Conteúdo Interativo2

Prévia do material em texto

Segurança de redes I
Aula 2: Principais elementos da segurança utilizados nas redes
Apresentação
Agora chegou a vez de conhecermos alguns dos principais equipamentos utilizados nas nossas soluções de segurança.
Veremos quais são os equipamentos e onde podemos utilizá-los no contexto de uma rede. Lembrando que hoje,
basicamente, tudo está ligado em rede e, por isso, o domínio de rede deve ser bastante abrangente quando o
mencionamos, por exemplo, em uma rede de telecomunicações, teremos o domínio corporativo, o domínio do serviço e o
domínio da telemetria, além do domínio de um call-center.
Em resumo, tudo está interconectado e pode viabilizar acesso irrestrito ou não, mas isso vai depender de vários fatores.
Nesta aula, veremos as opções disponíveis para melhorarmos nossos níveis de segurança.
Objetivos
Listar as opções de elementos de segurança;
Descrever os elementos de segurança de redes e suas funções – �rewall camada 3 e 4, �rewall camada 7, IDS e IPS,
roteador com ACL.
Elementos aplicados à segurança na rede
A cada dia, vemos surgir novas soluções de hardware e software, com seus protocolos peculiares ou de padrão aberto, para
serem implementados como resposta às demandas por um ambiente cada vez mais seguro e como solução para problemas
que até então não haviam sido encarados como problemas de segurança.
O mundo está cada vez mais conectado. Áreas, setores e tecnologias, até então consideradas seguras e sem riscos, agora
estão são classi�cadas como ameaçadas em função de sua exposição a ataques ou invasões, pois seu domínio ou contexto
de rede passou a ser exposto e por isso, em função da sua integração ou da necessidade de sua interconexão, deveremos
realizar uma aplicação de procedimentos para tornar o ambiente seguro e controlado.
Para prosseguirmos nesta aula, vale chamar atenção para o conceito de dois termos citados no parágrafo anterior, são eles:
Interconexão
É no nosso contexto, a ligação ou a
relação entre duas ou mais redes, entre
dois ou mais, sistemas etc. 
Integração
É no nosso contexto, a ação, o processo
ou o resultado de assimilar
completamente um domínio ou
contexto de rede ou sistema formando
um único contexto resultante.
 Por hywards  (Fonte: Shutterstock).
Hoje em dia, há uma grande variedade de processos, hardware e softwares para utilizarmos nos nossos processos de
segurança de rede. Novas tecnologias de rede surgem dia após dia e veri�camos que, na mesma proporção, cresce o número
de novos dispositivos destinados ao aspecto de se construir um ambiente mais seguro e mais bem guardado e monitorado,
respeitando políticas mais robustas.
Sobre o aspecto da usabilidade de recursos para que possamos estruturar uma arquitetura segura, podemos destacar a
possibilidade de empregarmos os seguintes elementos de rede nesta tarefa:
Firewalls: convencionais ou Next Generation.
IDS2’s e IPS’s.
Roteadores portando ACL’s ou softwares de segurança embarcados.
Softwares de antivírus nos desktops.
Camadas de segurança adaptadas com softwares especializados para Hardering de ambiente. Exemplo: Uso do Bastille
Linux.
Ferramentas de autenticação: Hardwares e softwares.
Construção de sistemas de acesso remoto com tunelamento criptografado.
Uso de mecanismos (hardware e software) de criptogra�a.
A utilização de todos ou parte deles, acima citados, terá uma dependência direta do contexto que se desenvolverá na ocasião
da demanda.
Não há uma regra de ouro ou a chamada “receita de bolo” para que possamos construir uma arquitetura adequada. A melhor
arquitetura é a aquela que desenvolver para a situação um domínio mais robusto e complexo, dotando o contexto de um poder
de segurança capaz de combater os possíveis sinistros.
Nesse momento de nossa aula, cabe ressaltar que o processo de exposição, em muitos casos, é necessário e se dá devido ao
próprio serviço criado e ao posicionamento da rede no cenário da comunicação que construímos.
A exposição, portanto, muitas vezes faz parte da questão e não podemos evitá-la, mas devemos nos assegurar de que, por
conta dessa exposição, não teremos um processo de sinistro de rede. Para isso, criamos nossas barreiras de segurança,
utilizando o que temos disponível no mercado aliado a procedimentos construídos junto às áreas de processos internos da
empresa.
