Firewalls

Cibelle Brasil
Eugênia Egashira

Por que Firewalls?

A razão para se instalar um firewall é quase sempre para proteger a rede privada (local) contra intrusos. O objetivo principal do firewall é prevenir acesso não autorizado entre redes. Geralmente, isto significa proteger a rede privada da Internet. Se uma rede tem um firewall, decisões precisam ser tomadas no que diz respeito ao que deve ou não passar pelo firewall. Tais decisões devem refletir diretamente a política de segurança da sua rede.

Um firewall tem algumas responsabilidades. Primeiramente, ele deve implementar a política de segurança da rede em questão. Se uma ação particular não é permitida pela política, o firewall deve garantir que todas a tentativas de realizá-la irão falhar. O firewall deverá fazer registros de log de todos os eventos suspeitos. Ele deve alertar a administração interna sobre tentativas que comprometem a política de segurança.

Decisões de projeto

Na configuração de um firewall, as princiapis decisões de projeto associadas à segurança já estão normalmente definidas pela política corporativa ou organizacional; especificamente, uma decisão deve ser tomada dependendo do que é mais importante, segurança ou facilidade de usar. Existem duas premissas básicas que resumem o conflito:

No primeiro caso, o firewall deve ser projetado para bloquear tudo, e os serviços devem ser habilitados individualmente após uma cuidadosa determinação de necessidades e riscos. Isto tende a atingir os usuários diretamente, e eles podem enxergar o firewall como um obstáculo.

No segundo caso, os administradores de sistemas estão em posição reacionária, tendo que predizer que tipos de ações dos usuários podem enfraquecer a segurança do firewall e preparar-se para se defender das mesmas. Se o usuário tem um login de acesso direto ao próprio sistema de firewall, isto pode resultar numa grande ameaça à segurança. A presença de logins de usuários no sistema de firewall tende a aumentar o problema de manutenção da integridade do sistema.

É importante dizer, que o primeiro caso é livre de falhas, uma vez que os administradores habilitam apenas serviços, por exemplo, que certamente não representam ameaças à segurança.

Níveis de Ameaça

Existem várias maneiras em que firewalls podem falhar ou serem comprometidos. Desde que o proprósito de muitos firewalls é bloquear o acesso, uma falha nítida corresponde a presença de furos que permitem acessos não autorizados e sondagem de sistemas em redes privadas. Uma situação mais danosa seria se alguém penetrasse o firewall e o reconfigurasse de tal maneira que toda a rede privada fosse acessível por qualquer pessoa. No entanto, o pior desastre para um firewall seria comprometê-lo completamente sem qualquer noção de como se procedeu o ataque. Por outro lado, a situação ideal seria detectar um ataque, e informar educadamente ao administrador que ele está resistindo ao ataque, mas que aquele ataque irá falhar.

Toda rede apresenta zonas de risco que correspondem às partes vulneráveis do sistema. No caso de uma rede que está conectada à Internet sem qualquer firewall, observa-se que toda ela está sujeita a ataques. Isto não implica que a rede é vulnerável a ataques, mas numa situação em que toda uma rede pode ser alcançada por uma rede não confiável, é necessário garantir a segurança de todos os hosts presentes na mesma. No caso de um firewall típico, a zona de risco é normalmente reduzida ao próprio firewall, ou um subconjunto selecionado dos hosts da rede, reduzindo significativamente as preocupações dos gerenciadores de rede no que diz respeito a ataques diretos. Se um firewall é violado, a zona de risco novamente se expande, passando a incluir toda a rede protegida.

No geral, firewalls representam uma redução da zona de risco a um único ponto de falha.

Tipos de Firewalls

Dual Homed Gateway

Um dual homed gateway é composto de um único sistema com pelo menos duas interfaces de rede. Este sistema normalmente é configurado de tal forma que os pacotes não são diretamente roteados de uma rede para outra. As máquinas da Internet podem se comunicar com o gateway da mesma maneira que as máquinas da rede privada, porém o tráfego entre as redes é bloqueado.

O sistema acima mencionado que contém pelo menos duas interfaces de rede corresponde ao ponto crítico de segurança da rede e é chamado de bastion host.

