ANÁLISE DE FERRAMENTAS FIREWALL NO MERCADO ATUAL José Alcino Furtado Curso Técnico em Informática Instituto Federal de Santa Catarina josealcinofurtado@gmail.com INTRODUÇÃO Firewalls são ferramentas ou dispositivos capazes de controlar o fluxo de dados em uma rede de computadores de forma a permitir ou negar a entrada ou saída dos dados que fluem. Na situação atual do desenvolvimento da tecnologia, todos os mecanismos de segurança são bastante requisitados, não apenas pelo usuário mas pelos sistemas de informação de maneira geral. Afinal, a informação se transformou no bem mais precioso de nossa sociedade desde meados do século passado. Já durante a segunda guerra mundial e, posteriormente, no período da guerra fria, as informações passaram a ser de vital importância para o sucesso das organizações e dos países. Uma das formas de se levar vantagens na obtenção de informações privilegiadas é tentar alcançá-las diretamente na fonte, ou seja, nos sistemas de informações onde elas são geradas e/ou armazenadas. Assim, os mecanismos de intrusão e captação de dados funcionam de maneira autônoma para capturar esses dados e enviá-los a um determinado destinatário. Por esse motivo as ferramentas firewalls funcionam como um imprescindível meio de diminuir os riscos e mantê-los sob controle, já que a única forma de acabar completamente com eles seria impedir todo tráfego na rede, o que é impossível, afinal, uma rede sem tráfego é um paradoxo. FIREWALL De maneira objetiva e sucinta, os firewalls são interpostos na rede por onde fluem os dados podendo, assim, impedir a entrada de um pacote de dados indesejado ou suspeito ou a saída indevida e descontrolada de dados. Há diversas tecnologias envolvidas nesse conceito, fazendo com que os firewalls possam ser de tipos diferentes, de acordo com a maneira com ele atua na rede, ou mesmo ter formas diferentes de atuar na rede de acordo com as configurações feitas nele pelo administrador da rede. As tecnologias aplicadas aos firewalls foram sendo incrementadas à medida em que eles foram evoluindo, por isso foram divididos em gerações: Primeira Geração (Filtros de Pacotes) A tecnologia foi disseminada em 1988 através de pesquisa sustentada pela DEC; Bill Cheswick e Steve Bellovin da AT&T desenvolvem o primeiro modelo para prova de conceito; O modelo tratava-se de um filtro de pacotes responsável pela avaliação de pacotes do conjunto de protocolos TCP/IP; Apesar do principal protocolo de transporte TCP orientar-se a um estado de conexões, o filtro de pacotes não tinha este objetivo inicialmente (uma possível vulnerabilidade). Até hoje, este tipo de tecnologia é adotada em equipamentos de rede para permitir configurações de acesso simples (as chamadas "listas de acesso" ou "access lists"). O ipchains é exemplo recente de um firewall que utiliza a tecnologia desta geração. Hoje o "ipchains" foi substituído pelo iptables que é nativo do Linux e com maiores recursos. Regras Típicas na Primeira Geração Restringir tráfego baseado no endereço IP de origem ou destino; Restringir tráfego através da porta (TCP ou UDP) do serviço. Segunda Geração (Filtros de Estado de Sessão) A tecnologia foi disseminada a partir de estudo desenvolvido no começo dos anos 90 pelo Bell Labs;
Pelo fato de o principal protocolo de transporte TCP orientar-se por uma tabela de estado nas conexões, os filtros de pacotes não eram suficientemente efetivos se não observassem estas características; Foram chamados também de firewall de circuito. Regras Típicas na Segunda Geração Todas as regras da 1ª Geração; Restringir o tráfego para início de conexões (NEW); Restringir o tráfego de pacotes que não tenham sido iniciados a partir da rede protegida (ESTABLISHED); Restringir o tráfego de pacotes que não tenham número de sequência corretos. Terceira Geração (Gateway de Aplicação - OSI) Baseado nos trabalhos de Gene Spafford (co-autor do livro Practical Unix and Internet Security), Marcos Ranum (fundador da empresa TIS), e Bill Cheswick; Também são conhecidos como "Firewall de Aplicação" ou "Firewall Proxy"; Foi nesta geração que se lançou o primeiro produto comercial em 13 de Junho de 1991 o SEAL da DEC; Diversos produtos comerciais surgiram e se popularizaram na década de 90, como os firewalls Raptor, Gauntlet (que tinha sua versão gratuita batizada de TIS) e Sidewinder, entre outros. Regras Típicas na Terceira Geração Todas as regras das gerações anteriores; Restringir acesso FTP a usuários anônimos; Restringir