Conteúdo Interativo4

Prévia do material em texto

Segurança de Redes I
Aula 4: Segurança com �rewalls
Apresentação
Vamos conhecer um pouco mais sobre os �rewalls e como podem nos ajudar na segurança das redes.
Os �rewalls, muito embora estejam projetados como hardwares, também podem ser implementados como um software
em um equipamento de processamento, servidor, PC etc. Veremos as possibilidades de �rewalls que temos.
Veremos que esses dispositivos também dependem de processo de roteamento para funcionar. Veri�caremos que a
função de �rewall pode desempenhada por equipamentos que não foram desenvolvidos para isso, mas que podem ser
adaptados.
Objetivos
De�nir um �rewall convencional e o �rewall de camada 7;
Explicar o funcionamento do �rewall no ambiente Linux;
Classi�car o �rewall IPtables, o hardering de Sistema Operacional, a virtualização de �rewall e o �rewall de aplicação.
O que é um �rewall?
Conforme já vimos na Aula 2, um �rewall é um dispositivo que pode ser implementado em um hardware dedicado à função ou
em um hardware genérico do tipo PC ou servidor. Mas um �rewall pode ser também o processo que roda em uma plataforma
computacional, de conceito aberto, que roda a aplicação de segurança.
Ele possui a função básica de �ltrar o tráfego recebido em suas interfaces.
Quando a análise dos pacotes for feita mediante regras as estabelecidas e
nele con�guradas para esta função, ele descobrirá se o tráfego é nocivo ou
não.
Necessariamente, não há obrigatoriedade da presença de um hardware de propósito especí�co para sua execução funcional.
Ele pode executar seu sistema em uma outra plataforma computacional de cunho geral, do tipo PC ou um hardware de
servidor.
Esse mecanismo irá proteger uma infraestrutura de rede utilizando-se das funções de �ltrar o tráfego recebido em suas
interfaces, impedindo que os dados sejam propagados indiscriminadamente.
Vimos, na Aula 2, que sua presença pode e cria delimitações de região, implementando no mínimo três zonas básicas, são
elas:
1
Extranet
Representada pela Internet
2
Intranet
Representada por uma LAN
3
DMZ
Zona desmilitarizada, onde se colocam os recursos que
podem ser acessados
 (Fonte: Rawpixel.com / Shutterstock).
Zonas básicas de segurança
As evoluções que os �rewalls sofreram com o passar do tempo e do avanço tecnológico não deixaram para trás os métodos
utilizados nas suas primeiras gerações. Pelo contrário, eles evoluíram adicionando novos métodos e padrões pelos novos
modelos de solução de segurança: Tiveram adequações às necessidades apresentadas pelas várias ondas de demanda
apresentada pelo mercado de soluções.
Dos chamados �rewalls, de camada 3 e 4, tradicionais, vimos, na Aula 2, as variações:
1
Filtro de pacotes
2
Filtro de pacotes com controle de estado
3
Proxy �rewall
Além dos chamados �rewalls, de camada 3 e 4, veri�camos, ao longo da Aula 2, que temos os novos modelos de arquitetura
denominados Firewalls de Nova Geração (NGFW) ou �rewall de camada 7. Eles também são estruturados em funcionalidades
sobre recursos de hardware e softwares, dedicados ou virtualizados, atuando com suas novas implementações diretivas,
diretamente sobre a camada de aplicação (camada 7, do já referido modelo OSI), mas também continuam a desenvolver as
dinâmicas de segurança sobre as camadas de transporte e rede, analisando os dados contidos nos cabeçalhos de cada um
dos níveis (camada 4 e camada 3, do já referido modelo OSI), observando os seu itens corriqueiros como protocolos, portas de
serviço e endereçamento de rede (IP, por exemplo).
Além disso, os �rewalls, devido à sua aplicação, podem ser classi�cados como:
Clique nos botões para ver as informações.
É um �rewall instalado na máquina ou incorporado ao Sistema Operacional, controlando o tráfego de entrada/saída
somente para aquela estação.
Firewall Endpoint 
É um �rewall que faz a ponte entre os servidores e a Internet.
Firewall de Perímetro 
Optar por uma solução de �rewall para aplicarmos no âmbito das redes corporativas, também conhecido como �rewalls de
perímetro, signi�ca darmos um importante passo rumo à questão da solução de segurança.