Modelo de referência para assuntos de gerenciamento de rede –
FCAPS
O acompanhamento constante da rede deve ser uma meta realizada e não um desejo a realizar. A rede deve ser
sistematicamente acompanhada em todos os seus aspectos peculiares. Pensando nisso, a ISO criou o seu modelo de
referência para assuntos de gerenciamento de rede, denominado FCAPS. Ele é dividido em cinco disciplinas básicas e
fundamentais que desenham a organização das estruturas técnica e operacionais para que o seu ambiente possa ser
acompanhado sistematicamente.
No FCAPS, as equipes estarão distribuídas entre as cinco disciplinas, ou áreas funcionais, de acordo com o seu nível de
competência, responsabilidade e operacionalidade da rede.
Gerenciamento de Falhas;
Gerenciamento de Con�gurações;
Gerenciamento de Contabilidade;
Gerenciamento de Desempenho;
Gerenciamento de Segurança.
Desse modelo elaborado pela ISO, nascem as cinco áreas funcionais de todo e qualquer universo de uma estrutura padrão de
gerenciamento de rede.
A seguir, veja detalhadamente cada uma dessas áreas:
Clique nos botões para ver as informações.
Área especializada na detecção, no isolamento, na noti�cação e na correção de falhas em uma infraestrutura de rede, de
serviço ou privada.
Gerência de Falhas 
Área especializada pelo registro e pela manutenção dos parâmetros de con�guração dos serviços desenvolvidos e
providos por uma infraestrutura de rede, os quais vão desde versões de hardware e de software a con�gurações de portas
de equipamentos.
Gerência de Con�guração 
Área especializada e responsável pelo registro do uso da rede por parte de seus usuários com objetivo de cobrança ou
regulamentação de uso, pois em muitos casos é preciso saber quanto custa o uso de um recurso na planta e como
podemos ratear o investimento que será feito.
Gerência de Contabilidade 
Área especializada e responsável pelas tomadas de medidas e pela disponibilização das informações sobre todos os
aspectos de desempenho dos serviços de rede: Tunning da planta instalada. O valor dessas informações tem usabilidade
direta para conseguirmos dar garantias de que a rede esteja operando em nível de conformidade com a qualidade de
serviço acordada com seus usuários. Do processamento desses insumos, obtemos informações relativas à análise de
tendência.
Gerência de Desempenho 
Área especializada e responsável pelos critérios de restrições ao acesso à rede e do bloqueio quando do seu uso incorreto
por parte de seus usuários, seja de forma intencional ou por negligência.
Gerência de Segurança 
É sobre esta última área funcional do modelo FCAPS, Gerência de Segurança, que se concentra todo o nosso interesse sobre as
questões de proteções necessárias aos objetos de uma infraestrutura bem como os conteúdos circulantes sobre ela.
No �nal, a Gerência de Segurança nos viabilizará, se implementada de maneira contundente e pragmática, uma infraestrutura
bem medida e acompanhada em seus vários aspectos de segurança. Isso possibilitará atingir todo e qualquer objetivo que for
traçado.
A preocupação com os aspectos de segurança é um fato e não teremos como recuar dele. Por conta disso, além dos sistemas
de gerenciamento e acompanhamento, deveremos aplicar recursos de hardware e software para criarmos camadas seguras,
barreiras contra-ataques e quebra de segurança.
 Por sdecoret (Fonte: Shutterstock).
Descrição dos elementos de segurança de rede
Com os avanços tecnológicos e, por consequência, com o aumento da exposição das redes devido aos serviços desenvolvidos
sobre ela, vemos crescer a necessidade do estabelecimento de contato como outras infraestruturas motivadas pela natureza
dos negócios.
A Internet – considerada a infraestruturageral de comunicação mundial de dados moderna – tem sido muito utilizada para
contatos entre empresas e exposição das redes, devido às características dos negócios praticados.
 Por Vizilla (Fonte: Shutterstock).
Uma grande parcela das empresas ao redor do mundo estão se utilizando desta infraestrutura (A rede das redes) para
desenvolverem seus negócios, propagarem seus produtos e atenderem seus clientes. Isso tudo vem tornando a Internet muito
perigosa a cada dia que passa.
