CENTRO UNIVERSITRIO DA FUNDAO

EDUCACIONAL DE BARRETOS
UNIFEB

ESTUDO DO IPCOP COMO FIREWALL DE

APLICAO

DOUGLAS MARRA DA COSTA

RAFAEL APARECIDO DE LIMA

Orientador
Prof. Fbio Fernando da Silva

BARRETOS
2010

TRABALHO DE CONCLUSO DE CURSO

Estudo do IPCop como firewall de aplicao

Douglas Marra da Costa

Rafael Aparecido de Lima

Trabalho de Concluso de Curso apresentado UNIFEB Centro

Universitrio da Fundao Educacional de Barretos, sob a orientao
do Prof. Fbio Fernando da Silva para obteno do ttulo de Bacharel
em Sistemas de Informao.

Barretos
2010

Costa, Douglas Marra, Lima, Rafael Aparecido

Estudo do IPCop como firewall de aplicao.
Douglas Marra da Costa e Rafael Aparecido de
Lima. Barretos: UNIFEB, 2010.
Nmero de pginas f. 63, 29,7 cm
Trabalho de Concluso de Curso de Sistemas de
Informao Centro Universitrio da Fundao
Educacional de Barretos, Barretos, 2010.
Bibliografia: f. 61
1. IPCop 2. Firewall 3. Segurana

Trabalho de Concluso de Curso elaborado por:

Douglas Marra da Costa

Rafael Aparecido de Lima

Aprovado pela Banca Examinadora, aceito pela UNIFEB Centro Universitrio da Fundao
Educacional de Barretos e homologado como requisito parcial obteno do ttulo de Bacharel em
Sistemas de Informao.

Nota atribuda pela Banca Examinadora:_________

Data:_____/_____/_____
Membros da Banca Examinadora:
Nome:________________________________ Assinatura:____________________________
Nome:________________________________ Assinatura:____________________________
Nome:________________________________Assinatura:

____________________________

DEDICATRIA

Dedico esse trabalho a meu Pai, Adilson e minha me Gilcinei, por terem apoiado todas
minhas decises e escolhas, certas ou erradas. Obrigado por acreditarem nesse filho que os ama
tanto. Dedico minha namorada Isadora pela compreenso, dedicao e apoio desde o incio do
curso de Sistemas de informao, foram muito importantes.
Douglas Marra da Costa
Dedico esse trabalho a minha me Ana meu Pai Paulo, meus irmos e todos meus amigos,
colegas e professores.
Rafael Aparecido de Lima
Dedicamos a todos os nossos amigos que nos acompanharam nessa jornada de quatro anos.
No esqueceremos de todos os momentos que passamos juntos.
Douglas e Rafael

AGRADECIMENTOS

Nossos sinceros agradecimentos:

Ao professores Fbio Fernando da Silva pela orientao e incentivo durante a realizao
deste trabalho, e ao professor Kleber Sartrio pela coordenao geral dos Trabalhos de concluso de
curso da 5 turma de Sistemas de Informao da UNIFEB.
E a todos os amigos do curso e professores em geral que contriburam direta ou indiretamente
para a realizao deste trabalho.

RESUMO

A globalizao trouxe grandes inovaes tecnolgicas e o amadurecimento da informtica fez com

que computadores, antes ilhas isoladas, pudessem se comunicar atravs de redes mundiais. Muitos
benefcios e problemas vieram com essa evoluo tecnolgica, e a seguinte questo surgiu: Como
manter a segurana em uma rede privada, enquanto utilizamos a maior rede mundial de
computadores, a Internet? uma questo complexa e para solucionar problemas complexos,
devemos dividi-los em partes. Esse trabalho mostra como solucionar os desafios que as empresas
encontram para controlar o trfego desnecessrio da rede, gerado por aplicaes como MSN
Messenger e outros comunicadores instantneos, Emule e tantos outros softwares P2P (peer-to-peer).
O IPCop ser a ferramenta utilizada, no qual demonstraremos a instalao e configurao dos
mdulos especficos para controle de trfego das aplicaes citadas.
Palavras Chave: Comunicadores instantneos, Firewall, IPCop.

