m
 



INTRODUÇÃO
Filtragem de pacotes é o processo de permitir ou
evitar tráfego de pacotes entre redes com base
nas informações existentes nos cabeçalhos de
cada pacote e em um conjunto de regras de
filtragem.
INTRODUÇÃO
ï Funciona nas camadas de rede e transporte do
modelo TCP/IP
ï As decisões de filtragem são baseadas nos
cabeçalhos dos pacotes:
²Endereço de origem (IP)
²Endereço de destino (IP)
²Porta de origem (TCP/ UDP)
²Porta de destino (TCP/ UDP)
²Direção das conexões (TCP)
²Protocolos( TCP, UDP e ICMP)
INTRODUÇÃO
Fig. 1- Funcionamento de um Screening Router

m :http://www.ipg.pt/user/~sduarte/rc/trabalhos/Firewalls/Tecnicas/t%C3%A
9cnicas_do_firewall.htm
FILTRO DE PACOTES
ï Por concentrar-se nas informações das camadas de
rede e de transporte, um filtro de pacotes pode ser
implementado também no núcleo do sistema
operacional.

ï Para se implementar uma barreira de segurança

numa rede de computadores, é fundamental que se
conheça os detalhes dos protocolos de comunicação
utilizados, os mais usuais são 

   .

ï São muito comuns erros durante a elaboração de

regras, e apenas um dígito incorreto pode mudar
completamente o significado do filtros.
FILTRO DE PACOTES
ï Por usarem regras de filtragem estáticas, são
classificados como filtros de pacotes estáticos.

ï Para UDP não é possível filtrar pacotes com base no

sentido das conexões.

ï Aplicações baseadas no protocolo UDP (




) são difíceis de filtrar, porque no
UDP não existe distinção entre uma requisição e uma
resposta.

ï Para o protocolo ICMP h    


 a filtragem é feita com base nos tipos e
códigos das mensagens.
FILTRO DE PACOTES
ï O filtro de pacotes é transparente ao usuário.

ï Eles não possuem um alto grau de segurança.

ï O uso de filtros é recomendado em situações simples e como

complemento de outras mecanismos de segurança, que
proporcionem maior flexibilidade e controle.

ï Pacotes podem ser facilmente modificados ou criados para

´enganarµ as regras de filtragem.

ï Como os filtros de pacotes tradicionais não fazem nenhuma

filtragem na camada de aplicação, alguma outra tecnologia
de ! 
 também deve ser utilizada para eliminar esta
deficiência.
EVITANDO O IP SPOOFING COM A
FILTRAGEM DE PACOTES
ï Y     tem informações como:
Î A interface por onde o pacote chegou
Î A interface por onde o pacote será transmitido
ï O  !  é um ataque que pode ser evitado com a
aplicação desses recursos .
Fig.2 ² Ataque do tipo IP Spoofing

m :http://www.ipg.pt/user/~sduarte/rc/trabalhos/Firewalls/Tecnicas/t%C3%A9cnicas_do_firewall.htm
VANTAGENS
ï Transparência (não precisa de configurações especiais
nos clientes)

ï Pouco impacto no desempenho da rede

ï Escalabilidade (novos serviços são facilmente

suportados).

ï Muitos dos routers encontrados no mercado já

incluem inúmeras potencialidades de filtragem de
pacotes.

ï Este método torna-se bastante atrativo quando

orçamento é reduzido.
DESVANTAGENS
ï A filtragem de pacotes tem um nível de
segurança extremamente primário.

ï Não nos permite executar testes de eficácia.

FILTRO DE PACOTES BASEADO EM
ESTADOS
ï Os filtro de pacotes baseados em estados (filtros de
pacotes dinâmicos) tem suas decisões de filtragem
baseadas em:Informações dos cabeçalhos dos pacotes
de dados

ï Uma tabela de estados, que armazena o estado de

todas as conexões

ï O firewall verifica somente o primeiro pacote de cada

conexão, de acordo com as regras de filtragem A
tabela de conexões que contém informações sobre os
estados das mesmas ganha uma entrada quando o
pacote inicial é aceito. Todos os demais pacotes são
filtrados utilizando as informações da tabela de
estados
FILTRO DE PACOTES BASEADO EM
ESTADOS
ï O desempenho melhora em relação aos filtros de
pacotes:
- Apenas o pacote inicial é comparado com as regras de
ï filtragem
- Os pacotes restantes são comparados com a tabela de
ï estados
ï O tempo de permanência das sessões na tabela de
estados é determinado
VANTAGENS
ï Aberturas apenas temporárias no perímetro da
rede

ï Baixo overhead / alto desempenho da rede

ï Aceita quase todos os tipos de serviços

DESVANTAGENS
ï Permite a conexão direta para hosts internos a
partir de redes externas

ï Não oferecem autenticação do usuário, a não se

via gateway de aplicação (application gateway)
REFERÊNCIAS
  m. Disponível em:
<http://www.ipg.pt/user/~sduarte/rc/trabalhos/Firewalls/Tecnicas/t%
C3%A9cnicas_do_firewall.htm>. Acesso em: 18 out. 2010.

CAMPANA, Carlos A.  m     

   Disponível em:
<http://www.rnp.br/newsgen/9803/filtros.html> . Acesso em: 18 out.
2010.

LIMA, Marcelo Barbosa; LÍCIO, Paulo

 !" #
m
  

   
#
 

#   m $

Disponível em: <
http://www.las.ic.unicamp.br/paulo/papers/1999-SSI-marcelo.lima-
spf.pdf>. Acesso em: 18 out. 2010.

SCAICO, Alexandre. m. Disponível em: <

http://www.dee.ufcg.edu.br/~scaico/facisa/rc/7a_-_firewall_(slides).pdf
>. Acesso em: 18 out. 2010.