Firewalls

Uma das medidas de segurança mais amplamente empregada e publicada em uso na Internet é um “firewall“. Firewalls tem sido determinados a reputação de uma panacéia geral para muitas, senão todas, questões de segurança da Internet. Eles não são. Firewalls são apenas outra ferramenta em questão para a segurança de sistema. Eles fornecem um certo nível de proteção e são, em geral, uma maneira de implementar a política de segurança no nível de rede. O nível de segurança que um firewall fornece pode variar tanto quanto o nível de segurança em uma máquina particular. Existe o tradicional “trade-off” entre segurança, facilidade de uso, custo, complexidade, etc.

Um firewall é qualquer um dos vários mecanismos usados para controlar e observar o acesso de e para uma rede com a finalidade de protegê-la. Um firewall atua como um gateway através do qual todo o tráfego de e para a rede ou sistemas protegidos passa. Firewalls ajudam a colocar limitações na quantidade e tipo de comunicação que ocorre entre a rede protegida e a outra rede (por exemplo, a Internet, ou outra parte da rede de um site).

Um firewall geralmente é uma maneira de construir uma parede entre uma parte de uma rede, uma rede interna de uma empresa, por exemplo, e outra parte, a Internet global, por exemplo. A única característica sobre esta parede é que precisam existir maneiras para algum tráfego com características particulares passarem através de portas cuidadosamente monitoradas (“gateways”). A parte difícil é estabelecer o critério pelo qual os pacotes são permitidos ou negados acesso pelas portas.

Livros escritos sobre firewall usam terminologia diferente para descrever as várias formas de firewalls. Isto pode ser confuso para administradores de sistemas que não são familiares com firewalls. O ponto a observar aqui é que não existe nenhuma terminologia fixa para a descrição de firewalls.

Firewalls não são sempre, ou mesmo tipicamente, uma única máquina. Preferivelmente, firewalls são freqüentemente uma combinação de roteadores, segmentos de rede, e computadores host. Portanto, para o propósito desta discussão, o termo “firewall” pode consistir em mais de um dispositivo físico. Firewalls são tipicamente construídos usando dois diferentes componentes, roteadores de filtragem e servidores proxy.

Roteadores de filtragem são o componente mais fácil de conceituar em um firewall. Um roteador move dados de um lado para outro entre duas (ou mais) redes diferentes. Um roteador “normal” pega um pacote da rede A e encaminha-o para seu destino na rede B. Um roteador de filtragem faz a mesma coisa mas decide não apenas como rotear o pacote mas se deveria rotear o pacote. Isto é feito instalando uma série de filtros pelos quais o roteador decide o que fazer com qualquer pacote de dados.

Uma discussão referente a capacidades de uma marca particular de roteador, executando uma versão de software específica está fora do escopo deste documento. Porém, quando avaliando um roteador para ser usado para filtragem de pacotes , o seguinte critério pode ser importante quando da implementação de uma política de filtragem: endereço IP origem e destino, números de porta TCP origem e destino, estado do bit “ACK” no pacote TCP, números de porta UDP origem e destino, e direção do fluxo de pacotes (i.e., A->B ou B->A).

Outra informação necessária para construir um esquema de filtragem seguro é se o roteador reordena instruções de filtro (projetada para otimizar filtros, isto algumas vezes pode mudar o significado e causar acesso não pretendido), e se é possível aplicar filtros para pacotes que chegam e que saem em cada interface (se o roteador filtra somente pacotes que saem então o roteador é externo aos seus filtros e pode ser mais vulnerável para atacar). Além do roteador ser vulnerável, esta distinção entre aplicar filtros em pacotes que chegam ou que saem é especialmente relevante para roteadores com mais de duas interfaces.

