O que é que um firewall?

[helldanger1]

Um firewall (chamado também corta-fogo), é um sistema que permite proteger um computador ou uma rede de computadores das intrusões que provêm de uma rede terceira (nomeadamente Internet). O firewall é um sistema que permite filtrar os pacotes de dados trocados com a rede, ele trata-se assim de uma ponte estreita filtradora que comporta no mínimo as conversões rede seguinte:

uma conversão para a rede a proteger (rede interna);
uma conversão para a rede externa.

O sistema firewall é um sistema "software", descansando às vezes sobre um material rede dedicada, constituindo um intermediário entre a rede local (ou a máquina local) e uma ou várias redes externas. É possível pôr um sistema firewall sobre qualquer máquina e com qualquer sistema desde que:

A máquina ou seja suficientemente potente para tratar o tráfego;
O sistema seja protegido;
Nenhum outro serviço que o serviço de filtragem de pacotes funciona sobre o servidor.
Se o sistema firewall é fornecido numa caixa preta “chave em mão”, utiliza-se o termo “de appliance”.

 

[helldanger1]

Funcionamento de um sistema firewall



Um sistema firewall contem um conjunto de regras predefinidas que permitem:

De autorizar a conexão (allow);
De bloquear a conexão (deny);
De rejeitar o pedido de conexão sem estar a avisar o emissor (drop).
O conjunto destas regras permite pôr em obra um método de filtragem dependente da política de segurança adoptada pela entidade. Distingue-se habitualmente dois tipos de políticas de segurança que permitem :

quer autorizar unicamente as comunicações autorizadas explicitamente:

“Todo que não é autorizado explicitamente é proibido”.ou seja impedir as trocas que foram explicitamente proibidas.
O primeiro método está sem nula dúvida mais certa, mas impõe contudo uma definição precisa e vinculativa das necessidades de comunicação.

 

[helldanger1]

A filtragem simples de pacotes



Um sistema firewall funciona sobre o princípio da filtragem simples de pacotes (en anglais “stateless packet filtering”). Analisa as rubricas de cada pacote de dados (datagrama) trocado entre uma máquina da rede interna e uma máquina externa.

Assim, os pacotes de dados trocados entre uma máquina da rede externa e uma máquina da rede interna transitam pelo firewall e possuem as rubricas seguinte, sistematicamente analisados pelo firewall:

endereço IP da máquina emissora;
endereço IP da máquina receptora;
tipo de pacote (TCP, UDP, etc.) ;
número de port (recordação: um porto é um número associado um serviço ou uma aplicação rede).
Os endereços IP contidos nos pacotes permitem identificar a máquina emissora e a máquina orienta, enquanto o tipo de pacote e o número de porto dão uma indicação sobre o tipo de serviço utilizado.

O quadro abaixo dá exemplos de regras de firewalls:

Règle -Action- IP source- IP dest- Protocol -Port source- Port dest
1 -Accept- 192.168.10.20 194.154.192.3 -tcp -any- 25
2 -Accept- any- 192.168.10.3- tcp- any- 80
3 -Accept- 192.168.10.0/24 -any -tcp -any -80
4- Deny- any -any- any- any- any

Os portos reconhecidos (cujo número é compreendido entre 0 e 1023) são associados à serviços correntes (os portos 25 e 110 por exemplo são associados ao correio electrónico, e o porto 80 ao Web). A maior parte dos dispositivos firewall é configurada no mínimo de maneira a filtrar as comunicações de acordo com o porto utilizado. É aconselhado geralmente bloquear todos os portos que não são indispensáveis (de acordo com a política de segurança retida).

O porto 23 por exemplo frequentemente é bloqueado por defeito pelos dispositivos firewall porque corresponde ao protocolo Telnet permitindo emular um acesso por terminal à uma máquina distante de maneira a poder executar encomendas a distância. Os dados trocados por Telnet não são calculados, que significa que indivíduo é um susceptível de ouvir a rede e de voar eventuais as senha que circulam em claridade. Os administradores preferem-lhe geralmente o protocolo SSH, conhecidos certos e fornecendo as mesmas funcionalidades que Telnet.

 

[helldanger1]

A filtragem dinâmica



A filtragem simples de pacotes une-se apenas a examinar os pacotes IP independentemente um dos outro, que corresponde ao nível 3 do modelo OSI. Ora, a maior parte das conexões descansa sobre o protocolo TCP, que gere a noção de sessão, a fim de assegurar o bom desenrolar das trocas. Por outro lado, numerosos serviços (o FTP por exemplo) iniciam uma conexão sobre um porto estático, mas abrem dinamicamente (ou seja de maneira aleatória) um porto a fim de estabelecer uma sessão entre a máquina que faz serviço de servidor e a máquina cliente.

Assim, é impossível com uma filtragem simples de pacotes prever os portos a deixarem passar ou proibir. Para remediar, o sistema de filtragem dinâmico de pacotes é baseado na inspeção das camadas 3 e 4 do modelo OSI, permitindo efetuar um acompanhamento das transações entre o cliente e o servidor. O termo anglo-saxão é “stateful inspection ” ou “stateful packet filtering”, traduzem “filtragem de pacotes com estado”.