ABSTRACT

The globalization has brought significant technological innovations and the maturation of computing
has made computers before, isolated islands, could communicate through global networks. Many
benefits and problems that come with technological developments and the following question arose:
How keep the security on a private network, while we use the worlds largest network of computers,
the Internet? Its a complex question and to solve complex problems, we should divide it into parts.
This work show how to solve the challenges that companies find to control the unnecessary network
traffic generated by applications like Msn messenger and others IM Clients, and many other
software Emule P2P (peer-to-peer). The IPCop will be the tool used, which we demonstrate the
installation and configuration of specific addons for traffic control applications cited.
Keywords: Firewall, Instantaneous Messenger ,IPCop.

SUMRIO
INTRODUCO .................................................................................................................................. 11
CAPITULO 1 OBJETIVOS DESTE TRABALHO .................................................................... 13
1.1
Objetivos .......................................................................................................................... 13
1.2
Metodologia do Trabalho ................................................................................................. 13
CAPITULO 2 REFERENCIAL TERICO ................................................................................... 14
2.1
Protocolos......................................................................................................................... 14
2.2
Modelo OSI ...................................................................................................................... 14
2.3
Modelo TCP/IP ................................................................................................................ 17
2.4
O TCP .............................................................................................................................. 20
2.5
O UDP .............................................................................................................................. 21
2.6
O IP .................................................................................................................................. 21
2.7
O ICMP ............................................................................................................................ 21
2.8
Firewall ............................................................................................................................ 22
2.9
Termos Utilizados ............................................................................................................ 24
2.10
Tipos de Firewall ............................................................................................................. 26
2.11
Arquiteturas de Firewall................................................................................................... 28
2.12
IPCop ............................................................................................................................... 30
2.13
IPCop: Interfaces de Rede................................................................................................ 31
2.13.1.1
Interface Verde................................................................................................... 31
2.13.1.2
Interface Vermelha............................................................................................. 32
2.13.1.3
Interface Laranja ................................................................................................ 32
2.13.1.4
Interface Azul..................................................................................................... 33
CAPITULO 3 Desenvolvimento .................................................................................................... 34
3.1
Configurao bsica do IPCop ......................................................................................... 34
3.2
Obteno de pacotes e softwares adicionais .................................................................... 38
3.3
O que URLfilter ? .......................................................................................................... 39
3.4
O que P2PBlock ? ......................................................................................................... 39
3.5
O que L7Block ? ........................................................................................................... 40
3.6
Acesso SSH com o Putty ................................................................................................. 40
3.7
Envio de arquivos com Winscp ....................................................................................... 42
3.8
Descompactar pacotes ...................................................................................................... 45
3.9
Instalao do Url filter ..................................................................................................... 46
3.10
Instalao do P2PBlock ................................................................................................... 46
3.11
Instalao do L7Blocker .................................................................................................. 47
3.12
Configurao do P2PBlock .............................................................................................. 47
3.13
Configurao do L7Blocker ............................................................................................. 50
3.14
Configurao do Urlfilter ................................................................................................. 55
CONCLUSO .................................................................................................................................... 59
REFERNCIAS BIBLIOGRAFICAS ................................................................................................ 60

LISTA DE FIGURAS

Figura 1 Firewall .............................................................................................................................. 23

