Entendendo o Firewall

Firewall é o sistema principal dispositivo d segurança da NET. Ele é na verdade um sistema, ou um grupo deles, através do qual flui o tráfego d dados entre duas redes distintas. A partir disto pode-se implementar uma segurança, q consiste num pacote q determina o q pode ou naum passar d uma rede e outra. Este sistema é, na maioria das vezes usados contra clientes mal intecionados, os crackers.

Resumidamente o firewall é o seguinte: um HD possuidor d duas placas d rede, uma ligada a rede corporativa e outra ligada à NET. E executa o pacote específico d rastreamento. Dando chance d conseguir analizar e filtrar o pacote inviado.

Mas oq é e oq naum é considerado perigoso?

Isto, kem decidirá será a política d segurança dos proprietários d firewall.

Existem 2 tipos d firewall: um q analisa a camada d rede, o pacote IP, e outro q analiza a camada de aplicação, dentro do pacote IP.

Firewall analizando a camada d rede

Estes se limitam ao nível d IP. Decidindo o destino dos pacotes (aceito ou naum), tendo como base: remetente, porta IP utilizada e endereço d destinatário.

Qualquer roteador pode ser configurado pra firewall, mas será um firewall simples. Isto fará com q vc ele fike protegido contra lammers comuns, mas pode ser vítima d atakes clássicos e comuns. Como por exemplo: o IP Spoofer.

Em mákinas bem configuradas o firewall concede acesso apenas a computadores considerados d confiança (CPUs conhecidos). Para introduzir-se numa makina bem configurada é nescessário fazer com q ela o considere confiável. Isto s chama spoonfing. Q consiste em mandar pacotes com o endereço legitimos d uma makina d rede interna. A vítima crerá q o atacante é d confiança e responderá enviando pacotes para o endereço do remetente.

No entanto o cracker deve tomar precauções: a 1º é certificar-se q a máquina legítima naum responda aos pacotes. Isto eh feito garantindo-se q a máquina esteja off-line. A segunda delas é garantir q akeles pacotes sejam enviados para a NET. Já q a mákina legítima encontra-se dentro da rede interna. Para isto é usado o "source routing". Q consiste numa técinica criada pra testes e opturação. Ela permite q a máquina q inicia a comunicação especifike qual a rota d todos os pacotes d uma certa conexão. Isto faz com q os pacotes sejam espelidos da rede pra a internet

Firewalls sofisticados naum permitem a uso do spoofing e do souce-routing, pois eles, além d rotear o pacotes para seus destinos tb mantém informações sobre o estado das conexões e sobre o conteúdo do pacote o q permite saber q naum pode-se enviar um pacote com indereço pertencente à rede interna à internet. O firewall irá caracterizar isto como um atake e tomará a devidas providências.

Firewalls sofisticados, ou naum, são transparentes e rápidos pois roteiam tráfegos diretos mas é exatamente isto q impede de analizar o conteúdo efetivo do pacote e tb exige q as mákinas na rede interna possuam um endereço IP válido

Firewall analizando a camada de aplicação

Estes normalmente são CPUs d rede d uso geral q rodam programas chamados: "proxy serves" . Este tipo d firewall naum permite comunicações diretas entre duas redes, pois rekerem o estabelecimento d duas conexões. Uma delas do remetente proxy e a Segunda entre o remetente e o destinatário.

Uma característica q vale averiguar eh a d q todo pacote antes d ser ecoado e analizado pelo proxy server. Este irá decidir s o pacote deve ou naum ser descartado. Vale saber q dev a estas caracteríscas o firewall d aplicação oferece uma segurança maior do o firewall d rede, pois consegue perceber perigo em um pacote q o d rede naum conseguiria.

Dois exemplos d coisas q este tipo d defesa pode filtrar são:

O 1º é DEBUG do SMTP q é usado para pedir a um servidor d correio q forneça algumas informações d controle. O q eh considerado risco.

Um segundo exemplo são os Proxys FTP, q vedam o acesso d usuários externos, mas mesmo assim, permite q os funcionários copiem arkivos da NET para a rede.

Cada um dessas vantagens dependem do funcionamento do protocólo d defesa, sendo q, estes, naum poderiam ser colocados nos firewall de rede, já q naum são capazes d analizar o conteúdo do pacote IP

Firewall d rede são mais transparente do q os d aplicaçãoo, já q os d aplicação exige a existência de um proxy, além d proibir a comunicação direta entre o servidos e o cliente. É nescessário q o programa cliente saiba q deve estabelecer com o proxy e determinar ações. Então basata configurar o browser corretamente. Muitas vezes os clientes naum são sofisticados o suficiente, e nescessitam d conexões diretas com o servidor, neste caso utiliza o seguinte artifício: o usuário se loga no proxy e este; em vez de solicitar nome e senha (como seria de esperar), solicita o nome do servidor com o qual se deseja a conexão; a partir daí, tudo funciona normalmente.

Vantagens do firewall d aplicação:

- permiteuma análize muito mais próxima entre duas redes.

- o fato d q DNS ser um proxy server permite identificar o nome das mákinas internas e preserve-os, e q um mesmo nome pode identificar duas makinas da origem d kem a consulta.

- Além disso o firewall d aplicação protege o endereço original das mákinas internas, já q basta saber o endereço das portas esternas do firewall. Isto trás vários benefícios, o simples fato da pessoa naum saber o endereço real já da mais segurança. Além disto é q permite o uso d faixas reservadas d endereço q nuam podem ser utilizada na NET, isto faz com q seja impossível algum cliente enviar pacotes diretamente às máquinas internas. Além disto, o uso destes endereços possibilita d + endereços do q os concedidos pelos provedores.

Bem, seria difícil dizer qual eh o melhhor tipo d firewall, esta discu;cão ainda permanece, mas uma solução entendida pelos melhoeres sistemas d firewall é adotar os dois tipos. Sendo q os pacotes passam pelos dois níveis d firewall

Empresas gastam fortunas em firewalls errados (ou seja, com uma pilítica d segurança incoerente). Mas a grande solução q vejo é a seguinte: s um computador possui informações muito confidenciais ele naum precisa do firewall mais caro q o dinheiro pode comprar, mas sim, deve naum s conectar à NET. Desde q naum seja paranóica a ponto d naum deixar q as pessoas trabalhem.