Este documento descreve o funcionamento de um firewall baseado em filtragem de pacotes. Ele explica que um firewall desse tipo inspeciona os cabeçalhos dos pacotes de acordo com regras de filtragem para permitir ou bloquear a passagem. Também discute os tipos de filtragem stateless e stateful, as informações verificadas nos cabeçalhos e as vantagens e desvantagens desse método de firewall.

1. FACULDADE JESUS MARIA JOSÉ – FAJESU<br />CURSO DE TECNOLOGIA EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS<br />E TECNOLOGIA EM REDES DE COMPUTADORES <br />Caio Matias Pereira<br />Cleudo Fabricio de Jesus Xavier<br />Leandro Cavalcante Costa<br />Luiz Carlos Rodrigues Gonçalves<br />Rúbia Maria M do Nascimento<br />Thiago Avelino<br />Victor Leonardo Mutima Garcia<br />FIREWALL BASEADO EM PACOTES<br />BRASÍLIA – DF<br />2011Caio Matias Pereira<br />Cleudo Fabricio de Jesus Xavier<br />Leandro Cavalcante Costa<br />Luiz Carlos Rodrigues Gonçalves<br />Rúbia Maria M do Nascimento<br />Thiago Avelino<br />Victor Leonardo Mutima Garcia<br />FIREWALL BASEADO EM PACOTES<br />Trabalho apresentado à disciplina de Redes de Computadores da Faculdade Jesus Maria José – FAJESU, como requisito parcial de nota, sob orientação do Professor Msc. Jocênio Marquios Epaminondas.<br />BRASÍLIA – DF<br />2011<br />SUMÁRIO<br />1. INTRODUÇÃO...............................................................................................05<br />2. FIREWALL DE FILTRAGEM DE PACOTES.................................................06<br />3. VANTAGENS.................................................................................................09<br />4. DESVANTAGENS.........................................................................................09<br />5. ENDEREÇO DE ORIGEM POR FILTRAGEM REMOTA..............................09<br />6. TIPOS DE FILTRAGEM DE PACOTES........................................................10<br />7. PACKET FILTERING APÁTRIDAS...............................................................10<br />8. STATEFUL PACKET FILTERING.................................................................11<br />9. O QUE DEVE SER INSPECIONADA EM UM CABEÇALHO DE PACOTE..11<br />10. APLICAÇÃO DE FILTRAGEM ....................................................................11<br />11. CONCLUSÃO..............................................................................................13<br />12. BIBLIOGRAFIA............................................................................................14<br />FIGURAS<br />Figura 1: Esquema de firewall sobre pacotes....................................................06<br />1. INTRODUÇÃO<br />Firewall é um quesito de segurança com cada vez mais importância no mundo da computação. À medida que o uso de informações e sistemas é cada vez maior, a proteção destes requer a aplicação de ferramentas e conceitos de segurança eficientes. O firewall é uma opção praticamente imprescindível. Este trabalho mostrará o que é firewall sobre pacotes, suas regras, tipos de pacotes, vantagens e desvantagens e o porquê de usá-lo em seu computador.<br />2. FIREWALL DE FILTRAGEM DE PACOTES<br />Esquema de firewall sobre pacotes<br />Um firewall é um sistema que isola redes distintas e permite que se controle o tráfego entre elas. Um exemplo típico onde a utilização de um firewall é recomendada é na conexão de uma rede local à Internet. Embora o conceito de firewall seja bastante amplo e possa envolver servidores proxy, analisadores de logs e filtros de pacotes, entre outras características, iremos, nesta seção, deter-nos no filtro de pacotes fornecido pelo kernel do Linux.<br />O kernel do Linux conta com um filtro de pacotes bastante funcional, que permite que sua máquina descarte ou aceite pacotes IP, baseando-se na origem, no destino e na interface pela qual o pacote foi recebido. A origem e o destino de um pacote são caracterizados por um endereço IP, um número de porta e pelo protocolo.<br />Todo o tráfego através de uma rede é enviado no formato de pacotes. O início de cada pacote informa para onde ele está indo, de onde veio e o tipo do pacote, entre outros detalhes. A parte inicial deste pacote é chamada cabeçalho. O restante do pacote, contendo a informação propriamente dita, costuma ser chamado de corpo do pacote.<br />Um filtro de pacotes analisa o cabeçalho dos pacotes que passam pela máquina e decide o que fazer com o pacote inteiro. Possíveis ações a serem tomadas em relação ao pacote são:<br />aceitar: o pacote pode seguir até seu destino.<br />rejeitar: o pacote será descartado, como se a máquina jamais o tivesse recebido.<br />bloquear: o pacote será descartado, mas a origem do pacote será informada de que esta ação foi tomada.<br />O filtro de pacotes do kernel é controlado por regras de firewall, as quais podem ser divididas em quatro categorias: a cadeia de entrada (input chain), a cadeia de saída (output chain), a cadeia de reenvio (forward chain) e cadeias definidas pelo usuário (user defined chain). Para cada uma destas cadeias é mantida uma tabela de regras separada.