A variedade de vírus circulantes é enorme. Temos o caso dos ransomwares (um tipo de variação de malware, sequestrador de
dados) que vêm se proliferando a cada dia e fazendo vítimas não apenas de informações. Os ransomwares podem provocar
inclusive problemas vitais para as pessoas, como o caso do malware chamado WannaCry que já provocou vítimas em vários
países, paralisando serviços de hospitais e outros órgãos.
Saiba mais
“Ransomwares é um tipo de código malicioso que torna inacessíveis os dados armazenados em um equipamento, geralmente
usando criptogra�a, e que exige pagamento de resgate (ransom) para restabelecer o acesso ao usuário. O pagamento do resgate
geralmente é feito via bitcoins”.
 
Antes de continuar seus estudos, leia o artigo indicado <https://www.infowester.com/ransomware.php > e entenda melhor o que
é um Ransomwares.
Softwares de antivírus já não são su�cientes e não se traduzem em ferramentas de efeito prático: Bloquear, detectar, remover
ou desativar os códigos maliciosos (malware) já não é o bastante. Precisamos de mais robustez. Apesar da composição de um
antivírus ter muito de recursos agregados da área de inteligência arti�cial, só isso não basta.
De um modo geral, quando realizamos a conexão de uma dada rede à Internet, o administrador se pergunta:
https://www.infowester.com/ransomware.php
Poderemos sofrer ameaças?
Mas ele sabe a resposta. Sim, ele está realizando a interconexão porque
sabe que é necessária aos negócios e assume que irá presenciar problemas
de segurança e deverá se preparar adequadamente para enfrentar essa nova
etapa técnica pós-ligação de sua infraestrutura.
Aqui começam as escolhas sobre o conjunto de tecnologia que será empregada para dar solução de segurança, aumentando
os parâmetros de qualidade da rede e propiciando, para seus usuários e aplicações, um domínio mais seguro e menos
impreciso.
Vamos, a seguir, conhecer cada um dos elementos aplicáveis a uma arquitetura de Segurança de Rede.
Firewall de camada 3 e camada 4
É um dispositivo muito utilizado em segurança de rede e que controla o �uxo de dados em uma rede, são eles:
1
Fluxo de entrada
2
Fluxo de saída
Esses �uxos são baseados em regras de �ltragem de tráfego estabelecidas em sua con�guração pelo administrador da rede.
Dos arranjos possíveis, por exemplo, podemos ter dois segmentos distintos separados por um �rewall cujas interfaces estão
conectadas diretamente, uma em cada um dos segmentos, realizando uma separação de domínios de broadcast e, por
consequência, uma separação de domínios de colisão; além do fato de ser uma barreira de segurança que limitará acesso
baseado no uso de regras para isso.
Se formos buscar a origem do termo �rewall, esta remonta ao século XVII e queria designar um tipo de parede composta de um
tipo de material que impedia a propagação do fogo. Esse tipo de técnica construtiva criou as chamadas paredes corta-fogo, ou
�rewalls, empregadas para aumentar o nível da segurança das construções, impedindo que houvesse a propagação de
incêndio para outras partes do prédio.
Um �rewall, se estiver devidamente parametrizado e bem posicionado em uma dada infraestrutura de rede, terá o
comportamento adequado dentro do que é esperado, agindo como um nível de barreira combativa a ataques advindos de
zonas externas a segmentos internos ou protegidos, os quais pretende proteger. Essa adoção, aumenta o nível da segurança
da rede, dos equipamentos, dos sistemas e das informações que estão nas partes internas em relação à fronteira em que o
�rewall se encontra.
O �rewall é e sempre será, pelo menos até o momento, um dos
principais elementos ativos, utilizáveis normalmente no que se
considera o chamado perímetro de defesa de uma dada zona que se
pretende proteger.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Esse elemento traz, com sua aplicabilidade, uma defesa contra tráfegos não esperados, indesejados, maliciosos e tentativas de
invasão.
A defesa de perímetro refere-se a um corte ou linha imaginária que separa aquilo que se quer proteger dentro de uma empresa
(servidores, aplicações, conteúdos, plataformas de serviços etc.) de outras redes e segmentos, geralmente Internet e
backbones de outra administração.