Figura 2 - Arquitetura Screening router .............................................................................................. 28
Figura 3 - Arquitetura Dual-homed Host ............................................................................................ 29
Figura 4 - Arquitetura Screened Host ................................................................................................. 29
Figura 5 - Arquitetura Screened Subnet .............................................................................................. 30
Figura 6 - Topologia IPCop ................................................................................................................ 33
Figura 7 - interface IPCop................................................................................................................... 34
Figura 8 - Primeiro acesso .................................................................................................................. 35
Figura 9 - Mudando de idioma............................................................................................................ 35
Figura 10 - IPCop Updates ................................................................................................................. 36
Figura 11 - IPCop Update Error.......................................................................................................... 37
Figura 12 - Update .............................................................................................................................. 37
Figura 13 - IPCop ssh ......................................................................................................................... 38
Figura 14 - IPCop P2P Block.............................................................................................................. 40
Figura 15 - Putty ................................................................................................................................. 41
Figura 16 - Putty Securty Alert ........................................................................................................... 41
Figura 17 - Putty Login ....................................................................................................................... 42
Figura 18 WinSCP Login ............................................................................................................... 43
Figura 19 - WinSCP Transferncia de arquivos ................................................................................. 43
Figura 20 - WinSCP Arquivos transferidos ........................................................................................ 44
Figura 21 - WinSCP L7-Protocolos .................................................................................................... 44
Figura 22 P2PBlocker ...................................................................................................................... 47
Figura 23 - eMule conectado .............................................................................................................. 48
Figura 24 Bloqueio com P2PBlocker .............................................................................................. 48
Figura 25 - P2PBlocker apply settings ................................................................................................ 49
Figura 26 - Emule conexo bloqueada ................................................................................................ 49
Figura 27 Log de bloqueio (Layer7 edonkey) ................................................................................. 50
Figura 28 - L7Blocker ......................................................................................................................... 50
Figura 29 MSN Messenger .............................................................................................................. 51
Figura 30 - L7Blocker create group .................................................................................................... 51
Figura 31 - L7Blocker create rules ..................................................................................................... 52
Figura 32 - L7Blocker MSN-filetransfer ............................................................................................ 52
Figura 33 - L7Blocker Bloqueio de MSN s ........................................................................................ 53
Figura 34 - L7 is not running .............................................................................................................. 53
Figura 35 - L7 Running....................................................................................................................... 54
Figura 36 - Falha na conexo MSN .................................................................................................... 54
Figura 37 - Log bloqueio MSN Messenger ........................................................................................ 54
Figura 38 - URLFilter fonte: Autores .............................................................................................. 55
Figura 39 - URLFilter Block categories ............................................................................................. 55
Figura 40 - URLFilter Blacklist update .............................................................................................. 56
Figura 41 - URLFilter Categories ....................................................................................................... 56
Figura 42 - URLFilter Categories ....................................................................................................... 57
8

Figura 43 - URLFilter configuraes .................................................................................................. 57

Figura 44 - Urlfilter Expresso regular ............................................................................................... 58
Figura 45 - bloqueio Orkut.com.......................................................................................................... 58

LISTA DE TABELAS

Tabela 1 - Modelo OSI ................................................................................................................... 15

Tabela 2 - Modelo TCP/IP ............................................................................................................... 19
Tabela 3 - Comparativo Modelo OSI e TCP/IP ............................................................................... 20

10

INTRODUCO
A globalizao ocorre em todos os aspectos do nosso cotidiano, no sendo diferente no
mundo computacional. Tanenbaum (2003) apontou que apesar da indstria de informtica ainda ser
jovem, foi simplesmente espetacular o progresso que os computadores conheceram em to pouco
tempo. Todo esse progresso tecnolgico nos deu a liberdade de buscar e compartilhar conhecimento
dentro de uma rede mundial, de acessar informaes em servidores espalhados pelo mundo, de ligar
redes privadas a outras conforme nossas necessidades. Porm como o mundo, a Internet no
segura. Com o surgimento de novos produtos e servios de TI (Tecnologia da Informao), novos
desafios e riscos tambm surgiram. Polticas de segurana da informao tiveram que ser revistas e
muitas empresas encontraram obstculos para controlar a disseminao da informao atravs de
seus colaboradores. Esses colaboradores devem ser orientados quanto ao bom uso de recursos da
rede e de polticas de acesso internet para fins pessoais, emails, compartilhamento de arquivos e
outros recursos. Como diz Mitnick (2003), o elo mais fraco da segurana da informao so as
pessoas.
Laudon (2004) definiu a informao como um conjunto de dados representados de uma
forma til e significativa para as pessoas. A informao poder, sendo necessrio manter uma
forma de controle sobre ela. O aumento do fluxo de informaes entre empresas, organizaes e
governos fez com que a percepo para o controle da informao, tornasse essencial para a
excelncia do gerenciamento das mesmas. Podemos notar que muitos usurios so obcecados por
relacionamentos instantneos com outras pessoas, internas ou externas a organizao. Estes mesmos
usurios, sempre esto em busca de burlar a segurana (mesmo inconscientemente) criada para
impedir esse tipo de utilizao da rede corporativa, fazendo com que o rendimento, a produtividade e
a segurana dos dados do colaborador diminuam, e, por conseguinte a segurana da organizao
como um todo. Por muitas vezes o usurio nem tem idia do mal que pode estar fazendo.
A divulgao de informaes confidenciais de determinada empresa sobre seus clientes ou
novos produtos em desenvolvimento podem causar prejuzos imensurveis a mesma. A forma mais
correta de proteger uma rede privada seria com o isolamento fsico da estrutura, assim nenhum
indivduo externo conseguiria acesso sem ter contato com a estrutura fsica da organizao. Porm
com o crescimento da rede mundial de computadores, e a necessidade de conexes entre pontos
distantes, esse isolamento tornou-se praticamente impossvel.

11

Nesse cenrio, fez-se necessrio algo que pudesse prover uma anlise e controle sobre tudo
que entrasse e sasse da rede. Ferramentas como essas so chamadas de firewalls, um conceito de
dispositivo presente na borda da rede por onde todos os dados que entram e saem da mesma, devero
ser analisados, a fim de manter a rede interna segura de ameaas externas. Cada pacote tratado de
acordo com as regras do firewall, resultando em pacotes permitidos ou rejeitados.
Um firewall concebido por software, hardware ou ambos e sua maior funo o controle
de trfego indesejado em uma rede interna.
No mercado h firewalls de todos os tipos e preos, mas quando uma empresa pretende
comprar um produto ou servio, ela analisa vrios aspectos como custo/benefcio, manuteno e
treinamentos para os colaboradores responsveis para administrar o produto.
Esse trabalho aborda o IPCop, uma distribuio Linux que possui ferramentas de um firewall
moderno, customizvel e de fcil utilizao. Ideal para empresas com estruturas de redes de pequeno
e mdio porte, alm de ser gratuito.
O objetivo principal documentar os procedimentos de configuraes do IPCop para
controle e bloqueio de comunicadores instantneos e softwares P2P (peer-to-peer), como: MSN
Messenger, Skype, Bittorrent, Emule, Kazaa, Ares alm de jogos e outros.
Qualquer administrador de redes ou outra pessoa com um mnimo de treinamento poder
utilizar a ferramenta para criar filtros de controle de trfego.

12

CAPITULO 1

OBJETIVOS DESTE TRABALHO

1.1 Objetivos
Este trabalho tem como objetivo aplicar e analisar o resultado da configurao de polticas de
bloqueio em um ambiente de teste, utilizando uma distribuio linux GNU GPL (General Public
License - Licena Pblica Geral) com ferramentas especficas para firewall, conhecida como IPCop.

1.2 Metodologia do Trabalho

A metodologia utilizada neste trabalho foi a de pesquisa experimental, envolvendo instalao
e configurao de mdulos (addons) na distribuio Linux IPCOP 1.4.21, objetivando prover uma
soluo customizada de um firewall SOHO (Small Office/HomeOffice).
Conforme Gil (1999), esta modalidade de pesquisa tem a finalidade bsica de desenvolver,
esclarecer e modificar conceitos e idias para a formulao de abordagens posteriores. Dessa forma
esse trabalho visa dar aos pesquisadores e profissionais da rea, maior suporte para que sejam
elaboradas polticas de bloqueio realistas e consistentes em um ambiente organizacional.
Durante o desenvolvimento do trabalho foram seguidas as seguintes etapas:

Escolha dos softwares a serem utilizados e testados.

Levantamento e anlise da documentao dos softwares envolvidos.

Instalao, customizao e configurao.

Testes das polticas de segurana.

Anlise dos resultados obtidos.

13

CAPITULO 2

REFERENCIAL TERICO

2.1 Protocolos
2.2 Modelo OSI

Para podermos abordar o tema firewall, h a necessidade de aprofundarmos melhor os

conceitos bsicos do funcionamento de uma rede de computadores, para isso iremos abordar de
forma bsica os conceitos dos modelos de referncia OSI e TCP/IP, e depois protocolos de
comunicao como TCP e de encapsulamento como o IP.
Segundo afirma Gheorghe (2006) em 1984, a ISO (International Organization for
Standardization) lanou o modelo de referncia OSI (Interconexo de Sistemas Abertos) que um
conjunto bem definido de especificaes que se tornaram o primeiro passo em direo a
padronizao internacional dos protocolos empregados nas diversas camadas. A criao do modelo
OSI veio com o intuito de garantir que os mais diversos tipos de redes existentes no mundo
seguissem um nico padro. O modelo seria a garantia de uma maior compatibilidade na
comunicao dessas redes. Durante a construo desse padro, o conceito de comunicao dentro de
uma rede foi dividido em sete camadas, cada camada presente no modelo oferece suporte camada
acima dela, passando as informaes necessrias para que haja uma continuao do processo de
comunicao. Essas informaes so passadas atravs de um processo chamado encapsulamento.
Gheorghe (2006) afirma que as informaes contidas em uma camada geralmente tm cabealhos e
rodaps e dados encapsulados de uma camada superior. Durante a transmisso de um dado de uma
camada para outra, a camada emissora depositar suas informaes nesse encapsulamento, e o
passar prxima camada, o processo continua at a real transmisso dos dados pela camada fsica.
O processo inverso no caso de recebimento de dados.

