Palestra de Segurança Na Era Do Software Livre - VOLDAY III

VolDay III
Segurana na era do Software Livre

Utilizando IPTables e SQUID Proxy
Alcyon Junior
http://portaltic.com/
alcyon@portaltic.com
24/03/12
Prof. Alcyon Junior
1 / 51
Apresentao - Quem sou eu!
Alcyon Junior CSO do Estado-Maior do Exrcito e professor

da faculdade IESB.
Apaixonado por tecnologia e software livre.
Graduado em 3 diferentes cursos de Tecnologia
Informao, com nfase em redes de computador.
de
Possui tambm certificao internacional CNAP, ttulo de

Especialista em Redes de Computador pela CISCO e MBA em
Governana de TI.
Mestrando em Gesto do Conhecimento e da Tecnologia da
Informao pela Universidade Catlica de Braslia.
24/03/12
Prof. Alcyon Junior
2 / 51
Como falar comigo
Email - alcyon@portaltic.com
PortalTIC http://portaltic.com
Facebook Alcyon Junior
Twitter - @alcyjones
LinkedIN - http://br.linkedin.com/in/alcyon
Google Plus - http://gplus.to/alcyjones
24/03/12
Prof. Alcyon Junior
3 / 51
Agenda
Principais tipos de ataques e os pontos fracos das organizaes
Tcnicos
Humanos
Organizacionais
Modelo de segurana
Firewall
IDS
Poltica de Segurana
Comparao quantitativa e qualitativa de solues
IPTables
Teoria
SQUID Proxy PLUS
Teoria
Perguntas e Respostas
24/03/12
Prof. Alcyon Junior
4 / 51
FLISOL DF 2011
Principais tipos de Ataques
24/03/12
Prof. Alcyon Junior
5 / 51
Principais tipos de Ataques
24/03/12
Ataque interno o mais fcil de ser praticado, no existe

necessidade de grandes conhecimentos
Cavalo de Tria I Love You, The Quota Trojan
Sniffers Captura de pacotes (modo promscuo)
Spoofing de IP Autenticao por falsificao de IP
DDoS (Denial of Service) Visa travar ou parar servios
Prof. Alcyon Junior
6 / 51
Principais tipos de Invases
24/03/12
Brincalho
Em busca do sucesso
Espio
Vndalos
Acidental (P.O. problema do operador)
Prof. Alcyon Junior
7 / 51
Qual o objetivo de uma invaso ?
Prejudicar!
24/03/12
Obteno de informaes privilegiadas (principalmente

se no for detectado)
Destruio de dados
Paralisao de servios ou funcionalidades da
empresa
Prejuzo financeiro
Vingana
Prof. Alcyon Junior
8 / 51
Alguns nmeros
60% das empresas fazem Planejamento de Segurana, sendo que 27%
possuem Planejamento para at 1 ano.
A rea de Tecnologia (49,5%) continua sendo a principal responsvel pelo
gerenciamento da Segurana da Informao nas empresas, seguida pela
rea especfica, Security Office, com 25,5%.
Pelo terceiro ano consecutivo, antivrus (90%), sistemas de backup (76,5%)
e firewall (75,5%) foram apontados como as trs medidas de segurana
mais implementadas nas empresas.
60% afirmam que os investimentos de suas empresas em Segurana para
2011 vo aumentar.
Fonte: site da Mdulo
www.modulo.com.br
24/03/12
Prof. Alcyon Junior
9 / 51
Anlise da Pesquisa
Podemos facilmente identificar os pontos fracos
Tcnicos
Organizacionais
Humanos
Vamos tratar aqui os dois maiores
24/03/12
Tcnicos
Organizacionais
Segurana
Ambiente Seguro (Fw, IDS, etc.)

