firewalls - conceitos básicos [1 de 2]
< cellspacing="0" cellpadding="0" width="100%" border="0">
uma das grandes preocupações na área de segurança de redes é a vulnerabilidade de um computador, que pode comprometer as transmissões pelo meio físico da rede na qual está ligado. muito se tem feito para que o host (equipamento computacional) esteja seguro isoladamente, impedindo o acesso indevido a seus dados e monitorando qualquer tentativa de invasão. entretanto, um outro método tem se mostrado bastante eficiente: impedir que informações indesejadas entrem na rede como um todo.
não é um método substituto à segurança do host, mas complementar, e consiste no seguinte: na ligação da rede interna com a internet, instala-se um equipamento que permitirá, ou não, a entrada e saída de informação, baseado em uma lista de restrições e permissões, devidamente configurada para suprir as necessidades básicas de comunicação da rede interna com a internet e vice-versa. nem mais, nem menos. esta configuração é a chave do sucesso ou fracasso de um firewall.
É importante lembrar que o firewall deve estar presente em todas as conexões da rede interna com a internet. não adianta nada colocar um firewall super sofisticado na ligação do backbone se, dentro da rede interna, existir um micro com um modem conectado em outra rede...
em tempo: firewall não é "parede contra fogo", como muitos dizem, e sim "parede de fogo", feita para impedir a passagem de alguém (ou de algo). mas isso é só um detalhe... tem gente que ainda chama cd-rom de cd-room... ;-)
aviso: É extremamente recomendado que se tenha conhecimentos de tcp/ip, endereçamento ip, portas de conexão e pacotes tcp/udp/icmp, antes de prosseguir na leitura deste tópico.
- [ a filtragem de pacotes ] -
essa é a maneira mais simples de se construir um firewall. geralmente utilizadas em roteadores, as listas de acesso têm uma ótima relação custo x benefício: os roteadores já possuem estas facilidades, basta sentar e aprender a configurá-los; a filtragem é bem eficiente, invisível e rápida (se o roteador for de boa qualidade).
mas então, o que vamos configurar? os roteadores (que toda rede com conexão à internet possui) têm um papel muito simples: interligam duas redes e fazem o transporte de pacotes de informação de uma rede para outra, conforme sua necessidade. mas muitos destes roteadores, além de identificar o destino do pacote e encaminhá-lo na direção certa, eles checam ainda: a direção dos pacotes; de onde veio e para onde vai (rede interna e internet); endereço de origem e destino; tipo de pacote; portas de conexão; e flags do pacote.
estes pontos de conexão da internet com a rede interna podem receber uma série de regras para avaliar a informação corrente. são as listas de acesso que definem o que deve e o que não deve passar por este ponto de conexão. elas são mais ou menos assim:
< cellspacing="2" cellpadding="3" bgcolor="#000000" border="0">
# regra s/ñ protocolo origem destino opções
a opção "sim/não" equivale a "permitir a passagem do pacote/negar a passagem do pacote" e em "opções" definiremos os flags do pacote e portas de destino. claro, esta é uma generalização das sintaxes mais comuns, o que nos permite ter uma idéia geral de como isto pode ser configurado. consulte o manual do seu roteador para checar a sintaxe correta das listas de acesso. algumas coisas podem estar fora de ordem, portanto, é melhor entender o conceito e não tentar copiar...
vamos supor que nós queiramos impedir o acesso à nossa rede interna para que não seja possível uma conexão telnet (pacotes tcps da porta 23) com nossos hosts (pelo menos as conexões vindas da internet). este filtro, logicamente, deveria ser colocado na interface de entrada dos pacotes externos na rede interna. pela sintaxe do exemplo, ficaria assim:
< cellspacing="2" cellpadding="3" bgcolor="#000000" border="0"> # regra s/ñ protocolo origem destino opções
#1 ñ tcp qualquer interno porta 23
ou seja, negar todos os pacotes tcp para a porta 23 vindos da internet em direção à qualquer máquina da rede interna. isto funciona muito bem! mas vamos supor que, em algum canto da internet, exista um funcionário da minha empresa que precise abrir sessões telnet. ele vai ficar meio chateado conosco... ;-) então poderíamos fazer o seguinte: procurar saber *exatamente* de onde ele está tentando se conectar e permitir a entrada dos seus pacotes.
< cellspacing="2" cellpadding="3" bgcolor="#000000" border="0"> # regra s/ñ protocolo origem destino opções
#1 ñ tcp qualquer interno porta 23
#2 s tcp 200.17.21.8 interno porta 23
dessa forma, os pacotes vindo de 200.17.21.8 (isto é apenas um exemplo!) poderiam passar pelo roteador. É uma brecha na segurança? sem dúvida! mas cabe a este funcionário tomar conta do seu computador, impedindo que ataques se originem debaixo do seu nariz...
um detalhe: precisamos criar uma regra nova para cada restrição ou permissão? não, necessariamente. se duas restrições não forem excludentes (o que nÃo é o caso do exemplo acima) elas podem fazer parte da mesma regra (i.e., terem o mesmo número). mas, mais uma vez, é melhor consultar o manual do seu roteador para certificar-se de "como" ele dá prioridade às regras.
outro detalhe: baseado nesta ordem, podemos definir uma política para a segurança da rede. a primeira opção seria liberar tudo e negar os serviços perigosos; a segunda seria negar tudo e liberar os serviços necessários. sem sombra de dúvidas, a segunda é mais segura, entretanto, os funcionários da rede interna podem precisar acessar livremente à internet como forma de trabalho, e a manutenção desta lista seria tão trabalhosa, visto a proliferação de programas internet que, em pouco tempo estaríamos completamente perdidos em um emaranhado de regras sem sentido...
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário