Entendendo
o Firewall
Firewall
é o sistema principal dispositivo d segurança da NET. Ele é na verdade um
sistema, ou um grupo deles, atravĂ©s do qual flui o trĂ¡fego d dados entre duas
redes distintas. A partir disto pode-se implementar uma segurança, q consiste
num pacote q determina o q pode ou naum passar d uma rede e outra. Este sistema
Ă©, na maioria das vezes usados contra clientes mal intecionados, os crackers.
Resumidamente
o firewall Ă© o seguinte: um HD possuidor d duas placas d rede, uma ligada a
rede corporativa e outra ligada Ă NET. E executa o pacote especĂfico d
rastreamento. Dando chance d conseguir analizar e filtrar o pacote inviado.
Mas
oq Ă© e oq naum Ă© considerado perigoso?
Isto,
kem decidirĂ¡ serĂ¡ a polĂtica d segurança dos proprietĂ¡rios d firewall.
Existem
2 tipos d firewall: um q analisa a camada d rede, o pacote IP, e outro q analiza
a camada de aplicaĂ§Ă£o, dentro do pacote IP.
Firewall
analizando a camada d rede
Estes
se limitam ao nĂvel d IP. Decidindo o destino dos pacotes (aceito ou naum),
tendo como base: remetente, porta IP utilizada e endereço d destinatĂ¡rio.
Qualquer
roteador pode ser configurado pra firewall, mas serĂ¡ um firewall simples. Isto
farĂ¡ com q vc ele fike protegido contra lammers comuns, mas pode ser vĂtima d
atakes clĂ¡ssicos e comuns. Como por exemplo: o IP Spoofer.
Em
mĂ¡kinas bem configuradas o firewall concede acesso apenas a computadores
considerados d confiança (CPUs conhecidos). Para introduzir-se numa makina bem
configurada Ă© nescessĂ¡rio fazer com q ela o considere confiĂ¡vel. Isto s chama
spoonfing. Q consiste em mandar pacotes com o endereço legitimos d uma makina d
rede interna. A vĂtima crerĂ¡ q o atacante Ă© d confiança e responderĂ¡
enviando pacotes para o endereço do remetente.
No
entanto o cracker deve tomar precauções: a 1º Ă© certificar-se q a mĂ¡quina
legĂtima naum responda aos pacotes. Isto eh feito garantindo-se q a mĂ¡quina
esteja off-line. A segunda delas Ă© garantir q akeles pacotes sejam enviados
para a NET. JĂ¡ q a mĂ¡kina legĂtima encontra-se dentro da rede interna. Para
isto é usado o "source routing". Q consiste numa técinica criada pra
testes e opturaĂ§Ă£o. Ela permite q a mĂ¡quina q inicia a comunicaĂ§Ă£o
especifike qual a rota d todos os pacotes d uma certa conexĂ£o. Isto faz com q
os pacotes sejam espelidos da rede pra a internet
Firewalls
sofisticados naum permitem a uso do spoofing e do souce-routing, pois eles, além
d rotear o pacotes para seus destinos tb mantém informações sobre o estado
das conexões e sobre o conteĂºdo do pacote o q permite saber q naum pode-se
enviar um pacote com indereço pertencente à rede interna à internet. O
firewall irĂ¡ caracterizar isto como um atake e tomarĂ¡ a devidas providĂªncias.
Firewalls
sofisticados, ou naum, sĂ£o transparentes e rĂ¡pidos pois roteiam trĂ¡fegos
diretos mas Ă© exatamente isto q impede de analizar o conteĂºdo efetivo do
pacote e tb exige q as mĂ¡kinas na rede interna possuam um endereço IP vĂ¡lido
Firewall
analizando a camada de aplicaĂ§Ă£o
Estes
normalmente sĂ£o CPUs d rede d uso geral q rodam programas chamados: "proxy
serves" . Este tipo d firewall naum permite comunicações diretas entre
duas redes, pois rekerem o estabelecimento d duas conexões. Uma delas do
remetente proxy e a Segunda entre o remetente e o destinatĂ¡rio.
Uma
caracterĂstica q vale averiguar eh a d q todo pacote antes d ser ecoado e
analizado pelo proxy server. Este irĂ¡ decidir s o pacote deve ou naum ser
descartado. Vale saber q dev a estas caracterĂscas o firewall d aplicaĂ§Ă£o
oferece uma segurança maior do o firewall d rede, pois consegue perceber perigo
em um pacote q o d rede naum conseguiria.
Dois
exemplos d coisas q este tipo d defesa pode filtrar sĂ£o:
O
1º Ă© DEBUG do SMTP q Ă© usado para pedir a um servidor d correio q forneça
algumas informações d controle. O q eh considerado risco.
Um
segundo exemplo sĂ£o os Proxys FTP, q vedam o acesso d usuĂ¡rios externos, mas
mesmo assim, permite q os funcionĂ¡rios copiem arkivos da NET para a rede.
Cada
um dessas vantagens dependem do funcionamento do protocĂ³lo d defesa, sendo q,
estes, naum poderiam ser colocados nos firewall de rede, jĂ¡ q naum sĂ£o capazes
d analizar o conteĂºdo do pacote IP
Firewall
d rede sĂ£o mais transparente do q os d aplicaĂ§Ă£oo, jĂ¡ q os d aplicaĂ§Ă£o
exige a existĂªncia de um proxy, alĂ©m d proibir a comunicaĂ§Ă£o direta entre o
servidos e o cliente. É nescessĂ¡rio q o programa cliente saiba q deve
estabelecer com o proxy e determinar ações. EntĂ£o basata configurar o browser
corretamente. Muitas vezes os clientes naum sĂ£o sofisticados o suficiente, e
nescessitam d conexões diretas com o servidor, neste caso utiliza o seguinte
artifĂcio: o usuĂ¡rio se loga no proxy e este; em vez de solicitar nome e senha
(como seria de esperar), solicita o nome do servidor com o qual se deseja a
conexĂ£o; a partir daĂ, tudo funciona normalmente.
Vantagens
do firewall d aplicaĂ§Ă£o:
-
permiteuma anĂ¡lize muito mais prĂ³xima entre duas redes.
-
o fato d q DNS ser um proxy server permite identificar o nome das mĂ¡kinas
internas e preserve-os, e q um mesmo nome pode identificar duas makinas da
origem d kem a consulta.
-
AlĂ©m disso o firewall d aplicaĂ§Ă£o protege o endereço original das mĂ¡kinas
internas, jĂ¡ q basta saber o endereço das portas esternas do firewall. Isto trĂ¡s
vĂ¡rios benefĂcios, o simples fato da pessoa naum saber o endereço real jĂ¡ da
mais segurança. Além disto é q permite o uso d faixas reservadas d endereço
q nuam podem ser utilizada na NET, isto faz com q seja impossĂvel algum cliente
enviar pacotes diretamente Ă s mĂ¡quinas internas. AlĂ©m disto, o uso destes
endereços possibilita d + endereços do q os concedidos pelos provedores.
Bem,
seria difĂcil dizer qual eh o melhhor tipo d firewall, esta discu;cĂ£o ainda
permanece, mas uma soluĂ§Ă£o entendida pelos melhoeres sistemas d firewall Ă©
adotar os dois tipos. Sendo q os pacotes passam pelos dois nĂveis d firewall
Empresas
gastam fortunas em firewalls errados (ou seja, com uma pilĂtica d segurança
incoerente). Mas a grande soluĂ§Ă£o q vejo Ă© a seguinte: s um computador possui
informações muito confidenciais ele naum precisa do firewall mais caro q o
dinheiro pode comprar, mas sim, deve naum s conectar Ă NET. Desde q naum seja
paranĂ³ica a ponto d naum deixar q as pessoas trabalhem.
0 ComentĂ¡rios
Deixe seu comentĂ¡rio sobre o artigo a cima fique Ă¡ vontade, seu comentĂ¡rio Ă© muito importante !