Anti hacker, antivirus, downloads grátis, apostilas free, tutoriais de programas, Anti Invasão Firewall


#Bom um Firewall como o próprio nome diz é um sistema de Paredão de fogo , ele não faz nada mais do que ser um paredão de fogo , ele impede que ataques sejam feitos , por usuários de fora e de dentro da rede (LAN).

O que é e como funciona o principal dispositivo de segurança na Internet. Segurança ainda é o ponto mais discutido na Internet, mas, em grande parte dos casos, a discussão se resume a problemas como violação de correspondência e dificuldades para se enviar número de cartão de credito. À medida que a maior parte das empresas conecta suas redes privadas à grande rede, entretanto, a questão fundamental passa a ser como impedir que usuários não autorizados ganhem acesso livre a dados sensíveis. O principal meio de proteger as redes privadas são os chamados firewalls.

Um firewall é um sistema ou grupo de sistemas através do qual flui o trafego de dados entre duas redes distintas de computadores, permitindo que se implemente uma política de segurança que determine o que pode ou não passar de uma rede para outra. A aplicação mais comum de um firewall é proteger uma rede contra acesso dos inúmeros usuários mal-intencionados (chamados crackers) que povoam a Internet.

Mais especificamente, o firewall é um dispositivo de hardware dotado de duas placas de rede (uma ligada a rede corporativa e a outra ligada à Internet) rodando software especifico de analise e roteamento de pacotes. Como todo pacote enviado de uma rede a outra passa obrigatoriamente pelo sistema, o firewall tem a chance de analisá-lo, determinar se ele representa algum risco e, se for o caso, descartá-lo antes que ele possa alcançar seu destino.

Os critérios utilizados para decidir se determinado pacote de dados oferece ou não risco fazem parte a política de segurança praticada pela entidade proprietária do firewall. Existem firewalls que operam na camada de rede – analisando pacotes IP – e outros que operam na camada de aplicação – analisando os dados dentro dos pacotes IP. Alguns firewalls são tão restritos que deixam passar apenas mensagens de correio, enquanto outros são bem permissivos. Como seria de se esperar, quanto mais diligente e rigoroso for o firewall, mais difícil será penetrar um ataque e mais facial será investigá-lo posteriormente.

Firewall no nível de rede

Firewalls de rede se restringem ao nível do IP, decidindo que pacotes devem passar e que pacotes devem ser descartados com base nos dados constantes do cabeçalho do pacote – informações como endereço de remetente, endereço de destinatário e a porta IP utilizada. A porta é um campo de dois bytes contendo um número inteiro que indica a máquina destinatária qual é o programa que deve manipular o pacote recebido ( o SMTP, protocolo de correio da Internet, por exemplo, usa a porta 25).

Até um roteador comum pode ser configurado para agir como um firewall de rede – se bem que será um firewall simples, já que roteadores tradicionais não costumam ser muito sofisticados e freqüentemente não conseguem determinar de onde um pacote efetivamente veio ou que tipo de informação ele está carregando. Um roteador comum, que se preocupa apenas em enviar os pacotes a seus destinatários, pode ser presa de alguns ataques clássicos, como o "IP spoofing".

Máquinas bem configuradas só concedem acesso a computadores conhecidos, em geral localizados numa mesma rede privada. Assim, para obter acesso a uma maquina bem configurada, é necessário introduzi-la a crer que a máquina do invasor é de confiança – um processo denominado spoofing. Para isso, o invasor precisa descobrir o endereço legitimo de uma maquina da rede interna e enviar à vitima pacotes que apresentam tal endereço como origem. A vitima, crendo ser o atacante uma maquina de confiança, responderá enviando pacotes para o endereço do remetente.

Para o esquema funcionar, entretanto o cracker precisa tomar duas providencias. A primeira é impedir que a maquina legitima responda aos pacotes enviados pela vitima; em geral, isso é feito garantindo-se que a maquina legitima esteja fora do ar (pode-se efetuar o ataque num momento em que se saiba que a maquina esta desligada, ou derrubá-la de algum método mais hostil).

A segunda é garantir que o pacote seja ecoado para fora da rede interna. Em geral, o pacote apenas diz para onde quer ir e os roteadores no caminho decidem qual a melhor rota a seguir. Desta forma, os pacotes enviados pela vítima não seriam passados para a Internet, porque o endereço de destino (que pertence a maquina que esta fora do ar) encontra-se dentro da rede interna. Para evitar isso, o invasor recorre ao "source-routing", uma técnica criada para testes e depuração que permite que a maquina que inicia a comunicação (no caso, o invasor) especifique qual a rota a ser utilizada por todos os pacotes de uma determinada conexão, o que garante que os pacotes sejam ecoados da rede interna para a Internet.