Analise de Risco e Poltica de
Prof. Alcyon Junior
10 / 51
FLISOL DF 2011
Minimizando os Riscos
24/03/12
Prof. Alcyon Junior
11 / 51
Analisando os Riscos
Primeira pergunta Corremos riscos ?
Resposta sempre SIM
Existe: SIM e sim

Muitos fatores influenciam na anlise do risco e na modelagem de
uma soluo de segurana
24/03/12
Presena na WEB com servidor prprio

Riscos de informaes confidenciais (ramo de atividade)
Escritrios regionais (necessidade de VPN ou Link Privado)
Soluo de EXTRANET
Poltica de RH (problema do bom senso)
Histricos da empresa e do setor
Prof. Alcyon Junior
12 / 51
Uma Soluo! nada 100% seguro
Firewall nvel de rede
Filtro de Pacotes
Facilidade de uso / gerenciamento Menor TCO
Menor exigncia de hardware
Firewall de Gateway de Aplicativo

IDS (intruder detection system)
Scanner / TripWire / Nagios
Inventrio de Hardware e Software
Poltica de Segurana (PDSI)
24/03/12
Prof. Alcyon Junior
13 / 51
Firewall Nivel de Rede
Devem trabalhar em conjunto com os roteadores
Roteadores previnem contra IP implementados no RFC

Roteadores trabalham com access-lists
ICMP
Os firewalls devem restringir a passagem das

portas/protocolos mais perigosas
Monitoramento por IDS at das portas fechadas
Bom senso: certas portas podem ser
necessrias para servios vitais para a empresa
24/03/12
Prof. Alcyon Junior
14 / 51
As Portas mais comuns
Executar o bloqueio de endereos forjados

("spoofed" addresses)
Pacotes originrios do mundo exterior com origem de

redes privadas (endereos internos previstos na RFC
1918 e rede 127) devem ser bloqueados.
Servios de Login
24/03/12
telnet (23/tcp), SSH (22/tcp), FTP (21/tcp), NetBIOS

(139/tcp), rlogin (512/tcp at 514/tcp)
Prof. Alcyon Junior
15 / 51
X Windows
Servios de DNS
Bloqueio de DNS (53/udp) para todas as mquinas que no so

servidores de DNS, transferncia de zona (53/tcp) exceto de
servidores de DNS secundrios. Bloqueio do servio de
armazenamento de diretrios LDAP (389/tcp e 389/udp)
Mail
24/03/12
Range de portas de 6000/tcp at 6255/tcp
SMTP (25/tcp) para todas as mquinas que no so relays

externos, POP (109/tcp e 110/tcp) e IMAP (143/tcp)
Prof. Alcyon Junior
16 / 51
Web
"Small Services
Bloqueio de HTTP (80/tcp) e SSL (443/tcp) exceto para servidores que

provem servios web para acesso externo. Outro bloqueio considera as
portas altas utilizado por servios HTTP como Proxy (8000/tcp,
8080/tcp,8888/tcp etc.)
Portas abaixo da 20/tcp e 20/udp e servio time (portas 37/tcp e 37/udp)
Miscellaneous
24/03/12
TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP (123/tcp), LPD

(515/tcp), syslog (514/udp), SNMP (161/tcp e 161/udp, 162/tcp e 162/udp),
BGP (179/tcp) e SOCKS (1080/tcp)
Prof. Alcyon Junior
17 / 51
ICMP
RPC e NFS
Portmap/rpcbind (111/tcp e 111/udp), NFS (2049/tcp e

2049/udp), lockd (4045/tcp e 4045/udp)
NetBIOS no Windows NT
24/03/12
Bloqueio de requisies de echo request (ping e

