Proxy Proxy: O servidor Proxy atua como um intermedirio entre o computador pessoal e os servidores da Internet.

. Desta forma, possvel implementar segurana, controle, armazenamento para aumentar a performance e registro para este servio. A traduo da palavra inglesa proxy, segundo o dicionrio Michaelis, significa procurador, substituto ou representante. Um proxy um software que armazena dados em forma de cache em redes de computadores. So mquinas com ligaes tipicamente superiores s dos clientes e com poder de armazenamento elevado.

necessrio salientar que, utilizando um proxy, o endereo que fica registrado nos servidores o do prprio proxy e no o do cliente. Por exemplo, no caso de um HTTP caching proxy, o cliente requisita um documento na World Wide Web e o proxy procura pelo documento em seu cache. Se encontrado, o documento retornado imediatamente. Seno, o proxy busca o documento no servidor remoto, entrega-o ao cliente e salva uma cpia no seu cache.

NAT x Proxy possuem basicamente o mesmo objetivo: Permitir que uma rede com endereamento IP privado (10.x.x.x, 172.16.x.x ou 192.168.x.x) tenha acesso externo. Atuam em diferentes camadas do modelo de referencia OSI. NAT (Camade de Rede) e Proxy (Camada de Aplicao) Configurando Proxy no Cliente: Os proxies normalmente servem para qualquer servio da Internet (mail, pginas web, ftp, etc...). O lado cliente destes aplicativos em geral permitem que se configure os endereos do servidor Proxy (em caso de proxy no transparente). Para exemplificar mostramos abaixo a configurao de um navegador web.

Proxy Transparente: Um proxy transparente um mtodo para obrigar os usurios de uma rede a utilizarem o proxy. Alm das caractersticas de caching dos proxies convencionais, estes podem impor polticas de utilizao ou recolher dados estatsticos, entre outras . A transparncia conseguida interceptando o trfego HTTP (por exemplo) e reencaminhando-o para o proxy mediante a tcnica ou variao de port forwarding. Assim, independentemente das configuraes explcitas do usurio, a sua utilizao estar sempre condicionada s polticas de utilizao da rede. O RFC 3040 define este mtodo como proxy interceptador. (fonte wikipedia). Proxy Publico: Servidores na Internet cuja finalidade redirecionar a sada para uma outra pgina. Isso significa que sua rede pode estar proibindo abrir o orkut, mas pode no estar proibindo um proxy server pblico (e h muitos por ai). Quando o usurio acessa um proxy server pblico ele pode a partir da abrir qualquer pgina que lhe convier, sem o firewall da rede poder fazer nada quanto a isso, pois para o mesmo a nica pgina que ele est dando permisso a do proxy. Outros casos em que um proxy server pblico adotado pelo usurio quando o mesmo deseja visitar uma pgina anonimamente. Ou seja, o cidado no quer que o site visitado identifique o ip dele, nem consiga gravar os cookies, e obter qualquer informao do visitante (apenas algo falso, deixado pelo proxy server). H tambm quem use proxys para agilizar a navegao, j que muitos deles tambm funcionam como servidores caches. Squid: o Squid um popular servidor Proxy em software livre. Um dos melhores softwares para a funo do mercado. projetado principalmente(*) para rodar em sistemas UNIX-Like. O Squid est em desenvolvimento faz muito tempo, por isso, completo, robusto, e cdigo-aberto com licena GNU GPL. apoiado por muitos protocolos, embora seja principalmente usado para HTTP e FTP. Tambm tem suporte para TLS, SSL e HTTPS. Seu principal arquivo de configurao o squid.conf e encontra-se no diretrio /etc/squid (ou em outro diretrio windows caso a verso assim seja). um arquivo muito extenso, contm aproximadamente 3000 linhas, porm para deix-lo funcional, basta configurar apenas algumas linhas. (*) Existe verso Squid para plataformas baseadas em WinNT com estabilidade bastante confivel. SquidNT: Conforme dito anteriormente existe uma verso Squid desenvolvida para plataformas Windows baseados no NT (NT, 2000, XP, 2003...). Sua ultima verso a verso 2.6 (igualmente como nas verses para S.Os Unix-Like)

Normalmente a verso existe em formato binrio e necessrio executar comandos no prompt do Windows para registrar o servio e depois iniciar este servio.