Blindar pura e simplesmente os dados ou informações de ameaças (internas e/ou externas) é muito complicado e difícil, caso
não adotemos um processo de controle visando cuidar de acesso dos funcionários, tráfego de informações, per�s de acesso,
entre outros fatores. Assim, e desta forma, tratamos de segurança de maneira mais adequada, com melhoria na e�ciência a
que se propõe uma solução segura.
 (Fonte: Dragon Images / Shutterstock).
Aqui começa o papel do �rewall, que visa a disponibilização
de recursos de informação, prevenindo que a rede interna,
ou Intranet, seja invadida, afetada e infectada por
cibercriminosos.
Há, no mercado, diferentes tipos de �rewall, um para cada tipo de situação e necessidade, o que torna o peso da escolha ainda
maior. Mas é assim mesmo: Devemos avaliar as demandas e as necessidades para que, com o entendimento do contexto,
possamos tomar uma boa decisão dado o grande número de produtos e fabricantes.
No caso do mundo corporativo, o �rewall tem sua função dedicada a agir como uma linha de frente, forjando uma barreira entre
a chamada de Internet e Intranet. Trata-se, portanto, de uma solução mais robusta e que procura dar uma proteção
considerável.
Geralmente, as melhores soluções de �rewall corporativo
estão ofertadas no mercado a nível hardware dedicado,
extraindo deste todo o seu poder de processamento para
desempenhar as funções de segurança. Já, quando vemos
as soluções baseadas em software, estas �cam
posicionadas como soluções complementares às soluções
dos �rewalls em hardware.
 (Fonte: Rawpixel.com / Shutterstock)
 No �nal, o que se veri�ca é a aplicação de um arranjo de mecanismos, mistos, para alcançarmos patamares mais adequados
em termos de composição técnica na arquitetura �nal.
Firewall no ambiente Linux
O Linux é um ambiente que tem seduzido muitos pro�ssionais da área de tecnologia, e não é de hoje. Ele se propõe a ser uma
plataforma aberta, e dessa forma tem se mantido.
O Linux não precisa de drivers adicionais, tirando algumas exceções, pois já contamos com muitos drivers incluídos no seu
kernel (o núcleo do sistema), de tal forma que temos uma usabilidade imediata de tudo: Plugou um novo periférico, funcionou.
Isso é um processo diferenciado e que ajuda muito em sua aceitação e utilização.
Esse ambiente possui inúmeras soluções e dentre elas estão as ferramentas de segurança utilizadas para construção de uma
camada de proteção baseada em Sistema Operacional Linux. Uma dessas ferramentas refere-se ao pacote de �rewall, que
podemos instalar sobre o Linux.
Firewall IPtables
O nome “IPtables” faz referência à ferramenta de interface com o usuário, que permite uma comodidade no âmbito da
interação deste com a referida ferramenta. Ela é intrínseca a todas as distribuições de Linux atualmente. Essa ferramenta
viabiliza a construção das chamadas “Regras de �rewall” e composição dos NATs.
A ferramenta IPtables dá ao administrador do ambiente Linux a capacidade de controlar o módulo chamado net�lter, que
fornece ao Linux as funções de �rewall, Nat e Log dos dados que trafegam pelas interfaces de rede.
Na prática, o IPtables é um nome de referência, como dito acima, a uma ferramenta de interface com o usuário, que permite
uma melhor interação e controle do módulo net�lter , em que, este sim, desempenha as questões de criação de regras de
segurança no ambiente.
Essas funções, geralmente são aplicadas ao tráfego na forma de regras de �ltragem e de modi�cação, são chamadas de volta
para cada pacote que atravessa a respectiva ferramenta dentro da pilha de rede.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
"O chamado �rewall IPtables pode funcionar baseado no
endereço, porta de origem, destino do pacote, prioridade".
(MUNIZ, 2014).
https://estacio.webaula.com.br/cursos/go0345/aula4.html
O IPtables é declarado, usando o jargão técnico, como um tipo de �rewall que atua a nível de pacotes,tomando as decisões
baseadas nos parâmetros de cada pacote tal como:
Porta/endereço de origem/destino.
Estado da conexão.
Protocolo (TCP ou UDP, por exemplo).
Exploração de outros parâmetros do pacote.
