Firewall. Caro aluno(a), O que é um firewall e para que ele serve? UnidadeB

(1)

Sistema Universidade

Aberta do Brasil - UAB | IF Sul-rio-grandense

Caro aluno(a),

Nesta unidade, iremos estudar um recurso fundamental para as máquinas e servidores conectados nas redes de computadores, o firewall. Entenderemos o que é um firewall e o motivo pelo qual ele é necessário. Vamos discutir o seu funcionamento, suas regras e configurações. Por fim, uma “receita de bolo” é apresentada para a instalação e configuração do Firestarter, um firewall gráfico desenvolvido para rodar no Linux. Vamos em frente!

O que é um firewall e para que ele serve?

Até aqui, ao passarmos por diversas disciplinas do curso, já estudamos vários aspectos das redes de computadores. Entendemos como elas funcionam, quais serviços podemos disponibilizar sobre as mesmas, como configurar as diversas ferramentas existentes, como podemos gerenciá-las e etc. Mas nem tudo são maravilhas, pois você também sabe que um computador ligado à Internet ou a qualquer outra rede de computadores, está sujeito a ser vítima de um ataque hacker ou, pelo menos, receber a visita de um intruso que deseja apenas saber o que temos armazenado. Neste sentido, em geral, a filosofia adotada por intrusos em redes de computadores consiste em varrer uma rede, através do envio de pacotes aleatórios para a mesma, à procura de uma máquina ligada e, posteriormente, procurar por alguma brecha ou falha de segurança para poder acessá-la.

Note que esta ameaça é ainda maior caso a máquina em questão esteja permanentemente conectada à Internet, como é o caso da maioria dos servidores hoje em dia. Isto se dá por vários motivos, tais como:

• A máquina alvo pode estar ligada e realizando algum processamento sem, no entanto, estar sendo supervisionada por um usuário ou administrador;

• Em geral, máquinas permanentemente conectadas a uma rede possuem uma largura de banda maior, o que atrai os possíveis intrusos. Maior banda disponível para uma máquina significa maior quantidade de dados que trafegam e são armazenados nela, logo, isto desperta o interesse em acessá-la;

• Esta máquina permanentemente conectada possui seu endereço fixo (IP fixo), o qual não se altera (ou se altera raramente). Isto facilita que o intruso possa facilmente visitá-la em diversas oportunidades, indo e vindo ao mesmo endereço sempre que desejar.

Deste modo, torna-se necessário a adoção de medidas de segurança para tentar barrar estas possíveis intrusões e visitas indesejáveis. Veja que isto é necessário não apenas para empresas, grandes instituições e universidades. Enquanto você estuda este conteúdo, seu computador pode estar recebendo a visita de um hacker localizado em qualquer parte do mundo. Você não deseja que seus arquivos pessoais sejam copiados e espalhados pela Internet, deseja?! Com certeza não! A boa notícia é que os firewalls estão aí para nos ajudar.

Um firewall (também conhecido como “parede corta fogo” ou “muro para-fogo”) é um sistema que permite proteger um computador, ou uma rede de computadores, das intrusões que provêm de uma rede externa, como, por exemplo, a Internet. O firewall nos possibilita filtrar os pacotes de dados trocados com a rede, fornecendo uma proteção adicional para o sistema. Ele nada mais é do que um meio filtrante capaz de negar alguns acessos e permitir outros, fazendo com que nossa máquina ou rede esteja conectada a uma rede externa de forma mais protegida. O firewall basicamente é composto por duas interfaces: uma interface de rede interna e uma

Firewall

(2)

O firewall nada mais é do que um software, podendo, por exemplo, ser configurado em um servidor ou computador com acesso a Internet. Também é possível encontrarmos firewalls embarcados em dispositivos de rede (hardware), tais como roteadores, switches inteligentes e etc. Independentemente de estar embarcado em um dispositivo ou não, é importante notar que todo firewall constitui-se como uma camada intermediária entre a máquina (ou a rede local) e a rede externa. Isto pode ser intuitivamente percebido pelo esquemático apresentado na Figura 1.

Como funciona um firewall?

Basicamente, um sistema de firewall possui um conjunto de regras predefinidas que permitem as seguintes ações:

• Autorizar uma conexão (allow); • Bloquear uma conexão (deny);

• Rejeitar o pedido de conexão sem avisar o emissor (drop).

O conjunto destas regras possibilita definir políticas de filtragem e de segurança. Usualmente, dois tipos de políticas de segurança são empregados na primeira permite-se que as conexões explicitamente autorizadas sejam realizadas (negando qualquer acesso que não esteja explicitamente permitido) e, na segunda, permite-se qualquer tipo de conexão excluindo-permite-se apenas aquelas que foram explicitamente proibidas. É evidente que a primeira política é a mais eficiente. Contudo, isto demanda mais tempo e gerenciamento por parte do administrador de redes para analisar e configurar todos os acessos.