acesso HTTP para portais de entretenimento; Restringir acesso a protocolos desconhecidos na porta 443 (HTTP/S). Quarta Geração e subsequentes O firewall consolida-se como uma solução comercial para redes de comunicação TCP/IP; Diversas empresas como Fortinet, SonicWALL, Juniper, Checkpoint e Cisco desenvolvem soluções que ampliam características anteriores: Stateful Inspection para inspecionar pacotes e tráfego de dados baseado nas características de cada aplicação, nas informações associadas a todas as camadas do modelo OSI (e não apenas na camada de rede ou de aplicação) e no estado das conexões e sessões ativas; Prevenção de Intrusão para fins de identificar o abuso do protocolo TCP/IP mesmo em conexões aparentemente legítimas; Deep Packet Inspection associando as funcionalidades do Stateful Inspection com as técnicas dos dispositivos IPS; A partir do início dos anos 2000, a tecnologia de Firewall foi aperfeiçoada para ser aplicada também em estações de trabalho e computadores domésticos (o chamado "Firewall Pessoal"), além do surgimento de soluções de firewall dedicado a servidores e aplicações específicas (como servidores Web e banco de dados). Tecnologias de Firewall Muitas empresas imaginam que estão seguras porque já instalaram um firewall no seu link Internet. Esta é uma percepção errada e perigosa, pois existem várias questões que devem ser verificadas e constantemente aprimoradas para garantir a segurança de uma empresa. O firewall, geralmente colocado na borda da rede, funciona como um ponto de verificação que permite ou não a comunicação de acordo com as regras configuradas. Pode-se separar os firewalls em três tipos diferentes de tecnologia utilizada: packet filtering, stateful inspection e application proxy. A tecnologia de packet filtering foi uma das primeiras a ser implementada nos roteadores e utiliza as características do pacote de rede que está passando pelo roteador para permitir ou não sua passagem. O packet filtering é a mais simples das três tecnologias. É bastante limitada por não conseguir filtrar adequadamente protocolos de rede que abrem portas dinamicamente sem precisar abrir por completo uma faixa de portas e endereços.
O stateful inspection é a tecnologia mais utilizada nos firewalls atualmente. Tem capacidade de identificar o contexto do pacote dentro de uma comunicação estabelecida e assim permitir ou não a passagem. Para se ter uma idéia do que isso significa, a ferramenta verifica se os pacotes são resposta a uma requisição anteriormente realizada e analisada, considerada de acordo com a política implementada nas regras do firewall e colocada em uma tabela de estados para referência futura quando a resposta à requisição voltar. O uso das tabelas de estados no stateful inspection firewall garante um grande desempenho ao permitir que os pacotes que se seguem depois de iniciada uma comunicação passem rapidamente pelo firewall sem ter de passar novamente pelas regras da política de segurança. Portas são abertas temporariamente somente para os pacotes corretos de acordo com o tipo e de acordo com o comportamento dinâmico previamente conhecido do protocolo que está sendo utilizado. O application proxy firewall permite a análise de todas as camadas de comunicação até a camada 7, ou seja, até a última camada do modelo OSI, que é a camada de aplicação. Isto permite um controle total da comunicação impedindo os ataques que tentam explorar, por exemplo, vulnerabilidades nas aplicações dentro dos servidores. Como exemplo, um packet filtering firewall permitiria a passagem de pacotes na porta 80 (geralmente protocolo HTTP) mesmo que ninguém os tivesse requisitado; um statefull inspection firewall permitiria a passagem do protocolo HTTP para o servidor web da empresa porque está de acordo com as regras definidas; somente o application proxy firewall bloquearia uma sequência especial de caracteres misturada nas informações HTTP que fazem a aplicação dentro do servidor travar. Se o application proxy firewall é tão bom, porque ele não é utilizado por todos? Provavelmente porque esta técnica exige muito recurso de CPU e não consegue grande escalabilidade, o que torna a solução cara e de difícil manutenção. Para cada comunicação estabelecida, o firewall tem que abrir uma conexão com o cliente e outra com o servidor. Para cada protocolo e/ou aplicação nova que surge, existe a necessidade de nova implementação no firewall. Isso para que esta seja corretamente acompanhada pelo proxy