Essa linha ou fronteira é delineada por um dispositivo que pode oferecer a comunicação entre as redes que estão no contexto
da segregação, e pode ser implementada utilizando:
Um roteador.
Um roteador com módulo de �rewall.
Um dispositivo com �nalidade similar a um roteador, por exemplo um PC.
Um �rewall de camada 3 e 4 ou um �rewall de camada 7.
Um roteador conjugado na sequência com um �rewall de camada 3 e camada 4 (baseado em endereço IP, protocolo de
transporte e porta de serviço).
Um roteador conjugado na sequência com um �rewall de camada 3 e camada 7 (�rewall de próxima geração – �rewall de
aplicação).
Uma vez que um �rewall estabelece um delineamento de fronteira segura entre a Internet e as redes internas, é possível criar
mecanismos de controle para evitar ataques bidirecionais. Isso é feito através das parametrizações do �rewall para que
possamos obter garantias de preservação da segurança daquilo que se quer ou se pode acessar em uma rede.
As delimitações feitas pelos �rewalls, no mínimo, criam três zonas:
1
Extranet
Representada pela Internet
2
Intranet
Representada por uma LAN
3
DMZ
Zona desmilitarizada, onde se colocam os recursos que
podem ser acessados
 (Fonte: Autor)
Segurança de perímetro
A chamada segurança de perímetro é uma forma de abordagem de segurança primária e de extrema importância em qualquer
ambiente que necessite de proteção pela exposição, principalmente, à Internet.
Os �rewalls, como qualquer outra tecnologia, evoluíram com o decorrer do tempo e do avanço tecnológico. Porém, isso não
signi�ca que os métodos utilizados com as primeiras gerações tecnológicas tenham �cado para trás.
O que aconteceu durante o processo evolutivo foi a anexação dos métodos e dos padrões dos antigos �rewalls pelos novos
modelos, que os disponibilizaram para adequação das necessidades apresentadas pela corrente demanda da instituição.
 Os principais tipos de �rewalls
 Clique no botão acima.
Os principais tipos de �rewalls, são:
Filtro de pacotes.
Filtro de pacotes com controle de estado.
Proxy �rewall.
A seguir veremos cada um detalhadamente.
Firewall baseado em �ltro de pacotes
Tudo que circula pela Internet carrega em seu conteúdo um universo de informações que viabilizam a sua rastreabilidade,
indicando o caminho que o pacote deve seguir, como um endereço.
Quando tratamos a questão do �ltro de pacotes, utilizamos essas informações como argumento nas regras de segurança
para de�nir quando um pacote deve seguir adiante ou não.
Um �rewall tem como premissa básica operar baseando suas decisões no endereço IP (Internet Protocol) do pacote e no
número de porta (dos serviços que rodam sobre os protocolos TCP ou UDP).
O endereço IP refere-se à identidade do nó envolvido na intenção da comunicação. Essa informação é referente a uma parcela
do protocolo IP da camada de rede do modelo OSI. É essa identidade que nos indica exatamente a qual rede e a qual elemento
dentro desta rede se destina um determinado pacote, enquanto o número de porta (socket), refere-se à camada de aplicação
do modelo OSI, indica a qual aplicação está vinculada a informação.
Baseado nessas informações, um �rewall consegue saber, sem desmontar o conteúdo do pacote e de acordo com o endereço
apresentado, para qual endereço de host e para qualaplicação se destina o pacote. Essas informações são extraídas do
cabeçalho do pacote. De posse desse conjunto de informações, o �rewall veri�cará as regras estabelecidas para admitir o
acesso ou negá-lo.
Há duas con�gurações de regras que podemos considerar as mais extremas em um dado �rewall que são:
Aquelas que nos remetem a aceitar tudo o que não estiver negado na regra.
Aquelas que nos remetem a negar tudo aquilo que não estiver aceito na regra.
Mas existirão algumas situações intermediárias em relação a esses dois extremos de regras acima citadas, passíveis de
serem exploradas pelo administrador da segurança, são elas:
Aquelas que nos remetem a negar ou aceitar alguns serviços.
Aquelas que nos remetem a negar ou aceitar alguns nós de rede.
