firewalls_slides

Prévia do material em texto

Principais características e funcionalidades dos 
firewalls Open Sources IPFW e PF.
Ricardo de Oliveira Cardoso
Jhonatan M. de Souza
Introdução
2
• Um dos recursos mais utilizados pelas empresas para prover 
segurança aos seus dados é o firewall. Segundo Moraes (2011) 
firewall pode ser definido como um sistema que atua como ponto 
único de defesa entre a rede privada e a rede publica. 
• Ele pode ser implementado por um simples roteador que aplica 
um filtro de pacotes, ou até mesmo soluções bem mais 
complexas, que geralmente são um conjunto de recursos de 
hardware e software destinados a garantir a segurança das 
informações na rede. 
Introdução
3
Uma pesquisa realizada pela Dell SonicWALL, empresa que atua no 
mercado de firewalls, realizou um levantamento com 827 empresas 
de até 300 funcionários no Brasil, identificou que 87% destas 
empresas utilizam um firewall e 34% destas utilizam ferramentas 
baseadas em open source.
Os firewalls open sources, tem ganhado um espaço significativo no 
mercado, existem hoje uma gama de opções de firewalls 
disponíveis entre estes estão os firewalls nativos dos sistemas 
operacionais FreeBSD e OpenBSD, são estes uma grande 
plataforma de firewalls, entre eles estão o IPFW e o PF, que serão 
abordados neste artigo. 
Introdução
4
Este artigo objetiva explanar de forma breve o conceito de firewall 
através de bibliografias sobre o assunto e apresentar as 
ferramentas IPFW e PF, mostrando algumas de suas 
funcionalidades e aplicabilidade. 
FreeBSD
5
O FreeBSD é conhecido como um dos mais robustos e seguros 
sistemas operacionais (SOs) da computação moderna. Ele usado 
no coração da Internet, toda a infra-estrutura DNS F-ROOT, na raiz 
do sistema de resolução de nomes é sustentada por FreeBSD. Ele 
conta hoje com todos os desenvolvedores BSD originais ativos e é 
o sistema Open Source mais organizado do mundo.
Firewall IPFW
6
Um firewall nativo do sistema operacional FreeBSD, ele centra-se 
na estabilidade e desempenho. Este é um firewall por filtragem de 
pacotes, o que significa que ele atua monitorando pacote-a-pacote 
todas as conexões, e a partir da série 4.0 do FreeBSD o IPFW 
também pode gerenciar uma filtragem por estado (stateful) de 
conexões.
O IPFW suporta tanto o IP versão quatro quanto a versão seis. 
Ele fornece um conjunto de regras de amostra em /etc/rc.firewall 
que define vários tipos de firewalls, configurados para cenários 
comuns a fim de ajudar usuários que estejam iniciando no IPFW, 
gerando para eles de um conjunto de regras adequadas para 
diversas situações.
Firewall IPFW
7
Para ativar o IPFW no sistema, é necessário adicionar a seguinte 
entrada no arquivo rc.conf que encontra se em /etc/rc.conf:
firewall_enable = "YES"
Firewall IPFW
8
Quadro 1: Tipos de firewall padrão do IPFW 
Open Passa todo o tráfego. 
Cliente Protege somente esta máquina. 
Simple Protege toda a rede. 
Closed Totalmente desativa o tráfego IP, exceto para a interface 
loopback. 
Wokstation Protege somente esta máquina usando as regras de stateful. 
Unknown Desativa o carregamento de regras do firewall. 
Filename Caminho completo do arquivo que contém o conjunto de 
regras do firewall. 
 Fonte: Adaptado de FreeBSD.org(2014) 
Firewall IPFW
Para utilizar um destes tipos adiciona-se ao final do arquivo 
rc.conf a seguinte linha que especifica a escolha:
 firewall_type = "open"
 
 sintaxe para criação das regras
<comando> [<número da regra>] <ação> <protocolo> from 
<origem> to <destino>
Firewall IPFW
• Com base nesta sintaxe podemos criar as mais diversas regras, a 
fim de garantir a segurança da rede, a seguir podem ser vistos 
alguns exemplos, eles estão organizados da seguinte maneira, a 
descrição e abaixo o comando:
### Liberar udp da rede 192.168.0.0/24 para a rede 192.168.1.0/24
add 00100 allow udp from 192.168.0.0/24 to 192.168.1.0/24 in
### Regra para o INPUT do trafego SSH
add 00200 allow tcp from any to 192.168.1.1/32 22 in
### Bloquear todos os pacotes vindo de qualquer lugar para 
qualquer lugar e logar os mesmo
add 64534 deny log all from any to any
Firewall IPFW
• Comandos para gerência
# ipfw list 
• Com este comando serão listadas todas as regras ativas, 
seguindo a ordem dos números, como pode ser visto na figura.
Firewall IPFW
• É possível ainda listar a data e a hora da ultima vez que um 
pacote correspondeu a uma regra, basta utilizar o comando:
# ipfw -t list
• O resultado deste comando pode ser visto na figura.
Firewall IPFW
• Por fim, podemos listar o número de vezes que um pacote passou 
(ou foi bloqueado) por uma regra, e o número de bytes que esse 
tráfego gerou, utiliza-se o seguinte comando:
# ipfw -a list ou # ipfw show
• Com estes comandos já é possível ter algum controle sobre o 
trafego na rede.
14
OpenBSD
Sistema Operacional – multiplataforma, multiusuário, basedado no UNIX;
Pontos fortes: Segurança, padronização e portabilidade;
Criptografia implementada no próprio sistema operacional;
Conceito: Segurança não é um produto, mas sim um processo.
15
Firewall PF (packet filter)
Responsável pela filtragem de pacotes;
Bloqueio ou liberação;
Critérios: Camada 3 (IPV4 e IPV6) e camada 4 (TCP, UDP, ICMP e ICMPV6);
Ativação e desativação ( /etc/rc.conf), linhas: “pf=no” para “pf=yes”.
PF lê suas configurações no arquivo (/etc/pf.conf).
É interpretado pelo “PFCTL” e inserido no PF.
 