“Ele funciona através da comparação de regras preestabelecidas para saber se um pacote tem ou não permissão para passar”
(MUNIZ, 2014) de uma interface de entrada para uma interface de saída, da mesma forma que um �rewall convencional
baseado em hardware; como vimos acima.
"Em �rewalls mais restritivos, o pacote net�lter é bloqueado e
registrado para que o administrador do sistema tenha
conhecimento sobre o que está acontecendo em seu sistema.
"
(MUNIZ, 2014).
Podem ser implementadas inúmeras possibilidades de controle através dos recursos de �ltragem, dando uma boa capacidade
e �exibilidade na manipulação dos dados viabilizando ao administrador uma abertura considerável para sua implementação e
sua customização.
Atenção
"O IPtables é uma ferramenta para criar e administrar regras e assim �ltrar pacotes de redes". (MUNIZ, 2014)
Sintetizando, na prática, o IPtables serve para “redirecionar portas, trocar um protocolo (como ssl3 para tls1), redirecionar
servidores, e serviços” (MUNIZ, 2014), pois é um agente de operação junto ao pacote de serviços net�lter. Além disso, ele
viabiliza a criação de regras, conforme visto anteriormente, para que se possa “bloquear usuários na rede, bloquear serviços, de
acesso por determinados IP’s, entre outros muitos serviços” (MUNIZ, 2014).
De acordo com Muniz (2014), a forma mais comum de se usar o comando IPtables é:
iptables [-t table] <opção> chain rule-speci�cation
Entre as opções você pode escolher:
-P = De�ne uma regra padrão. 
-A = Adiciona uma nova regra às existentes. Este tem prioridade sobre a -P. 
-D = Apaga uma regra. 
-L = Lista as regras existentes. 
-S = Lista as regras existentes, da forma como foram salvas pelo IPtables. 
-E = Renomeia uma cadeia (chain).
-F = Limpa todas as regras. 
-I = Insere uma nova regra. 
-h = Exibe a ajuda. 
-R = Substitui uma regra. 
-C = Faz a checagem das regras existentes. 
-Z = Zera uma regra especí�ca. 
-N = Cria nova regra com um nome. 
-X = Exclui uma regra especí�ca pelo seu nome.
“Cada opção tem o seu uso especí�co e uma forma de usar. Para consultar todas, basta utilizar: man iptables“ (MUNIZ, 2014),
invocando o manual on-line do IPtables.
Na tabela a seguir, vamos exempli�car alguns comandos comuns do IPtables:
Deletar regra  
  iptables –F
Bloquear um IP  
  iptables -A INPUT -s "192.168.254.10" -j DROP
Se desejar bloquear para uma interface específica,
basta passar o parâmetro -i , fincando assim
 
  iptables -A INPUT -i eth0 -s "192.168.254.10" -j DROP
Abrir porta para IP's específicos. Ex.: ssh  
  iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 22 -m state --
state NEW,ESTABLISHED -j ACCEPT
Balanceamento  
Balanceando a porta 443 entre 3 diferentes ips 
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 0 -j DNAT --to-destination
192.168.1.101:443 
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 1 -j DNAT --to-destination
192.168.1.102:443 
iptables -A PREROUTING -i eth0 -p tcp --dport 443 -m state --state NEW -m nth --counter 0 --every 3 --packet 2 -j DNAT --to-destination
192.168.1.103:443
Habilitar Acesso ao mysql pela rede local  
iptables -A INPUT -i eth0 -p tcp -s 192.168.100.0/24 --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT 
iptables -A OUTPUT -o eth0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT
Bloqueando ataques DDOS  
iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT
Redirecionando porta  
iptables -t nat -A PREROUTING -p tcp -d 192.168.254.136 --dport 422 -j DNAT --to 192.168.254.136:22
Fonte: Muniz, 2014.
 Algumas peculiaridades do �rewall IPtables
 Clique no botão acima.
Algumas peculiaridades do �rewall IPtables
Declaração das portas/endereço de origem/destino para bloqueio.
Trabalha com os protocolos TCP/UDP/ICMP (e suas variantes).
Opera baseado em interfaces de origem/destino na referência dos pacotes.
Trabalha operando em sintonia com os serviços de proxy existentes em uma dada rede.
Trabalha levando em conta o tratamento de tráfego, sendo que este �ca segmentado nas chamadas cadeias
lógicas ou chain.
Limita o número de linhas por regras em uma dada chain.
É comprovadamente rápido, estável e seguro — características fundamentais.
