Para que serve o Firewall ? (Rede) Firewall é o mecanis mo de segurança interposto entre a rede interna e a rede externa ° com a f inalidade de liberar ou bloquear o acesso de computadores remotos aos serv iço s que são oferecidos em um perímetro ou den tro da rede corpo rativa. Este meca nismo de seguran ça pode ser baseado em hardware, software ou uma mistura dos dois. Três fatores estão em risco quando nos con ectamo s a Intern et, são eles, a reputação, os computadores e as info rma ções guardadas, e três f atores prec isa m ser resguardados, a pri vacidade, a integr idade e a disponibil idade. E xiste m situaçõe s de riscos como, roubo de conexão depois dela ter sido auten ticada, espionage m de dados secretos enquanto em trân sito pela rede e um usuário não autenticado convence a r ede que ele foi autenticado. Ele é o ponto de con exão com a Int ernet, tudo o que chega à rede interna deve passar pelo Firewall, ele é ta mbém o responsável p or aplicar as regras de seguran ça, auten ticar usuários, logar trá fego p ara auditoria e deve limitar a exposição dos host s interno s aos host s da In ternet, entreta nto, alguma s tarefas não podem ser executadas, como, proteger a rede con tra usuários internos mal intencionado s, conexões que não pas sam p or ele, ameaças novas, no qual ele não foi pa ram etrizado para e xecutar uma ação. Arqu itetura s de Firewall Normalme nte, as empresa s preferem imple mentar um Firewall baseado a pe nas e m uma máquina, seja ele um host PC ou um roteador, entreta nto, os Fi rewalls mais robusto s, são compos tos de v árias partes, veja alguma s arqu itetura s a seguir: Roteador com Triagem (Scree
ning Router)
Essa é a ma neira mais simple
s de se impleme ntar um
Firewall, po is o f iltro, apesar de ser de difíc il elaboração, é rá pido de se implem entar e seu custo é ze ro, e ntretanto, se as reg ras do roteador fo re m quebradas, a r ede da empresa f icará totalme nte v ulnerável.
Figura 1 :
Screene d Router Gateway de Base
(Dual Homed
Dupla
Gateway)
Aqui, é posto uma única máquina com duas interfaces de rede entre as duas r ede s (a In ternet e a rede da e mpresa). Quase sempre, esse Gatewa y, chama do de Bastion Host conta com um Pro xy de circu ito para auten tica r o aces so da rede da e mpresa para a internet e f iltrar o acesso da Intern et contra a r ede da empresa. Como na a rquitetura anterior, se o Pr oxy fo r quebrado, a rede da empresa ficará totalm ente v uln erá vel.
Figura 2 :
Dual Hom ed Gateway
Tr iagem (Screened
Gateway Host com Host Gateway)
Roteador e Gateway aqu i, são usados conju ntam ente em uma arquitetura, fo rma ndo assim, duas camadas de prote ção. Observe a figura aba
ixo:
Figura 3:
Screened Gateway
Host
A p rimeira camada, éa rede externa, que es tá interligada com a Interne t através do roteador, nes ta camada a rede só conta com o "filtro de pacotes" que es tá implem entado no roteador e te m como finalidade aceitar ou bloquear pacotes de rede seguindo as regras definidas pela polít ica ad ministrativa da empresa. A segu nda camada, é a rede interna, e quem limita os acessos nes te ponto é um Bastion Host com um Pr oxy Firewall, po is nele, te mos um outro f iltro de pacotes além de meca nismo s de aute nticação da própr ia rede interna. Sub-rede com
T riagem (Screened
Subnet )
Roteador e Gateway, são usados aqu i ta mbém conjunta men te em uma arquitetura que é bem parec ida com a ar quitetura ant erio r, en tretanto, a camada de serv iços nesta, f ica na mes ma linha da cama da interna, atrás do Bastion Host Gateway, em uma das sub- redes que pode m ser cr iadas nele, fo rtalece ndo be m os ser viços contra ataques.
Observe a figura aba
Figura 4:
Screened
ixo:
Subnets
A p rimeira camada éa externa, que está interligada com a In ternet atra vés do roteador, nesta camada a r ede só conta com o "filtro de pacotes" que es tá implem entado no roteador, e te m como finalidade aceitar ou bloquear pacotes de rede seguindo as regras definidas pela polít ica ad ministrativa da empresa. A segu nda camada está d ividida em duas partes, a de serv iço s prestados (E xe mplo, E-mail, Web, Ftp e Ras) e a interna (rede da empresa ) e elas recebem duas filtragens, a do roteador e a do própr io programa Firewall. Esta camada utiliza també m uma outra técnica chamada NAT, que tem po r finalidade tran screver números de interne t em números pr ivados, fortalecen do bem a transparência da camada. Entende ndo o Bastion Host
Bastion Host é qualquer computador configurado para dese mpenhar algum papel crít ico na segurança da rede interna; ele f ica publicame nte prese nte na Intern et, provendo os serviços permitidos pela política de segurança da empresa. Compone ntes de um bom Firewall Auten ticação - Processo que verif ica a identidade de um usuário p ara ass egurar de que o mes mo que está pedindo acesso, seja de fato, o m esmo a quem o acesso é autor izado. Controle de Acesso - P rocesso que bloqueia ou permite conexões de entrada ou de saída bas eado em f iltros de acesso ou atra vés de mecanis mos inteligente s que detecta m o uso abusivo, bloquean do o acesso temporariament e. Compatibilidade - O Fi rewall deve permiti r o pleno funcioname nto dos serv iço s prestados na rede, bem como interagi r ou até mes mo se integra r com as aplicações serv idoras escolhidas pela corporação. Auditoria - P rocesso v ital na detecção e acesso s indevidos.
de vulnerabilidades
Flexib ilidade - Facil idade no uso, fe rrame ntas de administração de boa compree nsão e suporte técnico. Nota: Um bom programa de segurança de rede é construído po r um conjunto de programas e técnicas que tem po r finalidade liberar ou bloquear serv iço s den tro de uma rede interl igada à Internet de forma controlada. Embora o Firewall seja a parte mais importante em um programa de seguran ça, não deve mos esqu ecer a importância de se util izar fer ram enta s que aux iliam na detecção de brechas e v ulnerabilidades dos sist emas operac ionais que estão e m uso na rede, bem como o uso
o
de programas que det ectam intrusos ou ataque s. É importante também saber qual ação a ser tomada quando ocor rer uma v iolação ou um serv iço importante p arar. ° A p rópria Interne
t.
Onde encon trar p rogramas: Firewall-1 Raptor Aker Nok ia Real Secure Intern et Scanner
www.check point.co m www.symantec.co m www.a ker.com. br www.nokia.com/securitysolutions www. is s.net www. is s.net