14

A seguir temos a representao do Modelo OSI:

Modelo OSI
Aplicao
Apresentao
Sesso
Transporte
Rede
Enlace de dados
Fsica
Tabela 1 - Modelo OSI Fonte: Autores

Como Tanembaum (2003) citou o modelo OSI no pode ser considerado uma arquitetura de
rede, pois o mesmo no especifica quais os protocolos e servios exatos que devem ser usados em
cada camada. A seguir uma breve explicao sobre cada camada do Modelo OSI:

Camada Fsica

Conforme afirmao de Gheorge (2006) quando pensamos na camada fsica devemos pensar
em cabos e conectores, a camada fsica que controla toda a parte mecnica e eltrica da
comunicao.

Camada de Enlace de dados

A camada de enlace a responsvel pelo controle de fluxo de bits entre os transmissores da

rede. Segundo Tanenbaum (2003) sua principal funcionalidade a de criar um canal de comunicao
livre de erros entre os dispositivos da rede, orientando-se pelo nmero MAC (Media Access
Control); do mesmo. aqui que a topologia da rede descoberta.

Camada de rede

Tanenbaum (2003) aponta que uma questo fundamental em um projeto de redes definir
como os pacotes sero roteados da origem at o destino. na camada de rede que as rotas e o
15

controle do fluxo dos dados so estabelecidos. Gheorhe (2006) cita que quando pensamos na camada
de redes devemos pensar em rotas.

Camada de transporte

Os protocolos presentes na camada de transporte so responsveis por prover um controle na

velocidade da transmisso dos dados, esse controle chamado de controle de fluxo. Segundo
Tanembaum (2003) todo esse controle deve ser dado de forma que as camadas superiores fiquem
isoladas das inevitveis mudanas de tecnologia de hardware.

Camada de Sesso

De acordo com Tanembaum (2003), a camada de sesso permite que os usurios de

diferentes mquinas estabeleam sesses entre eles; ela a camada responsvel por iniciar, gerenciar
e terminar a conexo entre hospedeiros (hosts) de uma rede.

Camada de Apresentao

Duas redes distintas podem se comunicar usando tipos de dados diferentes, nessa
comunicao existe a necessidade de algo que traduza os protocolos e dados utilizados na
comunicao. Tanenbaum(2003) aponta que a camada de apresentao gerencia essas estruturas de
dados abstratos e permite a definio e o intercmbio de estruturas de dados de nvel mais alto (por
exemplo, registros bancrios). Basicamente ela converte o dado recebido da camada de aplicao e
converte esse dado em um formato comum para a transmisso do mesmo.

Camada de Aplicao

Tanenbaum (2003) aponta que a camada de aplicao contm uma srie de protocolos
comumente necessrios para os usurios, o HTTP (Hyper Text Transfer Protocol), por exemplo, que
constitui a base para a World Wide Web. Essa a camada mais prxima do usurio, a camada de
aplicao fornece servios a ele na entrega dos dados, ela cria uma interface entre o protocolo de
16

comunicao e o aplicativo que requisitou algum tipo de servio. Basicamente, a camada de

aplicao a responsvel por fazer a interao dos softwares usados e o usurio.

