Poetray

BannerFans.com
Google
 

sexta-feira, março 20, 2009

Dispositivo de segurança firewall

  1. INTRODUÇÃO

Esse trabalho é um estudo de pesquisa sobre o dispositivo de segurança firewall e servidor proxy, para ampliar o conhecimento na área de TI e principalmente auxiliar na aprendizagem de segurança de redes de computadores. O material apresentado nesse trabalho é apenas uma breve pesquisa de resumos de literaturas já um tanto resumido e simplificadas, portanto muito simples, apresenta-se como um aperitivo ou convite à farta ceia a área da tecnologia da informação. Esse é apenas um meio utilizado para se penetrar nesse núcleo, sem que soframos o risco de assustar os ânimos perante os conflitos que se nos apresenta o mundo digital.

  1. RESUMO

O dispositivo de segurança firewall para redes de computadores e o servidor proxy é o ponto de partida para quem pretende conhecer como funciona o sistema de segurança em uma rede de computadores ou qualquer seja o segmento da TI, pois, segurança além de ser uma área complexa e um desafio estimulante oferece, a quem se predispõe a estudá-la, juntamente com o prazer da aprendizagem e o vasto universo a ser desbravado, no fim a gostosa sensação de prática da cidadania se vista do ângulo de que trabalhe em prol do bem comum: a privacidade do usuário, a integridade dos pacotes de comunicação e a proteção ao patrimônio. O firewall e o serviço proxy nos aponta esses horizontes cinzentos e nebulosos, por vezes negros e aparentemente intransponíveis, mas que aos poucos se eliminam na medida em que unimos aos nossos esforços os recursos da tecnologia e uso da inteligência.

Firewall

Firewall é um dispositivo de segurança que encontra-se em uma rede de computadores. O termo inglês, firewall, faz alusão comparativa da função que este desempenha para evitar o alastramento de acessos nocivos dentro de uma rede de computadores à uma parede corta-fogo, firewall, que evita o alastramento de incêndios pelos cômodos de uma edificação, daí o nome firewall, dado ao dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e ou recepção de acessos nocivos ou não autorizados de uma rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações, comumente associados a redes TCP/IP.

Os primeiros sistemas firewall, foram desenvolvidos devido à necessidade de criar restrição de acesso entre as redes existentes, exclusivamente para suportar segurança no conjunto de protocolos TCP/IP; isso, devido a constantes casos de invasões de redes, de acessos indevidos a sistemas e de fraudes em sistemas de telefonia que começaram a surgir no final dos anos 80, época em que tornou-se comum o surgimento de tribos harkers. Como exemplo de invasões temos o caso Internet Worm, 1988, escrito por Robert T Morris Jr, que disseminou-se por todos os sistemas de rede de Internet da época provocando um verdadeiro caos em menos de 24 horas.

Este sistema encontra-se na forma de software e hardware, ou na combinação de ambos. A complexidade de instalação depende do tamanho da rede, da política de segurança, da quantidade de regras que autorizam o fluxo de entrada e saída de informações e do grau de segurança desejado.

A primeira geração (Filtros e pacotes)

A tecnologia foi disseminada em 1988 através de pesquisa sustentada pela DEC (Digital Equipment Corporation, empresa americana pioneira na indústria de computadores.

Dois colaboradores então, Bill Cheswick e Steve Bellovin, da AT&T (American Telephone e Telegraph Corporation, companhia americana de telecomunicações ) desenvolvem o primeiro modelo para prova de conceito e tal modelo tratava-se de um filtro de pacotes responsável pela avaliação de pacotes do conjunto de protocolos TCP/IP, mas apesar do principal protocolo de transporte TCP orientar-se a um estado de conexões, o filtro de pacotes não tinha este objetivo inicialmente, uma possível vulnerabilidade. Este tipo de tecnologia é adotada em equipamentos de rede para permitir configurações de acesso simples, as chamadas "listas de acesso" ou "access lists".

Portanto as Regras Típicas na Primeira Geração eram restringir tráfego baseado no endereço IP de origem ou destino e restringir tráfego através da porta TCP ou UDP do serviço.
Segunda Geração (Filtros de Estado de Sessão)
A segunda Geração, Filtros de Estado de Sessão, a tecnologia foi disseminada a partir dos anos 90 pelo Bell Labs (Bell Telephone Laboratories ou Bell Labs era originalmente o braço de pesquisa e de desenvolvimento AT&T).
Pelo fato de o principal protocolo de transporte TCP orientar-se por uma tabela de estado nas conexões, os filtros de pacotes não eram suficientemente efetivos se não observassem estas características; Foram chamados também de firewall de circuito.
As Regras Típicas na Segunda Geração

ü Todas as regras da 1.ª Geração;

ü Restringir o tráfego para início de conexões (NEW);

ü Restringir o tráfego de pacotes que não tenham sido iniciados a partir da rede protegida (ESTABLISHED);

ü Restringir o tráfego de pacotes que não tenham número de sequência corretos.