16
Firewall PF (packet filter)
 
17
Firewall PF (packet filter)
18
Funcionamento
19
Funcionamento
20
Funcionamento
21
Considerações Finais
• Conclui-se através deste artigo que o uso de firewalls é uma parte 
importante e fundamental ao se pensar em uma solução de 
segurança para as informações. Sendo que o firewall atua como 
um ponto único defesa entre a rede privada e a rede publica, 
sabe-se que muitas ameaças podem ser evitadas ao se adotar 
soluções de firewall fazendo assim uma filtragem de pacotes na 
entrada da rede.
22
Considerações Finais
• Existem entre eles algumas diferenças que merecem ser 
destacadas. O IPFW possui uma característica que deve ser 
levado muito em conta, a necessidade de menos recurso de 
hardware. 
• A configuração PF é dividida em várias partes, tendo os macros 
como um grande destaque, eles são úteis porque são uma 
alternativa para se referenciar endereços, números de portas, 
nomes de interfaces entre outros, em um conjunto de regras. 
Desta forma se um endereço IP de um servidor mudou, será 
preciso apenas atualizar a macro.
23
Considerações Finais
• Em contrapartida o IPFW geralmente possui um shell scripts com 
regras processados em ordem.​​
 
• Em IPFW, a primeira regra em um conjunto de regras que 
corresponde a um pacote ganha. No PF, as regras são analisadas 
em sequência da primeira até a última, porém o pacote vai ser 
analisado por cada regra do arquivo de configuração, e vai ser 
casado com a última regra aonde ele se enquadre.
24
Referências
DELL. Comunicados a imprensa: Mais de 30% das pequenas e médias empresas 
brasileiras ainda utilizam firewall open source. Disponível em: < 
http://www.dell.com/learn/br/pt/brcorp1/press-releases/2014-04-02--sonicwall-
firewall-survey >. Acesso em: 20 nov. 2014.
FREEBSD. FIREWALLS-IPFW. Disponível em: 
< http://www.free.bsd.com.br/~eksffa/freebsd/ipfw.txt Free BSD.org>. Acesso em: 
21 nov. 2014.
GIL, A. C. Como Elaborar projetos de Pesquisas. 5. ed. São Paulo: Atlas, 2010.
KUROSE, James F. Redes de Computadores e a internet: uma aboradagem top-
down. 5ªed. São Paulo: Pearson, 2010. 
MORAES, Alexandre Fernandes de. Redes de Computadores: Fundamentos. 7ª. 
ed. São Paulo: Érica, 2011.
NASCIMENTO, Marcelo Brenzink do; TAVARES,Alexei Correa. Roteadores e 
Switches: Guia para Certificação CCNA e CCENT Exames 640-802 CCNA / 640-
822 ICND1 / 640-816 ICND2. 2ª. ed. Rio de Janeiro: Ciência Moderna, 2012.
25
OPENBSD. PF: Filtragem de Pacotes. Disponível em: 
<http://www.tw.openbsd.org/faq/pf/pt/filter.html#intro>. Acesso em: 21 nov. 2014.
POTTER, Bruce. NETWORK SECURITY. Open source firewall alternatives. 
Elsevier, 2006.
SCHÜRMANN, Tim. Mil e uma utilidades. 2012. Disponível em: 
<http://www.linuxnewmedia.com.br/images/uploads/pdf_aberto/ADM_05_48_54_0
7_seg-pfsense.pdf>. Acesso em: 21 nov. 2014.
SPOHN, Marco Aurelio. Desenvolvimento e análise de desempenho de um 
packet/session filter. 1997. 68 f. TCC (Graduação) - Curso de Ciências da 
Computação, Universidade Federal do Rio Grande do Sul, Porto Alegre, 1997.
Referências
OBRIGADO!
Ricardo de Oliveira Cardoso
Jhonatan M. de Souza
	Slide 1
	Slide 2
	Slide 3
	Slide 4
	Slide 5
	Slide 6
	Slide 7
	Slide 8
	Slide 9
	Slide 10
	Slide 11
	Slide 12
	Slide 13
	Slide 14
	Slide 15
	Slide 16
	Slide 17
	Slide 18
	Slide 19
	Slide 20
	Slide 21
	Slide 22
	Slide 23
	Slide 24
	Slide 25
	Slide 26