sob pena de ter de utilizar um mecanismo padrão que só coloca um intermediário atrasando e, em alguns casos, atrapalhando a comunicação. Qualquer que seja a tecnologia utilizada, a instalação do firewall deve ser acompanhada de várias ações e soluções complementares. Às vezes, por descuido, necessidade de liberar rapidamente um acesso ou limitações do firewall utilizado, verdadeiros buracos deixam sistemas inteiros expostos. O firewall sozinho é como a porta de um cofre, sem o acompanhamento adequado dos logs ou de um IPS (Intrusion Prevention System), pode ser comprometido se for atacado constantemente. Para o caso de queda do link Internet, devem existir esquemas de contingência e, de preferência, automáticos para a empresa continuar a receber e-mails e manter as páginas WEB no ar. Além do firewall, é preciso se preocupar com o roteador e com os links de acesso. Um sistema de balanceamento e priorização do tráfego permite que as aplicações de missão crítica estejam sempre disponíveis e com a banda adequada. Os concentradores VPN permitem que o acesso remoto seja feito de forma segura, com autenticação e criptografia de dados. Existem softwares clientes VPN que utilizam IPSec e, mais recentemente, esquemas que necessitam apenas de um internet browser na ponta para utilizar SSL VPNs que dispensam o uso de softwares adicionais. O uso de autenticação forte é importante para garantir que mesmo que uma senha seja comprometida ela não possa ser reutilizada em outros acessos. Sistemas de controle de acesso para garantir que a estação remota está com parâmetros mínimos de segurança como antivírus, patches de sistema operacional e firewall pessoal instalados é importante para evitar que códigos maliciosos sejam transmitidos pela VPN. ANÁLISE DE FIREWALL Para se definir qual a melhor ferramenta para a necessidade de uma rede, de uma organização ou de um sistema de informática qualquer, é necessário analisar as
ferramentas disponíveis sob um ponto de vista técnico e determinar parâmetros de referência. Além disso, é preciso que se coloque a ferramenta sob teste e poder medir a sua eficiência. Para tanto deve-se ter um conhecimento técnico considerável a respeito de segurança da informação e ferramentas firewall. Um desses analistas é Scot Finnie que explica sua metodologia de análise em seu site: http://www.scotsnewsletter.com/fw_test.htm. Assim sendo, recorreu-se a sites que realizam este tipo de análise comparativa. Alguns exemplos desses sites: Security Space Desktop Audit HackerWhacker McAfee's HackerWatch.org PC Flank Tests Shields Up! O resultado mostrado a seguir é uma síntese de uma dessas análises que pode ser vista integralmente em http://personal-firewallsoftware-review.toptenreviews.com/ : Considere a margem das notas entre 0,0 e 4,0 pontos. 1º: ZoneAlarm Pro Estrutura e Funções: 4,0 Preço: US$ 44,95 2º: Outpost Firewall Pro Confiabilidade: 4,0 Preço: US$ 39,95 3º: Norton Personal Firewall Ajuda e Suporte: 3,5 Preço: US$ 49,99 4º: Norman Personal Firewall Estrutura e Funções: 3,0 Confiabilidade: 3,0 Preço: US$ 50,65 5º: SurfSecret Personal Firewall Estrutura e Funções: 3,0 Preço: US$ 39,99 6º: McAfee Personal Firewall Pro Facilidade de Instalação e Configuração: 3,0 Preço: US$ 34,99 7º: BullGuard Facilidade de Instalação e Configuração: 3,5 Confiabilidade: 3,0 Preço: US$ 59,99 8º: Sygate Personal Firewall Pro Estrutura e Funções: 3,0 Preço: US$ 39,95 9º: Injoy Firewall Estrutura e Funções: 2,5 Facilidade de Instalação e Configuração: 3,0 Preço: US$ 30,00 10º: BlackICE PC Protection Estrutura e Funções: 2,5 Facilidade de Instalação e Configuração: 3,0 Confiabilidade: 3,0 Preço: US$ 39,95
Alguns usuários e técnicos tendem a definir suas preferências em função de suas experiências de uso entre outros fatores de análise menos objetivos e por isso mesmo podem refutar o resultado dessa análise, contudo é importante ressaltar que aqui não se apresentam preferências mas parâmetros de comparação sob um modelo. Há softwares que podem realizar análises sobre as ferramentas firewall instaladas na rede, bem como empresas especializadas em fazer este tipo de análise. A cerca dos firewalls open source, poucas referências são achadas na Internet, e o principal motivo pode ser o fato de que essas análises não têm interesse comercial. Na maioria das vezes as análises são feitas por usuários com conhecimentos técnicos, mas sem muitos parâmetros de controle científicos, ou seja, se algum outro refizer a análise