UNIESP FACULDADE DO GUARUJA

JAIRO CORREA DANTAS DA SILVA

Firewall

Atividade para complemento de nota N2 do curso de Sistemas de Informacao da UNIESP FACULDADE DO GUARUJA, da disciplina Fundamentos e Infraestrutura de Redes. Orientador: Prof. Denis.

GUARUJA MAIO 2012

 UNIESP FACULDADE DO GUARUJA

JAIRO CORREA DANTAS DA SILVA

Firewall

Atividade para complemento de nota N2 do curso de Sistemas de Informacao da UNIESP FACULDADE DO GUARUJA, da disciplina Fundamentos e Infraestrutura de Redes. Orientador: Prof. Denis.

GUARUJA MAIO 2012

Sum rio a

Lista de Figuras Introducao 1 Firewall 1.1 Arquitetura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1.1 1.1.2 1.1.3 1.2 Dual-homed host architecture . . . . . . . . . . . . . . . . . . . . . Screened host architecture . . . . . . . . . . . . . . . . . . . . . . . Screened subnet architecture . . . . . . . . . . . . . . . . . . . . . .

p. ii p. 1 p. 2 p. 2 p. 2 p. 3 p. 4 p. 4 p. 5 p. 5 p. 5 p. 7 p. 8

Modelo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.1 1.2.2 1.2.3 Packet Filtering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Stateful Inspection Firewalls . . . . . . . . . . . . . . . . . . . . . . Proxies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Consideracoes Finais

Refer ncias Bibliogr cas e a

ii

Lista de Figuras
1.1 1.2 1.3 1.4 Dual-Homed Host Architecture . . . . . . . . . . . . . . . . . . . . . . . . . Screened Host Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . Screened Subnet Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . Screened Subnet Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . p. 3 p. 3 p. 4 p. 5

Introducao
Em todos os lugares h pessoas mal intencionadas, tanto no mundo real quanto no mundo a virtual. Ningu m quer que suas informacoes, seus documentos e arquivos sejam roubados ou e danicados, da vem a necessidade de proteger as redes contras essas ameacas, impedindo que pessoas mal intencionadas tenham acesso as redes privadas. Nos ambientes corporativos al m da protecao contra acessos de fora para dentro da rede, e tamb m surge a necessidade de denir quais tipos de servicos ou aplicacoes podem ser acessae dos de dentro para fora da rede, impedindo o acesso a servicos sem conabilidade ou que sejam inapropriados para o ambiente corporativo. Destas necessidades surgiu o chamado Firewall, que serve para impedir os acessos tanto de fora para dentro como de dentro para fora das redes, sendo usado em v rias arquiteturas e em a diversos modelos.

Firewall

O rewall pode ser tanto um software quanto um hardware, que tem por objetivo controlar aquilo que entra e sai de uma rede, de modo a proteger uma determinada rede de acessos externos maliciosos, que queiram roubar informacoes ou causar danos, como tamb m previne e que membros da rede privada acessem servicos ou aplicacoes externos que possam vir a cau sar danos e/ou permitir o acesso de forma indevida a rede privada, sendo usado em diversas arquiteturas e modelos.

1.1

Arquitetura

Existem diversas arquiteturas para o uso de rewall, por exemplo, Dual-homed host architecture, Screened host architecture e Screened subnet architecture, a escolha da arquitetura depende das necessidades e recursos disponveis.

1.1.1

Dual-homed host architecture

Nesta arquitetura h um servidor dual-homed com um rewall proxy, que tem pelo menos a duas placas de rede, neste servidor a funcao de roteamento e desativada, ou seja, a rede interna n o pode se conectar diretamente com a rede externa, tudo precisa passar pelo proxy, conforme a visto na gura 1.1. Um host dual-homed s fornece servicos atrav s de proxies, esta arquitetura fornece um o e alto nvel de controle, por m passa a ser o unico ponto de falha, sendo assim a seguranca deste e host deve ser muito boa, por isso o dual-homed e indicado nas seguintes situacoes: O tr fego para a Internet e pequeno a O tr fego para a Internet n o e crtico para os neg cios a a o Nenhum servico est sendo oferecido a usu rios baseados na Internet a a

Figura 1.1: Dual-Homed Host Architecture A rede que est sendo protegida n o cont m dados extremamente valiosos a a e

1.1.2

Screened host architecture

No screened host podem haver conex es abertas entre a rede interna e a internet, as coo nex es externas podem ser abertas para a rede interna desde que isso seja feito de forma controo lada atrav s de um bastion host, h uma ltragem dos pacotes permitindo que somente certos e a tipos de conex es sejam realizadas de acordo com as portas usadas por cada servico como DNS, o SMTP, FTP, entre outros, como exemplo veja a gura 1.2.