Windows traceroute), bloqueio de sada de echo
replies, time exceeded, e mensagens do tipo
unreachable.
Portas 135 (tcp e udp), 137 (udp), 138 (udp), 139 (tcp).
No Windows 2000 adicionar porta 445(tcp e udp)
Prof. Alcyon Junior
18 / 51
O Problema P2P
uma mudana de paradigmas
um tormento para qualquer CSO (chief security

officer)
Acaba a viso de cliente / servidor

sem dvida uma tendncia realidade
Messenger, Kazaa e etc.
Esses sistemas usam portas especficas, porm buscam

portas comuns como 80 (HTTP)
Uma boa sada atravs da PDSI (Plano Diretor

de Segurana da Informao)
Inventrio de Hardware e Software
24/03/12
Prof. Alcyon Junior
19 / 51
IDS
24/03/12
Tem a funo de detectar tentativas de invaso

Funcionam por monitoramento das portas dos
servidores vulnerveis
Existem excelentes solues implantadas com
open source (LINUX), como por exemplo o
SNORT com auxlio do ACID
SNORT SNARF Gerenciador de Log
Usar sempre um banco de dados para
armazenamento do monitoramento, estatstica
Prof. Alcyon Junior
20 / 51
IDS
Existem problemas
Falsos Alarmes
24/03/12
Falso Negativo
Falso Positivo
Erros de interpretao
Muitos logs para serem analisados
O dia-a-dia
Manter as regras atualizadas
Prof. Alcyon Junior
21 / 51
Inventrio
24/03/12
O princpio bsico da segurana conhecer as

necessidades e vulnerabilidades
muito importante ter um inventrio de hw e sw
Software no s para licenciamento, mas tambm
para buscar programas suspeitos inclusive P2P
Existem solues para todos os mundos
Prof. Alcyon Junior
22 / 51
PDSI
Plano Diretor de Segurana da Informao
Tem sido a grande vedete e tambm a grande vil

Existem problemas legais que precisam ser resolvidos e no
dependem apenas da comunidade tecnolgica
Um empresa que pensa segurana precisa ter ao menos
um rascunho
Regras: melhor ter algumas, por pior que sejam, do que no ter
nenhuma
Simples e objetivo factvel

A regra para elaborao de um PDSI bom senso
24/03/12
Auxlio de quem j fez sempre positivo

Prof. Alcyon Junior
23 / 51
FLISOL DF 2011
IPTables
24/03/12
Prof. Alcyon Junior
24 / 51
Sumrio
Caractersticas do iptables
Conceitos bsicos
Diagramas de tabelas e cadeias
Principais comandos
Principais filtros
Principais aes
Referncias
24/03/12
Prof. Alcyon Junior
25 / 51
Iptables
A implementao de filtro de pacotes nos kernels 2.4 e 2.6

realizado pelo iptables (projeto netfilter)
O iptables o programa capaz de gerenciar a
configurao do netfilter
Principais caractersticas
Filtragem sem considerar o estado do pacote
Filtragem considerando o estado do pacote
Suporte a NAT, tanto para endereos de rede ou portas
Flexvel, com suporte a plugins
24/03/12
Prof. Alcyon Junior
26 / 51
Conceitos bsicos
Analise a cadeia
regras: so instrues dados para o

firewall, indicando o que ele deve fazer.
cadeias: locais onde as regras podem ser
agrupadas. As regras so processadas em
ordem pelo firewall.
Toda cadeia tem uma poltica padro,
definida pelo usurio.
A cadeia percorrida at uma regra ser
atingida. As seguintes so ignoradas.
Regras com erro so ignoradas.
Regra 1
Regra 2
Regra
atingida
Regra 3
...
Regra n
Cadeia
Nenhuma regra atingida.