Um sistema firewall funciona através do princípio de filtragem simples de pacotes (“stateless packet filtering”). Ele analisa os cabeçalhos de cada pacote de dados (datagramas) trocados entre uma máquina da rede interna e uma máquina externa. Assim, os pacotes de dados trocados entre uma máquina da rede externa e uma máquina da rede interna transitam pelo firewall, tendo os seguintes cabeçalhos, sistematicamente analisados:

• Endereço IP da máquina emissora; • Endereço IP da máquina receptora; • Tipo de pacote (TCP, UDP, etc);

(3)

Os endereços IP contidos nos pacotes analisados permitem identificar a máquina de origem e a máquina destino, enquanto o tipo de pacote e o número de porta dão uma indicação sobre qual o tipo de serviço está sendo utilizado. A Tabela 1 nos fornece alguns exemplos de regras de firewall.

Regra Ação IP origem IP destino Protocolo Porta origem Porta destino

1 allow 192.168.0.49 94.126.155.9 tcp any 25

2 allow any 92.163.23.11 tcp any 80

3 allow 2.168.10.0/24 any tcp any 80

4 deny any any any any any

Tabela 1 – Exemplos de regras de firewall.

As portas reconhecidas, aquelas que possuem número entre 0 e 1023, estão associadas a serviços comuns. Por exemplo, as portas 25 e 110 estão associadas ao serviço de E-mail, enquanto a porta 80 está associada ao serviço Web. A maior parte dos dispositivos firewall está configurado, no mínimo, de forma a filtrar as comunicações de acordo com a porta utilizada. Assim, é fortemente aconselhável bloquear todas as portas que não são indispen-sáveis, no intuito de se obter um nível maior de segurança.

A porta 23, por exemplo, é frequentemente bloqueada pelos dispositivos firewall porque corresponde ao protocolo Telnet, o qual permite emular um acesso por terminal a uma máquina distante de maneira que possamos executar comandos remotos. Por questões de segurança a porta 23 é usualmente bloqueada, pois os dados trocados por Telnet não são codificados. Isso significa que um intruso pode ouvir a rede e eventualmente roubar as informações que circulam na mesma. Esse é um dos motivos pelos quais os administradores de redes preferem geralmente utilizar o protocolo SSH, conhecido por ser mais seguro e capaz de fornecer as mesmas funcionalidades que o Telnet.

É importante perceber que a filtragem simples de pacotes dedica-se apenas a examinar os pacotes IP independentemente uns dos outro, o que corresponde ao nível 3 do modelo OSI. Contudo, sabemos que a maior parte das conexões faz uso do protocolo TCP, o qual se baseia no conceito de sessões para garantir um bom desenrolar das trocas de informações. Por outro lado, numerosos serviços como o FTP, por exemplo, iniciam uma conexão sobre uma porta estática, mas abrem dinamicamente (ou seja, de maneira aleatória) uma porta, para estabelecer uma sessão entre o servidor e a máquina cliente. Assim, com uma filtragem simples de pacotes, torna-se impossível prever quais portas devem permanecer abertas e quais devem ser bloqueadas. Para contornar este problema, o sistema de filtragem dinâmica de pacotes baseia-se na inspeção das camadas 3 e 4 do modelo OSI, permitindo efetuar um acompanhamento das transações entre o cliente e o servidor. O dispositivo firewall que implementa filtragem dinâmica, também conhecida como “stateful inspection”, é capaz de assegurar um acompanhamento das trocas, ou seja, de gerenciar o estado dos pacotes para aplicar as regras de filtragem. Desta maneira, a partir do momento em que uma máquina autorizada inicia uma conexão a uma máquina situada de outro lado do firewall, o conjunto dos pacotes que transitam no âmbito desta conexão será aceito implicitamente pelo firewall. Por um lado, se a filtragem dinâmica é mais eficiente que a filtragem de pacotes básica, por outro, ela não protege a exploração das falhas aplicativas, aquelas vinculadas às vulnerabilidades das diversas aplicações do servidor ou do usuário. São estas falhas aplicativas as que oferecem os maiores riscos em termos de segurança em uma máquina ou servidor conectado a uma rede de computadores. Entretanto, os firewalls também são capazes de realizar filtragens aplicativas. Uma filtragem aplicativa permite

(4)

aplicativa requer um conhecimento, por parte do administrador, dos protocolos utilizados por cada aplicação. Um firewall que efetua uma filtragem aplicativa é usualmente chamado de “proxy”, uma vez que o mesmo serve de retransmissor entre duas redes interpondo-se e efetuado uma validação do conteúdo dos pacotes trocados. O proxy, portanto, representa um intermediário entre as máquinas da rede interna e a rede externa, sofrendo os ataques em seu lugar. Além disso, a filtragem aplicativa permite a destruição dos cabeçalhos que precedem a mensagem aplicativa, o que permite fornecer um nível de segurança suplementar. Uma filtragem aplicativa, ou firewall de aplicação é, portanto, um dispositivo eficiente que assegura uma boa proteção da rede, desde que seja administrado corretamente. A desvantagem deste método é que a análise detalhada dos dados do aplicativo demanda um alto custo de processamento. Isto pode traduzir-se em atrasos na comunicação, uma vez que cada pacote deve ser analisado ao passar pelo firewall.

