Mecanismo de firewall e seus conceitos
Muito já se escreveu sobre iptables. Eu mesmo possuo alguns artigos. Mas este artigo, em especial, descreve os conceitos, o que é um firewall e suas classificações.
[ Hits: 144.794 ]
Por: Elgio Schlemer em 01/11/2009 | Blog: https://profelgio.duckdns.org/~elgio
Classificação quanto a atuação
Um firewall pode inicialmente ser classificado em dois tipos básicos, filtros de aplicação e filtro de pacotes.
Filtro de pacotes tem condições de filtrar baseado unicamente no conteúdo de seus cabeçalhos. Apesar do iptables permitir filtragem por contexto, ainda assim ele é considerado um filtro de pacotes.
Já o Squid, por exemplo, é considerado um filtro de aplicação. Ele (Squid) tem conhecimento para analisar não apenas os cabeçalhos mas também o conteúdo de um pacote do tipo HTTP e aplicar regras de bloqueio baseado em textos (strings) contidas dentro dele. O Squid entende uma requisição HTTP, sabe o que é um GET e um POST, assim como todos os campos e dados de uma sessão HTTP. Trata-se, portanto, de um filtro de aplicação. Mesmo o iptables podendo filtrar baseado em strings, não chega nem perto do que um Squid pode fazer.
Tipicamente, determina-se como filtro de pacotes um firewall que trabalha apenas nos níveis de Rede e Transporte do modelo TCP/IP (Figura 1). Este modelo ainda conta com o nível físico, que não faz parte da pilha pois é hardware (a pilha TCP/IP tipicamente representa apenas software, tarefas que o sistema operacional deve implementar).
Resumidamente, no nível de Enlace tem-se, por exemplo, o Ethernet, onde o endereçamento é realizado através de uma informação de 48 bits conhecida como MAC ADDRESS, ou endereço de hardware (o campo Hwaddr fornecido por um ifconfig).
No nível de rede tem-se o roteamento, sendo o protocolo IPv4 o mais usado, apesar da existência da versão 6 que ainda não se popularizou. Já no nível de transporte tem-se o UDP e TCP como principais protocolos e na aplicação os programas e aplicações, como o Apache e Firefox.
Trabalhar no nível de rede significa que um filtro de pacotes pode analisar o cabeçalho deste, como IP de destino e IP de origem, enquanto que trabalhar no nível de transporte significa que pode filtrar por protocolo (UDP, TCP), porta de origem e de destino.
O iptables, mesmo sendo um filtro de pacotes, vai um pouco além disto, permitindo filtrar no nível de Enlace (MAC placa de rede) e até mesmo na aplicação. O pessoal do BSD critica muito esta postura do iptables de ser um, quase, canivete suíço que faz tudo, até o que não deveria ser, conceitualmente, tarefa de um filtro de pacotes.
Filtro de pacotes tem condições de filtrar baseado unicamente no conteúdo de seus cabeçalhos. Apesar do iptables permitir filtragem por contexto, ainda assim ele é considerado um filtro de pacotes.
Já o Squid, por exemplo, é considerado um filtro de aplicação. Ele (Squid) tem conhecimento para analisar não apenas os cabeçalhos mas também o conteúdo de um pacote do tipo HTTP e aplicar regras de bloqueio baseado em textos (strings) contidas dentro dele. O Squid entende uma requisição HTTP, sabe o que é um GET e um POST, assim como todos os campos e dados de uma sessão HTTP. Trata-se, portanto, de um filtro de aplicação. Mesmo o iptables podendo filtrar baseado em strings, não chega nem perto do que um Squid pode fazer.
Tipicamente, determina-se como filtro de pacotes um firewall que trabalha apenas nos níveis de Rede e Transporte do modelo TCP/IP (Figura 1). Este modelo ainda conta com o nível físico, que não faz parte da pilha pois é hardware (a pilha TCP/IP tipicamente representa apenas software, tarefas que o sistema operacional deve implementar).
No nível de rede tem-se o roteamento, sendo o protocolo IPv4 o mais usado, apesar da existência da versão 6 que ainda não se popularizou. Já no nível de transporte tem-se o UDP e TCP como principais protocolos e na aplicação os programas e aplicações, como o Apache e Firefox.
Trabalhar no nível de rede significa que um filtro de pacotes pode analisar o cabeçalho deste, como IP de destino e IP de origem, enquanto que trabalhar no nível de transporte significa que pode filtrar por protocolo (UDP, TCP), porta de origem e de destino.