Usa a poltica da cadeia
Se nenhuma regra atingida, usa-se a

regra da poltica padro.
24/03/12
Prof. Alcyon Junior
27 / 51
Conceitos bsicos
tabelas: o iptables organiza o seu fluxo de pacotes em

tabelas, cada uma com um conjunto de cadeias prdefinidas:
Tabela filter: a tabela padro, com trs cadeias

INPUT
OUTPUT
FORWARD
Tabela nat: tabela usada para NAT (gera outras conexes)
24/03/12
PREROUTING
OUTPUT
POSTROUTING
Prof. Alcyon Junior
28 / 51
Conceitos bsicos
Tabelas do iptables (continuao):
Tabela mangle: permite alteraes nos pacotes (TOS, TTL, etc)

PREROUTING
INPUT
FORWARD
OUTPUT
POSTROUTING
Tabela raw: marca pacotes para rastreio posterior
24/03/12
Prof. Alcyon Junior
29 / 51
Organizao das tabelas do iptables
Tabela filter e suas cadeias
Roteamento
Roteamento
FORWARD
interface
de entrada
interface
de sada
INPUT
OUTPUT
PROCESSO LOCAL
24/03/12
Prof. Alcyon Junior
30 / 51
Salvando e restaurando regras no iptables
Pode ser feito com um arquivo de script ou usando os

comandos iptables-save e iptables-restore
iptables-[save|restore] executam a operao em um s
passo, de maneira mais segura (sem brechas
temporrias) e rpida.
Salvando:
Restaurando:
sudo iptables-save > arquivo_de_regras

sudo iptables-restore < arquivo_de_regras
possvel salvar os contadores com -c
24/03/12
Prof. Alcyon Junior
31 / 51
Formato geral das regras do iptables
iptables [-t table] comando [filtro] [-j ao]

Ao a ser tomada.
Por exemplo, DROP,
ACCEPT, pular para
outra cadeia, etc.
Especifique a tabela
que deseja usar. A
tabela filter a
tabela default.
O que ser feito:
adicionar uma regra,
remover, etc. Deve
vir no incio.
24/03/12
Prof. Alcyon Junior
Detalhamento que
ir permitir a
filtragem do pacote.
IPs de origem, taxas,
portas, etc.
32 / 51
Principais comandos de manipulao de

cadeias no iptables
Sempre maisculo seguido do nome da cadeia:
-P: configura a poltica padro da cadeia (DROP ou ACCEPT)
iptables -P OUTPUT ACCEPT
-N: cria uma nova cadeia
iptables -N internet
-F: apaga as regras da cadeia
iptables -F INPUT
-X: apaga uma cadeia vazia
iptables -F internet; iptables -X internet

-Z: zera todos os contadores da cadeia
24/03/12
iptables -Z INPUT
Prof. Alcyon Junior
33 / 51
Principais comandos de manipulao de

cadeias no iptables
-A: adicionar uma regra no final da cadeia
iptables -A INPUT --dport 80 -j DROP

-L: listar regras da cadeia (adicione -n para no resolver nomes e
--line-numbers para ver o nmero das regras)
iptables -L -n --line-number
-D: apagar uma regra da cadeia. Pode usar tambm a linha
iptables -D INPUT --dport 80 -j DROP

iptables -D INPUT 5
-R: trocar uma regra por outra
iptables -R INPUT 2 -s 10.0.1.2 -j DROP

-I: insere uma regra em um ponto especfico da cadeia
24/03/12
iptables -I INPUT 1 --dport 80 -j DROP

Prof. Alcyon Junior
34 / 51
Principais filtros no iptables
-p <protocolo>: especifica o protocolo. Por exemplo, udp, tcp ou icmp.

Pode ser negado tambm. Para tudo menos tcp, faa: com -p ! tcp
iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -p ! tcp -j DROP
-s <endereo>: especifica o endereo de origem. Aceita IPs, redes,

IP/mscara, IP/nn (notao CIDR) e tambm a negao com !.
iptables -A INPUT -s 10.1.1.1 -j ACCEPT
iptables -A INPUT -s ! 10.1.1.0/24 -j DROP
-d <endereo>: especifica o endereo de destino (mesmas regras do -s)
iptables -A OUTPUT -d uol.com.br -j ACCEPT
24/03/12
Prof. Alcyon Junior
35 / 51
-i <interface>: especifica a interface de entrada do pacote. Use ! para

negar e + como curinga. -i eth+ significa todas as interfaces eth. Vlida
em INPUT, PREROUTING e FORWARD.
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i ppp+ -j DROP
-o <interfaces>: especifica a interface de sada. Vlida em OUTPUT,