FireWall StateFull:

Armazena o estado das conexões e filtra com base nesse estado. Três estados para uma conexão: - NEW: Novas conexões;- - ESTABLISHED: Conexões já estabelecidas; - RELATED: Conexões relacionadas a outras existentes.

Terceira Geração (Gateway de Aplicação - OSI)

Baseado nos trabalhos de Gene Spafford, Marcos Ranum e Bill Cheswick; também são conhecidos como "Firewall de Aplicação" ou "Firewall Proxy".

Foi nesta geração que se lançou o primeiro produto comercial, o SEAL da DEC. Diversos produtos comerciais surgiram e se popularizaram na década de 90, como os firewalls Raptor, Gauntlet (que tinha sua versão gratuita batizada de TIS) e Sidewinder, entre outros.

Regras Típicas na Terceira Geração

ü Todas as regras das gerações anteriores;

ü Restringir acesso FTP a usuários anônimos;

ü Restringir acesso HTTP para portais de entretenimento;

ü Restringir acesso a protocolos desconhecidos na porta 443 (HTTP/S).


Quarta Geração e subsequentes

§ O firewall consolida-se como uma solução comercial para redes de comunicação TCP/IP;

§ Diversas empresas como Fortinet, SonicWALL, Juniper, Checkpoint e Cisco desenvolvem soluções que ampliam características anteriores:

§ Stateful Inspection para inspecionar pacotes e tráfego de dados baseado nas características de cada aplicação, nas informações associadas a todas as camadas do modelo OSI (e não apenas na camada de rede ou de aplicação) e no estado das conexões e sessões ativas;

§ Prevenção de Intrusão para fins de identificar o abuso do protocolo TCP/IP mesmo em conexões aparentemente legítimas;

§ Deep Packet Inspection associando as funcionalidades do Stateful Inspection com as técnicas dos dispositivos IPS;

· A partir do início dos anos 2000, a tecnologia de Firewall foi aperfeiçoada para ser aplicada também em estações de trabalho e computadores domésticos (o chamado "Firewall Pessoal"), além do surgimento de soluções de firewall dedicado a servidores e aplicações específicas (como servidores Web e banco de dados).


Classificação do sistema firewall

Os sistemas firewall podem ser classificados da seguinte forma:

I. Filtros de Pacotes

Filtro de pacotes é um conjunto de regras que analisam e filtram pacotes enviados por redes distintas de comunicação. Um filtro de pacotes pode elevar o nível de segurança de uma rede por fazer a filtragem nas camadas 3 e 4 do protocolo TCP/IP

Estes sistemas analisam individualmente os pacotes à medida em que estes são transmitidos, verificando as informações das camada de enlace (camada 2 do modelo ISO/OSI) e de rede (camada 3 do modelo ISO/OSI).

As regras podem ser formadas indicando os endereços de rede (de origem e/ou destino) e as portas TCP/IP envolvidas na conexão. A principal desvantagem desse tipo de tecnologia para a segurança reside na falta de controle de estado do pacote, o que permite que agentes maliciosos possam produzir pacotes simulados (com endereço IP falsificado, técnica conhecida comoIP Spoofing, fora de contexto ou ainda para serem injetados em uma sessão válida. Esta tecnologia foi amplamente utilizada nos equipamentos de 1a.Geração (incluindo roteadores), não realizando nenhum tipo de decodificação do protocolo ou análise na camada de aplicação.

IP spoofing é uma técnica de subversão de sistemas informáticos que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.

II. Proxy Firewall ou Gateways de Aplicação

Os conceitos de gateways de foram introduzidos por Marcus Ramum em 1995.

O firewall de proxy trabalha recebendo o fluxo de conexão, tratando as requisições como se fossem uma aplicação e originando um novo pedido sob a responsabilidade do mesmo firewall (non-transparent proxy) para o servidor de destino. A resposta para o pedido é recebida pelo firewall e analisada antes de ser entregue para o solicitante original.

Os gateways de aplicações conectam as redes corporativas à Internet através de estações seguras (chamadas de bastion hosts) rodando aplicativos especializados para tratar e filtrar os dados (os proxy firewalls). Estes gateways, ao receberem as requisições de acesso dos usuários e realizarem uma segunda conexão externa para receber estes dados, acabam por esconder a identidade dos usuários nestas requisições externas, oferecendo uma proteção adicional contra a ação dos crackers.