Implementa autocrítica como módulo para expurgo automático dos pacotes que considerar duvidosos ou
malformados.
Consegue interagir com módulos externos de expansividade, pois os padrões de código do �rewall assim
viabilizam.
Viabiliza roteamento de pacotes.
Viabiliza priorização de tráfego de pacotes classi�cado para isso em função de especi�cação.
Viabiliza a existência de declarações que trabalham como exceções às regras estabelecidas ou parte delas.
Trabalha associado a um sistema de Syslog, personalizando alertas sobre as ações cometidas sobre o tráfego:
Permissão e bloqueio.
Realiza redirecionamento de portas.
Trabalha com a técnica de Masquerading (maneira de utilizar uma máquina rodando Linux, com um modem e
uma placa de rede, como um roteador para redes de pequeno porte).
Tem em sua estrutura o suporte à SNAT (modi�cação do endereço de origem das máquinas para um único IP ou
faixa de IPs).
Tem em sua estrutura o suporte à DNAT (modi�cação do endereço de destino das máquinas para um único IP ou
faixa de IPs).
Possui um módulo de contabilização no qual ocorre o registro de pacotes que atravessaram uma interface/regra.
Propicia limitação contra, syn �ood, ping �ood, DoS etc.
 (Fonte: Alexander Supertramp / Shutterstock).
Hardering de Sistema Operacional
Muitos servidores rodam Sistema Operacional Windows ou Linux. O administrador do ambiente precisa estar sempre
veri�cando se o seu sistema está protegido ou descoberto em termos de segurança e fragilidade. Ele deve saber se alguma
aplicação, de algum modo, tem alguma porta lógica (SOKET) liberada por falta de Tunning (ajuste de sistema).
Baseado nessa preocupação, faz-se uso de um processo de mapeamento das ameaças, mitigando os riscos e executando
atividades que visam a correção do que deve e pode ser corrigido. A este conjunto de ações destinadas a preparar o ambiente
para determinadas tentativas de ataques ou violação na segurança da informação dá-se o nome de hardering.
Muitos elementos de rede, hardware, trazem em si o Linux como o sistema de controle da plataforma. Não é raro de se ver,
inclusive em telecomunicações, vários fabricantes colocando o Linux como software de controle e gestão de seus
equipamentos.
Baseado nisso, a preocupação com o processo de hardering também é válida e se veri�ca como preocupação por parte das
empresas desenvolvedoras de produtos para este mercado, por exemplo a Nokia com a seus elementos óticos da família PSS
(8, 32, 64 etc.).
Passamos a ter o processo de hardering aplicado à rede, e aqui o conceito de rede vai além de uma infraestrutura de
computadores de um escritório, prédio ou mundo corporativo. Entra nas infraestruturas de comunicação de grandes
operadores, por exemplo.
Para entendermos um pouco mais, segue abaixo o conjunto de atividades relacionadas ao hardering:
1. Remover ou desabilitar de nomes ou logins de usuários antigos e sem uso.
2. Estabelecer limites ao software instalado àquele que se destina à função desejada do sistema.
3. Aplicar e manter os patches atualizados, tanto de Sistema Operacional quanto de aplicações.
4. Revisar e modi�car as permissões dos sistemas de arquivos, em especial no que diz respeito à escrita e à execução.
5. Reforçar a segurança do login, impondo uma política de senhas fortes.
6. Criar processo de autenticação AAA.
7. Ter mecanismos que viabilizem a rastreabilidade dos acessos.
Decorrente dessas preocupações, vemos surgir pacotes de software para seremaplicados em ambiente do tipo Linux para
criar o que o poderia ser uma espécie de “endurecimento do ambiente”.
Um exemplo desta camada ou pacote adicional que vem sendo usado nos ambientes Linux (exemplo para ilustrar) é o software
dedicado a hardering chamado Bastille.
Mas o que é Bastille?
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
O pacote ou programa Bastille desenvolve o processo de hardening,
bloqueando um sistema operacional e con�gurando-o proativamente para
aumentar a segurança e diminuir sua suscetibilidade a comprometimentos
face a eventos de sinistros cibernéticos.
O Bastille viabiliza o processo de avaliação do estado atual de proteção de um sistema, relatando, item a item, cada uma das
con�gurações de segurança com as quais trabalha e que se faz necessário o Tunning sobre eles.
