Packet Filtering
 
 

Sistemas que usam Packet Filtering roteam pacotes entre hosts
internos e externos, mas eles fazem isso de modo seletivo. Eles
permitem ou bloqueam certos tipos de pacotes de uma maneira tal
que reflita a política de segurança, como mostrado no diagrama
abaixo. O tipo de roteador que é usado num firewall com Packet
Filtering é conhecido como um screening router .
 


 

Utilização de Screening Router para a filtragem de pacotes

Um roteador dispõe das seguintes informações num pacote:

- Endereço IP da origem;
- Endereço IP do destino;
- O protocolo (se o pacote é um pacote TCP, UDP ou ICMP);
- A porta TCP ou UDP de origem;
- A porta TCP ou UDP de destino, ou a aplicação desejada;
- O tipo de mensagem ICMP;

Além desses itens o roteador ainda sabe as seguintes informações,
mesmo que elas não estejam contidas nos pacotes:

     - A interface onde o pacote veio;
     - A interface por onde o pacote será transmitido;

O fato de que alguns serviços, em especial os serviços da Internet
residem em algumas portas especiais, também é aproveitado no
conjunto de regras que vão especificar a filtragem dos pacotes.

Dessa maneira, um Screening Router pode fitrar pacotes tanto com
base no seu endereço, quanto com base no seu protocolo. A seguir,
alguns exemplos de como um Screening Router pode ser programado
para rotear pacotes que chegam e que saem do site de modo seletivo:

- Bloquear todas as conexões que chegarem de sistemas que estão
fora da rede interna, exceto para as conexões de SMTP (para que
seja possível o recebimento de e-mails);
     - Bloquear todas as conexões de sistemas não confiáveis;
- Permitir que haja serviços de e-mails e FTP, mas bloquear serviços
"perigosos", tais como: TFTP, X Windows, RPC e os serviços remotos -
rlogin, rsh, rcp, etc.

Diferenças entre um roteador comum e um Screening Router

Um roteador comum apenas examina o endereço IP de destino do
pacote e tenta enviá-lo pelo melhor caminho (mais curto e/ou de menor
tráfego ) ao seu destino. A decisão de como tratar o pacote é baseada
somente no destino dele. Há duas possibilidades: ou o roteador sabe
como mandar o pacote para o seu destino e faz esse envio, ou ele não
sabe como fazer isso e retorna o pacote, através de uma mensagem
ICMP Destination Unreachable para a sua origem.

Por outro lado, um Screening Router, examina o pacote com maior
cuidado. Além de determinar se ele pode rotear o pacote para o seu
destino, ele determina também se ele deve fazer isso ou não,
analisando a informação do pacote chamada full association
(protocolo, endereço fonte, porto fonte, endereço destino, porto
destino). A Política de Segurança do site é quem determina quando
ele deve fazer esse roteamento.

Um bom exemplo para o bloqueio de pacotes, seria o caso do roteador
receber pacotes para estabelecimento de conexão cujo endereço
interno na sua interface fosse para a rede externa, num claro exemplo
de spoofing.

Vantagens:

A ténica de Packet Filtering é bastante poderosa e bastante simples.
Ela permite que regras de segurança sejam implantadas num único
lugar, sendo que o seu escopo atinge todos os sistemas dos dois
lados do roteador onde elas foram instaladas. Isso significa que essas
regras de segurança são válidas não só para a Intranet, mas também
para todas as conexões para a Internet, caso existam.

Desvantagens:

As tabelas de regras de filtragem são, geralmente, difíceis de
configurar e testar (é necessário testar cada regra para ver se
realmente funciona). Alguns roteadores não conseguem suportar
regras de filtragens mais complexas, o que impossibilita uma
segurança mais rigorosa. Como eles não analisam os dados dentro
dos pacotes, da maneira que fazem os gateways da camada de
aplicação, isto pode ser um furo de segurança que os hackers podem
explorar.

Como conclusão, é importante lembrar que a técnica de Packet
Filtering é comumente usada em conjunto com outras técnicas
(descritas a seguir), para aumentar o nível de segurança da rede.

           Voltar