Todavia existe uma verso para instalao executvel que coloca a disposio para o usurio telas de configurao e traz consigo cmd (scriptis) para iniciar, parar e reconfigurar o Squid. SquidNT: As configuraes do SquidNT ficam tambm em um arquivo chamado squid.conf e so parametros que deve ser editados da mesma forma que em S.O.s Unix-Like. O Squid (NT ou No), se bem configurados, podem ter as seguintes funcionalidades: Regras de bloqueio por Ips Regras de bloqueio por domnio Regras de bloqueio por palavras-chaves Regras de bloqueio por extenses de arquivos Acesso de determinados IPs para determinados sites Acesso total para determinados Ips Mensagens de erro em Portugus Cache em disco e memria

Controle de Banda Proxy transparente (*) Proxies De Mercado: Winproxy: O Winproxy um software shareware que permite fazer configuraes de proxy para sua rede e adiciona algumas outras facilidades como anti-virus e firewall. Facilidade de verificao de erro na sua configurao

Facilidade de bloqueio

Firewall o nome dado ao dispositivo de rede que tem por funo regular o trfego de rede entre redes distintas e impedir a transmisso de dados nocivos ou no autorizados de uma rede a outra. Um firewall um dispositivo que funciona como corta-fogos entre redes, permitindo ou denegando as transmisses de uma rede a outra. Um uso tpico situ-lo entre uma rede local e a rede Internet, como dispositivo de segurana para evitar que os intrusos possam acessar informao confidencial. Explicando de maneira mais precisa, o firewall um mecanismo que atua como "defesa" de um computador ou de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados. A vantagem do uso de firewalls em redes, que somente um computador pode atuar como firewall, no sendo necessrio instal-lo em cada mquina conectada. Existe na forma de software e hardware, ou na combinao de ambos. A instalao depende do tamanho da rede, da complexidade das regras que autorizam o fluxo de entrada e sada de informaes e do grau de segurana desejado. Os firewalls so um dos componentes centrais da implementao de segurana na rede. Diversos fabricantes comercializam solues de firewall para suprir todos os nichos do mercado: de usurios domsticos protegendo um PC at solues de centro de dados para proteger informaes corporativas vitais.

Firewalls podem ser solues de hardware ligados intermitentemente, como as aplicaes de firewall da Cisco, Nokia e Sonicwall. Tambm h solues de software de firewall proprietrias desenvolvidas para os mercados domstico e corporativo por fabricantes como Checkpoint, McAfee e Symantec. Sistemas Operacionais podem tambm dar suporte a montagem de um Firewall no proprietrio e serem configurados em diversas formas. Firewall de software proprietrios Arquitetura de rede Rede de limite Essa rede est voltada diretamente para a Internet por meio de um roteador que fornece uma camada de proteo inicial na forma de filtragem bsica de trfego de rede. Ela alimenta dados pela rede de permetro por meio de um firewall de permetro.

Rede de permetro Essa rede, geralmente chamada de DMZ (zona desmilitarizada) ou rede de borda, vincula usurios de entrada a servidores Web ou a outros servios. Em seguida, os servidores Web os vinculam s redes internas por meio de um firewall interno.

Redes internas As redes internas vinculam os servidores internos e os usurios internos.

Em uma empresa, normalmente existem dois firewalls diferentes o firewall de permetro e o firewall interno. Embora as tarefas desses firewalls sejam semelhantes, a nfase dada diferente, j que o firewall de permetro concentrase no fornecimento de uma limitao aos usurios externos no confiveis, enquanto o firewall interno se concentra em impedir que os usurios externos acessem a rede interna e em limitar as atividades dos usurios internos

Firewalls podem emular o uso de dois firewalls aplicando uma DMZ na sua configurao.

Defesa e ataques contra o sistema

Apresentaremos um resumo dos ataques ao sistema mais conhecidos, juntamente com as razes para usar o servio do firewall como uma primeira linha de defesa. Ataques externos

Com freqncia, a Internet usada como ferramenta por pessoas que desejam prejudicar empresas ou roubar segredos comerciais para obter vantagem competitiva. Se voc instalar um firewall de permetro e verificar o log de invases, ficar surpreso pelo volume. A maioria das invases apenas para ver se a mquina responde e quais servios esto sendo executados. Isso pode parecer inofensivo, mas se o atacante descobrir a sua mquina, ele poder atacar o seu servio e identificar seus pontos fracos. Ataques internos Nem todos os ataques so provenientes da Internet. Voc tambm deve proteger dados sigilosos de usurios internos que esto na rede corporativa. A maioria das empresas possui dados sigilosos que devem ser protegidos contra determinados usurios na rede interna, inclusive funcionrios, fornecedores, empreiteiros e clientes.