POSTROUTING e FORWARD. Usa as mesmas regras de -i.
iptables -A OUTPUT -o ppp+ -j ACCEPT
24/03/12
Prof. Alcyon Junior
36 / 51
--sport <porta>: especifica a porta de origem. Pode ser dado em forma de

faixa tambm, como em --sport 80:123 ou mesmo --sport 1023: (todas
acima de 1023). Precisa ter tcp ou udp especificado como protocolo.
iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --sport 1:1023 -j REJECT
iptables -A INPUT -p tcp --sport 1024: -j ACCEPT
--dport <porta>: especifica a porta de destino. Mesmas regras do --sport.
iptables -A OUTPUT -p tcp --dport 23 -j DROP
24/03/12
Prof. Alcyon Junior
37 / 51

(TCP, -p tcp necessrio)
--tcp-flags <mscara> <set>: Permite casar por flags do TCP. Primeiro se

diz quais sero examinados, depois os que devem estar setados. Flags:
SYN, ACK, URG, FIN, RST e PSH. ALL e NONE tambm pode ser usados
para simplificar a seleo dos flags
iptables -A INPUT -p tcp --tcp-flags SYN,FIN,ACK SYN -j DROP
iptables -A INPUT -p tcp --tcp-flags ! SYN,FIN,ACK SYN -j DROP
--syn: Uma abreviao para selecionar pacotes que estejam relacionados

com um processo de abertura de conexo. Poderia ser escrito tambm
como: --tcp-flags SYN,RST,ACK SYN
iptables -A INPUT -p tcp --syn -j DROP
24/03/12
Prof. Alcyon Junior
38 / 51
Referncias
Pagina PortalTIC
O iptables tutorial, do Oscar Andreasson, imperdvel:
http://www.frozentux.net/documents/iptables-tutorial/
O guia Viva o Linux:
http://vivaolinux.com.br/
A pgina do projeto netfilter (com alguns docs em PT_BR):
http://www.netfilter.org/documentation/
24/03/12
Prof. Alcyon Junior
39 / 51
FLISOL DF 2011
SQUID Proxy PLUS
24/03/12
Prof. Alcyon Junior
40 / 51
O que isso ?
Squid um software especializado em fazer a operao

de proxy de web e ftp, completamente free e com
excelente suporte para operao em servidores Linux.
Com o Squid voc pode instalar um servidor Linux com
acesso Internet, e fazer com que outras mquinas
clientes (usando Linux, Windows ou outro sistema
operacional) acessem pginas web e sites ftp atravs do
servidor Linux, mesmo que estas mquinas clientes no
tenham conexo direta com a internet - tudo que elas
precisam o acesso ao prprio servidor onde est
rodando o Squid.
24/03/12
Prof. Alcyon Junior
41 / 51
Como Utilizar?
A nica configurao necessria na mquina cliente feita

no prprio browser: voc precisa definir qual o endereo
do servidor proxy. Esta uma operao bastante simples,
disponvel nos menus do Netscape, do Internet Explorer e
dos demais browsers em geral.
Mas no confunda as coisas: o squid d acesso a servios
como http, https (web segura) e ftp, mas no d acesso a
outros servios como ICQ, e-mail e IRC.
24/03/12
Prof. Alcyon Junior
42 / 51
Caracteristicas
Proxy e cache para HTTP, FTP e outros protocolos

baseados em URL
Proxy para SSL
Cache Hierrquico
suporte para Proxy transparente
Polticas de controle de acesso extremamente Flexveis
SNMP
Logs Avanados
DNS Cache
24/03/12
Prof. Alcyon Junior
43 / 51
Recursos
O recurso que mais atrai ateno no squid o cache de