Um firewall de rede sofisticado não se contenta em rotear os pacotes para seus destinos: ele mantém informações sobre o estado das conexões e sobre o conteúdo dos pacotes, o que lhe permite perceber que um pacote cujo endereço de origem pertence a rede interna não pode provir da Internet. Se isto ocorre, configura-se o spoofing e o firewall descarta o pacote e aciona o alarme. Similarmente, comunicações normais não devem gerar pedidos de source-routing, de modo que, se um tal pedido surge, o firewall deve considerá-lo um ataque e agir de acordo. Independente de sua sofisticação, firwalls de rede roteiam tráfego diretamente, o que os torna rápidos e transparentes mas os impede de analisar o conteúdo efetivo dos pacotes trafegados e exige que as maquinas na rede interna tenham endereços IP válidos (o que pode ser um risco em si).

Firewall no nível de aplicação

Firewalls de aplicação costumam ser computadores de uso geral que rodam programas especiais chamados "proxy servers". Cada aplicação abilitada na configuração de firewall – SMTP (correio), HTTP (Web), FTP, Telnet etc. – exige um proxy server específico que supervisione a porta IP por onde passam os pacotes referentes àquela determinada aplicação.

Este tipo de firewall não permite tráfego direto entre duas redes: toda comunicação requer o estabelecimento de duas conexões, uma entre o remetente proxy e a outra entre o proxy e o destinatário. O proxy correlaciona a duas comunicações através do número da sessão TCP (que está presente em todos os pacotes) e ecoa os dados que vêm da conexão x para a conexão y e vice-versa. O que é importante é que todo pacote, antes de ser ecoado de uma conexão para a outra, é analisado pelo proxy server – um programa para detectar abusos de segurança no protocolo utilizado naquela porta específica - , que decide se o pacote deve passar ou ser descartado. O resultado é o firewall de aplicação consege detectar riscos que um firewall de rede não teria como perceber, alcançando um nível de segurança superior.

Um exemplo clássico do tipo de informação que um proxy pode filtrar é o comando DEBUG do SMTP, usado para solicitar a um servidor de correio que forneça certas informações de controle e considerado arriscado pela maior parte dos administradores de rede. Como não é normal que esse tipo de comando seja emitido durante uma troca de mensagens de correio, um bom proxy SMTP descartará o pacote como o comando proibido, mudará o estado do firewall para "ataque em curso" e enviara uma mensagem (que pode até seguir para um pager ou telefone celular) para o administrador, prevenindo-o do ocorrido.

Outro exemplo são proxies FTP, que podem vedar completamente o acesso de usuários externos ás maquinas da empresa ao mesmo tempo que permite que funcionários copiem arquivos da Internet para a rede interne (comando GET), mas não o contrário (comando PUT). Todos esses exemplos estão ligados ao funcionamento dos protocolos específicos de cada aplicação e não poderiam ser implementados em firewalls de rede, que não são capazes de examinar o conteúdo dos pacote IP.

Firwalls de aplicação são bem menos transparentes do que firewalls e rede. Para começar, toda e qualquer aplicação exige a existência de um proxy; se o usuário precisa de uma aplicação para a qual não existe um proxy rodando no firewall, não há o que fazer: a aplicação simplesmente não funcionará. Em um mundo onde há novas aplicações sendo lançadas todos os dias, este tende a ser um problema considerável, e o resultado é que os fornecedores sempre têm uma nova versão (esta suporta SSL, a próxima suportará RealAudio, a seguinte suportará SQL) de firewall no forno.

Quando é necessário usar uma aplicação para a qual o fornecedor do firewall não tem (nem terá) um proxy específico, a solução é a utilização de um proxy genérico. Criar um proxy genérico é simples: trata-se tão-somente de informar ao firewall que quaisquer pacote trafegando entre as maquinas x (internas) e as maquina y (externas)que usem a porta z são confiáveis e podem passar. Apesar de tais pacotes serem roteados sem uma análise cuidadosa (similar ao que faria um firewall de rede), trata-se de um procedimento razoavelmente seguro, porque a comunicação não monitorada é duplamente restrita: não apenas ocorre numa única porta IP, como só envolvem maquinas de confiança – afinal, se o fornecedor não fosse de confiança não seria contratado.