Ameaas de invaso As ameaas de invaso podem tomar muitas formas, e descrevlas aqui serviria apenas a uma finalidade restrita, pois so criadas ameaas novas todos os dias. Algumas invases, como efetuar ping em um endereo de servidor, podem parecer inofensivas. No entanto, depois de descobrir a presena de um servidor, o hacker poder tentar um ataque mais srio. Isso significa que todas as invases devem ser consideradas potencialmente prejudiciais. Eis algumas das principais invases:

Um firewall um mecanismo para controlar o fluxo do trfego IP entre duas redes. Os dispositivos de firewall costumam operar no L3 do modelo OSI, embora alguns modelos tambm possam operar em nveis superiores. Um firewall, em geral, proporciona os seguintes benefcios:

Defender os servidores internos contra ataques de rede. Aplicar restries s diretivas de uso e acesso rede. Monitorar o trfego e gerar alertas ao detectar padres suspeitos. importante observar que os firewalls reduzem apenas alguns tipos de riscos de segurana. Um firewall geralmente no evita o dano que pode ser causado a um servidor com uma vulnerabilidade de software. Os firewalls devem ser implementados como parte da ampla arquitetura de segurana de uma empresa. Recursos de firewall Dependendo dos recursos que um firewall pode suportar, o trfego ser permitido ou bloqueado por meio de vrias tcnicas. Essas tcnicas oferecem diferentes graus de proteo com base na capacidade do firewall. Os recursos de firewall a seguir esto listados em ordem crescente de complexidade: Filtros de entrada de adaptador de rede Filtros estticos de pacotes NAT (Converso de Endereo de Rede) Inspeo com informaes de estado Inspeo no nvel de circuito Filtragem da camada de aplicativo Filtros de entrada de adaptador de rede: A filtragem de entrada do adaptador de rede examina os endereos de origem ou de destino e outras informaes no pacote de entrada, assim como bloqueia ou permite que esse pacote prossiga. Essa filtragem aplicase apenas ao trfego de entrada e no pode controlar o trfego de sada. Ela compara os endereos IP e os nmeros de

porta para UDP e TCP, bem como o protocolo do trfego, TCP, UDP e GRE (Generic Routing Encapsulation). A filtragem de entrada para o adaptador de rede permite uma negao rpida e eficiente de pacotes de entrada padro que atendem aos critrios configurados no firewall. No entanto, ela pode ser facilmente contornada, uma vez que compara apenas os cabealhos do trfego IP e trabalha com base na hiptese bsica de que o trfego sendo filtrado segue os padres IP e no capaz de escapar da filtragem. Filtros estticos de pacotes: Os filtros estticos de pacotes so parecidos com os filtros de entrada de adaptador de rede no sentido de que eles simplesmente fazem correspondncia com cabealhos de IP para determinar se ser ou no permitida a passagem do trfego pela interface. No entanto, os filtros estticos de pacotes permitem o controle sobre as comunicaes de entrada e de sada com uma interface. Alm disso, normalmente os filtros estticos de pacotes permitem uma funo adicional sobre a filtragem do adaptador de rede que a de verificar se o bit ACK (Acknowledged) est definido no cabealho IP. O bit ACK informa sobre a possibilidade de o pacote ser uma solicitao nova ou uma solicitao de retorno de uma solicitao original. Ele no verifica se o pacote foi originalmente enviado pela interface que o recebe, apenas verifica se o trfego que chega interface parece ser de retorno com base nas convenes dos cabealhos IP. Converso de endereo de rede: No intervalo de endereos IP mundial, determinados intervalos so designados como endereos particulares. Esses intervalos de endereos devem ser usados na empresa e no possuem significado na Internet. Como o trfego destinado a qualquer um desses endereos IP no pode ser roteado pela Internet, a atribuio de um endereo particular a seus dispositivos internos oferecelhes alguma proteo contra invases. No entanto, esses dispositivos internos freqentemente precisam acessar a Internet e, por isso, a NAT converte o endereo particular em um endereo da Internet. Embora a NAT no seja estritamente uma tecnologia de firewall, ocultar o endereo IP real de um servidor impede que os atacantes obtenham informaes valiosas sobre o servidor. Inspeo com informaes de estado: Na inspeo com informaes de estado, todo o trfego de sada registrado em uma tabela de estado. Quando o trfego de conexo volta para a interface, a tabela de estado verificada para garantir que o trfego tenha sido originado nessa interface. A inspeo com informaes de estado um pouco mais lenta do que a filtragem esttica de pacotes. No entanto, ela garante que o trfego poder passar apenas se corresponder aos requisitos do trfego de sada. A tabela de estado contm itens como endereo IP de destino, endereo IP de origem, a porta que est sendo chamada e host originador. Determinados firewalls podem armazenar mais informaes (como os fragmentos IP enviados e recebidos) na tabela de estado enquanto outros armazenam menos. O firewall pode verificar se o trfego processado quando todas ou somente algumas informaes fragmentadas retornam. Cada fornecedor de firewall implementa o recurso de inspeo com informaes de estado de forma diferente. Por isso, voc deve ler atentamente a documentao do firewall. O recurso de inspeo com informaes de estado geralmente ajuda a reduzir o risco causado pelo reconhecimento de rede e pelo spoofing de IP. Inspeo no nvel de circuito: Com a filtragem no nvel de circuito possvel inspecionar sesses em oposio s conexes ou pacotes. Uma sesso pode incluir vrias conexes. Assim como a filtragem dinmica de pacotes, as sesses so estabelecidas apenas em resposta solicitao de um usurio. A filtragem do nvel de circuito oferece suporte embutido para protocolos com conexes secundrias, como FTP e fluxo de mdia. Normalmente, ela ajuda a reduzir o risco apresentado pelo reconhecimento de rede, DoS e ataques de spoofing de IP. Filtragem da camada de aplicativo: O nvel mais sofisticado de inspeo do trfego de firewall a filtragem no nvel do aplicativo. Filtros de aplicativo de boa qualidade permitem a anlise do fluxo de dados de um determinado aplicativo e fornecem um processamento especfico ao aplicativo. Esse processamento inclui a inspeo, a triagem ou o bloqueio, o redirecionamento e a modificao de dados medida que passam pelo firewall. Este mecanismo usado para proteger contra, por exemplo, comandos SMTP sem segurana ou ataques contra DNS interno.

