Grsecurity

  • Aumentar tamanho da fonte
  • Tamanho da fonte padrão
  • Diminuir tamanho da fonte
Home Firewall

Firewall

E-mail Imprimir PDF

O que é Firewall ?

Firewall é o nome dado ao dispositivo de uma rede de computadores que tem por função regular o tráfego de rede entre redes distintas e impedir a transmissão de dados nocivos ou não autorizados de uma rede a outra. Dentro deste conceito incluem-se, geralmente, os filtros de pacotes e os proxy de protocolos.

É utilizado para evitar que o tráfego não autorizado possa fluir de um domínio de rede para o outro. Apesar de se tratar de um conceito geralmente relacionado a proteção de um sistema de dados contra invasões, o firewall não possui capacidade de analisar toda a extensão do protocolo, ficando geralmente restrito ao nível 4 da camada OSI.

O termo inglês firewall faz alusão comparativa à função que desempenha para evitar o alastramento de dados nocivos dentro de uma rede de computadores, da mesma forma que uma parede corta-fogo (firewall) evita o alastramento de incêndios pelos cômodos de uma edificação.

Existe na forma de software e hardware, ou na combinação de ambos. A instalação depende do tamanho da rede, da complexidade das regras que autorizam o fluxo de entrada e saída de informações e do grau de segurança desejado.

Os sistemas de firewall podem ser classificados da seguinte forma:

Filtro de Pacotes

Estes sistemas analisam individualmente os pacotes à medida em que estes são transmitidos da camada de enlace (camada 2 do modelo ISO/OSI) para a camada de rede (camada 3 do modelo ISO/OSI).

As regras podem ser formadas estabelecendo os endereços de rede (origem e destino) e as portas TCP/IP envolvidas na conexão. A principal desvantagem desse tipo de tecnologia para computação é a falta de controle de estado do pacote, o que permite que agentes maliciosos possam produzir pacotes simulados (IP Spoofing) para serem injetados na sessão. Não existe nenhuma crítica em relação ao protocolo da camada de aplicação.

Proxy Firewall

Os conhecidos "bastion hosts" foram introduzidos por Marcus Ranum em 1995. Trabalhando como uma espécie de eclusa, o firewall de proxy trabalha recebendo o fluxo de conexão e originando um novo pedido sob a responsabilidade do mesmo firewall (non-transparent proxy). A resposta para o pedido é analisada antes de ser entregue para o solicitante original.

Gateways para circuitos e aplicações conectam as redes corporativas à Internet através de estações seguras rodando aplicativos especializados para filtrar dados. Estes gateways permitem que usuários se comuniquem com os sistemas seguros através de um Proxy, o qual esconde os arquivos e os servidores da ação dos hackers.

Desvantagens: • Para cada novo serviço que aparece na internet, o fabricante deve desenvolver um o seu correspondente agente de Proxy. O que pode demorar meses, tornando o cliente vulnerável enquanto o Fabricante não libera o Agente. A instalação, manutenção e upgrade dos agentes de Proxy requerem serviços especializados de gerenciamento do firewall e podem ser bastante caros. • Os proxies introduzem perda de performance na rede, já que as mensagens devem ser processadas duas vezes, pelo gateway e pelo agente de Proxy. Por exemplo, o serviço FTP manda um pedido ao agente de Proxy para FTP, que por sua vez fala com o servidor interno de FTP para completar o pedido. • Os gateways são caros e requerem estações UNIX, que não são baratas, implicando ainda em multiplicação de sistemas operacionais, o que pode afetar toda a arquitetura da informática ou o seu Plano Diretor.

Stateful Firewall

Os firewalls de estado foram introduzidos originalmente pela empresa israelense Checkpoint. O produto, Firewall-1, prometia ter capacidade para identificar o protocolo dos pacotes transitados e "prever" as respostas legítimas. Na verdade, o firewall inspecionava o tráfego para evitar pacotes ilegítimos, guardando o estado de todas as últimas transações efetuadas.

São firewalls de terceira geração, os que suportam a tecnologia SMLI - Stateful Multi-Layer Inspection, ou seja: Inspeção de Total de todas as Camadas do modelo OSI (modelo de pacotes adotado na internet, com7 camadas). Esta tecnologia permite que o firewall examine cada pacote em todas suas camadas do modelo OSI, desde a de transporte até a de aplicação, sem necessidade de processar a mensagem.