Outras questões importantes são a capacidade de criar filtros baseado nas opções do cabeçalho IP e o fragmento de estado do pacote. Construir um bom filtro pode ser muito difícil e requer um bom entendimento do tipo de serviços (protocolos) que serão filtrados.
Para melhor segurança, os filtros geralmente restringem acesso entre as duas redes conectadas a apenas um host, o bastion host. Só é possível ter acesso para a outra rede através deste bastion host. Como somente este host, em lugar de algumas centenas de host´s, pode ser atacado, é mais fácil manter um certo nível de segurança pois somente este host tem que ser muito cuidadosamente protegido.

Para tornar disponível recursos para legitimar usuários através deste firewall, serviços tem que ser passados adiante pelo bastion host. Alguns servidores tem esta capacidade embutida (como servidores DNS ou servidores SMTP), para outros serviços (por exemplo, Telnet, FTP, etc.), servidores proxy podem ser usados para permitir acesso aos recursos através do firewall de modo seguro.

Um servidor proxy é um modo para concentrar serviços de aplicação através de uma única máquina. Tipicamente existe uma única máquina (o bastion host) que atua como um servidor proxy para uma variedade de protocolos (Telnet, SMTP, TFP, HTTP, etc.) mas podem existir computadores host individuais para cada serviço. Ao invés de conectar diretamente um servidor externo, o cliente conecta para o servidor proxy que em troca inicia uma conexão para o servidor externo solicitado. Dependendo do tipo de servidor proxy usado, é possível configurar clientes internos para realizar este redirecionamento automaticamente, sem conhecimento para o usuário, outros podem requerer que o usuário conecte diretamente para o servidor proxy e então iniciar a conexão através de um formato específico.

Existem significantes benefícios de segurança que podem ser obtidos pelo uso de servidores proxy. É possível adicionar listas de controle de acesso para protocolos, exigir que usuários ou sistemas forneçam algum nível de autenticação antes do acesso ser concedido.

Servidores proxy mais espertos, algumas vezes chamados Gateways da Camada de Aplicação, podem ser escritos de modo que entendam protocolos específicos e podem ser configurados para bloquear somente subseções do protocolo. Por exemplo, um Gateway de Aplicação para FTP pode reconhecer a diferença entre o comando “put” e o comando “get”; uma organização pode desejar permitir aos usuários realizar “get” de arquivos da Internet, mas não permitir “put” de arquivos internos no servidor remoto. Em contraste, um roteador de filtragem poderia ou bloquear todo acesso ao FTP, ou não, mas não um subconjunto.

Servidores proxy também podem ser configurados para encriptar fluxos de dados baseado em uma variedade de parâmetros. Uma organização pode usar esta característica para permitir conexões encriptadas entre duas localizações cujos únicos pontos de acesso estão na Internet.

Firewalls são pensados como uma maneira de manter intrusos do lado de fora, mas eles são usados geralmente como uma maneira de legitimar usuários em um site. Existem muitos exemplos onde um usuário válido poderia precisar acessar regularmente o site “home” durante viagens para apresentações e conferências, etc.. Um servidor proxy configurado corretamente pode permitir os usuários corretos no site enquanto bloqueia acesso para outros usuários.

O maior esforço atual em técnicas de firewall é encontrar uma combinação de um par de roteadores de filtragem com um ou mais servidores proxy na rede entre os dois roteadores. Esta configuração permite ao roteador externo bloquear qualquer tentativa de usar a camada IP subjacente para quebrar a segurança (IP spoofing, roteamento pela origem, fragmentos de pacotes), enquanto permite ao servidor proxy tratar potenciais furos de segurança nos protocolo das camadas superiores.

A finalidade do roteador interno é bloquear todo tráfego exceto para o servidor proxy. Se esta configuração é implementada rigorosamente, pode ser obtido um alto nível de segurança.

Muitos firewalls fornecem capacidade de log que pode ser adequado para fazer administração mais conveniente da segurança da rede. A função de log pode ser centralizada e o sistema pode ser configurado para enviar alertas para condições anormais. É importante monitorar regularmente estes logs para qualquer sinal de intrusões ou tentativas de arrombamento.