Normalmente, podem ser adicionadas ao firewall ferramentas de terceiros para triagem de contedo, como deteco de vrus, anlise lxica e categorizao de sites. Filtragem da camada de aplicativo (cont..): O firewall na camada de aplicativo pode inspecionar muitos protocolos diferentes com base no trfego que passa por ele. Diferentemente de um firewall de proxy que em geral inspeciona o trfego na Internet, como HTTP, download de FTP e SSL, o firewall na camada de aplicativo possui um controle muito maior sobre a maneira como qualquer trfego passa por ele. Por exemplo, um firewall de camada de aplicativo pode permitir somente a passagem do trfego de UDP que se origina no limite do firewall. Se for preciso que um host da Internet examine a porta em relao a um firewall com informaes de estado para ver se ele permitiu o trfego DNS no ambiente, o exame da porta provavelmente mostrar que a famosa porta associada ao DNS estava aberta, no entanto, uma vez que o ataque armado, o firewall com informaes de estado recusar as solicitaes porque no foram originadas internamente. Um firewall na camada de aplicativo pode abrir portas de forma dinmica com base na possibilidade de o trfego se originar internamente. Filtragem da camada de aplicativo (cont..): A maioria dos firewalls que oferecem suporte ao recurso de camada de aplicativo possui apenas a filtragem de camada de aplicativo para o trfego de texto no criptografado, como um servio de mensagens com reconhecimento de proxy, HTTP e FTP. importante lembrar que um firewall que oferece suporte a esse recurso pode controlar o trfego que entra e sai do ambiente. Outra vantagem desse recurso a capacidade de inspecionar o trfego DNS para que procure comandos especficos ao DNS medida que passa pelo firewall. Essa camada adicional de proteo garante que os usurios ou os invasores no iro dissimular informaes em tipos de trfego permitidos.

Classes A seguir apresentaremos vrias classes de firewalls, cada uma fornecendo determinados recursos de firewall. possvel usar classes de firewall especficas para responder a solicitaes especficas no design de uma arquitetura de TI. O agrupamento de firewalls em classes permite a abstrao do hardware em relao s solicitaes do servio. As solicitaes de servio podem ser comparadas aos recursos da classe. Contanto que um firewall se encaixe em uma classe especfica, ele poder oferecer suporte a todos os servios dessa classe de firewalls.

As diversas classes so as seguintes: Classe 1 Firewalls pessoais Classe 2 Firewalls de roteador Classe 3 Firewalls de hardware lowend Classe 4 Firewalls de hardware highend Classe 5 Firewalls de servidor highend