Desvantagens

· Para cada novo serviço que aparece na Internet, o fabricante deve desenvolver o seu correspondente agente de Proxy. Isto pode demorar meses, tornando o cliente vulnerável enquanto o fabricante não liberta o agente específico. A instalação, manutenção e atualização dos agentes do Proxy requerem serviços especializados e podem ser bastante complexos e caros;

· Os proxies introduzem perda de desempenho na rede, já que as mensagens devem ser processadas pelo agente do Proxy. Por exemplo, o serviço FTP manda um pedido ao agente do Proxy para FTP, que por sua vez interpreta a solicitação e fala com o servidor FTP externo para completar o pedido;

· A tecnologia atual permite que o custo de implementação seja bastante reduzido ao utilizar CPUs de alto desempenho e baixo custo, bem como sistemas operacionais abertos (Linux), porém, exige-se manutenção específica para assegurar que seja mantido nível de segurança adequado (ex.: aplicação de correções e configuração adequada dos servidores).

III. Stateful Firewall (Firewall de Estado de Sessão)

Os firewalls de estado foram introduzidos originalmente em 1991 pela empresa DEC com o produto SEA (United States Navy Sea, Air and Land, mais conhecidos como US NAVY SEALS, é uma Força de Operações Especiais da Marinha dos Estados Unidos). O produto foi sofrendo frequentes mudanças e utilizava a tecnologia patenteada chamada de Stateful Inspection, que tinha capacidade para identificar o protocolo dos pacotes transitados e "prever" as respostas legítimas. Na verdade, o firewall guardava o estado de todas as últimas transações efetuadas e inspecionava o tráfego para evitar pacotes ilegítimos.

Depois de vários aperfeiçoamentos, que introduziram o Deep Packet Inspection, também conhecido como tecnologia SMLI (Stateful Multi-Layer Inspection), ou seja, Inspeção de Total de todas as camadas do modelo ISO/OSI, as 7 camadas, chegou-se à tecnologia que permite que o firewall decodifique o pacote, interpretando o tráfego sob a perspectiva do cliente/servidor, ou seja, do protocolo propriamente dito e inclui técnicas específicas de identificação de ataques. E com a tecnologia SMLI/Deep Packet Inspection, o firewall utiliza mecanismos otimizados de verificação de tráfego para analisá-los sob a perspectiva da tabela de estado de conexões legítimas. Simultaneamente, os pacotes também vão sendo comparados a padrões legítimos de tráfego para identificar possíveis ataques ou anomalias. A combinação permite que novos padrões de tráfegos sejam entendidos como serviços e possam ser adicionados às regras válidas em poucos minutos.

Supostamente a manutenção e instalação são mais eficientes, em termos de custo e tempo de execução, pois a solução se concentra no modelo conceitual do TCP/IP. Porém, com o avançar da tecnologia e dos padrões de tráfego da Internet, projetos complexos de firewall para grandes redes de serviço podem ser tão custosos e demorados quanto uma implementação tradicional.


IV. Firewall de Aplicação

Firewall de Aplicação nasceu principalmente pelo fato de se exigir a concentração de esforços de análise em protocolos específicos, tais como servidores Web e suas conexões de hipertexto HTTP. A primeira implementação comercial nasceu em 2000 com a empresa israelense Sanctum, porém, o conceito ainda não havia sido amplamente difundido para justificar uma adoção prática.

Se comparado com o modelo tradicional de Firewall -- orientado a redes de dados, o Firewall de Aplicação é frequentemente instalado junto à plataforma da aplicação, atuando como uma espécie de procurador para o acesso ao servidor Proxy.

Alguns projetos de código-aberto, como por exemplo o ModSecurity para servidores Apache, têm por objetivo facilitar a disseminação do conceito para as aplicações Web.

Vantagens

· Pode suprir a deficiência dos modelos tradicionais e mapear todas as transações específicas que acontecem na camada da aplicação Web proprietária;

· Por ser um terminador do tráfego SSL, pode avaliar hipertextos criptografadas HTTPS que originalmente passariam despercebidos ou não analisados por firewalls tradicionais de rede;

Desvantagens

· Este tipo de firewall exige um grande poder computacional -- geralmente traduzido para um grande custo de investimento;

· Ao interceptar aplicações Web e suas interações com o cliente, o navegador de Web, pode acabar por provocar alguma incompatibilidade no padrão de transações.

Esse sistema, o firewall, é o fator principal na busca de ampla tecnologia, eficaz, e de aperfeiçoamento cada vez mais simplificado, devido à constante necessidade de proteção ao sistema de rede e ao usuário.

CONCLUSÃO

Este é um trabalho escolar, embora produzido e editado por aluno seu conteúdo é confiável, pois sua origem é de incontestável credibilidade, trata-se de fonte de pesquisas mundialmente reconhecida pelo seu alto nível de seriedade e riqueza de teor em todos os ramos disponíveis. Isso se aplica também as suas ramificações e independe do idioma.
REFERÊNCIAS

a) Firewall

http://pt.wikipedia.org/wiki/Firewall

b) Proxy

http://pt.wikipedia.org/wiki/Proxy

Nenhum comentário: