NewsGeneration: um serviço oferecido pela RNP desde 1997


ISSN 1518-5974
Boletim bimestral sobre tecnologia de redes
produzido e publicado pela  RNP – Rede Nacional de Ensino e Pesquisa
01 de agosto de 1997 | volume 1, número 3

volta à página inicial de NewsGeneration

Nesta edição:

Firewalls

Introdução a Gerenciamento de Redes TCP/IP

O que e' o ssh?



NewsGeneration:



Artigos publicados

Autores

FAQ

Assine

Página inicial

Firewalls

Raquel Lopes <>

Rede Nacional de Ensino e Pesquisa (RNP)

Introdução
O Que um Firewall Pode Fazer
O Que o Firewall Não Pode Fazer
Arquitetura de Firewalls
Packet Filtering
Serviços Proxy
Arquitetura Dual-Homed Host
Arquitetura Screened Host
Arquitetura Screened Subnet
Referências

Com a crescente paranóia em relação a segurança dos computadores conectados `a Internet, muitos fabricantes passaram a projetar sistemas de segurança para proteger cada um dos equipamentos por ele fabricado. No entanto, uma alternativa que tem se mostrado mais eficaz, embora não completa, é investir na proteção da rede interna como um todo através de equipamentos chamados de firewall.

^

Introdução

A maneira mais simples de proteger uma rede interna é com o isolamento físico da mesma. Desta forma, ninguém de fora será capaz de invadir o sistema sem antes entrar nas dependecias físicas da organização.

Entretanto, com o crescimento da Internet, o isolamento físico tornou-se quase impossível. Para resolver este problema muitas organizações tem usado firewalls.

Um firewall evita que perigos vindos da Internet espalhem-se na sua rede interna. Colocado entre a rede interna e a externa, o firewall controla todo o trafego que passa entre elas, tendo a certeza que este trafego é aceitável, de acordo com a política de segurança do site, oferecendo uma excelente proteção contra ameaças vindas da rede externa. Entretanto, ele não é uma completa solução para segurança. Certos perigos estão fora do controle de um firewall.

Logicamente falando, um firewall é um separador, um bloqueador e um analisador, enquanto a implementação física varia de site para site, podendo ser, por exemplo, um roteador, um computador, ou uma combinação de roteadores e computadores

^

O Que um Firewall Pode Fazer

Um foco para decisões de segurança - Pense no firewall como um funil onde todo o trafego deve passar por ele. Isto permite que sejam concentradas todas as medidas de segurança neste ponto onde a rede interna conecta-se com a Internet.

Fortalecer a política de segurança - Muitos serviços são inseguros e o firewall pode filtrá-losde acordo com um conjunto de regras, permitindo que apenas serviços aprovados passem por ele. Por exemplo, serviços como

NFS e NIS são muito perigosos para serem usados fora da rede interna. O firewall manterá serviços perigosos como estes estritamente dentro da rede interna.

Implementar um sistema de log eficiente - Todo o trafego passa pelo firewall, que se apresenta como um ótimo ponto para se coletar informações sobre o sistema e uso da rede.

^

O Que o Firewall Não Pode Fazer

Proteger a rede de usuários internos mal intencionados- O firewall pode evitar que certas informações saiam de uma companhia através da conexão de rede, mas não pode impedir que um usuário copie os dados num disquete e os carregue consigo. Atacantes internos requerem medidas de segurança interna, como segurança de host e educação de usuários.

Proteger contra conexões que não passam por ele - O firewall pode apenas controlar o trafego que passa por ele. Se o seu site disponibilizar acesso discado para sistemas internos atrás do firewall, não ha nada que o firewall possa fazer para prevenir que intrusos tenham acesso a sua rede por esta via.

Proteger contra novas ameaças - Firewalls são projetados para proteger contra ameaças conhecidas.

Proteger contra vírus - Embora o firewall verifique todo o trafego que entra na rede interna, esta verificação é feita basicamente checando os endereços fonte e destino e os números de porta, não verificando os dados em si.

^

Arquitetura de Firewalls

Antes de apresentar algumas arquiteturas de firewalls, é importante que se esteja familiarizado com alguns termos. Estas são algumas definições básicas:

 

^

Packet Filtering

É um mecanismo de segurança que controla o fluxo de dados que entra e sai da rede. Para isto, é criado um conjunto de regras que especifica quais tipos de pacotes devem ser liberados e quais devem ser bloqueados.

Packet filtering é também conhecido como "screening" e pode ser implementado em um roteador, uma bridge ou em um host.

 

Para entender como o packet filtering funciona, veja a diferencaentre um roteador comum e um screening router.

Um roteador comum simplesmente olha o endereço destino de cada pacote e escolhe e melhor caminho para enviar o pacote. A decisão do que fazer com o pacote é baseado apenas no endereço destino.