pode acabar por findar com resultados diferentes. Além disso, por serem de código aberto é difícil garantir que não haveria modificações feitas na ferramenta analisada. Quanto ao SO sob o qual se aplica a ferramenta, outra contenda se apresenta em relação aos usuários, afinal as ferramentas disponíveis para SO proprietários são, principalmente as comerciais. Eis exemplos de ferramentas firewall de licença gratuita (open source ou GPL) para diferentes SO s que podem ser encontradas no site SuperDownloads.com. Sem dúvida a predominância é de ofertas para Linux. Brazil Firewall & Router 2.29.4 Firewall e roteador de Internet Falcon Firewall Project 0.1.5-1 Firewall seguro e gratuito, com diversas opções de configuração, é uma ótima alternativa para a proteção de seu micro Shoreline Firewall 4.2.5 Firewall baseado no Iptables Jsfirewall 0.7.2 Sistema de firewall para PCs com placa de rede única Automatic Firewall Script 0.3.1 Configura automaticamente seu firewall Coyote Linux 3.00 Build Distribuição Linux voltada para firewall e compartilhamento de conexão Firewall Linuxman 0.4.6 Script de Netfilter/Iptables Guarddog 2.6.0 Firewall fácil de configurar que suporta FTP, SSH, Telnet, Linuxconf, Corba, SMTP, DNS, Finger, HTTP, HTTPS, NFS, POP2 e POP3 Linux Ambiente gráfico KDE Ipkungfu 0.6.1 Firewall baseado no iptable do Linux, tem como objetivo simplificar o compartilhamento da Internet, filtrar pacotes e etc Firestarter 1.0.3 Firewall para Linux que pode ser configurado através de interface gráfica e aprimorado e por linha de comando Linux Ambiente gráfico Gnome, Ambiente gráfico KDE, Ambiente gráfico X11 IP-Array 0.05.72 Script para o firewall iptables do linux escrito em BASH. O programa permite a criação de regras precisas SmoothWall 3.0 Express (i386, i486, i586) Pequena distribuição para atuar como firewall e/ou gateway Distribuição linux Devil 1.2.15 (i686) LiveCD que atua como firewall e roteador Distribuição linux NuFW 2.2.21 Suite de autenticação por firewall WaterRoof 2.2
Uma interface gráfica para o firewall de seu Mac, oferecendo diversas opções de configurações Mac OSX SmoothWall Express 3.0 SP1 Uma solução barata e eficaz para gerenciamento de firewall que, segundo especialistas, é a melhor opção grátis hoje. - Windows 95, 98, NT, 2000, Millenium, XP, 2003, Vista - Linux Ambiente gráfico Gnome, Ambiente gráfico KDE, Ambiente gráfico X11 - Mac OSX Floppyfw 3.0.5 (i386,i486,i586) Distribuição para ser usada como firewall e roteador Distribuição linux PeerGuardian 2 1.5 beta Protege qualquer programa P2P do monitoramento das gravadoras. Funciona basicamente como um firewall que impede conexões dos IPs Outra característica interessante sobre as ferramentas disponíveis atualmente é que muitas delas são encontradas em pacotes de softwares antivírus. Estes são alguns dos melhores produtos de firewalls pessoais e produtos de Segurança para Internet que estão disponíveis gratuitamente para uso pessoal. Tall Emu Online Armor Personal Firewall PC Tools Firewall Plus Comodo Firewall Pro Outpost Firewall Free seria uma consultoria especializada que pudesse indicar as melhores soluções, após uma análise pré-implementação e outra pósimplementação. Deve-se, ainda manter um protocolo de análise frequente da eficiência e da eficácia das soluções adotadas. REFERÊNCIAS http://pt.wikipedia.org/wiki/firewall http://personal-firewall-softwarereview.toptenreviews.com/ http://www.timaster.com.br/revista/artigos/mai n_artigo.asp?codigo=1239 http://busca.superdownloads.uol.com.br/busc a/firewall.l3.html http://www.firewallguide.com/freeware.htm http://www.scotsnewsletter.com/fw_test.htm Security Space Desktop Audit - https://secure1.securityspace.com/smysecure /desktop_index.html?refid=975297074 HackerWhacker - http://hackerwhacker.com/ McAfee's HackerWatch.org - http://www.hackerwatch.org/probe/ PC Flank Tests - http://www.pcflank.com/about.htm Shields Up! - https://grc.com/x/ne.dll?bh0bkyd2 CONCLUSÃO Muitas são as possibilidades quando se deseja se referir às melhores soluções em firewall disponíveis atualmente, inclusive porque as frequentes atualizações de versões dessas ferramentas e Sistemas Operacionais geram novas possibilidades na velocidade da informação. Pode-se afirmar que a melhor solução depende de diversos fatores como características da organização, configuração da rede, necessidades de acesso e negócio, por exemplo. Para uma organização onde o foco não é a Tecnologia da Informação, o mais indicado