Desde que alguns intrusos tentarão encobrir seus ataques pela edição dos logs, é desejável proteger esses logs. Uma variedade de métodos está disponível, incluindo: drives escreva uma vez, leia muitos (WORM); logs em papel; e logs centralizados através do utilitário “syslog”. Outra técnica é usar um impressora serial falsa, mas ter uma porta serial conectada para uma máquina isolada ou PC que mantêm os logs.

Firewalls estão disponíveis em uma ampla faixa de qualidade e intensidade. Pacotes comerciais iniciam em aproximadamente $10,000US e alcançam mais de $250,000USD. Firewalls desenvolvidos pelo próprio site podem ser construídos para quantias menores de capital. Deve-se lembrar que a configuração correta de um firewall (comercial ou “caseiro”) requer uma significante habilidade e conhecimento do TCP/IP. Ambos os tipos requerem manutenção regular, instalação de patches de softwares e atualizações, e
monitoração regular. Quando realiza-se o orçamento de um firewall, estes custos adicionais deveriam ser considerados além do custo dos elementos físicos do firewall.

Como um aparte, construir uma solução “caseira” para um firewall requer significante habilidade e conhecimento do TCP/IP. Isto não deveria ser tentado trivialmente pois a sensação de segurança percebida é pior ao longo da execução do que saber que não existe nenhuma segurança. Como com todas as medidas de segurança, é importante decidir na ameaça, o valor do recurso a ser protegido, e os custos para implementar segurança.

Uma nota final sobre firewalls. Eles podem ser uma grande ajuda quando implementando segurança para um site e protegem contra uma grande variedade de ataques. Mas é importante ter em mente que eles são apenas uma parte da solução. Eles não podem  proteger seu site contra todos os tipos de ataque.

Além do firewall

Infelizmente, não há firewall que consiga bloquear um ataque efetuado por fora do firewall. Apesar de isso ser óbvio, a Internet parece deter o monopólio no que se refere a difundir o terror; de modo que há muita gente que só vê perigo na grande rede, deixando  de lado os outros pontos onde, com freqüência, o dano pode ser maior ou o risco mais provável.

São comuns os casos empresas que instalam firewalls de primeira ao mesmo modems permitindo acesso discado sem senha. Isso eqüivale a colocar tranca de aço na portas da frente e abandonar as janelas destrancadas.

Um firewall não impede o vazamento de dados. O correio eletrônico é de fato a forma mais simples de se enviar dados para fora da empresa, mas também é a forma mais perigosa, já que o trafego de correio pode ser controlado e auditado. Um espião consciencioso preferirá uma fita, um disquete (razão pelos quais há quem defenda o banimento dos drives de disquete) ou um simples fax. E lembre-se: se um funcionário fornecer sua senha de acesso a usuários não autorizados ou desconhecidos, não há firewall que resolva.

Firewalls podem ser muito eficientes para reconhecer e neutralizar ataques efetuados da utilização maliciosa de características específicas dos protocolos de comunicação utilizados na rede, mas pouco podem fazer contra ataques baseados em dados. Do ponto de vista do firewall, mensagens de correio ou arquivos copiados para algum servidor não constituem ataque. O resultado é que é possível que crackers se valha de características (ou, mais comumente, falhas) de programas específicos para executar ações nefastas.

O caso mais notório deste tipo de utilização mal-intencionada foi o vírus da Internet, que se valia de uma falha do sendmail (programa de envio de correio do Unix) e derrubou 6 mil maquinas em 1988. Outros exemplos particularmente graves são os vírus e programas executáveis pelos browsers (como applets java ou controles activeX); ambos os casos são tratados pelos firewalls como dados e, em geral, trafegam de uma rede a outra sem problema algum.

A maneira correta de combater vírus é a tradicional, através da utilização de programas rodando em estações e servidores de arquivos identificar e limpar arquivos contaminados logo depois sua gravação em disco.

Também já existem antivírus para servidores de correio capazes de analisar arquivos anexados a mensagens de correio, detectando e removendo vírus antes mesmo que os destinatários sejam notificados de sua chegada.