2.3 Modelo TCP/IP

No auge da guerra fria, fim da dcada de 50, o sistema de comunicao do Departamento de

defesa dos EUA passava todo pela rede pblica de telefonia, considerada extremamente vulnervel.
As centrais de comutao eram conectadas de forma hierrquica, e essa era sua grande
vulnerabilidade, j que se alguma dessas centrais parasse isso fragmentaria o sistema em vrias ilhas
isoladas.
Na dcada de 60 o departamento de defesa firmou contrato com a RAND corporation, a fim
de encontrar uma soluo. Um funcionrio da RAND, Paul Baran criou um projeto onde apresentava
uma nova topologia e a idia do uso de comutao de pacotes em todo o sistema, onde o
departamento de defesa gostou do projeto, e pediu para a AT&T detentora do monoplio de
telecomunicao na poca para desenvolver um projeto baseado nas idias de Baran. Porm a AT&T
descartou o projeto, que segundo Tanenbaum (2003) a maior e mais rica corporao do mundo no
podia permitir que um jovem pretensioso lhe ensinasse a criar um sistema telefnico. E assim o
sistema de Baran foi desacreditado.
Em 1957, a ento Unio sovitica saiu na frente dos EUA na corrida espacial, lanando o
primeiro satlite artificial no espao. Quando foi procurar um culpado o Presidente Eisenhower
descobriu que havia uma disputa interna entre o Exrcito, a Marinha e a Fora Area pelo oramento
de pesquisa do Pentgono. Sua atitude foi criar a ARPA, ou Advanced Research Projects Agency
(Agencia de pesquisa de projetos avanados) que passou a custear projetos promissores.
Em 1967 o diretor da ARPA Larry Roberts, voltou sua ateno para as redes de
computadores. Em contato com diversos pesquisadores Larry conheceu Wesly Clarck, que sugeriu a
criao de uma sub-rede comutada por pacotes. Mesmo reticente Roberts comprou a idia e a
apresentou em um simpsio em Gatlinburg, Tennessee, no final de 1967. Para sua surpresa, Roberts
encontrou outro documento na conferncia que apresentava um sistema semelhante que j havia sido
implantado sob a orientao de Donald Davies no Laboratrio de fsica nacional da Inglaterra.
Documento esse que havia sido baseado no trabalho descartado de Baran, e que mostrava que a
17

comutao de pacotes era vivel. Segundo Tanenbuam (2003) Roberts saiu da conferncia
determinado a construir o que mais tarde ficou conhecido como ARPANET.
O principio da ARPANET consistia em minicomputadores chamados IMPs (Interface
Message

Processors

Processadores de Mensagens de Interface) conectados por linhas de

transmisso de 56 kbps. Tanenbaum (2003) aponta que para garantir sua confiabilidade, a sub-rede
tinha de ser uma sub-rede de datagramas, de modo que, se algumas linhas e alguns IMPs fossem
destrudos, as mensagens pudessem ser roteadas automaticamente por caminhos alternativos.
Em dezembro de 1969 entrou no ar uma rede experimental com quatro ns (UCLA, UCSB,
SRI e University of Utah) que foram escolhidos por j terem um grande numero de IMPs ligados a
ARPANET e por serem redes diferentes e incompatveis, o que aumentava o desafio. Em trs anos a
ARPANET j se estendia por todo territrio norte americano.
Tanenbaum (2003) afirma que essa experincia serviu para demonstrar que os protocolos da
ARPANET no eram adequados para execuo em vrias redes. O que levou a mais pesquisas sobre
protocolos, culminando com a inveno dos protocolos e do modelo TCP/IP. Para estimular o uso
desses protocolos a ARPA ofereceu diversos contratos Universidade da Califrnia, Berkeley, para
integr-los ao seu sistema UNIX. Segundo Tanenbaum (2003) durante esse perodo os pesquisadores
da Califrnia desenvolveram muitos programas e aplicativos para a interligao de redes.
Durante a dcada de 80, muitas novas redes foram ligadas a ARPANET, esse crescimento
tornou mais dispendioso a localizao de computadores presentes na rede, o que deu origem ao DNS
(Domain Naming System), que segundo Tanenbuam (2003) tinha o objetivo de organizar as
mquinas em domnios, e mapear nomes de hosts em endereos IP.
Tanenbaum (2003) aponta que o nmero de redes, mquinas e usurios conectados
ARPANET cresceu rapidamente depois que o TCP/IP se tornou o nico protocolo oficial, em 1 de
janeiro de 1983.
Conforme afirma Dempster e Eaton-lee (2006), o TCP/IP um conjunto de protocolos
originalmente desenvolvido em camadas para uso na ARPANET, juntamente com outras normas
sobre as quais o TCP/IP implementado, como a 802.3 ou Ethernet. O modelo TCP/IP ganhou uma
rpida notoriedade devido tambm ao fato de ser uma arquitetura de rede aberta, e assim como o
modelo OSI o modelo TCP/IP foi concebido em camadas. Era necessrio uma arquitetura flexvel,
capaz de se adaptar a aplicaes com requisitos divergentes como, por exemplo, a transferncia de
arquivos e a transmisso de dados de voz em tempo real (TANENBAUM, 2003).
18