Dispositivo firewall de tipo “stateful inspection” é assim um capaz de assegurar um acompanhamento das trocas, ou seja de ter conta do estado dos antigos pacotes para aplicar as regras de filtragem. Desta maneira, partir do momento onde uma máquina autorizada inicia uma conexão à uma máquina situada de outro lado do firewall; o conjunto dos pacotes que transitam no âmbito deesta conexão será aceite implicitamente pelo firewall.

Se a filtragem dinâmica for mais eficiente que a filtragem de pacotes básica, não protege para tanto da exploração das falhas aplicativas, ligadas às vulnerabilidades aplicações. Ora estas vulnerabilidades representam a parte mais importante dos riscos em termos de segurança.

 

[helldanger1]

A filtragem aplicativa


A filtragem aplicativa permite filtrar as comunicações aplicação por aplicação. A filtragem aplicativa opera por conseguinte ao nível 7 (camada aplicação) do modelo OSI, contrariamente à filtragem de pacotes simples (nível 4). A filtragem aplicativa supõe por conseguinte um conhecimento dos protocolos utilizados por cada aplicação.

A filtragem aplicativa permite, como o seu nome indica-o, filtrar as comunicações aplicação por aplicação. A filtragem aplicativa supõe por conseguinte um bom conhecimento das aplicações presentes sobre a rede, e nomeadamente a maneira como ela estrutura os dados trocados (portos, etc.).

Um firewall que efetua uma filtragem aplicativa é chamado geralmente “ponte estreita aplicativa” (ou “proxy”), porque serve de retransmissões entre duas redes intervindo-se e efetuando uma validação fina do conteúdo dos pacotes trocados. O proxy representa por conseguinte um intermediário entre as máquinas da rede interna e a rede externa, sofrendo os ataques ao seu lugar. De mais, a filtragem aplicativa permite a destruição das rubricas que precedem a mensagem aplicativa, que permite fornecer um nível de segurança suplementar.

Trata-se de um dispositivo eficiente, assegurando uma boa proteção da rede, para pouco que seja administrado correctamente. Por outro lado, uma análise fina dos dados aplicativos requer uma grande potência de cálculo e traduz-se por conseguinte frequentemente por uma retardação das comunicações, cada pacote que deve ser analisado finamente.

Além disso, o proxy deve necessariamente ser em condições da interpretar uma vasta gama de protocolos e conhecer as falhas aferentes para ser eficaz.

Por último, tal sistema pode potencialmente comportar uma vulnerabilidade na medida em que interpreta os pedidos que transitam pela sua obliquidade. Assim, é recomendado de dissociar o firewall (dinâmica ou não) do proxy, a fim de limitar os riscos de comprometimento.

 

[helldanger1]

Noção de firewall pessoal



Se a zona protegida limita-se ao computador sobre o qual o firewall é instalado ele fala de firewall pessoal (firewall pessoal).

Assim, um firewall pessoal permite controlar o acesso à rede das aplicações instaladas sobre a máquina, e os ataques nomeadamente impedir do tipo Cavalo de tróia, ou seja programas prejudiciais que abrem uma brecha no sistema a fim de permitir uma tomada em mão a distância da máquina por um pirata informático. O firewall pessoal permite com efeito localizar e impedir a abertura não solicitada por parte de aplicações não - autorizados á conetar-se.

 

[helldanger1]

Os limites dos firewall


Um sistema firewall não oferece obviamente uma segurança absoluta, bem pelo contrário. Os firewall oferecem uma proteção apenas na medida em que o conjunto das comunicações para o exterior passa sistematicamente pelo seu intermediário e que são configurados correctamente. Assim, os acessos à rede externa por contournement do firewall são tantas falhas de segurança. É nomeadamente o caso das conexões efetuadas da partir da rede interna à ajuda de um modem ou qualquer meio de conexão que escapa ao controlo do firewall.

Da mesma maneira, a introdução de apoios de armazenamento que provêm do exterior sobre máquinas internas à rede ou computadores portáteis pode levar fortemente prejuízo à política de segurança global.

Por último, a fim de garantir um nível de proteção máximo, é necessário administrar o firewall e nomeadamente supervisionar o seu jornal de atividade a fim de ser em condições da detetar as tentativas de intrusão e as anomalias. Além disso, é recomendado de efetuar uma véspera de segurança (subscrevendo-se às alertas de segurança dos CERT por exemplo) a fim de alterar paramétrage do seu dispositivo em função da publicação das alertas.

Posto em lugar de um firewall deve por conseguinte fazer-se de acordo com uma verdadeira política de segurança.

 

[helldanger1]

Noção de compartimentação



Os sistemas firewall permitem definir regras de acesso entre duas redes. No entanto, na prática, as empresas têm geralmente várias subredes com políticas de segurança diferentes. É a razão pela qual é necessário pôr em lugar arquitecturas de sistemas fazer face-fogos que permitem isolar as diferentes redes da empresa: fala-se assim de “compartimentação das redes” (o termo isolação às vezes é utilizado igualmente).