pginas. Como em geral o link entre as mquinas clientes e o
servidor proxy de alta velocidade (rede local ethernet ou
similar) e o link entre o proxy e a web mais lento, bastante
interessante a possibilidade que o squid oferece de armazenar
localmente as ltimas pginas acessadas, de forma a no ter
que buscar novamente na internet uma pgina que tenha sido
recentemente vista por outro usurio da mesma rede.
Naturalmente voc pode configurar o tempo de
armazenamento de cada pgina no cache, e o protocolo HTTP
tem recursos suficientes para reconhecer pginas que no
devem ser guardadas no cache, precisando ser buscadas
novamente a cada requisio.
24/03/12
Prof. Alcyon Junior
44 / 51
Configurando
A configurao do squid feita editando seu arquivo de

configurao, o squid.conf. Na instalao do RPM ele estar
no/etc/squid/. Use seu editor preferido para configurar o arquivo. O
arquivo de configurao e muito bem explicado, as configuraes
padro vem comentadas facilitando o entendimento.
O squid trabalha "Escutando" uma porta TCP determinada, os
clientes que querem acessar uma pagina Web, ftp, ssl fazem
requisies nesta porta informando o servidor e o protocolo que
querem utilizar e o squid faz a requisio na porta certa. A porta
padro do squid e a porta 3128 isto pode ser alterado com uma
diretiva do squid.conf http_port, vamos usar a porta 8080 inserindo
a seguinte linha no squid.conf:
http_port 8080
24/03/12
Prof. Alcyon Junior
45 / 51
Configurando
Temos que decidir tambm onde ser o diretrio de cache e o

tamanho do mesmo. Por padro o squid est configurado para o
diretrio de cache ficar em /var/spool/squid, por questes de
performance, segurana e gerenciabilidade melhor que ele fique
instalado em uma partio separada.
Montaremos ento a partio de cache no diretrio /cache e
configuraremos para que o cache fique l. Para mudar o diretrio do
cache procure a linha cache_dir no squid.conf, provavelmente ela
estar assim:
#cache_dir ufs /var/spool/squid 100 16 256
24/03/12
Prof. Alcyon Junior
46 / 51
Configurando
Bem vamos entender os parmetros. O primeiro diz respeito ao

formato do cache, melhor no mudar isso, a outra opo e asyncufs
que no esta compilada no RPM e ainda instvel. A segunda
opo informa o diretrio do cache, como resolvemos que o cache
ficar no diretrio /cache este valor deve ser mudado para /cache. O
terceiro parmetro e o tamanho do cache em Mega bytes, tendo um
disco de 9GB, separados uns 20% para um overhead do linux mais
o squid podemos selecionar 7GB. Os outros parmetros dizem
respeito a configurao dos diretrios do squid, no e necessrio
muda-los. Ento nossa linha fica sendo:
cache_dir ufs /cache/ 7000 16 256 (Note que no tem mais o # na
frente)
24/03/12
Prof. Alcyon Junior
47 / 51
Criando o Cache
Agora que j esta configurada a rea de cache, primeiro e