Como não permite comunicação direta entre o cliente e o servidor, o firewall de aplicação é consideravelmente menos transparente que o firewall de rede. É necessário que o programa cliente saiba que deve estabelecer uma conexão com o proxy e determinar ações como "conecte-se ao servidor Web da Mantel e recupere a página tal para mim". Quando o cliente sabe isso; como é a maioria dos browsers Web, basta configurá-lo corretamente. Quando os clientes são poucos sofisticados e exigem conexões diretas com o servidor (como é comum com FTP e Telnet, por exemplo), utiliza-se um artifício: o usuário se loga no proxy e este; m vez de solicitar nome e senha (como seria de esperar), solicita o nome do servidor com o qual se deseja a conexão; a partir daí, tudo funciona normalmente.

O firewall de aplicação oferece algumas vantagens sobre o firewall de rede. A primeira e mais importante é permitir um acompanhamento muito mais próximo e efetivo das comunicações entre duas redes, inclusive com logs e relatórios de auditoria. O fato de o DNS ser também um proxy server permite que os nomes das maquinas internas sejam preservados e que um mesmo nome possa identificar duas maquinas diferentes da origem de quem consulta, se um usuário interno ou externo.

Além disso, como toda a comunicação é ricocheteada pelo firewall, o mundo só precisa saber de um único endereço IP (o da porta externa do firewall), e os verdadeiros endereços das maquinas internas podem ser protegidos, trazendo vários benefícios. Para começar, o simples desconhecimento dos endereços reais reforça a segurança. Melhor ainda é que isso permite o uso de faixas reservadas de endereços que, por convenção, não podem ser utilizadas na Internet. Neste caso, é virtualmente impossível para o cracker enviar pacotes diretamente às maquinas da rede interna. E o uso de endereços protegidos também possibilita a atribuição de mais endereços do que os concedidos originalmente pelo provedor de acesso.

Na verdade, a discussão sobre qual é o melhor firewall, se o de rede ou o de aplicação, não procede, porque eles não representam soluções mutuamente excludentes. Os melhores sistemas de firewall, como seria de esperar, adotam ambas as abordagens, permitindo a definição de regras, controles e auditorias nos dois níveis.

Um firewall não impede o vazamento de dados. O correio eletrônico é de fato a forma mais simples de se enviar dados para fora da empresa, mas também é a forma mais perigosa, já que o trafego de correio pode ser controlado e auditado. Um espião consciencioso preferirá uma fita, um disquete (razão pelos quais há quem defenda o banimento dos drives de disquete) ou um simples fax. E não existe apólice de seguro contra estupidez: se um funcionário fornecer sua senha de acesso a usuários não autorizados ou desconhecidos, não há firewall que resolva.

Firewalls podem ser muito eficientes para reconhecer e neutralizar ataques efetuados da utilização maliciosa de características específicas dos protocolos de comunicação utilizados na rede, mas pouco podem fazer contra ataques baseados em dados. Do ponto de vista do firewall, mensagens de correio ou arquivos copiados para algum servidor não constituem ataque. O resultado é que é possível que crackers se valha de características (ou, mais comumente, falhas) de programas específicos para executar ações nefastas. O caso mais notório deste tipo de utilização mal-intencionada foi o vírus da Internet, que se valia de uma falha do sendmail (programa de envio de correio do Unix) e derrubou 6 mil maquinas em 1988. Outros exemplos particularmente graves são os vírus e programas executáveis pelos browsers (como applets java ou controles activeX); ambos os casos são tratados pelos firewalls como dados e, em geral, trafegam de uma rede a outra sem problema algum.

A maneira correta de combater vírus é a tradicional, através da utilização de programas rodando em estações e servidores de arquivos identificar e limpar arquivos contaminados logo depois sua gravação em disco. Também já existem antivírus para servidores de correio capazes de analisar arquivos anexados a mensagens de correio, detectando e removendo vírus antes mesmo que os destinatários sejam notificados de sua chegada. A prevenção contra o código executável distribuído através da Web deve ser feita nos programas que recebem e executam. Browsers como o Netscape e Internet Explorer têm opções de configuração que permitem que tipos de objetos podem ser recebidos e em que condições podem ser executados.

Apesar de haver no mercado excelentes soluções para proteger redes privadas contra ataque de invasores inescrupulosos, o firewall não pode ser encarado como solução isolada para a questão de segurança na comunicação com a Internet. Há empresas que gastam pequenas fortunas para montar firewall inexpugnáveis mas não se preocupam em criar políticas de segurança coerentes e consistentes. Para ser eficaz, o firewall deve ser parte de uma política global de segurança – uma que seja realista o bastante para identificar e prevenir os riscos efetivos (maquinas que contêm dados mais confidenciais, por exemplo, não precisam de firewall: elas não devem estar ligadas à Internet), mas que, por outro lado, não seja paranóica a ponto de impedir as pessoas de trabalhar.

Anti Invasão 2004 Todos os Direitos Reservados