Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Capítulo 8. Segurança no Servi<strong>do</strong>r<br />
Firewall Através de Filtro de Pacotes<br />
Um firewall é um sistema que isola redes distintas e permite que se controle o<br />
tráfego entre elas. Um exemplo típico onde a utilização de um firewall é recomendada<br />
é na conexão de uma rede local à Internet. Embora o conceito de<br />
firewall seja bastante amplo e possa envolver servi<strong>do</strong>res proxy, analisa<strong>do</strong>res de<br />
logs e filtros de pacotes, entre outras características, iremos, nesta seção, deternos<br />
no filtro de pacotes forneci<strong>do</strong> pelo kernel <strong>do</strong> <strong>Linux</strong>.<br />
O kernel <strong>do</strong> <strong>Linux</strong> conta com um filtro de pacotes bastante funcional, que permite<br />
que sua máquina descarte ou aceite pacotes IP, basean<strong>do</strong>-se na origem, no destino<br />
e na interface pela qual o pacote foi recebi<strong>do</strong>. A origem e o destino de um pacote<br />
são caracteriza<strong>do</strong>s por um endereço IP, um número de porta e pelo protocolo.<br />
To<strong>do</strong> o tráfego através de uma rede é envia<strong>do</strong> no formato de pacotes. O início de<br />
cada pacote informa para onde ele está in<strong>do</strong>, de onde veio e o tipo <strong>do</strong> pacote, entre<br />
outros detalhes. A parte inicial deste pacote é chamada cabeçalho. O restante <strong>do</strong><br />
pacote, conten<strong>do</strong> a informação propriamente dita, costuma ser chama<strong>do</strong> de corpo<br />
<strong>do</strong> pacote.<br />
Um filtro de pacotes analisa o cabeçalho <strong>do</strong>s pacotes que passam pela máquina<br />
e decide o que fazer com o pacote inteiro. Possíveis ações a serem tomadas em<br />
relação ao pacote são:<br />
aceitar: o pacote pode seguir até seu destino.<br />
rejeitar: o pacote será descarta<strong>do</strong>, como se a máquina jamais o tivesse recebi<strong>do</strong>.<br />
bloquear: o pacote será descarta<strong>do</strong>, mas a origem <strong>do</strong> pacote será informada de que esta<br />
ação foi tomada.<br />
O filtro de pacotes <strong>do</strong> kernel é controla<strong>do</strong> por regras de firewall, as quais podem<br />
ser divididas em 4 categorias: a cadeia de entrada (input chain), a cadeia de<br />
saída (output chain), a cadeia de reenvio (forward chain) e cadeias definidas pelo<br />
usuário (user defined chain). Para cada uma destas cadeias é mantida uma tabela<br />
de regras separada.<br />
Uma regra de firewall especifica os critérios de análise de um pacote e o seu<br />
alvo (target). Se o pacote não casa com o padrão especifica<strong>do</strong> pela regra, a regra<br />
seguinte da cadeia é analisada. Se desta vez o pacote casar com o padrão, a regra<br />
seguinte é definida pelo alvo, que pode ser o nome de uma cadeia definida pelo<br />
usuário, ou um <strong>do</strong>s seguintes valores especiais:<br />
213