Sistemas que usam Packet Filtering roteam pacotes entre hosts internos e externos, mas eles fazem isso de modo seletivo. Eles permitem ou bloqueam certos tipos de pacotes de uma maneira tal que reflita a política de segurança, como mostrado no diagrama abaixo. O tipo de roteador que é usado num firewall com Packet Filtering é conhecido como um screening router .

Utilização de Screening Router para a filtragem de pacotes

Um roteador dispõe das seguintes informações num pacote:

• Endereço IP da origem;
• Endereço IP do destino;
• O protocolo (se o pacote é um pacote TCP, UDP ou ICMP);
• A porta TCP ou UDP de origem;
• A porta TCP ou UDP de destino, ou a aplicação desejada;
• O tipo de mensagem ICMP;

Além desses itens o roteador ainda sabe as seguintes informações, mesmo que elas não estejam contidas nos pacotes:

• A interface onde o pacote veio;
• A interface por onde o pacote será transmitido;

O fato de que alguns serviços, em especial os serviços da Internet residem em algumas portas especiais, também é aproveitado no conjunto de regras que vão especificar a filtragem dos pacotes.

Dessa maneira, um Screening Router pode fitrar pacotes tanto com base no seu endereço, quanto com base no seu protocolo. A seguir, alguns exemplos de como um Screening Router pode ser programado para rotear pacotes que chegam e que saem do site de modo seletivo:

• Bloquear todas as conexões que chegarem de sistemas que estão fora da rede interna, exceto para as conexões de SMTP (para que seja possível o recebimento de e-mails);
• Bloquear todas as conexões de sistemas não confiáveis;
• Permitir que haja serviços de e-mails e FTP, mas bloquear serviços "perigosos", tais como: TFTP, X Windows, RPC e os serviços remotos - rlogin, rsh, rcp, etc.

Diferenças entre um roteador comum e um Screening Router

Um roteador comum apenas examina o endereço IP de destino do pacote e tenta enviá-lo pelo melhor caminho (mais curto e/ou de menor tráfego ) ao seu destino. A decisão de como tratar o pacote é baseada somente no destino dele. Há duas possibilidades: ou o roteador sabe como mandar o pacote para o seu destino e faz esse envio, ou ele não sabe como fazer isso e retorna o pacote, através de uma mensagem ICMP Destination Unreachable para a sua origem.

Por outro lado, um Screening Router, examina o pacote com maior cuidado. Além de determinar se ele pode rotear o pacote para o seu destino, ele determina também se ele deve fazer isso ou não, analisando a informação do pacote chamada full association (protocolo, endereço fonte, porto fonte, endereço destino, porto destino). A Política de Segurança do site é quem determina quando ele deve fazer esse roteamento.

Um bom exemplo para o bloqueio de pacotes, seria o caso do roteador receber pacotes para estabelecimento de conexão cujo endereço interno na sua interface fosse para a rede externa, num claro exemplo de spoofing.

Vantagens:

A ténica de Packet Filtering é bastante poderosa e bastante simples. Ela permite que regras de segurança sejam implantadas num único lugar, sendo que o seu escopo atinge todos os sistemas dos dois lados do roteador onde elas foram instaladas. Isso significa que essas regras de segurança são válidas não só para a Intranet, mas também para todas as conexões para a Internet, caso existam.

Desvantagens:

As tabelas de regras de filtragem são, geralmente, difíceis de configurar e testar (é necessário testar cada regra para ver se realmente funciona). Alguns roteadores não conseguem suportar regras de filtragens mais complexas, o que impossibilita uma segurança mais rigorosa. Como eles não analisam os dados dentro dos pacotes, da maneira que fazem os gateways da camada de aplicação, isto pode ser um furo de segurança que os hackers podem explorar.

Como conclusão, é importante lembrar que a técnica de Packet Filtering é comumente usada em conjunto com outras técnicas (descritas a seguir), para aumentar o nível de segurança da rede.