 

[helldanger1]

Arquitectura DMZ

Quando certas máquinas da rede interna têm necessidade de ser acessíveis do exterior (servidor web, um servidor de serviço de mensagens, um servidor FTP público, etc.), é frequentemente necessário criar uma nova conversão para uma rede à parte, acessível igualmente da rede interna que do exterior, sem, no entanto, arriscar comprometer a segurança da empresa. Fala-se assim de “zona desmilitarizada” (notado DMZ para DeMilitarized Zone) para designar esta zona isolada que aloja aplicações postas à disposição do público. O DMZ faz assim serviço “de zona tampão” entre a rede a proteger e a rede hostil.

Os servidores situados no DMZ são chamados “bastiões” devido à sua posição antes de posto na rede da empresa.

A política de segurança posta em obra sobre o DMZ é geralmente a seguinte:

Tráfego da rede externa para o DMZ autorizada;
Tráfego da rede externa para a rede interna proibida;
Tráfego da rede interna para o DMZ autorizada;
Tráfego da rede interna para a rede externa autorizada;
Tráfego do DMZ para a rede interna proibida;
Tráfego do DMZ para a rede externa recusada.
O DMZ possui por conseguinte um nível de segurança intermédio, mas o seu nível de segurança não é suficiente para armazenar dados críticos para a empresa.

É necessário notar que é possível pôr em lugar DMZ internamente a fim de compartimentar a rede interna de acordo com diferentes níveis de proteção e assim evitar as intrusões que vêm do interior.

 

[helldanger1]

Principe du NAT


O mecanismo de tradução de endereços de rede (em inglês Network Address Translation notado NAT) foi posto ao ponto a fim de responder à escassez de endereços IP com o protocolo IPv4 (o protocolo IPv6 responderá à termo à este problema).

Com efeito, em endereçamento IPv4 o número de endereços IP routables (por conseguinte únicos sobre o planeta) não é suficiente para permitir as todas as máquinas que necessitam a ser conetado à Internet ser-o.

O princípio do NAT consiste por conseguinte a utilizar um endereço IP routable (ou um número limitado de endereços IP) para conetar o conjunto das máquinas da rede realizando, a nível da ponte estreita de conexão à Internet, uma tradução (literalmente “uma tradução”) entre o endereço interno (não routable) da máquina que deseja conetar-se e o endereço IP da ponte estreita.



Por outro lado, o mecanismo de tradução de endereços permite proteger a rede interna já que camufla completamente o endereçamento interno. Com efeito, para um observador externo à rede, todos os pedidos parecem provir do mesmo endereço IP.

 

[helldanger1]

Espaços de endereçamento



O organismo que gere o espaço de endereçamento público (endereços IP routables) é a 'Internet Assigned Number Authority (IANA). O RFC 1918 define um espaço de endereçamento privado que permite à qualquer organização atribuir endereços IP às máquinas da sua rede interna sem risco entrar em conflito com um endereço IP público atribuído pelo IANA. Estes endereços ditos No.routables correspondem às praias de endereços seguintes:


Classe A : de 10.0.0.0 à 10.255.255.255 ;
Classe B : de 172.16.0.0 à 172.31.255.255 ;
Classe C : de 192.168.0.0 à 192.168.255.55 ;


Todas as máquinas de uma rede interna, conetadas à Internet através switch e que não possuem um endereço IP público devem utilizar um endereço contido em uma destas praias. Para as pequenas redes domésticas, a praia de endereços de 192.168.0.1 à 192.168.0.255 é utilizada geralmente.

 

[helldanger1]

Tradução estática



O princípio do NAT estático consiste a associar um endereço IP público a um endereço IP privado interno à rede. switch (ou mais exactamente a ponte estreita) permite por conseguinte associar a um endereço IP privado (por exemplo 192.168.0.1) um endereço IP público routable na Internet e fazer a tradução, num sentido como no outro, alterando o endereço no pacote IP.

A tradução de endereço estática permite assim conetar máquinas da rede interna à Internet de maneira transparente mas não resolve o problema da escassez de endereço na medida em que No. endereços IP routables são necessário para conetar No. máquinas da rede interna.

 

[helldanger1]

Tradução dinâmica



O NAT dinâmico permite compartilhar um endereço IP routable (ou um número reduz de endereços IP routables) entre várias máquinas em endereçamento privado. Assim, todas as máquinas da rede interna possuem virtualmente, vistas do exterior, o mesmo endereço IP. É a razão pela qual o termo de “mascarade IP” (em inglês IP masquerading) às vezes é utilizado para designar o mecanismo de tradução de endereço dinâmico.

A fim de poder “multiplexar” (compartilhar) os diferentes endereços IP sobre um ou vários endereços IP routables o NAT dinâmico utiliza o mecanismo de tradução de porto (PAT - Port Address Tradução), ou seja a afetação de um porto fonte diferente à cada pedido de tal maneira a poder manter uma correspondência entre os pedidos que provêm da rede interna e as respostas das máquinas na Internet, muito dirigida ao endereço IP switch.