Mecanismo de firewall e seus conceitos

Muito já se escreveu sobre iptables. Eu mesmo possuo alguns artigos. Mas este artigo, em especial, descreve os conceitos, o que é um firewall e suas classificações.

[ Hits: 144.292 ]

Por: Elgio Schlemer em 01/11/2009 | Blog: https://profelgio.duckdns.org/~elgio


Classificação quanto ao poder



Os filtros de pacotes ainda se dividem em stateless, muito mais conhecido como filtro estático, e os filtro statefull, também chamado de filtro dinâmico.

Um filtro stateless ou estático é aquele que precisa tomar a sua decisão baseado unicamente no pacote atual. Tal filtro não tem possibilidade de "lembrar-se" do passado e nunca poderia tomar uma decisão como "vou bloquear este pacote porque já passaram 100 deste ip no último minuto". Para que ele fizesse isto, teria que armazenar a informação de que passaram-se 100 pacotes em um minuto, e o stateless não tem esta memória.

A única informação que um stateless pode usar para decidir pelo bloqueio ou não de um pacote é baseado em informações que estão presentes neste pacote. Informações estas que podem ser número do IP, da porta, do protocolo ou qualquer outra informação disponível nos cabeçalhos do pacote que se está filtrando.

Já os filtros statefull ou dinâmicos permitem tomar sua decisão baseada em decisões ou pacotes anteriores. Com um filtro statefull é possível tomar uma decisão como"vou deixar este pacote de dados passar porque a origem completou corretamente o handshake TCP". Para que ele tome esta decisão é necessário que ele tenha visto o handshake e armazenado esta informação para lembrar-se dele posteriormente (Figura 3).
Linux: Mecanismo de firewall e seus conceitos
Filtros de pacotes incorporados a roteadores comerciais geralmente são apenas stateless. O motivo disto é fácil de explicar, já que são roteadores e não firewalls. Todo o hardware foi construído para rotear e rotear bem. Também porque os filtros statefull requerem muito mais recursos de hardware, seja de memória para armazenar as informações de pacotes anteriores, seja de processamento para recuperar esta informação consultando tabelas. Filtros statefull são mais lentos e consomem mais recursos e mais facilmente podem tornarem-se gargalos.

Já o iptables é extremamente statefull. Extremamente porque muita coisa pode ser feita baseada em sua capacidade de memorização de pacote, como:
  • consultar sua tabela para ver se este pacote pertence a uma sessão ativa (módulo state);
  • contar quantos pacotes passam por determinando intervalo de tempo (módulo limit);
  • armazenar os ips de origem e contar quantos pacotes vieram deles (módulo recent);

O iptables possui recursos que podem até instigar a curiosidade sobre sua necessidade. Pode-se até mesmo decidir recusar, aleatoriamente, uma porcentagem dos pacotes que entram.

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Classificação quanto a atuação
   3. Classificação quanto ao que protege
   4. Classificação quanto ao poder
   5. Conclusão e referências
Outros artigos deste autor

Sinais em Linux

Estrutura do Iptables

Autenticação por desafio e resposta no SSH

Fundamentos da criptografia assimétrica

Cuidado com números em Ponto Flutuante

Leitura recomendada

Testando configurações e segurança do Apache com Nikto

Procurando rootkits no seu sistema

Encapsulando BIND 9 e Apache 2 para obter maior segurança

MaraDNS: Simples - Seguro - Robusto (parte 3)

Analisando arquivos de registro (log)

  
Comentários
[1] Comentário enviado por removido em 01/11/2009 - 20:41h

Grande Elgio e seus belos artigos.
Excelente artigo, já terminando a leitura, nos favoritos do VOL. =]

[]'s

[2] Comentário enviado por fernandoborges em 02/11/2009 - 20:04h

Já me tornei um leitor assíduo de seus artigos aqui no VOL. Parabéns por mais esse excelente texto. Direto, agradável e preciso.

[3] Comentário enviado por czelusniak em 03/11/2009 - 08:15h

Parabéns Elgio, ótimo artigo.

[4] Comentário enviado por texugo89 em 03/11/2009 - 11:30h

Parabéns pelo artigo! Muito valioso!

Gostei muito dos slides da sua palestra também! Me parece que a palestra foi MUITO boa!

Caso faça alguma palestra por São Paulo me avise ok?

[]s

[5] Comentário enviado por grandmaster em 04/11/2009 - 08:02h

Grande artigo, realmente vale a leitura.

---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

[6] Comentário enviado por xirulito em 04/11/2009 - 20:39h

otimos slides
recomendo ler todos
os slides vale a pena
abraço

[7] Comentário enviado por mda_deb em 05/11/2009 - 19:28h

Olá elgio,

Obrigado por compartilhar mais uma vez, seus artigos são sempre bem-vindos.

[]s

[8] Comentário enviado por tiagotavares em 05/11/2009 - 23:18h

Isso sim é artigo!

Abraços!

[9] Comentário enviado por cesar em 06/11/2009 - 15:11h

Parabéns Elgio,

Excelente artigo.

[]'s

[10] Comentário enviado por removido em 17/06/2012 - 14:27h

bela explicação dos conceitos e mecanismos de firewall.

muito 10!

[11] Comentário enviado por leo4b em 18/08/2012 - 00:21h

Elgio, primeiramente parabéns pelos artigos.
Sobre a a filtragem na camada de enlace, ele trabalha diretamente nessa camada, ou ele "abre" a PDU na camada acima, analisando o cabeçalho da camada de enlace e depois "remonta" e aplica a filtragem?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts