Mecanismo de firewall e seus conceitos
Muito já se escreveu sobre iptables. Eu mesmo possuo alguns artigos. Mas este artigo, em especial, descreve os conceitos, o que é um firewall e suas classificações.
[ Hits: 145.076 ]
Por: Elgio Schlemer em 01/11/2009 | Blog: http://profelgio.duckdns.org:8080/~elgio
Classificação quanto ao poder
Os filtros de pacotes ainda se dividem em stateless, muito mais conhecido como filtro estático, e os filtro statefull, também chamado de filtro dinâmico.
Um filtro stateless ou estático é aquele que precisa tomar a sua decisão baseado unicamente no pacote atual. Tal filtro não tem possibilidade de "lembrar-se" do passado e nunca poderia tomar uma decisão como "vou bloquear este pacote porque já passaram 100 deste ip no último minuto". Para que ele fizesse isto, teria que armazenar a informação de que passaram-se 100 pacotes em um minuto, e o stateless não tem esta memória.
A única informação que um stateless pode usar para decidir pelo bloqueio ou não de um pacote é baseado em informações que estão presentes neste pacote. Informações estas que podem ser número do IP, da porta, do protocolo ou qualquer outra informação disponível nos cabeçalhos do pacote que se está filtrando.
Já os filtros statefull ou dinâmicos permitem tomar sua decisão baseada em decisões ou pacotes anteriores. Com um filtro statefull é possível tomar uma decisão como"vou deixar este pacote de dados passar porque a origem completou corretamente o handshake TCP". Para que ele tome esta decisão é necessário que ele tenha visto o handshake e armazenado esta informação para lembrar-se dele posteriormente (Figura 3).
Filtros de pacotes incorporados a roteadores comerciais geralmente são apenas stateless. O motivo disto é fácil de explicar, já que são roteadores e não firewalls. Todo o hardware foi construído para rotear e rotear bem. Também porque os filtros statefull requerem muito mais recursos de hardware, seja de memória para armazenar as informações de pacotes anteriores, seja de processamento para recuperar esta informação consultando tabelas. Filtros statefull são mais lentos e consomem mais recursos e mais facilmente podem tornarem-se gargalos.
Já o iptables é extremamente statefull. Extremamente porque muita coisa pode ser feita baseada em sua capacidade de memorização de pacote, como:
O iptables possui recursos que podem até instigar a curiosidade sobre sua necessidade. Pode-se até mesmo decidir recusar, aleatoriamente, uma porcentagem dos pacotes que entram.
Um filtro stateless ou estático é aquele que precisa tomar a sua decisão baseado unicamente no pacote atual. Tal filtro não tem possibilidade de "lembrar-se" do passado e nunca poderia tomar uma decisão como "vou bloquear este pacote porque já passaram 100 deste ip no último minuto". Para que ele fizesse isto, teria que armazenar a informação de que passaram-se 100 pacotes em um minuto, e o stateless não tem esta memória.
A única informação que um stateless pode usar para decidir pelo bloqueio ou não de um pacote é baseado em informações que estão presentes neste pacote. Informações estas que podem ser número do IP, da porta, do protocolo ou qualquer outra informação disponível nos cabeçalhos do pacote que se está filtrando.
Já os filtros statefull ou dinâmicos permitem tomar sua decisão baseada em decisões ou pacotes anteriores. Com um filtro statefull é possível tomar uma decisão como"vou deixar este pacote de dados passar porque a origem completou corretamente o handshake TCP". Para que ele tome esta decisão é necessário que ele tenha visto o handshake e armazenado esta informação para lembrar-se dele posteriormente (Figura 3).
Já o iptables é extremamente statefull. Extremamente porque muita coisa pode ser feita baseada em sua capacidade de memorização de pacote, como:
- consultar sua tabela para ver se este pacote pertence a uma sessão ativa (módulo state);
- contar quantos pacotes passam por determinando intervalo de tempo (módulo limit);
- armazenar os ips de origem e contar quantos pacotes vieram deles (módulo recent);
O iptables possui recursos que podem até instigar a curiosidade sobre sua necessidade. Pode-se até mesmo decidir recusar, aleatoriamente, uma porcentagem dos pacotes que entram.
Páginas do artigo
1. Introdução2. Classificação quanto a atuação
3. Classificação quanto ao que protege
4. Classificação quanto ao poder
5. Conclusão e referências
Outros artigos deste autor
Iptables protege contra SYN FLOOD?