Aquelas que nos remetem a negar ou aceitar alguns protocolos.
A vantagem desta sistemática de con�guração é que ela é relativamente fácil de ser implementada nos �rewalls.
A desvantagem reside no fato de não se conseguir examinar o conteúdo da informação, uma vez que esta, no nível do pacote,
pode de acordo com as regras do �rewall, que um vírus esteja escondido e por causa disso, essa ação de ataque, não teria a
menor di�culdade em ser completada.
Dentro do universo de cada infraestrutura há certos arranjos em que aplicações e protocolos não estão associados a
endereços estáticos, o que torna difícil obtermos controle e rastreabilidade na intenção do acesso ao destino pretendido e,
com isso, o controle de acesso dos mesmos à rede é di�cultado.
Podemos ainda cometer equívoco na hora de parametrizarmos o �rewall para executar a rotina de bloqueio ou de
admissibilidade fundamentada nas regras baseadas em portas lógicas de serviço (sokets) e isso de�agraria uma falha na
segurança.
Firewall baseado em �ltro de pacotes com controle de estado (Stateful)
Nesse tipo de �rewall, ocorre o processo de monitoramento da conexão entre dois elementos, que podem ser um PC e um
servidor, do início ao �m dessa conexão.
 (Fonte: Autor)
Aqui, além te termos as regras previamente con�guradas, leva-se em consideração a origem do processo de comunicação
entre as partes envolvidas, no nosso caso o PC e o servidor.
 (Fonte: Autor)
Uma vez que um host, que está de um dos lados do �rewall em nossa infraestrutura, inicia o processo de conexão, solicitando
alguma informação do servidor que está em outro segmento, o �rewall rastreará a intenção da conexão e �cará esperando por
uma resposta deste servidor, que foi especi�cado no processo de solicitação de comunicação quando iniciou a conexão e a
uma porta especí�ca (socket TCP ou UDP), como mostrado na �gura abaixo. Uma vez que essas informações que são
monitoradas e estão corretas e em conformidade com a regra estabelecia, a conexão é dita viável e permitida mesmo sem
existir uma declaração de admissibilidade para que o acesso a um dado endereço IP esteja explicitado.
 (Fonte: Autor)
Operação de um �rewall de controle de estado (Stateful)
A vantagem desse tipo de monitoramento é que podemos corrigir possíveis falhas presentes nas regras de �ltragem dos
pacotes as quais se referenciam os sokets. Pelo modo padrão de operacionalidade deste tipo de arquitetura, todos os sokets,
por default estão bloqueados, necessitando estarem declaradas as portas lógicas que serão liberadas para o acesso
pretendido.
Nesse processo, todas as informações relativas às sessões estabelecidas e aos respectivos pacotes, cursam pelo �rewall,
independente se estão autorizadas ou não, �cando armazenadas em um LOG. Mediante a este LOG, podemos obter dados a
respeito do que pode ser algum tipo de sinistro na infraestrutura: ameaças ou violações, o que ajuda no processo de
construção de melhoramento nas políticas de regra de segurança.
A desvantagem desse método está no fato de que se detalha mais o processo de comunicação e comisso e a plataforma se
torna mais lenta em função da mecânica do processo em tratar o pacote. O �ltro de pacotes, puro e simples, é mais rápido.
Com isso, um �rewall para operar nesses moldes requer mais recurso para o seu funcionamento.
Os �rewalls stateful (�rewalls de estado) originados do mecanismo de Inspeção de estados, são considerados como uma
evolução do processo dos �ltros dinâmicos. A dinâmica da análise feita por “esse tipo de �rewall identi�ca o protocolo dos
pacotes transitados e faz uma espécie de comparação entre o que está acontecendo e o que é esperado para acontecer,
prevendo respostas legítimas” (GTA/UFRJ, [20--]a.).
Sobre a ótica do seu funcionamento, esses dispositivos (�rewall stateful) analisarão todo o tráfego de dados circulante por
eles para encontrar estados (alguns padrões) classi�cáveis como aceitáveis por conta das regras criadas e que devem
continuar sendo usados para manter a comunicação.