Figura 1.2: Screened Host Architecture Fica por conta do bastion host manter a seguranca em um nvel alto, pois ele passa a ser o ponto de falha nessa arquitetura, sendo assim se o bastion host for invadido, o invasor j estar a a na rede, o fato de haver um unico ponto de acesso tamb m aumenta a probabilidade de uma e queda total da rede, com isso essa arquitetura e indicada no seguintes casos:

Poucas conex es est o vindo da Internet. N o e uma arquitetura apropriada se o host e o a a um servidor web p blico. u A rede que est sendo protegida tem um nvel relativamente alto de seguranca de host. a

1.1.3

Screened subnet architecture

No screened subnet uma nova rede de permetro e adicionada, como visto na gura 1.3, isso e feito para isolar ainda mais a rede interna, de forma mais especca, os bastion hosts que s o a as m quinas mais vulner veis na rede, mesmo com muito esforco para proteg -los. a a e

Figura 1.3: Screened Subnet Architecture E possvel ter a presenca de um ou mais ltros de pacotes, um para a rede interna e outro para a rede externa, al m dos bastion hosts. O bastion host ca preso em uma area chamada de e Zona Desmilitarizada (DMZ) o que aumenta o nvel de seguranca, j que para acessar a rede a interna e preciso passar por dois ou mais processo de ltragem, a gura 1.4 mostra outro uso dessa arquitetura. Deve-se notar que o rewall externo deve permitir aos usu rios externos acesso somente a a servicos que est o disponveis na DMZ, e o rewall interno s deve aceitar requisicoes e a o respostas aos usu rios da rede interna. a

1.2

Modelo

Os rewalls est o disponveis em diversos modelos de acordo com aquilo que se deseja la trar e dos nveis de seguranca necess rios, dentre os modelos temos o Packet Filtering, Stateful a Inspection Firewalls e Proxies.

Figura 1.4: Screened Subnet Architecture

1.2.1

Packet Filtering

Este modelo utiliza regras de ltragem quanto ao ip de origem e destinos e quanto a porta de origem e destino dos pacotes, ele analisa cada pacote que passa pela rede, podendo aceitar ou recusar um pacote de acordo com as regras impostas. E um modelo bem simples de congurar e funciona de forma transparente aos usu rios, a por n o fazer tantas vericacoes ele tem um desempenho maior se comparado com os outros a modelos, tendo como vantagem o baixo custo, a simplicidade e exibilidade, devido ao bom gerenciamento do tr fego e as regras f ceis de serem gerenciadas, e como pontos negativos h a a a a vulnerabilidade a ataques que exploram deci ncias do protocolo TCP/IP e das aplicacoes. e

1.2.2

Stateful Inspection Firewalls

Este modelo pode ser considerado como uma evolucao do ltro de pacotes, pois al m de e ltrar pacotes tamb m verica os estados das conex es, ele monta uma tabela e verica se h e o a pacotes irregulares, ou seja, se h pacotes que n o pertencem as conex es ativas, se o pacote a a o n o for v lido ele ser recusado. a a a

1.2.3

Proxies

Os proxies fecham totalmente a passagem de uma rede para outra, todo pacote que queria sair ou entrar na rede deve passar pelo proxy, assim n o h conex es diretas entre a rede interna a a o e a externa, ele tamb m consegue realizar ltros especcos para aplicacoes, cada aplicacao que e

necessite ser usada deve possuir um proxy que consiga ltr -la, se n o houver a aplicacao n o a a a passar pelo proxy, isso o torna mais lento, por m e mais seguro por impedir invas es a nvel a e o de software que os outros modelos n o conseguem identicar. a

Consideracoes Finais

Todos querem se manter seguros, e para fazer isso nas redes de computadores os rewalls s o essenciais, de acordo com o nvel de seguranca necess rio h um determinado modelo e a a a arquitetura que pode ser usada, uns mais simples e f ceis de congurar e outros mais complexos a que exigem prossionais capacitados. Em ambiente corporativos onde h v rias informacoes sigilosas a boa conguracao e escoa a lha de arquitetura e modelo pode ser a diferenca entre um sistema seguro e a queda a corporacao. Os rewalls evoluram muito e enquanto houverem pessoas mal intencionadas que buscam novas formas de burlar os sistemas de seguranca, os rewalls continuar o a melhorar em busca a da protecao das redes de computadores.

Refer ncias Bibliogr cas e a

ALECRIM, E. Firewall: conceitos e tipos. Maio 2012. http://www.infowester.com/ firewall.php. ALVAREZ, M. A. O que e um rewall. Maio 2012. http://www.criarweb.com/artigos/ 218.php. CORREA, G. de F. Arquiteturas de Firewall. Maio 2012. http://gabritech.blogspot. com.br/2009/12/arquiteturas-de-firewall.html. MAIA, I. S. da. Tipos de Firewall. Maio 2012. http://firewall.no.sapo.pt/index_ files/Page484.htm. MARTINEZ, M. Firewall. Maio 2012. http://www.infoescola.com/ redes-de-computadores/firewall/. WIKIPEDIA. Firewall. Maio 2012. http://pt.wikipedia.org/wiki/Firewall.