255.255.255.0: A matemática das máscaras de rede
Leitura recomendada
Defesa pessoal com o GPG, Nautilus Scripts, partições encriptadas e leves doses de paranoia
Debian Sarge + Snort + MySQL + Acidlab + Apache
Criando senhas seguras com o mkpasswd
Remover vírus do Windows usando pendrive com Linux
Comentários
[1] Comentário enviado por removido em 01/11/2009 - 20:41h
Grande Elgio e seus belos artigos.
Excelente artigo, já terminando a leitura, nos favoritos do VOL. =]
[]'s
Grande Elgio e seus belos artigos.
Excelente artigo, já terminando a leitura, nos favoritos do VOL. =]
[]'s
[2] Comentário enviado por fernandoborges em 02/11/2009 - 20:04h
Já me tornei um leitor assíduo de seus artigos aqui no VOL. Parabéns por mais esse excelente texto. Direto, agradável e preciso.
Já me tornei um leitor assíduo de seus artigos aqui no VOL. Parabéns por mais esse excelente texto. Direto, agradável e preciso.
[4] Comentário enviado por texugo89 em 03/11/2009 - 11:30h
Parabéns pelo artigo! Muito valioso!
Gostei muito dos slides da sua palestra também! Me parece que a palestra foi MUITO boa!
Caso faça alguma palestra por São Paulo me avise ok?
[]s
Parabéns pelo artigo! Muito valioso!
Gostei muito dos slides da sua palestra também! Me parece que a palestra foi MUITO boa!
Caso faça alguma palestra por São Paulo me avise ok?
[]s
[5] Comentário enviado por grandmaster em 04/11/2009 - 08:02h
Grande artigo, realmente vale a leitura.
---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br
Grande artigo, realmente vale a leitura.
---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br
[6] Comentário enviado por xirulito em 04/11/2009 - 20:39h
otimos slides
recomendo ler todos
os slides vale a pena
abraço
otimos slides
recomendo ler todos
os slides vale a pena
abraço
[7] Comentário enviado por mda_deb em 05/11/2009 - 19:28h
Olá elgio,
Obrigado por compartilhar mais uma vez, seus artigos são sempre bem-vindos.
[]s
Olá elgio,
Obrigado por compartilhar mais uma vez, seus artigos são sempre bem-vindos.
[]s
[10] Comentário enviado por removido em 17/06/2012 - 14:27h
bela explicação dos conceitos e mecanismos de firewall.
muito 10!
bela explicação dos conceitos e mecanismos de firewall.
muito 10!
[11] Comentário enviado por leo4b em 18/08/2012 - 00:21h
Elgio, primeiramente parabéns pelos artigos.
Sobre a a filtragem na camada de enlace, ele trabalha diretamente nessa camada, ou ele "abre" a PDU na camada acima, analisando o cabeçalho da camada de enlace e depois "remonta" e aplica a filtragem?
Elgio, primeiramente parabéns pelos artigos.
Sobre a a filtragem na camada de enlace, ele trabalha diretamente nessa camada, ou ele "abre" a PDU na camada acima, analisando o cabeçalho da camada de enlace e depois "remonta" e aplica a filtragem?
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Atualizando o Passado: Linux no Lenovo G460 em 2025
aaPanel - Um Painel de Hospedagem Gratuito e Poderoso
O macete do Warsaw no Linux Mint e cia
Dicas
Um modo leve de ouvir/ver áudio/vídeo da internet em máquinas pererecas
Resolver algumas mensagens de erro do SSH
Instalar módulo de segurança do Banco do Brasil Warsaw do tipo .run
Tópicos
O que você está ouvindo agora? [2] (188)
warsaw parou de funcionar após atualização do sistema (solução) (10)
Top 10 do mês
-
Xerxes
1° lugar - 74.229 pts -
Fábio Berbert de Paula
2° lugar - 52.031 pts -
Daniel Lara Souza
3° lugar - 18.409 pts -
Mauricio Ferrari
4° lugar - 17.261 pts -
Buckminster
5° lugar - 14.448 pts -
Alberto Federman Neto.
6° lugar - 14.243 pts -
edps
7° lugar - 13.831 pts -
Diego Mendes Rodrigues
8° lugar - 13.015 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 12.532 pts -
Andre (pinduvoz)
10° lugar - 12.465 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