As informações são mantidas pelo �rewall stateful e serão os argumentos de comparação para análise do tráfego
subsequente para, com isso, evitar os pacotes ilegítimos.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Proxy Firewall ou Application Firewall
Um proxy é, na realidade, um ambiente computacional (hardware) ou uma dada aplicação (software) cuja função será
intermediar um processo de comunicação entre elementos clientes e um dado elemento server, realizando, ele mesmo (proxy)
as seguintes ações:
Solicitações ao server, no lugar dos clientes.
Entregando respostas aos clientes no lugar do servidor.
No �nal, um dado host solicita a um proxy e este, por sua vez, solicita a um server.
 (Fonte: Autor)
Funcionamento de um servidor proxy
Similarmente, um proxy �rewall age como uma espécie de agente intermediário entre o cliente local e um servidor num dado
destino, por exemplo na Internet.
Mas um proxy �rewall faz mais do que simplesmente intermediar o processo de comunicação. Na realidade, ele faz um
monitoramento sobre o tráfego cursado entre a origem e o destino, protegendo os interlocutores da ação de possíveis
ameaças.
Os proxy �rewalls são considerados muito mais seguros do que os �rewalls simples, pois impedem, uma vez que possuem
o próprio endereço IP, que elementos de acesso externo tenham contato direto com o segmento de rede que se quer
proteger.
Os �rewalls simples só possuem controle de estado enquanto os proxy �rewalls viabilizam inspeções nos protocolos da
camada de aplicação, como SNMP, TFTP e HTTP.
Os proxy �rewalls apresentam uma desvantagem: eles necessitam ter um maior desempenho e uma maior capacidade, pois
criam conexões extras a cada pacote que é enviado ou recebido e, por conta disso, podem vir a se tornar ofensores na
performance e no desempenho, tornando-se um gargalo de rede. Outra peculiaridade negativa é a de que esses tipos de
�rewalls nem sempre possuem todo o universo de protocolos de aplicação, fazendo com que o número de aplicações
possíveis de existirem e de serem asseguradas em conexões com a rede local diminua.
 (Fonte: Andrea Danti / Shutterstock).
Firewall de Camada 7 ou NGFW
Devemos ter em mente que nenhuma ferramenta ou técnica de segurança é, em si, uma garantia extrema de que nenhum
ataque será bem-sucedido.
Sabe-se que há uma grande diversidade de procedimentos para este �m (ataque) com as mais variadas táticas que podem ser
utilizadas para burlar um processo de segurança. Para minimizar a possibilidade de um sinistro bem-sucedido, buscamos
evoluir os produtos dentro de seus propósitos especí�cos na área de segurança.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Por ser um dispositivo que visa proteger as redes, o �rewall existe para
cumprir a função de monitoramento do tráfego de entrada e de saída de uma
infraestrutura, decidindo sobre a pertinência dos pacotes e permitindo ou
bloqueando tráfegos especí�cos em conformidade com o que foi
previamente de�nido nas regras de segurança.
Esses dispositivos vêm sendo, há muito tempo, a primeira fronteira de defesa na questão da segurança de uma infraestrutura
de comunicação implementada sobre uma dada rede há pelo menos cerca de 25 anos.
Os �rewallsimpõem uma espécie de obstáculo ou barreira entre as redes ou seus segmentos internos, que devem ser
protegidos e controlados dos acessos que podem ser provenientes de redes externas con�áveis ou não, como a Internet.
Atenção
Sobre um aspecto construtivo, um �rewall necessariamente não precisa ser um hardware, podendo ser um software hospedado
ou ambos.
Muitos serviços de rede, como Internet, aplicativos entre outros, têm sido comprometidos por conta de uma grande variedade
de vírus circulantes, por acesso de usuários não autorizados ou mesmo ataques provenientes de hackers. Visando aumentar o
nível de combate dos delitos cibernéticos, desenvolveu-se uma plataforma de �rewall composta de ferramentas avançadas
destinada à análise e ao controle dos recursos, podendo ser determinado o que o usuário pode ou não acessar de acordo com
novos aspectos, como por exemplo o horário e o dia da semana.
O NGFW ou �rewall de próxima geração é um sistema de segurança da classe �rewall, baseado em hardware ou software que
possui a capacidade de detectar e bloquear ataques re�nados e reforçar políticas de segurança na camada de aplicação
(camada 7 do modelo OSI) e também a nível de protocolo, IP e porta, (camadas 3 e 4 do modelo OSI). O NGFW é uma evolução
por consequência dos chamados �rewalls de camada 3 e 4.