preciso assegurar que o squid ter direito de escrita no
diretrio de cache, o squid no roda como o root, ele usa
um usurio definido no parmetro do squid.conf,
cache_effective_user, a distribuio da conectiva vem com
o squid rodando com o usurio nobody, para fazer o squid
rodar com outro usurio (o usurio squid por exemplo),
troque o valor do parmetro no arquivo de configurao.
lembre-se que o usurio ter de ter acesso de leitura e
escrita nos diretrios de cache e log.
E hora de criar o cache. Digite na linha e comando:
# squid -z
24/03/12
Prof. Alcyon Junior
48 / 51
Concluso
- aquele que conhece o inimigo e a si mesmo, lutar cem
batalhas sem perigo de derrota;
- para aquele que no conhece o inimigo, mas conhece a si mesmo,
as chances para a vitria ou para a derrota sero iguais;
- aquele que no conhece nem o inimigo e nem a si prprio, ser
derrotado em todas as batalhas.
Sun Tzu (A arte da Guerra)
24/03/12
Prof. Alcyon Junior
49 / 51
Muito Obrigado
24/03/12
Prof. Alcyon Junior
50 / 51
FLISOL DF 2011
Contatos
Email - alcyon@portaltic.com
PortalTIC http://portaltic.com
Facebook Alcyon Junior
Twitter - @alcyjones
LinkedIN - http://br.linkedin.com/in/alcyon
Google Plus - http://gplus.to/alcyjones
24/03/12
Prof. Alcyon Junior
51 / 51

Palestra de Segurança Na Era Do Software Livre - VOLDAY III

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Palestra de Segurança Na Era Do Software Livre - VOLDAY III

Diunggah oleh

Hak Cipta:

Format Tersedia

VolDay III

Segurana na era do Software Livre

Apresentao - Quem sou eu!

Alcyon Junior CSO do Estado-Maior do Exrcito e professor

Possui tambm certificao internacional CNAP, ttulo de

Como falar comigo

Facebook Alcyon Junior

Google Plus - http://gplus.to/alcyjones

Principais tipos de ataques e os pontos fracos das organizaes

Principais tipos de Ataques

Principais tipos de Ataques

Ataque interno o mais fcil de ser praticado, no existe

Principais tipos de Invases

Qual o objetivo de uma invaso ?

Obteno de informaes privilegiadas (principalmente

Podemos facilmente identificar os pontos fracos

Vamos tratar aqui os dois maiores

Ambiente Seguro (Fw, IDS, etc.)

Primeira pergunta Corremos riscos ?

Resposta sempre SIM

Existe: SIM e sim

Presena na WEB com servidor prprio

Uma Soluo! nada 100% seguro

Firewall nvel de rede

Firewall de Gateway de Aplicativo

Firewall Nivel de Rede

Devem trabalhar em conjunto com os roteadores

Roteadores previnem contra IP implementados no RFC

Os firewalls devem restringir a passagem das

As Portas mais comuns

Executar o bloqueio de endereos forjados

Pacotes originrios do mundo exterior com origem de

telnet (23/tcp), SSH (22/tcp), FTP (21/tcp), NetBIOS

As Portas mais comuns

Bloqueio de DNS (53/udp) para todas as mquinas que no so

Range de portas de 6000/tcp at 6255/tcp

SMTP (25/tcp) para todas as mquinas que no so relays

As Portas mais comuns

Bloqueio de HTTP (80/tcp) e SSL (443/tcp) exceto para servidores que

Portas abaixo da 20/tcp e 20/udp e servio time (portas 37/tcp e 37/udp)

TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP (123/tcp), LPD

As Portas mais comuns

Portmap/rpcbind (111/tcp e 111/udp), NFS (2049/tcp e

Bloqueio de requisies de echo request (ping e

uma mudana de paradigmas

um tormento para qualquer CSO (chief security

Acaba a viso de cliente / servidor

Messenger, Kazaa e etc.

Esses sistemas usam portas especficas, porm buscam

Uma boa sada atravs da PDSI (Plano Diretor

Tem a funo de detectar tentativas de invaso

O princpio bsico da segurana conhecer as

Tem sido a grande vedete e tambm a grande vil

Simples e objetivo factvel

Auxlio de quem j fez sempre positivo

Diagramas de tabelas e cadeias

A implementao de filtro de pacotes nos kernels 2.4 e 2.6

Filtragem sem considerar o estado do pacote

Filtragem considerando o estado do pacote

Suporte a NAT, tanto para endereos de rede ou portas

Flexvel, com suporte a plugins

regras: so instrues dados para o

Nenhuma regra atingida.