Atualmente, o Bastille suporta as distribuições Red Hat (Fedora Core, Enterprise e Numbered/Classic), SUSE, Debian, Gentoo e
Mandrake, juntamente com o HP-UX. Ele também suporta o Mac OS X.
A principal função do Bastille é permitir que o
usuário/administrador do sistema escolha exatamente
como proteger o Sistema Operacional, concedendo com
isso �exibilidade ao administrador/suporte do ambiente a
ser protegido.
 (Fonte: supercaps / Shutterstock).
Atenção
O Bastille possui um modo chamado "modo de proteção padrão", através do qual ele interativamente faz perguntas ao usuário,
explica os tópicos dessas perguntas e cria uma política com base nas respostas do usuário: Um modo de orientação. Na
sequência, o Bastille aplica a política ao sistema mediante ao que foi escolhido no passo a passo.
O foco do Bastille possui outro modo denominado "modo de avaliação", no qual ele cria um relatório destinado a ensinar o usuário
sobre as con�gurações de segurança disponíveis, além de informar ao usuário quais con�gurações foram reforçadas.
O poder de usabilidade do Bastille ajuda seus usuários no fortalecimento dos sistemas e infraestruturas, dando feedback sobre
segurança e orientando-os a fazer escolhas equilibradas e informadas, por ser esta outra faceta deste aplicativo: Uma
característica educacional. 
O Bastille se tornou uma parte vital no universo da administração da segurança, por ser uma das ferramentas de proteção mais
usadas para Linux e HP-UX (Unix), sendo fornecida pelo fornecedor no SuSE, Debian, Gentoo e HP-UX.
Esse pacote de software é abordado em todos os principais livros sobre Linux Security e artigos. A publicação “Linux hardening
Guide” do Center for Internet Security recomendou fortemente a empregabilidade do Bastille para que os administradores de
redes e sistemas possam ter seus recursos mais bem protegidos.
Comentário
Temos uma solução disponível que é baseada na customização de kernel de Uunix FreeSD: O chamado PfSense, que é um
Sistema Operacional de código aberto baseado em Unix FreeBSD adaptado para ser usado como um �rewall e/ou roteador, além
de possuir recursos que muitas vezes só são encontrados em �rewalls comerciais caros, dando a seus usuários uma grande
quantidade de funcionalidades embarcadas.
Virtualização de �rewall
Antes de começarmos a falar sobres virtualização de �rewall, devemos explicar o que vem a ser um processo de virtualização.
Este processo está se tornando muito comum em várias empresas e vem sendo adotado em vários setores, inclusive como
solução de serviço, principalmente em ambientes de nuvem (cloud).
Virtualização é o processo de criar ambientes computacionais virtuais, que
funcionam como abstrações do hardware. O ambiente computacional existe
em uma camada diferente do hardware em si, mas se comunica com este
através de um software chamado hypervisor (por exemplo, se a arquitetura
da solução for usá-lo) que cria e executa as máquinas virtuais (VMs).
Aqui, as aplicações serão executadas no contexto das máquinas virtuais existentes. Todo esse processo se dará sobre um
hardware dedicado a este tipo de design de solução para abrigar as aplicações.
Sobre esse tipo de arquitetura, consegue-se com a virtualização, a distribuição equacionada dos recursos computacionais de
um ambiente eletrônico, servidor, com seus respectivos módulos (disco, memória, processador etc.), entregando ao domínio
lógico da aplicação as facilidades demandas por esta. De forma independente, todas as outras aplicações residentes e
virtualizadas neste mesmo ambiente físico de hardware terão sua demanda atendida, pois só podemos virtualizar se houver
capacidade para tal.
Este conceito e implementação não é nada novo. A IBM, nos anos 1980 já possuía o seu ambiente de mainframe com um
Sistema Operacional rodando uma camada chamada VM, onde o “usuário tinha” para si um disco de sistema, uma perfuradora
de cartões, uma unidade de leitora de disco, além de uma cota para armazenamento.
Através da virtualização, conseguimos fragmentar um hardware em vários domínios lógicos a que chamamos de VMs ou
máquinas virtuais e nelas executar aplicações individualizadas como banco de dados, servidor de e-mail, servidor de arquivos,
�rewall/proxy etc.