O iptables, mesmo sendo um filtro de pacotes, vai um pouco além disto, permitindo filtrar no nível de Enlace (MAC placa de rede) e até mesmo na aplicação. O pessoal do BSD critica muito esta postura do iptables de ser um, quase, canivete suíço que faz tudo, até o que não deveria ser, conceitualmente, tarefa de um filtro de pacotes.
Páginas do artigo
1. Introdução2. Classificação quanto a atuação
3. Classificação quanto ao que protege
4. Classificação quanto ao poder
5. Conclusão e referências
Outros artigos deste autor
Parâmetros interessantes do scanf e do printf em C
Iptables protege contra SYN FLOOD?
Leitura recomendada
Netcat - O canivete suíco do TCP/IP
Metasploit Community Edition - Instalation
Desligamento automático seletivo com apcupsd
Acesso remoto de forma simples e segura
Comentários
[1] Comentário enviado por removido em 01/11/2009 - 20:41h
Grande Elgio e seus belos artigos.
Excelente artigo, já terminando a leitura, nos favoritos do VOL. =]
[]'s
Grande Elgio e seus belos artigos.
Excelente artigo, já terminando a leitura, nos favoritos do VOL. =]
[]'s
[2] Comentário enviado por fernandoborges em 02/11/2009 - 20:04h
Já me tornei um leitor assíduo de seus artigos aqui no VOL. Parabéns por mais esse excelente texto. Direto, agradável e preciso.
Já me tornei um leitor assíduo de seus artigos aqui no VOL. Parabéns por mais esse excelente texto. Direto, agradável e preciso.
[4] Comentário enviado por texugo89 em 03/11/2009 - 11:30h
Parabéns pelo artigo! Muito valioso!
Gostei muito dos slides da sua palestra também! Me parece que a palestra foi MUITO boa!
Caso faça alguma palestra por São Paulo me avise ok?
[]s
Parabéns pelo artigo! Muito valioso!
Gostei muito dos slides da sua palestra também! Me parece que a palestra foi MUITO boa!
Caso faça alguma palestra por São Paulo me avise ok?
[]s
[5] Comentário enviado por grandmaster em 04/11/2009 - 08:02h
Grande artigo, realmente vale a leitura.
---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br
Grande artigo, realmente vale a leitura.
---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br
[6] Comentário enviado por xirulito em 04/11/2009 - 20:39h
otimos slides
recomendo ler todos
os slides vale a pena
abraço
otimos slides
recomendo ler todos
os slides vale a pena
abraço
[7] Comentário enviado por mda_deb em 05/11/2009 - 19:28h
Olá elgio,
Obrigado por compartilhar mais uma vez, seus artigos são sempre bem-vindos.
[]s
Olá elgio,
Obrigado por compartilhar mais uma vez, seus artigos são sempre bem-vindos.
[]s
[10] Comentário enviado por removido em 17/06/2012 - 14:27h
bela explicação dos conceitos e mecanismos de firewall.
muito 10!
bela explicação dos conceitos e mecanismos de firewall.
muito 10!
[11] Comentário enviado por leo4b em 18/08/2012 - 00:21h
Elgio, primeiramente parabéns pelos artigos.
Sobre a a filtragem na camada de enlace, ele trabalha diretamente nessa camada, ou ele "abre" a PDU na camada acima, analisando o cabeçalho da camada de enlace e depois "remonta" e aplica a filtragem?
Elgio, primeiramente parabéns pelos artigos.
Sobre a a filtragem na camada de enlace, ele trabalha diretamente nessa camada, ou ele "abre" a PDU na camada acima, analisando o cabeçalho da camada de enlace e depois "remonta" e aplica a filtragem?
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Como gerar um podcast a partir de um livro em PDF
Automatizando digitação de códigos 2FA no browser
Resolver problemas de Internet
Como compartilhar a tela do Ubuntu com uma Smart TV (LG, Samsung, etc.)
Dicas
Como Instalar o Microsoft Teams no Linux Ubuntu
Músicas de Andrew Hulshult no DOOM (WAD)
Instalar o Apache, MySQL e PHP no Oracle Linux 8
Bloqueando telemetria no Deepin 23.1
Como converter imagens PNG/JPEG para SVG em linha de comando
Tópicos
Top 10 do mês
-
Xerxes
1° lugar - 72.897 pts -
Fábio Berbert de Paula
2° lugar - 55.962 pts -
Buckminster
3° lugar - 18.971 pts -
Mauricio Ferrari
4° lugar - 16.989 pts -
Alberto Federman Neto.
5° lugar - 15.028 pts -
Daniel Lara Souza
6° lugar - 14.164 pts -
edps
7° lugar - 13.428 pts -
Diego Mendes Rodrigues
8° lugar - 13.392 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 13.102 pts -
Andre (pinduvoz)
10° lugar - 10.480 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
