através de proxies ou conexões em duas etapas, na qual o usuário se conecta primeiramente ao Dual-
homed para depois se conectar ao servidor externo. 
 
 
 
 
 
Screened Host Architecture 
Formada por um filtro de pacotes e um bastion host, com regras que permitam o tráfego para a 
rede interna somente por meio do bastion host, exigindo que os usuários acessem a internet por meio dele. 
 
 
 
 
 
 
Screened Subnet Architecture 
Esta arquitetura aumenta ainda mais o nível de segurança adicionando o recurso de DMZ 
(zona desmilitarizada) evitando que um ataque ao bastion host resulte na utilização de um 
sniffer. 
 
 
 
 
 
 
 
 
 
 
Firewall cooperativo 
Consiste na arquitetura em que são inseridos novos 
componentes: 
–Redes privadas virtuais – VPNs; 
–Sistemas de detecção de intrusão (IDS); 
–Infra- estrutura de chave pública (ICP); 
•Usuários internos tratados como usuários externos 
 (não tem acesso direto a servidores e demais recursos 
críticos) 
 
Desempenho satisfatório 
Como todas as informações trafegadas passam por ele, é Imprescindível que o firewall tenha um 
bom desempenho para não se tornar o ‘gargalo’ na rede.O desempenho depende de alguns fatores: 
• Hardware - 
 velocidade da placa de rede; 
 Número de placas de rede; 
 Tipo de barramento; 
 Velocidade da CPU; 
 quantidade de memória 
• Software - 
Código do Firewall; 
Sistema operacional; 
Pilha TCP/IP; 
Quantidade de processos sendo executados na máquina; 
Configuração, como a complexidade das regras de filtragem. 
Tipo de Firewall: Proxy ou filtro de pacotes? 
O mercado de Firewalls 
 Com a evolução das ameaças, e a crescente procura no mercado, grandes fabricantes 
passaram a oferecer produtos de alta performance e facilidade de gerenciamento como os 
Firewalls Appliances que são produtos fornecidos pré-instalados com o hardware. 
 
Provedor de serviços (Internet Service Provider- ISP): os firewalls com maior 
capacidade de filtragem que suportam até 1Gbps. 
Corporativo (mais de mil usuários): são os firewalls ‘clássicos’, que se tornaram 
fáceis de gerenciar, mas necessitam de um profissional de segurança dedicado à sua 
manutenção. Capacidade de 100 Mbps. 
Small and Midsize Business – SMB (entre 50 mil e 1000 usuários): sendo 
considerados tipicamente plug’n play, esses produtos tem poucas opções configuração e não 
permitem a modificação do Sistema Operacional. A capacidade é de 10 Mbps. 
Small Office Home Office – SOHO (entre 5 e 50 usuários): múltiplos serviços 
integrados, como firewall, servidor Web e servidor de e-mail, facilitam o gerenciamento e 
são destinados às organizações com poucos recursos para administrar. A capacidade é de 1 
Mbps. 
 
 
A avaliação do Firewall 
Não é o produto que vai garantir a segurança necessária, mas sim a política de segurança 
definida e sua correta implementação. Assim a escolha correta do produto é parte efetiva da 
estratégia de segurança. 
Aspectos a serem analisados: 
• Fabricante/fornecedor: a estabilidade da empresa que fornece o produto é a garantia de 
suporte técnico e operacional. 
• Suporte técnico: oferta de suporte técnico e atualizações constantes do produto e a demanda 
que essas atualizações estarão disponíveis; 
• Tempo: o prazo para o firewall estar em funcionamento; 
• Projeto: as interações do firewall com o sistema operacional e com o Hardware devem ser 
consideradas; 
• Logs: a possibilidade de detecção de erros e possíveis ataques através de logs (processo de 
registro de eventos relevantes) e uma ferramenta eficiente de análise desses logs; 
• Desempenho: desempenho acompanhado de segurança efetiva; 
• Gerenciamento: a possibilidade de configuração remota e análise de ocorrências e das 
medidas tomadas; 
• Teste do Firewall: essenciais para determinar a efetividade do firewall instalado na 
organização. 
• Capacitação pessoal: a instalação, o teste e a implementação da solução devem envolver a 
equipe da empresa. 
Teste do Firewall 
Tentar passar pelo firewall ou driblá-lo, é um meio valioso de analisá-lo. Assim validar o 
conjunto de regras implementado e encontrar falhas eventuais. 
Este teste pode ser feito em etapas: 
Coleta de informações diretas: são as informações protegidas e que, podem ter seu acesso detectado 
e registrado, como a procura de informações adicionais de servidores de nomes.Um port scanning 
no firewall revela as portas de serviços abertas e os pontos de possíveis ataques.