A prevenção contra o código executável distribuído através da Web deve ser feita nos programas que recebem e executam. Browsers como o Netscape e Internet Explorer têm opções de configuração que permitem que tipos de objetos podem ser recebidos e em que condições podem ser executados.

Apesar de haver no mercado excelentes soluções para proteger redes privadas contra ataque de invasores inescrupulosos, o firewall não pode ser encarado como solução isolada para a questão de segurança na comunicação com a Internet. Há empresas que gastam pequenas fortunas para montar firewall inexpugnáveis mas não se preocupam em criar políticas de segurança coerentes e consistentes.

Para ser eficaz, o firewall deve ser parte de uma política global de segurança – uma que seja realista o bastante para identificar e prevenir os riscos efetivos (maquinas que contêm dados mais confidenciais, por exemplo, não precisam de firewall: elas não devem estar ligadas à Internet), mas que, por outro lado, não seja paranóica a ponto de impedir as pessoas de trabalhar.

Webroot, um renomado provedor de solução de anti-spyware, lançou um press release identificando os dez principais ameaças emergentes de spyware e adware. Você provavelmente não ouviu falar da maioria deles e alguns podem até surpreender você.

A pesquisa estima que 9 entre 10 computadores estão infectados com spyware, também conhecido como adware, scumware, malware e muitos outros nomes pouco recomendáveis. Aqui estão os 10 mais encontrados:
• PurtyScan – anúncios popup que enganam os usuários sugerindo instalar um programa para achar e apagar imagens pornográficas armazenadas no computador.
• n-CASE – adware que exibe anúncios popup direcionados de acordo com seus hábitos de navegação na Web. Este programa está normalmente empacotado em um freeware e é instalado junto com ele.
• Gator – adware que exibe anúncios de banners baseados em seus hábitos de navegação na Web. Este programa está normalmente empacotado em arquivos compartilhados pelo Kazaa, bem como em outros programas gratuitos.
• CoolWebSearch – seqüestra a página inicial, configurações do Internet Explorer, e pesquisas na Web.
• Transponder – monitora os sites visitados e quaisquer dados informados em formulários on-line, e então exibe anúncios direcionados.
• ISTbar/AUpdate – spyware que se passa por uma barra de ferramentas. Usuários infectados relataram que ele exibe pornografia, pop-ups, e seqüestra a página inicial e a ferramenta de pesquisas do Internet Explorer.
• KeenValue – adware que coleciona informações pessoais e exibde anúncios.
• Internet Optimizer – seqüestra páginas de erro e as redireciona para seu próprio site.
• Perfect Keylogger – registra todas as teclas pressionadas (inclusive informações pessoais, senhas, etc), clicks e sites visitados.
• TIBS Dialer – seqüestra o telefone e o modem, desfaz sua conexão e a redireciona para serviços de pornografia que cobram por minuto. O prejuízo é notado na próxima conta telefônica.
As precauções seguintes são recomendadas na briga contra spyware:

• Instale as correções de segurança da Microsoft
• Evite carregar e usar programas freeware de fontes não confiáveis
• Desabilite o download de ActiveX no Internet Explorer.
• Instale pelo menos um programa anti-spyware. Alguns peritos recomendam realmente que você tenha dois instalados.

Para autores você pode fazer download de um dos programas grátis de remoção de spyware. Existem também alguns bons programas anti-spywares no mercado que protegem seu computador (alertando você antes do spyware ser instalado).

Quando adquirir um programa anti-spyware você precisar estar certo que é de uma companhia respeitável uma vez que a maioria do programas anti-spywares oferecidos são na realidade spyware. Eles oferecem uma varredura grátis de seu computador e instala o spyware em seu computador enquanto ele está esquadrinhando. Então eles atraem você para comprar o produto para remover o spyware.
Em conclusão, se você tomar algumas precauções e instalar software anti-spyware em seu sistema você estará bem protegido na briga contra spyware.