A seguir uma representao do Modelo TCP/IP:

Modelo TCP/IP
Aplicao

Transporte
Inter-redes
Host Rede
Tabela 2 - Modelo TCP/IP Fonte: Autores

Camada Host Rede

Os Protocolos da camada Host Rede mapeiam endereos IP para endereos de hardware e

encapsulam pacotes IP em quadros (GHEORGHE, 2006). Sua principal tarefa transformar os

datagramas IP em quadros de bits que sero enviados ao hospedeiro de destino.

A camada Inter-redes

Como aponta Tanenbaum (2003) pode-se dizer que essa camada tem funes muito parecidas
com a camada de redes do modelo OSI, aqui feito o controle do fluxo, de erros, e o roteamento
para a entrega de pacotes.

A camada de Transporte

Ela desempenha o papel fundamental de fornecer servios de comunicao diretamente aos

processos de aplicao que rodam em hospedeiros diferentes (KUROSE; ROSS, 2006). Tanenbaum
(2003) aponta que a principal finalidade dessa camada, manter uma conversao entre os
hospedeiros de destino e origem, assim como no modelo OSI.

19

A camada de Aplicao
aqui que residem protocolos como HTTP (Hypertext Transfer Protocol), FTP (File

Transfer Protocol), SMTP (Simple Mail Transfer Protocol), SSH (Secure Shell), DNS (Domain
Name System), todos eles servem para tornar essa camada mais prxima do usurio, ela que faz
a primeira ligao entre o que o usurio deseja e o todo o resto do trabalho invisvel a ele.

A seguir um comparativo entre os modelos OSI e TCP/IP:

Modelo OSI
Aplicao
Apresentao
Sesso
Transporte
Rede
Enlace de dados
Fsica

Modelo TCP/IP
Aplicao
Transporte
Inter-redes
Host Rede

Tabela 3 - Comparativo Modelo OSI e TCP/IP Fonte: Autores

2.4 O TCP
O TCP (Transmission Control Protocol) um protocolo presente na camada de transporte do
modelo OSI e do modelo TCP/IP, ele tem como principal funo promover uma comunicao segura
e de baixo custo entre os hospedeiros. Tanembaum (2003) afirma que o TCP foi projetado
especificamente para oferecer um fluxo de bytes fim a fim confivel em uma inter-rede no
confivel.
Ele um protocolo orientado a conexo, o que lhe permite dar garantias de entrega dos
pacotes de comunicao, ele utiliza-se do protocolo IP para a entrega dos dados, e que segundo Stato
(2009) as caractersticas do TCP so:

Comunicao Fim-a-Fim;

Multiplexao;

Controle de Fluxo;

Confiabilidade.
20

2.5 O UDP
O protocolo UDP (User Datagram Protocol) um protocolo presente na camada de
transporte dos modelos OSI e TCP/IP, ele ao contrario do TCP no orientado a conexo, os dados
no carregam referncias de reordenao ou recuperao, e nos soquetes (sockets) apenas o nmero
do hospedeiro de destino inserido. De acordo com Kurose e Ross (2006), socket a interface entre
a camada de aplicao e a de transporte dentro de uma mquina.
Segundo afirma Stato (2009) caso haja necessidade de recuperao de dados, normalmente
implementada na camada de aplicao. A falta de necessidade de confirmao para que haja a
comunicao torna esse protocolo til para aplicaes de tempo real.
2.6 O IP
O protocolo IP (Internet Protocol Procolo de Internet) se encontra na camada de redes,
sendo um protocolo de comunicao sem garantia de entrega, ele um dos protocolos mais
importantes da internet, elaborando o pacote de dados a ser transmitido mais conhecido como
datagrama. Conforme Tanenbaum (2003) aponta, na Internet, cada hospedeiro e cada roteador tem
um endereo IP que codifica seu nmero de rede e seu nmero de hospedeiro. A combinao
exclusiva: em princpio, duas mquinas na Internet nunca tm o mesmo endereo IP.