Um NGFW consolida em si três recursos importantíssimos, são eles:
Capacidade de �rewall corporativo.
Sistema de prevenção de intrusão (IPS).
Controle de aplicação.
A inspeção stateful, presente desde a primeira geração de �rewalls (�rewall stateful), encontra-se nos NGFWs. Os NGFWs
agora vêm com a proposta de adicionarem um novo contexto ao processo de tomada de decisão, dando-lhe a capacidade de
entender o tráfego das aplicações que passam por ele, permitindo que o NGFW assuma medidas contrárias aos tráfegos que
exploram vulnerabilidades.
Veja a seguir o IPS e outros elementos.
Clique nos botões para ver as informações.
Trata-se de um Sistema de Prevenção de Intrusão (Intrusion Prevention System – IPS) referente a um software de
prevenção de intrusão. Tem a capacidade de impedir possíveis incidentes. Esse dispositivo funciona em modo ativo.
Em um sistema ativo, o IPS responde à atividade suspeita, encerrando uma sessão de usuário ou reprogramando o
�rewall para bloquear o tráfego de rede de uma fonte maliciosa suspeita.
Funções de um IPS
As principais funções atribuídas a um IPS são:
Monitorar o tráfego de rede.
Identi�car atividades maliciosas.
Gerar informações de log sobre estas atividades.
Tentar bloqueá-las ou interrompê-las.
IPS 
 (Fonte: Autor)
Trata-se de um Sistema de Detecção de Intrusão (Intrusion Detection System – IDS) que se refere a um software de
automatização do processo de detecção de intrusão. Esse dispositivo funciona em modo passivo.
Em um sistema passivo o IDS detecta uma potencial violação de políticas de segurança, registrando as informações num
arquivo de log, e dispara um alerta.
IDS 
 (Fonte: Autor)
Roteador é um equipamento cujo destino é conectar diferentes redes ou segmentos de redes entre si. Nas conexões à
Internet, quase sempre um roteador se conecta à rede local, à Intranet ou à Internet.
Um roteador pode também ser con�gurado para assumir o papel de um elemento de segurança, realizando crítica de
segurança sobre os pacotes que serão analisados por ele. Cada pacote de informação recebido por um dado roteador
tem um endereço IP e uma porta de destino (soket).
O roteador recebe cada pacote e encaminha para o IP de destino, de acordo com regras pré-de�nidas. Isto é chamado de
redirecionamento de portas. Além disso, muitos roteadores têm �rewall internos, aumentando signi�cativamente a
segurança da rede e a complexidade de sua con�guração.
As ACL (Access Control List) são empregadas na classi�cação do tráfego para as mais diversas �nalidades, como, por
exemplo, políticas de �ltro de pacotes, QoS etc. Uma dada ACL pode classi�car um tráfego baseando-se no �uxo de dados
de entrada e de saída de uma interface (porta física, interface VLAN, VLAN etc.).
Na grande parte dos casos, uma ACL é utilizada para determinar se um pacote será permitido ou descartado em uma
porta com as ações PERMIT ou DENY. Essas ações são seguidas das de�nições daquilo que se deve permitir (PERMIT) ou
negar (DENY). Essas, basicamente, são as principais opções:
ANY (tudo).
[IP do host/rede].
[subrede no formato wildcard].
[protocolo].
Em nossas próximas aulas, faremos considerações mais aprofundadas sobre a função dos roteadores como
mecanismos de segurança.
Roteador com ACL (Acssess List) 
Se o tráfego não passar por um �rewall
Já conseguimos perceber que os �rewalls são peças fundamentais no processo de segurança de uma rede. Mas, mesmo
assim, não são 100% infalíveis ou perfeitos e para que seu funcionamento seja pleno, faz-se necessário que todo o �uxo de
dados seja direcionado a passar por ele. Caso isso não aconteça, alguns problemas surgirão e não poderão ser resolvidos.
Observe a seguir alguns desses possíveis problemas:
Um �rewall não consegue impedir um ataque em que origem e destino sejam a rede interna, pois os dados não passarão
por ele, tornando-o ine�caz nesse tipo de ataque.