 Fonte: Mknod
A virtualização nos permite, como um processo, a facilidade ou a viabilidade de rodarmos Sistemas Operacionais diferentes ou
iguais, sendo de versões diferentes em um mesmo ambiente físico, conforme dito acima. Além disso, podemos contar com o
recurso de isolamento lógico completo entre os ambientes virtualizados. Neste método ou processo, é possível a execução de
uma dada aplicação hipotética por uma máquina virtual, sendo esta ação total e completamente invisível para uma aplicação
em outra máquina virtual.
Com esse método temos um melhor aproveitamento do hardware dos servidores, pois estes passam a ser compartilhados
com várias aplicações, evitando períodos de ociosidade: Ganha-se com isso, pois há ainda a redução de custos de energia,
climatização e espaços destinados a racks. Os custos caem.
Muitas vezes acontece de termos a capacidade computacional de um dado servidor, por exemplo, com baixo aproveitamento,
conforme vimos anteriormente. Esse tipo de incoerência faz com que se tenha sala entupidas, literalmente, de servidores
físicos, operando muito abaixo de sua capacidade máxima, fazendo com que sobre poder de computação por ambiente de
hardware. Isso gera aumento de custos de vários pontos: Energia, climatização, contrato de manutenção e suporte do
hardware etc.
O processo da virtualização veio de encontro desse desperdício computacional, equacionando melhor a utilização do hardware.
A criação de máquinas virtuais, que são cada uma um ambiente independente, com recursos dedicados às suas demandas,
mas com compartilhamento funcional do mesmo hardware, colabora para melhor utilização de seus recursos.
A exploração dos recursos de hardware em contexto de compartilhamento com várias aplicações deu e continua dando muito
certo, e o mercado de tecnologia agradece até o presente momento. Isso entrou na moda no início dos anos 2000 e passou a
ser incorporado como solução para várias demandas e ambientes.
Um dos processos ou aplicação que foi virtualizada nessa linha foi o da criação de �rewalls virtualizados, os quais passaram a
poder estar rodando em servidores dentro do próprio ambiente ou em soluções de computação da nuvem.
 (Fonte: TierneyMJ / Shutterstock).
Na prática, a virtualização de um �rewall nada mais é do que o novo escopo de serviços que estão sendo vendidos, mas que já
praticamos há tempo: A virtualização de uma função de rede ou a chamada NFV.
As funções de rede estão sendo executadas por dispositivos de hardware e estão cada vez mais sendo virtualizadas como
soluções de virtualização, o que é uma progressão natural deste processo, da virtualização, do servidor e da virtualização de
rede. 
Funções de rede estão sendo virtualizadas numa curva de crescimento muito grande. Dentre as funções de rede virtualizadas
hoje em dia, destacam-se as do campo de segurança e são elas:
1
Firewall
2
Antivírus
3
DDoS
(negação de serviço em distribuído)
4
IPS/IDS
(sistema de detecçãode intrusão/sistema de prevenção
contra intrusão)
Firewall de aplicação ou FWNG
Hoje em dia, temos que ganhar nos processos de instalação de aplicações e para obtermos esses ganhos e minimizar as
limitações, criou-se um novo formato para as aplicações que passaram a utilizar largamente o protocolo HTTP, dentro das
características de interface web. As aplicações ganharam várias funções baseadas neste tipo de solução.
Baseada nisso, também surgiu a necessidade de veri�cações de segurança a nível das aplicações circulantes e, com isso,
originaram-se a técnica e o conceito de inspeção e análise dos pacotes na camada de aplicação (camada 7 do já mencionado
modelo OSI).
Sobre esta prática, consegue-se identi�car a ocorrência de padrões ou comportamentos que sugerem ataques. São feitas
análises não apenas nos cabeçalhos, mas também a nível dos campos de informações ou dados, contidos nos pacotes.
Os ganhos são muito expressivos, indo além da rastreabilidade e da visibilidade, mas possibilitando a criação de um novo
universo de regras que considera controles baseados no tipo de aplicação.
Exemplo
Uma dada aplicação X utiliza-se do protocolo https, sendo que com o �rewall de aplicação agora se consegue perceber, o local de
destino saindo dos parâmetros básico de até então (IP, protocolo, porta de serviço — https), mas agora indo no nível de se saber
que produto está usando o protocolo, se é o Dropbox, ou Spotify, ou Net�ix, ou YouTube etc.
