Firewall

Firewall é uma ferramenta de segurança com cada vez mais importância no mundo da computação. O firewall pode ser considerado uma ferramenta imprescindível na segurança, que ajuda a reduzir os riscos. Segundo informações contidas no sitio da Microsoft que exemplifica a ideia do firewall:

Conectar-se à Internet sem um firewall é como deixar as chaves do carro no contato, o motor ligado e as portas destravadas enquanto você vai às compras. Embora você possa entrar e sair antes que alguém perceba, também é possível que alguém aproveite a oportunidade. (Microsoft, 2010)

Na internet os chamados hackers utilizam das técnicas de ataque afim de encontrar uma rede ou computador desprotegido. Sendo assim o firewall auxilia na

proteção da sua máquina contra esses e outros ataques à segurança.

Segundo Alecrim, firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet). Tendo como objetivo gerenciar a transmissão e recepção de dados, controlar o acesso ao sistema por meio de regras e a filtragem de dados, deixando assim apenas o trafego de dados autorizados.

Figura 3: Exemplo de Firewall

Quanto ao seu funcionamento existem dois tipos distintos: o que é baseado em filtragem de pacotes e o que é baseado em controle de aplicações, segundo Alecrim (2004). Seguem abaixo as definições:

✗ Filtragem de pacotes: Normalmente trabalha em redes de pequenos ou médios portes. Por meio de um conjunto de regras estabelecidas, esse tipo de firewall determina que endereços IPs e dados podem estabelecer comunicação e/ou transmitir/receber dados. Alguns sistemas ou serviços podem ser liberados completamente, enquanto outros são bloqueados por

padrão, por terem riscos elevados (Alecrim, 2004). O problema desse tipo de firewall, é que em alguns casos pode causar a perda do desempenho da rede devido as regras aplicadas serem muito complexas. A filtragem de pacotes trabalha nas camadas TCP/IP, controlando quais pacotes podem ou não ser transmitidos, essas escolhas são regras baseadas nas informações endereço IP remoto, endereço IP do destinatário, além da porta TCP usada. Esse tipo de firewall também é capaz de analisar informações sobre a conexão, perceber alterações suspeitas, além de analisar o conteúdo dos pacotes.

✗ Firewall de Controle de Aplicação: Trabalha com redes de porte médio ou grande e exige experiência para sua configuração. As aplicações (SMTP, FTP, HTTP) geralmente são instaladas em computadores servidores e são conhecidos como proxy. Este tipo não permite comunicação direta entre a internet e a rede. O firewall atua como intermediador, ou seja, tudo deve passar por ele, o proxy faz a comunicação entre ambos os lados por meio da avaliação do número da sessão TCP dos pacotes. O firewall de aplicação é mais complexo, porém mais seguro, porque todas as aplicações precisam de um proxy, na falta simplesmente não funciona a aplicação, nesses casos uma solução é a criação de um “proxy genérico” que pode ser configurado para informar que determinadas aplicações usarão certas portas. O mesmo permite um acompanhamento mais preciso do tráfego entre internet e rede, é possível contar com ferramentas de log e de auditoria.

Em redes corporativas, o firewall auxilia para evitar que os usuários acessem serviços ou sistemas indevidos, além de controlar as ações realizadas na rede, sendo possível até mesmo descobrir quais usuários as efetuaram.

2.5.2 - Sistema de Detecção de Intrusos (IDS)

A função dos Sistemas de Detecção de Intrusos (Intrusion Detection Systems – IDSs), é monitorar redes, ou hosts²⁸, afim de detectar ações maliciosas, como

28 Qualquer máquina ou computador conectado a uma rede.

tentativas de ataques e obtenção de informações. Um IDS apropriado analisa os pacotes, aponta transmissões de pacotes potencialmente maléficas e as armazena num registro formatado, acrescentam Araújo, Camões, Vaz (2004).

Uma má configuração do IDS pode acarretar nos seguintes problemas:

✗ Falso Positivo: Quando o trafego legítimo é considerado um ataque.

É considerado um sério problema pois o IDS pode bloquear tráfego legítimo, parando serviços fundamentais para uma empresa.

✗ Falso Negativo: Quando um ataque não é percebido pelo IDS, passando como se fosse tráfego legítimo.

Existem duas categorias de IDS, são eles os de rede e os de host , os IDS de rede, conhecidos como Network IDS (NIDS) são em geral programas que agem como sensores em pontos estratégicos de uma rede. Estes programas coletam os dados trafegados, fazem uma análise sobre o conteúdo e detectam ou não uma atividade suspeita. Os IDSs de host monitoram as atividades no sistema operacional de um host. Estes programas avaliam logs do sistema, serviços, integridade de arquivos, módulos carregados, etc. (Araújo, Camões, Vaz - 2004 )

Figura 4: Implantação de um IDS 2.5.2.1 IDS de Rede

De acordo com informações contidas no Guia de Segurança Red Hat Enterprise Linux 4, o sistema de detecção de intrusos baseado em redes tem como filosofia escanear os pacotes da rede no nível da máquina ou roteador, auditorando informações de pacotes e registrando quaisquer pacotes suspeitos em um arquivo de registro especial com informações extras. Baseado nestes pacotes suspeitos, um IDS baseado em rede pode escanear seu próprio banco de dados de assinaturas de ataques de rede conhecidos e determinar um nível de severidade para cada pacote.

Se tais níveis forem suficientemente altos, um alerta será enviado aos membros da equipe de segurança para que eles possam investigar a natureza da anomalia.

Esses tipo de IDSs podem escanear uma grande quantidade de tráfego de rede, nomeando as transmissões suspeitas, o que é muito útil para a segurança.

Devido à insegurança inerente de protocolos TCP/IP, tornou-se obrigatório o desenvolvimento de scanners, sniffers e outras ferramentas de auditoria e detecção de rede para prevenir falhas de segurança devido às atividades maliciosas na rede.

A maioria dos IDSs baseados em rede requerem que o dispositivo de rede do servidor do sistema seja configurado para o modo promíscuo, que permite o dispositivo a capturar todos os pacotes que passam na rede.

2.5.2.2 IDS de host

HIDS (Host-Based IDS): Fácil de ser implementado e configurado, é dedicado a um único host. São baseados em software. É utilizado para monitoramento de logs (syslog em sistemas UNIX e Linux), faz acesso à portas e cálculo/verificação de checksums (alguns arquivos tem os seus checksums verificados periodicamente, para verificar se houve modificações).

Segundo o Guia de Segurança Red Hat Enterprise Linux 4, um IDS baseado na máquina analisa diversas áreas para determinar o mal-uso ou intrusão.

Consultam diversos tipos de arquivos de registro (kernel, sistema, servidor, rede, firewall, entre outros) e comparam os registros a um banco de dados interno com assinaturas comuns de ataques conhecidos. O IDS baseado em host filtra os

registros, analisa-os, renomeia as mensagens anômalas com sua própria classificação de severidade e os agrupa em seu próprio registro especializado para análise do administrador.

Este tipo de IDS tem como características: Detectar ataques que ocorrem fisicamente num servidor; capaz de descobrir ataques que utilizam criptografia, pois o SO primeiro decifra os pacotes, diferentemente dos NIDS ; Independem da topologia da rede; geram poucos falsos positivos; não necessita de hardware adicional.