Sistemas que
usam Packet Filtering roteam pacotes entre hosts
internos
e externos, mas eles fazem isso de modo seletivo. Eles
permitem
ou bloqueam certos tipos de pacotes de uma maneira tal
que reflita
a política de segurança, como mostrado no diagrama
abaixo. O
tipo de roteador que é usado num firewall com Packet
Filtering
é conhecido como um screening router .
Utilização de Screening Router para a filtragem de pacotes
Um roteador dispõe das seguintes informações num pacote:
- Endereço
IP da origem;
- Endereço
IP do destino;
- O protocolo
(se o pacote é um pacote TCP, UDP ou ICMP);
- A porta
TCP ou UDP de origem;
- A porta
TCP ou UDP de destino, ou a aplicação desejada;
- O tipo
de mensagem ICMP;
Além
desses itens o roteador ainda sabe as seguintes informações,
mesmo que
elas não estejam contidas nos pacotes:
- A interface onde o pacote veio;
- A interface por onde o pacote será transmitido;
O fato de
que alguns serviços, em especial os serviços da Internet
residem em
algumas portas especiais, também é aproveitado no
conjunto
de regras que vão especificar a filtragem dos pacotes.
Dessa maneira,
um Screening Router pode fitrar pacotes tanto com
base no seu
endereço, quanto com base no seu protocolo. A seguir,
alguns exemplos
de como um Screening Router pode ser programado
para rotear
pacotes que chegam e que saem do site de modo seletivo:
- Bloquear
todas as conexões que chegarem de sistemas que estão
fora da rede
interna, exceto para as conexões de SMTP (para que
seja possível
o recebimento de e-mails);
- Bloquear todas as conexões de sistemas não confiáveis;
- Permitir
que haja serviços de e-mails e FTP, mas bloquear serviços
"perigosos",
tais como: TFTP, X Windows, RPC e os serviços remotos -
rlogin, rsh,
rcp, etc.
Diferenças entre um roteador comum e um Screening Router
Um roteador
comum apenas examina o endereço IP de destino do
pacote e
tenta enviá-lo pelo melhor caminho (mais curto e/ou de menor
tráfego
) ao seu destino. A decisão de como tratar o pacote é baseada
somente no
destino dele. Há duas possibilidades: ou o roteador sabe
como mandar
o pacote para o seu destino e faz esse envio, ou ele não
sabe como
fazer isso e retorna o pacote, através de uma mensagem
ICMP Destination
Unreachable para a sua origem.
Por outro
lado, um Screening Router, examina o pacote com maior
cuidado.
Além de determinar se ele pode rotear o pacote para o seu
destino,
ele determina também se ele deve fazer isso ou não,
analisando
a informação do pacote chamada full association
(protocolo,
endereço fonte, porto fonte, endereço destino, porto
destino).
A Política de Segurança do site é quem determina quando
ele deve
fazer esse roteamento.
Um bom exemplo
para o bloqueio de pacotes, seria o caso do roteador
receber pacotes
para estabelecimento de conexão cujo endereço
interno na
sua interface fosse para a rede externa, num claro exemplo
de spoofing.
Vantagens:
A ténica
de Packet Filtering é bastante poderosa e bastante simples.
Ela permite
que regras de segurança sejam implantadas num único
lugar, sendo
que o seu escopo atinge todos os sistemas dos dois
lados do
roteador onde elas foram instaladas. Isso significa que essas
regras de
segurança são válidas não só para a
Intranet, mas também
para todas
as conexões para a Internet, caso existam.
Desvantagens:
As tabelas
de regras de filtragem são, geralmente, difíceis de
configurar
e testar (é necessário testar cada regra para ver se
realmente
funciona). Alguns roteadores não conseguem suportar
regras de
filtragens mais complexas, o que impossibilita uma
segurança
mais rigorosa. Como eles não analisam os dados dentro
dos pacotes,
da maneira que fazem os gateways da camada de
aplicação,
isto pode ser um furo de segurança que os hackers podem
explorar.
Como conclusão,
é importante lembrar que a técnica de Packet
Filtering
é comumente usada em conjunto com outras técnicas
(descritas
a seguir), para aumentar o nível de segurança da rede.