<br />Uma regra de firewall especifica os critérios de análise de um pacote e o seu alvo (target). Se o pacote não casa com o padrão especificado pela regra, a regra seguinte da cadeia é analisada. Se desta vez o pacote casar com o padrão, a regra seguinte é definida pelo alvo, que pode ser o nome de uma cadeia definida pelo usuário, ou um dos seguintes valores especiais:<br />ACCEPT<br />Significa que o filtro de pacotes deve deixar o pacote passar.<br />DENY / DROP<br />Significa que o filtro de pacotes deve impedir que o pacote siga adiante.<br />REJECT<br />Assim como DENY, significa que o pacote não deve seguir adiante, mas uma mensagem ICMP é enviada ao sistema originador do pacote, avisando-o de que o pacote foi rejeitado. Note que DENY e REJECT têm o mesmo significado para pacotes ICMP.<br />MASQ / MASQUERADE<br />Este alvo somente é válido para a cadeia de reenvio e para cadeias definidas pelo usuário, e somente pode ser utilizado quando o kernel é compilador com suporte a IP Masquerade. Neste caso, pacotes serão mascarados como se eles tivessem sido originados pela máquina local.<br />REDIRECT<br />Este alvo somente é válido para a cadeia de entrada e para cadeias definidas pelo usuário e somente pode ser utilizado se o kernel foi compilado com a opção de Transparent proxy. Com isto, pacotes serão redirecionados para um socket local, mesmo que eles tenham sido enviados para uma máquina remota. Obviamente isto só faz sentido se a máquina local é utilizada como gateway para outras máquinas. Se a porta especificada para redirecionamento é quot;
0quot;
, que é o valor padrão, a porta de destino dos pacotes será utilizada como porta de redirecionamento. Se for especificada uma outra porta qualquer, esta será utilizada, independentemente daquela especificada nos pacotes.<br />RETURN<br />Se a regra contendo o alvo RETURN foi chamada por uma outra regra, a regra seguinte da cadeia que a chamou é analisada. Caso ela não tenha sido chamada por outra regra, a política padrão da cadeia é utilizada <br />Um firewall com filtragem de pacotes é essencialmente um roteador com software de filtragem de pacotes. A filtragem de pacotes trabalha ao nível de rede do modelo OSI; cada pacote de dados é examinado quando a transferência de dados é feita de uma rede para a outra.<br />A filtragem de pacotes é normalmente feita a pacotes IP e baseada nos seguintes campos:<br />Endereço IP fonte<br />Endereço IP destino<br />Porta TCP/UDP fonte<br />Porta TCP/UDP destino<br />Os pacotes de dados compatíveis com as regras de controle de acesso são autorizados a passar, aqueles que não obedecerem às regras serão desde logo barrados.<br />Existem desde logo vantagens e desvantagens ao uso deste método de firewall que passaremos a enumerar;<br />3. VANTAGENS<br />Não são necessárias alterações ao nível do cliente. É tudo feito nos roteadores, esta é uma das razões da filtragem de pacotes ser considerada uma tecnologia de firewall barata e sem grandes sofisticações;<br />Muitos dos roteadores encontrados no mercado já incluem inúmeras potencialidades de filtragem de pacotes, reduzindo assim a necessidade de hardware ou software extra;<br />Este método torna-se bastante atrativo quando orçamento é reduzido, quando não há grandes necessidades ou exigências ao nível da segurança e o controle de acessos não é um fator considerado essencial;<br />4. DESVANTAGENS<br />A filtragem de pacotes tem um nível de segurança extremamente primário. As suas regras são extremamente difíceis de especificar, e não tem facilidade de auditoria e registro de eventos, ou seja, o feedback proporcionado ao utilizador é muito reduzido, como consequência desse fato, caso alguma das regras seja violada, não há forma de o saber, e se por ventura houver a possibilidade de o virmos a saber, provavelmente já será bastante tarde para poder agir.<br />Não nos permite executar testes de eficácia, o que poderá significar ter o sistema com falhas graves ao nível da segurança e não existir forma de o saber. Além de que os hackers “passarão por cima” deste método de segurança com extrema facilidade. Assim caso se use este método é bastante aconselhável o uso de um firewall por software como complemento adicional para a melhoria da segurança da rede.<br />5. ENDEREÇO DE ORIGEM POR FILTRAGEM REMOTA<br />No nível do pacote, o único meio de identificar o remetente do pacote IP é o endereço de origem no cabeçalho do pacote. Este fato permite a possibilidade de falsificação de endereço de origem, em que o remetente coloca um endereço incorreto, em vez de seu endereço próprio no campo de origem. O endereço pode ser um endereço inexistente, ou pode ser um endereço legítimo pertencente a outra pessoa. Isso pode permitir que tipos repugnantes para invadir o sistema, aparecendo como o tráfego, local de confiança; parecendo ser você enquanto estiver atacando outros sites; fingindo ser outra pessoa enquanto a atacá-lo; manter o seu sistema atolados responder aos endereços inexistentes, ou outra forma enganosa você quanto à origem das mensagens recebidas.