A principal desvantagem de um dual homed gateway é o fato de bloquear o tráfego IP direto em ambas as direções. Muitos programas rodando na rede privada que requerem um caminho de roteamento para máquinas externas não funcionarão neste ambiente. Para resolver estes problemas os dual homed gateway podem rodar programas chamados proxies que transmitem pacotes entre as redes. Um proxy controla a conversação entre processos clientes e servidores num ambiente protegido. A maioria dos proxies pode ser configurada para permitir ou negar a transmissão dos pacotes através do firewall baseando-se nos endereços das máquinas fonte e destino ou nas portas. Proxies podem também requerer uma autenticação do requisitante do serviço, usando sistemas baseados em criptografia ou senhas.

Screened Host Gateways

Um screened host gateway é um firewall consistindo de um screening router e um bastion host com uma única interface de rede. Usualmente, bastion host pertence à rede privada, e o screening router é configurado de tal forma que o bastion host é o único sistema da rede privada que pode ser alcançada a partir da Internet. O screenig router é tipicamente configurado para bloquear todo tipo de tráfego para a rede privada e permitir apenas tráfego para portas específicas no bastion host.

A zona de risco para um screened host gateway é restrita ao bastion host e ao screening router, e a postura de segurança do screened host gateway é determinada pelo software que está rodando naquele sistema. Se um intruso adquire o login de acesso ao bastion host, existe um largo conjunto de opções para atacar o resto da rede privada.

Firewalls usando Screening Routers

Muitas redes são protegidas usando apenas um screening router entre a rede privada e a Internet. Este tipo de firewall é diferente do screened host gatewayno sentido de permitir comunicação direta entre múltiplos hosts nas redes privadas, e múltiplos hosts na Internet. A zona de risco é igual ao número de hosts na rede privada, e o número e tipos de serviços aos quais o screening router permite tráfego.

É muito difícil detectar a destruição total de um firewall usando um screening router. Se um roteador comercial (que não mantém registros de log) é usado, e a senha do administrador do roteador é comprometida, toda a rede privada pode estar suscetível a ataques.

Screening routers não são a solução mais segura, mas eles são populares já que permitem livre acesso à Internet de qualquer ponto dentro da rede privada. O autor não recomenda o uso de screening routers para proteger informações sensíveis ou confidenciais, uma vez que eles são permeáveis.

Screened Subnets

Em algumas configurações de firewall, uma sub-rede isolada é criada, situada entre a Internet e a rede privada. Tipicamente, essa rede é isolada usando screening routers que podem implementar uma variedade de níveis de filtragem. Geralmente, uma screened subnet é configurada de tal forma que tanto a Internet quanto a rede privada tenham acesso a mesma, mas o tráfego através da screened subnet é bloqueado.

Uma screened subnet é normalmente configurada com um bastion host como o único ponto de acesso à sub-rede. A zona de risco é pequena, consistindo naquele bastion host ou hosts, e quaisquer screening routers que fazem as conexões entre a screened subnet, a Internet e a rede privada.

Uma vantagens dos firewalls baseado em screened subnet com bloqueio de roteamento entre redes é atacado com a intenção de destruí-lo, o intruso deve reconfigurar o roteamento em três redes, sem desconectar e sem bloquear a ele mesmo, e sem que as mudanças de roteamento sejam notadas.

Screening toda uma sub-rede provê uma funcionalidade similar ao dual homed gateway ou screened hsot gateway; ela difere primordialmente no nível de complexidade extra no roteamento e configuração dos screening routers.

Observações

Lidando-se com firewalls, simplesmente não é razoável afrimar que qualquer solução particular é melhor, desde que existem vários fatores que determinam qual o melhor firewall para uma dada situação. Custos, políticas corporativas, tecnologias existentes de rede, políticas intra-organizacionais podem facilmente desbalancear as considerações técnicas apresentadas aqui.

Existem algumas observações que são relevantes no que diz respeito a firewalls de uma maneira geral. Primeiramente, um firewall é um dispositivo de fortalecimento do ponto de vista de gerenciamento de rede. O tamanho da zona de risco é crucial para o projeto; se ela é pequena, a segurança pode ser mantida e controlada facilmente, mas se a segurança for comprometida os danos podem ser maiores.

Outro aspecto importante na construção de um firewall é que ele não é algo a ser projetado no vácuo. Na inicialização de um firewall, deve-se fazer um balanço de tempo e dinheiro, segurança e risco. Finalmente, é importante que quando se decide implementar um firewall deve-se evitar a ânsia de começar do nada. Aprender com as experiências alheias ou aprender com suas falhas e sucessos é importante.

Referências