Na fase anterior fazia-se necessário o mapeamento das redes (IP) e portas (sokets) que os serviços utilizavam, mas, em
muitos e muitos casos, esse processo ou procedimento se mostrava ine�ciente. Na fase atual, da rede ou dos sokets, os
�rewalls ditos de aplicação possibilitarão uma análise sobre padrões de comportamentos de uma dada aplicação e, em função
disso, serão criados �ltros para esta aplicabilidade. É um processo muito vantajoso em relação ao que se ganha com essa
inovação.
Com essa nova arquitetura, consegue-se obter mais e melhores condições para atribuir altos ganhos nas questões de
segurança, melhorando o desempenho das rotinas de gerenciamento prático estabelecidas para este �m: Security.
Os ganhos são muitos com esse tipo de �rewall e cito monitoramento de uso de aplicativos na dinâmica de troca de arquivos
via torrentes, por exemplo, livros, música. Esse tipo de dinâmica causa muito prejuízo para as empresas, pois os acessos saem
de seus domínios, por conta dos abusos da usabilidade feita por funcionários. Com essa nova prática, evita-se que se possa
fazer uso de certos aplicativos, que vão escondidos dentro de aplicações.
Um novo universo sobre controles e permissões se abre
devido à capacidade de usabilidade desses novos
mecanismos. Os administradores passam a criar regras de
segurança que vão além dos parâmetros de crítica
convencionais, chegando às críticas de aplicações, mas,
sobretudo, mantendo os costumeiros parâmetros de
endereçamentos, protocolo e sokets.
/
 (Fonte: Den Rise / Shutterstock).
Deve �car claro que esse novo modelo de arquitetura de solução de segurança, usando �rewalls de camada 7, tem sua
funcionalidade baseada e fundamentada no que pode ser feito a nível de controle sobre a aplicação em questão.
A aplicação precisa ser reconhecida pelo sistema de segurança de �rewall de camada 7, pois, do contrário, não se conseguirá a
execução da funcionalidade esperada: Inspeção a nível de aplicação, pois não se saberá o que bloquear.
A e�ciência da ferramenta depende diretamente da visibilidade que esta possui sobre o campo de informação e do
reconhecimento acerca da aplicação. Sem isso, nada funcionará e o controle sobre as aplicações �cará comprometido e se
tornará inexistente.
Os �rewalls de camada, mais do que os seus antecessores, precisam sofrer atualizações sistemáticas, pois aplicações podem
ser atualizadas e não serem mais reconhecidas por essas plataformas. Logo, o produto deve ser constantemente atualizado. A
falta de atualização pode elevar muito o tempo de resposta frente às mudanças ocorridas nas aplicações.
Atividades
1. Como podemos classi�car os �rewalls de Aplicação?
2. O que é IPtables?
3. A que nível no pacote atua o �rewall IPtables tomando suas decisões?
4. No ambiente Linux, o que a técnica de Masquerading?
5. O que é hardering?
6. O que realizamos com o processo de virtualização?
Notas
Net�lter
O net�lter é um conjunto de ferramentas, residentes no kernel do Linux, e que permite que os módulos do núcleo, especí�cos,
desenvolvam suas funções de registro de retorno com a pilha de rede no kernel.
Referências
BR-LINUX.ORG. IP Masquerading. [S. l.]: BR-Linux.org, [20--]. Disponível em: br-linux.org/artigos/rede_ipmasq.htm. Acesso em:
16 nov. 2019.
KUROSE, Jim; ROSS, Keith. Redes de computadores e a Internet: uma abordagem top-down. 6. ed. São Paulo: Pearson, 2013.
MUNIZ, Vinicius. O que é Iptables, para que serve e como usar? [S. l.]: ViniciusMuniz.com, 2014. Disponível em:
viniciusmuniz.com/pt/o-que-e-iptables-para-que-server-como-usar/. Acesso em: 16 nov. 2019.
STALLINGS, William. Criptogra�a e segurança de redes: princípios e práticas. 6. ed. São Paulo: Pearson, 2014.
Próxima aula
Zonas de segurança;
De�nição e funcionamento da criptogra�a;
Criptogra�a nas conexões.
Explore mais
Pesquise na Internet sites, vídeos e artigos relacionados ao conteúdo visto. Em caso de dúvidas, converse com seu professor
on-line por meio dos recursos disponíveis no ambiente de aprendizagem.
javascript:void(0);
javascript:void(0);