Com a tecnologia SMLI o firewall usa algoritmos de verificação de tráfego, otimizados para altas velocidades de inspeção. Simultaneamente, os pacotes são comparados a padrões conhecidos de pacotes amigáveis. Desta maneira a SMLI oferece a velocidade de um filtro de pacotes junto com a segurança de um gateway de aplicações, sendo totalmente transparente aos usuários e permitindo ao administrador adicionar novos serviços Internet em poucos minutos, somente definindo as novas TUPLAS.

A Manutenção e Instalação são facilitadas e baratas, pois exigem baixo treinamento específico no Firewall, e se concentram mais no conhecimento de TCP/IP dos analistas e consultores.

Firewall de Aplicação

Com a explosão do comércio eletrônico percebeu-se que mesmo a última tecnologia em filtragem de pacotes TCP/IP poderia não ser tão efetiva quanto se esperava. Com todos os investimentos dispendidos em tecnologia de stateful firewalls, as estatísticas demonstravam que os ataques continuavam a prosperar de forma avassaladora. Percebeu-se que havia a necessidade de desenvolver um novo método que pudesse analisar as particularidades de cada protocolo e tomar decisões que pudessem evitar ataques maliciosos contra uma rede.

Tal tecnologia vem sendo explorada do começo dos anos 1990, porém, foi a partir do ano 2000 (com a implementação comercial de um produto da Sanctum,Inc) que se espalhou. A idéia é analisar o protocolo específico da aplicação e tomar decisões dentro das particularidades da aplicação, criando uma complexidade infinitamente maior do que configurar regras de fluxo de tráfego TCP/IP.

Para saber mais detalhes, consulte o projeto ModSecurity para servidores Apache.

O desenvolvimento do Firewall da Aplicação exigiu além de um conhecimento profundo de como funcionam os protocolos Internet, como se processam os ataques, principalmente na camada de aplicação, o desenvolvimento da tecnologia necessária para suprir as gigantescas necessidades de computação de um Application Firewall. Essas necessidades são oriundas dos algoritmos e regras do software de detecção e da velocidade em que os pacotes transitam pela rede. Além disso existe a necessidade de decriptografar e criptografar os pacotes que passam por ele, o que é uma atividade que consome enormes recursos computacionais.

A potencia de computação necessária fica patente pelos números abaixo:

O processador de Segurança tem 48 CPUs Multi-processos, que equivalem a 192 CPUs unitárias. Com memória DRAM de 128 Gigabytes. O seu back plane, chamado de Internal Interconect Fabric suporta um troughput de 280 Gigabits/segundo, permitindo a comunicação muito rápida entre todas as suas CPU´s, Memória e dispositivos de entra/saída. Seus processadores de Criptografia ASIC(application-specific integrated circuit) suportam SSL, TSL, RSA, 3DES, RC4, SHA-1, MD5, MD6, MD7, MD8 e SMD9!

A capacidade do equipamento atinge os seguintes volumes:

  • Até 62.000 ligações TCP por segundo;

  • Até 9.000 handshakes SSL 1024-bits por segundo;

  • Até 7.300 transacções seguras por segundo;

  • Latência máxima de 1500 milissegundos;

  • Até 1.000.000 de ligações abertas em simultâneo.

Com as novas tecnologias, os Firewall de Aplicações, impensáveis alguns anos atrás, são hoje realidade e tem embutido uma quantidade incrível de conhecimento e tecnologia.

Para saber mais sobre Firewall de Aplicações, consulte a ApRisco (Associação Profissional de Risco).

Comandos e Opções de Firewall

MASQUERADE: esta opção em um comando lptables permite a tradução de endereços de rede quando um pacote de dados passa por um servidor firewall.

REDIRECT: esta opção, quando associada aos comandos lptables ou lpchains em um servidor firewall, permite a configuração de um sistema transparent proxying.

 

Fonte: http://pt.wikipedia.org/wiki/Firewall

Última atualização em Dom, 01 de Abril de 2012 17:19