Um screening router, por outro lado, olha para mais detalhes do pacote (endereços fonte/destino e números de porta), para poder determinar se pode, ou não, rotear o pacote para seu destino.

^

Serviços Proxy

Serviços proxy são aplicações ou programas servidores que rodam em um bastion host que tem acesso `a Internet e `a rede interna, ou em um dual-homed host, que será visto mais a frente. Estes programas pegam o pedido do usuário para serviços Internet e encaminha-o, de acordo com a política de segurança do site, para os verdadeiros serviços.

É um serviço transparente. O usuário acha que esta lidando diretamente com o servidor real, e este tem a ilusão que está lidando diretamente com o usuário.

Um serviço proxy requer dois componentes: um servidor e um cliente.

O cliente proxy é um versão especial do programa cliente real que interage com o servidor proxy ao inves do servidor real. O servidor proxy avalia o pedido do cliente proxy e, caso o pedido seja aprovado, o servidor proxy entra em contato com o verdadeiro servidor na Internet em nome do cliente.

^

Arquitetura Dual-Homed Host

Esta arquitetura é construída sob um host dual-homed. Este host poderia atuar como um roteador entre a rede externa e a interna. Entretanto, para implementar um firewall com arquitetura host dual-homed, a função de roteamento é desabilitada. Sistemas dentro do firewall podem se comunicar com o host dual-homed assim como sistemas fora do firewall, mas estes sistemas não podem se comunicar diretamente.

Um host dual-homed pode fornecer apenas serviços através de servidores proxy, ou ainda permitir que usuários conectem-se diretamente a si.

^

Arquitetura Screened Host

Esta arquitetura fornece serviços a partir de um bastion host que é conectado apenas a rede interna, usando um roteador para separá-la da Internet, chamado screening router. Nesta arquitetura, a segurança principal é feita por packet filtering.

O packet filtering do screening router é configurado de tal maneira que o bastion host é a única máquina da rede interna que recebe conexões da Internet. Mesmo assim, apenas certas conexões são permitidas. O packet filtering pode ser configurado para permitir que outros hosts internos abram conexões com maquinas da Internet para determinados serviços ou não permitir qualquer conexão de hosts internos.

Devido a esta arquitetura permitir roteamento, ela pode parecer mais perigosa que a dual-homed host, que é modelada para que nenhum pacote externo alcance a rede interna. Mas, na pratica, a arquitetura dual-homed host esta mais propensa a falhas. E também é mais fácil defender um roteador, que é um conjunto de serviços limitados, do que um host.

Entretanto, comparado com outras arquiteturas, como, por exemplo, a screened subnet, ha algumas desvantagens. A principal é que, se o atacante conseguir invadir o bastion host, não ha mais nada no sentido de segurança de rede entre o bastion host e o resto da rede interna.

^

Arquitetura Screened Subnet

Esta arquitetura adiciona uma camada extra de segurança através da perimeter network, que isola a rede interna da Internet. Nela ha dois screening router. Um entre a rede DZM e a rede interna, e outro entre a rede DZM e a rede externa. Para atacar a rede interna nesta arquitetura o atacante teria que passar pelos dois roteadores. E, mesmo que o atacante consiga invadir o bastion host, que fica isolado na rede DZM, ele ainda terá que passar pelo roteador interno.

O bastion host basicamente atua como servidor proxy para vários serviços, permitindo que clientes internos acessem servidores externos indiretamente. Ele também atua como servidor de mail, ou os envia para determinados hosts da rede interna.

O roteador interno protege a rede interna da Internet e também da rede DZM. Ele faz a maior parte do packet filtering do firewall, permitindo o estabelecimento de serviços a partir de clients internos para servidores da Internet. Estes são serviços que o seu site pode seguramente fornecer usando packet filtering ao inves de proxies.

O roteador externo protege a rede DZM e a rede interna da Internet.Ele permite quase tudo que venha da rede DZM passe através dele, e, em geral, faz pouco packet filtering. As regras de packet filtering para proteger as maquinas internas devera ser basicamente as mesmas em ambos os roteadores.

As únicas regras de packet filtering que são realmente especiais no roteador externo são aquelas que protegem a rede DZM. Mas geralmente não é necessário tanta proteção pois o bastion host é bem protegido com métodos de segurança de host.

Estas são as arquiteturas de firewalls mais comuns, entretanto há muitas outras variações que podem ser usadas.

^

Referências

Building Internet Firewalls . Brent Chapman e Elizabeth Zwicky ÓReilly & Associates

Firewalls And Internet Security Bill Cheswick e Steve Bellovin ddison Wesley Publishing Company

Practical UNIX Security Simson Garfinkel e Gene Spafford ÓReilly & Associate

^

NewsGeneration, um serviço oferecido pela RNP – Rede Nacional de Ensino e Pesquisa
Copyright © RNP, 1997 – 2004