Firewalls não aumentam força de senhas nem previnem seu uso inadequado. Da mesma forma, eles são ine�cazes em
ataques não-técnicos como Engenharia Social.
Firewalls não conseguem impedir que usuários acessem sites com códigos maliciosos, tornando necessária a
conscientização dos usuários neste sentido.
A política de segurança do �rewall deve ser revista periodicamente, de modo a garantir seu bom funcionamento. Além
disso, é importante �scalizar seu funcionamento com certa periodicidade para garantir que nenhum malware ou cracker o
tenha descoberto e esteja explorando alguma falha sua.
Firewalls não são capazes de interceptar conexões que não passem por ele, como, por exemplo, um usuário que acesse a
Internet usando um modem 3G.
Firewalls podem comprometer o desempenho da rede (ou do computador), demandando uma ampliação na infraestrutura
para que seja possível superar o problema.
 Atividades
1. Temos como evitar expor nossas redes ao domínio público quando se trata de uma infraestrutura de serviço, como, por
exemplo, uma rede de telecomunicações?
2. Dos muitos tipos de vírus circulantes na Internet, alguns têm tirado o sono de muitos administradores de rede. Um desses é
o ransomware. Que tipo de vírus é esse?
3. Qual é a função de um �rewall em seu aspecto geral?
Notas
Título modal 1
Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográ�ca e de impressos. Lorem Ipsum é simplesmente
uma simulação de texto da indústria tipográ�ca e de impressos. Lorem Ipsum é simplesmente uma simulação de texto da
indústria tipográ�ca e de impressos.
Título modal 1
Lorem Ipsum é simplesmente uma simulação de texto da indústria tipográ�ca e de impressos. Lorem Ipsum é simplesmente
uma simulação de texto da indústria tipográ�ca e de impressos. Lorem Ipsum é simplesmente uma simulação de texto da
indústria tipográ�ca e de impressos.
Referências
KUROSE, Jim; ROSS, Keith. Redes de computadores e a internet: uma abordagem top-down. 6. ed. São Paulo: Pearson, 2013.
STALLINGS, William. Criptogra�a e segurança de redes: princípios e práticas. 6. ed. São Paulo: Pearson, 2014.
UNIVERSIDADE FEDERAL DO RIO DE JANEIRO. Grupo de Teleinformática e Automação. Classi�cações. Rio de Janeiro:
GTA/UFRJ, [20--]a. Disponível em: https://www.gta.ufrj.br/grad/13_1/�rewall/classi�cacao.html
<https://www.gta.ufrj.br/grad/13_1/�rewall/classi�cacao.html> . Acesso em: 16 nov. 2019.
UNIVERSIDADE FEDERAL DO RIO DE JANEIRO. Grupo de Teleinformática e Automação. Conceito de IDS, IPS e IDPS. Rio de
Janeiro: GTA/UFRJ, [20--]b. Disponível em: https://www.gta.ufrj.br/grad/12_1/ids/ConceitodeIDS.html
<https://www.gta.ufrj.br/grad/12_1/ids/ConceitodeIDS.html> . Acesso em: 16 nov. 2019.
UNIVERSIDADE FEDERAL DO RIO DE JANEIRO. Grupo de Teleinformática e Automação. Tipos de �rewall. Rio deJaneiro:
GTA/UFRJ, [20--]c. Disponível em: https://www.gta.ufrj.br/grad/15_1/�rewall/tiposde�rewall.html
<https://www.gta.ufrj.br/grad/15_1/�rewall/tiposde�rewall.html> . Acesso em: 16 nov. 2019.
Próxima aula
Utilização dos roteadores como elementos de segurança – novo aspecto de sua usabilidade.
Explore mais
Pesquise na Internet sites, vídeos e artigos relacionados ao conteúdo visto. Em caso de dúvidas, converse com seu
professor on-line por meio dos recursos disponíveis no ambiente de aprendizagem.
https://www.gta.ufrj.br/grad/13_1/firewall/classificacao.html
https://www.gta.ufrj.br/grad/12_1/ids/ConceitodeIDS.html
https://www.gta.ufrj.br/grad/15_1/firewall/tiposdefirewall.html