A segurança da informação é comumente encarada como um processo e não como um produto. Entretanto, implementações de segurança padronizadas geralmente utilizam alguma forma de mecanismo dedicado a controlar os privilégios de acesso e a restringir recursos de rede a usuários que são autorizados, identificáveis e rastreáveis. O Red Hat Enterprise Linux inclui muitas ferramentas poderosas para auxiliar administradores e engenheiros de segurança em questões de controle de acesso em nível de rede.
Além das soluções VPN, como CIPE ou IPSec (abordados em Capítulo 6), os firewalls são um dos componentes centrais da implementação de segurança na rede. Diversos fabricantes comercializam soluções de firewall para suprir todos os nichos do mercado: de usuários domésticos protegendo um PC até soluções de centro de dados para proteger informações corporativas vitais. Firewalls podem ser soluções de hardware ligados intermitentemente, como as aplicações de firewall da Cisco, Nokia, e Sonicwall. Também há soluções de software de firewall proprietárias desenvolvidas para os mercados doméstico e corporativo por fabricantes como Checkpoint, McAfee e Symantec.
Além das diferenças entre firewalls de hardware e de sotfware, também há diferenças na maneira como os firewalls funcionam, que separam uma solução da outra. Tabela 7-1 detalha três tipos comuns de firewalls e como eles funcionam:
Método | Descrição | Vantagens | Desvantagens | ||||||
---|---|---|---|---|---|---|---|---|---|
NAT | Tradução do Endereço da Rede (NAT) insere sub-redes IP internas através de um ou um pequeno grupo de endereços IP externos, mascarando todos os pedidos para uma fonte ao invés de várias |
|
| ||||||
Filtro de Pacotes | A filtragem de pacotes lê cada pacote de dados que passa dentro e fora de uma LAN. Pode ler e processar pacotes pela informação do cabeçalho e filtra o pacote baseado em conjuntos de regras programáveis implementadas pelo administrador do firewall. O kernel do Linux tem a funcionalidade embutida de filtragem de pacotes através do sub-sistema netfilter do kernel. |
|
| ||||||
Proxy | Firewalls de proxy filtram todos os pedidos de um determinado protocolo ou tipo dos clientes LAN para uma máquina proxy, que então faz estes pedidos à Internet representando o cliente local. Uma máquina proxy atua como um buffer entre usuários remotos maldosos e as máquinas dos clientes internos da rede. |
|
|
Tabela 7-1. Tipos de Firewall
O kernel do Linux apresenta um sub-sistema de rede poderoso chamado netfilter. O sub-sistema netfilter oferece filtragem de pacote 'stateful' (que guarda o estado das conexões inciadas pelos clientes) ou 'stateless' (na qual cada pacote é analisado individualmente, sem levar em conta pacotes anteriores trocados na mesma conexão), assim como NAT e serviços de mascaramento de IP. Netfilter também tem a habilidade de danificar as informações do cabeçalho para roteamento avançado e gerenciamento do estado de conexão. O Netfilter é controlado através da funcionalidade IPTables.
O poder e flexibilidade do netfilter é implementado através da interface IPTables. Esta ferramenta de linha de comando é similar em sintaxe ao seu predecessor, o IPChains. No entanto, IPTables usa o sub-sistema netfilter para melhorar a conexão, inspeção e processamento de rede; enquanto o IPChains usava conjuntos de regras complexas para filtrar localidades de fonte e destino, assim como portas de conexão para ambos. IPTables inclui registro avançado, ações pré e pós-roteamento, tradução do endereço de rede e encaminhamento de porta; tudo em apenas uma interface de linha de comando.
Esta seção oferece uma visão geral do IPTables. Para informações mais detalhadas sobre IPTables, consulte o Guia de Referência do Red Hat Enterprise Linux.