Outras considerações sobre firewall

Note que um sistema firewall não oferece segurança absoluta. Ele não protege, por exemplo, contra vírus e trojans, mas apenas contra tentativas diretas de conexão. O firewall cria uma barreira entre a máquina (ou a rede local) e a rede externa, fazendo com que os recursos compartilhados na rede não sejam acessíveis de fora. É importante sempre ter em mente que a proteção do firewall ocorre apenas na medida em que o conjunto das comunicações passa sistematicamente por seu intermédio. Assim, o acesso à rede externa (ou interna) contornando o firewall pode ser considerado uma falha de segurança. Exemplos de contornos ao firewall são as conexões discadas efetuadas de uma máquina da rede interna para uma externa, e o uso de dispositivos de armazenamento externos por máquinas da rede interna.

Como você já percebeu, existem diversas razões para utilizarmos um firewall. Contudo, as principais razões para tal são:

• Um firewall pode ser usado para ajudar a impedir que sua rede ou seu computador seja acessado sem autorização. Assim, é possível evitar que informações sejam capturadas ou que sistemas tenham seu funcionamento prejudicado pela ação de hackers;

• O firewall é um grande aliado no combate a vírus e cavalos-de-troia, uma vez que é capaz de bloquear portas que eventualmente sejam exploradas pelas “pragas digitais” ou então bloquear acessos a programas não autorizados; • Em redes corporativas, é possível evitar que os usuários acessem serviços ou sistemas indevidos, além de ter o

controle sobre as ações realizadas na rede, sendo possível até mesmo descobrir quais usuários as efetuaram.

Hoje em dia existe uma quantidade enorme de soluções de firewall disponível. Se você fizer uma pesquisa rápida na Internet poderá construir uma lista sem muita dificuldade. Para usuários domésticos que usam o sistema operacional Windows, um dos mais conhecidos é o ZoneAlarm, o qual dispõe de uma versão gratuita, mais simples, e outra paga, com mais recursos. Em ambos os casos, é possível utilizar diversas configurações pré-definidas, que oferecem bons níveis de segurança, sem que para tanto, o usuário gaste muito tempo para realizar as configurações necessárias. Note que todas as versões atuais do sistema operacional Windows já vêm com um firewall embutido, que apesar de não ser tão eficiente, é um bom aliado na segurança. Já o sistema operacional Linux conta com o IPTables, uma ferramenta nativamente embarcada no sistema operacional. Além desta, diversos firewalls estão disponíveis e podem ser instalados e configurados nas máquinas ou servidores que adotam o Linux como sistema operacional.

Por fim, tenha em mente que para garantir um nível de proteção máximo é necessário que o administrador da rede ou da máquina freqüentemente gerencie o firewall e supervisione o seu relatório de atividades a fim de identificar possíveis tentativas de intrusão.

(5)

Prática

Configurando o Firestarter, um firewall gráfico para Linux

O processo de instalação do programa Firestarter no Linux é relativamente simples, bastando abrir um terminal, ir ao menu “Aplicações”, em seguida em “Acessórios”, e, por fim, em “Terminal”. Com o terminal aberto, digite os seguintes comandos:

sudo apt-get update

sudo apt-get install firestarter

Uma vez realizada a instalação do firewall Firestarter, iremos fazer com que o mesmo seja inicializado sempre que o sistema operacional for carregado (sempre que ligarmos a máquina). Como o Firestarter só pode ser usado com permissões de superusuário, ele precisa ser executado com o comando “sudo”. Contudo, este comando sempre pede a senha do usuário antes de executar o comando que desejamos executar. Para driblar este problema, iremos fazer a edição de um arquivo chamado de “sudoers”, o qual se encontra no diretório “/etc”. A modificação que iremos realizar permitirá executar o comando que chama o Firestarter sem que ele peça a senha, embora o comando ainda seja executado como superusuário.

