No primeiro artigo desta serie, fiz uma pequena introdução as gerações de firewalls.
Os packet filter firewalls foram a primeira geração de firewalls. Por causa da sua versatilidade continuam a ser utilizados hoje em dia em larga escala. Conforme ja havia mencionado esta geração trabalha na camada de rede e transporte do modelo OSI. Quando um pacote chega a interface do firewall ele é examinado contra um conjunto de regras disponível no próprio firewall para determinar se a ele é permitida ou negada a entrada. Se as regras disponíveis no firewall correspondem as características do pacote chegado a interface do firewall, o pacote passa. Se não correspondem o pacote é descartado.
Que conjunto de regras sao essas? Olhando novamente para as camadas de rede e transporte do modelo OSI, identificamos os seguintes elementos que podem permitir a um administrador de rede compor um conjunto de regras para permitir/negar um pacote:
Endereço de origem
Endereço de destino
Porta de origem
Porta de destino
Protocolo de transporte (TCP, UDP, ICMP)
Arquitectura
A arquitectura dum packet filter firewall é de um modo geral bastante simples. Isto permite a sua implementação em software:
Existe uma lista ordenada de regras na ‘fronteira’ do firewall que o permite comparar com as características de um pacote que chega a uma interface (do firewall). Conforme já havíamos dito anteriormente algumas destas características tem que ver com o tipo de protocolo a que o pacote pertence, tal como TCP ou UDP. Dependendo das características do pacote e das regras da lista ordenada, o pacote pode ser permitido (permit) ou negado (deny).
Problemas com Static Packet Firewalls
Existem alguns problemas relacionados com static packet firewalls. Um deles diz respeito ao protocolo ICMP. Packet firewalls estáticos confiavam em portas de origem e destino na camada de transporte, características de protocolos como TCP e UDP:
Já o protocolo ICMP:
Não precisa de porta de origem e destino. Isso criou problemas a firewalls tradicionais. Hackers começaram a explorar transmissao de pacotes por ICMP driblando a segurança de diversos firewalls. Foi a partir dali que se começaram a arquitectar os dinamic packet filter firewalls com capacidade de manter o estado da comunicação em tabelas de estado. Deste modo é possível saber que um pacote ICMP origina-se dum host confiável.
Como vimos anteriormente, pelo facto de funcionar na camada de rede e transporte este tipo de firewall tem dificuldade em lidar com protocolos de camada superior tais como HTTP ou FTP que funcionam na camada de aplicação do modelo OSI, bem como tem uma incapacidade em lidar com sessões usadas por estes protocolos visto que a camada de sessão do modelo OSI também é camada superior das camadas de rede e transporte.
Vantagens e desvantagens
Certamente que uma das vantagens deste tipo de firewall e talvez o motivo de continuar a ser largamente usado hoje em dia é o facto de quase não necessitar de muito trabalho para mete-lo a funcionar. Basta escrever algumas regras a aplicar. Não necessita de software no lado do utilizador e o atraso de checagem de correspondência quando o pacote é submetido a lista de regras é mínimo e pode ainda ser menor com features como Turbo ACLs.
A sua grande desvantagem é certamente não poder lidar com as camadas de sessão e aplicação. Isso impede que ele tire vantagens significativas do uso de features como web cache e sessoes.