<br />É importante lembrar que você normalmente não consegue detectar os endereços falsos. O endereço pode ser legítimo e roteáveis, mas pode não pertencem ao remetente do pacote.<br />6. TIPOS DE FILTRAGEM DE PACOTES<br />Firewall de filtragem de pacotes permite que apenas os pacotes para passar, o que é permitido de acordo com sua política de firewall. Cada pacote passando é inspecionado e, em seguida, o firewall decide passá-la ou não. A filtragem de pacotes pode ser dividida em duas partes:<br />Pacotes stateless filtragem.<br />Filtragem de pacotes.<br />Os dados viajam através da internet na forma de pacotes. Cada pacote tem um cabeçalho que fornece as informações sobre o pacote, sua origem e destino, etc A filtragem de pacotes firewalls inspecionam esses pacotes para permitir ou negar-lhes. As informações podem ou não ser lembrado pelo firewall.<br />7. PACKET FILTERING APÁTRIDAS<br />Se as informações sobre os pacotes de passagem não é lembrado pelo firewall, então este tipo de filtragem é chamado filtragem de pacotes stateless. Estes tipos de firewalls não são inteligentes o suficiente e pode ser enganado facilmente pelos hackers. Estes são especialmente perigosas para UDP tipo de pacotes de dados. A razão é que, a permitir / negar as decisões são tomadas em pacote por pacote base e estes não estão relacionados com o anterior permitia / negado pacotes.<br />8. STATEFUL PACKET FILTERING<br />Se o firewall se lembra das informações sobre os pacotes previamente passou, então que tipo de filering é filtro de pacotes stateful. Estes podem ser denominados como firewalls inteligentes. Esse tipo de filtragem também é conhecido como filtragem de pacotes dinâmicos.<br />9. O QUE DEVE SER INSPECIONADA EM UM CABEÇALHO DE PACOTE<br />Em um cabeçalho do pacote algumas das coisas possíveis que devem ser verificados são:<br />Endereço IP de origem do pacote. Isto é necessário porque spoofers IP poderia ter mudado o endereço IP de origem para refletir a origem do pacote de algum outro lugar, ao invés de refletir a fonte original.<br />Endereço IP de destino. As regras de firewall devem verificar o endereço IP em vez de nomes DNS. Isso evita que o abuso de servidores DNS.<br />Identificação do protocolo IP.<br />TCP / UDP número da porta.<br />Tipo de mensagem ICMP.<br />Bandeiras fragmentação.<br />Opções de configurações de IP.<br />10. APLICAÇÃO DE FILTRAGEM <br />Como uma importante função de proteção de firewall, no nível do aplicativo de filtragem de camada superior usa informações de protocolo para filtrar o tráfego e implementar a segurança e serviços adicionais de controle de acesso. Mais típico em redes empresariais, em nível de aplicativo firewalls são implementados como hosts executando servidores proxy. Esses servidores de proxy são usados ​​para evitar que o tráfego direto entre pares de rede. Além disso, os servidores proxy podem fazer auditoria de tráfego de rede. Muitos firewalls pessoais têm uma forma básica de nível de aplicativo de filtragem que permite aos usuários especificar quais aplicativos no computador pode acessar Internet Alguns programas cavalo de Tróia pode contornar essa filtragem, modificando um programa que é comumente concedido acesso total à Internet através de um firewall. Desta forma, o cavalo de tróia se disfarça como um inofensivo programa no PC, mas fornece um hacker com acesso ao PC, apesar de firewalls em nível de aplicativo de filtragem. Apenas um pacote de software de firewall pessoal, que também verifica os programas de modificações não autorizadas, pode defender com sucesso um usuário deste tipo de ataque. <br />11. CONCLUSÃO<br />Concluímos neste trabalho que o firewall por pacote é um sistema de proteção em roteadores com objetivo de criar várias regras para bloquear ou descartar os pacotes que são transportados por endereçamento IP. Mesmo com todas estas regras de bloqueio este sistema abordado não é muito seguro, pois tem várias falhas que podem deixar a rede vulnerável a ataque de hackers. Com isso é aconselhável trabalhar conjuntamente com outros tipos de firewall e proxy. Porém ele é muito utilizado devido ser barato e por quase todos os roteadores já virem com este sistema de firewall.<br />12. BIBLIOGRAFIA<br />Guia do servidor conectiva Linux. Firewall Através de Filtro de Pacotes Disponível em: <http://www.dimap.ufrn.br/~aguiar/Manuais/Servidor/sec-filtro-pacotes.html >. Acesso em: 28 Set. 2011.<br />Tipos de firewalls Disponível em:<http://firewall.no.sapo.pt/index_files/Page484.htm>. Acesso em: 28 Set. 2011.<br />Introdução a firewall Disponível em:< http://securityworld.worldiswelcome.com/packet-filtering-firewall-an-introduction>. Acesso em: 28 Set. 2011.<br />Firewall filtragem de pacotes Disponível em:< http://book.chinaunix.net/special/ebook/Linux_Firewalls3e/0672327716/ch02lev1sec1.html >. Acesso em: 28 Set. 2011.<br />