Antes de tudo, deverá ser feita uma cópia de segurança do arquivo que será editado, pois ele é muito importante. Assim, caso o usuário faça uma edição errada, poderá recuperar esta cópia se necessário, evitando maiores dores de cabeça. Para tal, digite o seguinte comando em seu terminal:

sudo cp /etc/sudoers /etc/sudoers.bkp

Agora digite o seguinte comando:

gksu nautilus /etc

Este comando abrirá o gerenciador de arquivos, o nautilus, como superusuário já na pasta “/etc” onde está localizado o arquivo “sudoers”. Procure pelo arquivo “sudoers” e clique nele com o botão direito do mouse. Agora, vá em “Propriedades”, na aba “Permissões”. Onde estiver escrito “Dono: root, Acesso: Apenas leitura”, mude para “Dono: root, Acesso: Leitura e escrita”. O restante das opções podem ser deixadas como estão. As Figuras 2 e 3 ilustram esse procedimento.

(6)

(7)

Agora você irá realizar a edição do arquivo “sudoers”. Clique no arquivo “sudoers” novamente como o botão direito do mouse e escolha a opção “Abrir com editor de texto” para realizarmos a edição do arquivo. Ao fazer isto você verá o seguinte conteúdo:

# /etc/sudoers #

# This file MUST be edited with the ‘visudo’ command as root. #

# See the main page for details on how to write a sudoers file. #

Defaults env_reset

# Uncomment to allow members of group sudo to not need a password # %sudo ALL=NOPASSWD: ALL

# Host alias specification # User alias specification # Cmnd alias specification # User privilege specification root ALL=(ALL) ALL

# Members of the admin group may gain root privileges %admin ALL=(ALL) ALL

Iremos alterar para o seguinte:

# /etc/sudoers #

# This file MUST be edited with the ‘visudo’ command as root. #

# See the man page for details on how to write a sudoers file. #

(8)

# %sudo ALL=NOPASSWD: ALL # Host alias specification # User alias specification # Cmnd alias specification # User privilege specification root ALL=(ALL) ALL

# Members of the admin group may gain root privileges %admin ALL=(ALL) ALL

%admin ALL= NOPASSWD: /usr/sbin/firestarter

Você pode observar que apenas acrescentamos a última linha com o seguinte conteúdo:

%admin ALL= NOPASSWD: /usr/sbin/firestarter

Esta linha informa ao sistema que o executável firestarter não necessita de senha para ser executado.

Agora salve o arquivo e clique outra vez com o botão direito do mouse sobre o arquivo “sudoers”, vá em “Propriedades”, na aba “Permissões”. Onde estiver a opção “Dono: root, Acesso: Leitura e escrita” mude novamente para “Dono: root, Acesso: Apenas leitura”.

Para que o Firestarter seja inicializado toda vez que a máquina for ligada e o sistema Linux for carregado, vá ao menu “Sistemas”, “Preferências”, “Sessões” e clique no botão “Adicionar” e no campo “Nome” digite “Firestarter”, e em “Comando” digite “sudo /usr/sbin/firestarter --start-hidden”. A Figura 4 ilustra estes passos.

(9)

Antes de reiniciar a sua máquina tecle “ALT + F2” simultaneamente, e na janela que se abre digite o seguinte comando:

sudo /usr/sbin/firestarter

Agora basta realizar as configurações do seu firewall Firestarter. Para isto clique no botão “Preferências”. Siga as imagens ilustrativas das Figuras 5, 6, 7, 8 e 9. O restante das configurações do firewall deixe como estão. Para efetivar as mudanças realizadas, basta clicar no botão “Aceitar”.

(10)

Aqui, nas “configurações de rede”, Figura 8, é importante notar que você deverá configurar a conexão correta, de acordo com o seu tipo de acesso. A opção “ppp0” é utilizada para conexões discadas. A opção “eth0” é utilizada para conexões de rede que utilizam serviço ADSL ou cabo de rede. A opção “wlan0” é utilizada para conexões wireless. Contudo, suas conexões podem diferir destas mencionadas. Não se esqueça de configurar corretamente. Caso contrário, seu firewall não irá funcionar.

Depois de ter feito todas as configurações corretamente, ao reiniciar o sistema, o ícone do Firestarter deverá aparecer minimizado no systray do Linux Ubuntu, próximo ao relógio. Agora, quando você se conectar na rede, ele estará ativo, desempenhando o seu papel e protegendo a sua máquina cliente ou o seu servidor.

Referências:

William Stallings. Criptografia e segurança de redes, princípios e práticas. 4ª edição. Editora Pearson, 2008. James Kurose e Keith Ross. Computer networking, a top-down approach. 5ª edição. Editora Pearson, 2009. <http://wiki.ubuntu-br.org/Firestarter>, Acesso em: fevereiro de 2011.

<http://ubuntuforum-br.org>, Acesso em: fevereiro de 2011.

<http://pt.kioskea.net/contents/protect/firewall.php3>, Acesso em: fevereiro de 2011. <http://www.infowester.com/firewall.php>, Acesso em: fevereiro de 2011.