Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.5. Firewalls

A segurança da informação geralmente significa um processo e não um produto. No entanto, implementações de segurança padrões geralmente implementam uma forma de mecanismo dedicada a controlar privilégios de acesso e restringir recursos de rede à usuários não autorizados, identificáveis e rastreáveis. O Red Hat Enterprise Linux inclui diversas ferramentas que assistem administradores e engenheiros de segurança com problemas de controle de acesso em nível de rede.
Firewalls são um dos componentes principais de uma implementação de segurança de rede. Diversos fabricantes criam soluções de firewall, focando em todos os níveis do mercado: desde usuários domésticos protegendo um PC até soluções de banco de dados, protegendo informações corporativas vitais. \nOs Firewalls podem ser soluções de hardware sozinhas, como equipamentos de firewall da Cisco, Nokia e Sonicwall. Empresas como Checkpoint, McAfee e Symantec também desenvolveram soluções de firewall de software privado para mercado doméstico e corporativo.
Além das diferenças entre os firewalls de software e hardware, existem também diferenças na forma que os firewalls funcionam, que separam uma solução da outra. A Tabela 2.2, “Tipos de Firewall” detalha três tipos comuns de firewall e como eles funcionam:

Tabela 2.2. Tipos de Firewall

Método Descrição Vantagens Desvantagens
NAT Network Address Translation (NAT) coloca sub-redes IP privadas atrás de um ou pequeno grupo de endereços IP, mascarando todas as requisições em uma fonte ao invés de diversas. O kernel do Linux possui a funcionalidade NAT embutida através do subsistema do kernel Netfilter.
· Pode ser configurado de forma transparente em máquinas em uma LAN
· A proteção de muitas máquinas e serviços atrás de um ou mais endereços IP externos simplifica as tarefas de administração.
· Restrição de acesso ao usuário de e para uma LAN pode ser configurado ao abrir e fechar portas no fireway/gateway do NAT.
· Não é possível evitar atividades mal-intencionadas depois que os usuários se conectarem à um serviço fora do firewall.
Filtro de Pacote Um firewall de filtro de pacote lê cada pacote de dados que passa por uma LAN. Ele pode ler e processar os pacotes por informações de cabeçalho e filtra o pacote baseado em conjuntos de regras programáveis implementada por um administrador de firewall. O kernel do Linux possui uma funcionalidade de filtro de pacotes embutida através do subsistema do kernel, o Netfilter.
· Personalizável através do utilitário front-end iptables
· Não requer qualquer personalização no lado do cliente, pois todas as atividades de rede são filtradas no nível do roteador ao invés do nível de aplicativo.
· Como os pacotes não são transmitidos através de uma proxy, o desempenho de rede é mais rápido devido à conexão direta do cliente para host remoto.
· Não é possível filtrar pacotes para firewalls de proxy de conteúdo.
· Processa pacotes na camada de protocolos, mas não pode filtrar pacotes na camada do aplicativo.
· Arquiteturas de rede complexas podem dificultar o estabelecimento das regras de filtragem de pacote, principalmente se em par com o mascaramento de IP ou sub-redes locais e redes DMZ.
Proxy Os firewalls de proxy filtram todas as requisições de um certo protocolo ou tipo de clientes LAN para uma máquina de proxy, que então faz essas requisições para a Internet em nome do cliente local. Uma máquina proxy age como um buffer entre os usuários remotos mal-intencionados e as máquinas clientes de rede internas.
· Fornece aos administradores controle sob quais aplicativos e protocolos funcionam foram da LAN
· Alguns servidores proxy podem fazer o cache dos dados mais acessados localmente, ao invés de precisar usar a conexão de internet para requisitá-los. Isto ajuda a reduzir o consumo de banda larga.
· Os serviços proxy podem ser autenticados e monitorados de perto, permitindo um controle maior do uso de recursos na rede.
· Proxies são geralmente aplicativos específicos (HTTP, Telnet, etc.), ou protocolos restritos (a maioria dos proxies funcionam somente com os serviços conectados ao TCP)
· Os serviços de aplicativos não podem ser executados por trás de um proxy, portanto seus servidores de aplicativo devem usar uma forma separada de segurança de rede.
· Os proxies podem se tornar um gargalo na rede, pois todas as requisições e transmissões são passadas através de uma fonte ao invés de diretamente de um cliente à um serviço remoto.

2.5.1. Netfilter e IPTables

O kernel do Linux apresenta um subsistema de rede poderoso chamado Netfilter. O subsistema Netfilter fornece um filtro de pacotes com ou sem estados assim como o NAT e serviços de mascaramento do IP. O Netfilter também tem a habilidade de desmembrar informações de cabeçalho de IP para roteamento avançado e gerenciamento do estado de conexão. O Netfilter é controlado usando a ferramenta iptables.

2.5.1.1. Visão Geral do IPTables

O poder e flexibilidade do Netfilter é implementado usando a ferramenta de administração do iptables, uma ferramenta de linha de comando semelhante à sintaxe de seu precedente, ipchains, o qual o Netfilter/iptables substituiu no kernel 2.4 e posteriores do Linux.
O iptables usa o subsistema do Netfilter para aprimorar a conexão de rede, inspeção e processamento. O iptables apresenta autenticação avançada, ações pré e pós roteamento, tradução de endereço de rede e encaminhamento de porta, todos em uma interface de linha de comando.
Esta seção fornece uma visão geral do iptables. Para mais informações detalhadas, consulte a Seção 2.6, “IPTables”.