2.7 O ICMP
O Protcolo ICMP (Internet Control Message Protocol) um protocolo que reside dentro de
um datagrama IP, sua tarefa ajudar o IP na administrao e controle do fluxo do mesmo,
auxilinado-o e gerando relatrios de erros e trocando informaes de estado e controle. Kurose e
Ross (2006) afirmam que o ICMP usado por hospedeiros e roteadores para comunicar informaes
de camada de rede entre s. Segundo Tanenbaum (2003) quando um erro ou algo inesperado ocorre,
o ICMP quem tem a responsabilidade de informar isso aos envolvidos na comunicao.

21

2.8 Firewall
Muitas empresas mantm grandes quantidades de informaes confidenciais guardadas em
servidores pelo mundo, segredos comerciais, planos de desenvolvimento de produtos, estratgias de
marketing, anlises financeiras, entre outros. A divulgao dessas informaes para um concorrente
poderia causar impactos negativos para a organizao.
Conforme McCumber, (1991 apud KUROSE, ROSS, 2006) a confidencialidade,
autenticidade, integridade e no-repudiao de mensagem vm sendo considerados componentes
fundamentais da comunicao segura h bastante tempo.
Para tentar alcanar a segurana destes trs componentes citados acima, firewalls so
utilizados nas estruturas das redes.
Os firewalls tornaram-se componentes comuns em redes, desde pequenas redes residenciais
at as pertencentes s maiores empresas do mundo (KUROSE, ROSS, 2006). Podem ser
implementados atravs de um roteador, um PC (personal computer) com software especial, um
sistema com esta capacidade ou um conjunto de hospedeiros, todos configurados especificamente
para proteger um site ou uma sub-rede de protocolos e servios no confiveis (SILVA,
FRANKLIN, 1997).
Atualmente o termo firewall amplamente difundido na rea de tecnologia da informao,
porm o mesmo surgiu na construo civil, como paredes de proteo contra o fogo, projetados para
ficarem entre casas e edifcios. Em segurana da informao, segundo Zwicky, Cooper e Chapman
(2000), na prtica, um firewall mais parecido com um fosso de um castelo medieval do que uma
parede em um edifcio moderno.
O firewall designa uma medida de segurana implementada com o objetivo de limitar ou
impedir o acesso de terceiros a uma determinada rede ligada Internet (NUNES, 2007).
De acordo com Kurose e Ross (2006) em uma rede de computadores, quando o trfego entra
e sa de uma rede e passa por inspeo de segurana, registrado, descartado, ou transmitido, esse
dispositivo denominado como firewall. Basicamente um firewall usado para proteger e assegurar
que o trfego da rede est sendo transmitido e recebido por caminhos seguros, impedindo assim a
interceptao dos pacotes de dados por indivduos sem autorizao.

22

 como um barreira que impe limites e controla todo o trfego de dados entre um ou mais
computadores e uma rede externa, onde essa rede externa pode ser por exemplo a Internet, ou uma
rede vizinha dentro de um prdio.
Conforme aponta Cheswick e Bellovin (1997) um Firewall composto por uma coleo de
componentes localizados entre duas redes que coletivamente possuem as seguintes caracteristicas:

Todo trfego de dentro para fora e de fora para dentro deve passar pelo Firewall;

Somente o trfego autorizado, de acordo com alguma poltica de segurana local, poder
passar;

Supe-se que o firewall propriamente dito imune de invases.

Figura 1 Firewall Fonte: Autores

Os Firewalls so componentes comuns em pequenas e grandes empresas nos dias atuais e

normalmente so implementados no gateway, nas interconexes de rede, ou seja, onde o trfego
constante, isso garante que todo o trfego da rede passar pelo firewall, como aponta Loanidis (2000
23

apud KUROSE; ROSS, 2006) localizar o firewall em um nico ponto de acesso rede facilita a
administrao e a imposio de uma poltica de segurana de acesso.
Conforme aponta Stato (2006) podemos ter dois tipos de polticas de Firewall:

Default Permit (Permitir por padro)

Default Deny (Negar por padro)
Na poltica Default permit (Permitir por padro) criado um conjunto de condies,

especificando quais so os protocolos e hosts que devero ser bloqueados pelo Firewall, o que no
se encaixar nessas regras tero o acesso rede permitida.
J na Poltica Default deny (Negar por padro) so definidas no Firewall regras para os
protocolos e hosts que devem ter acesso livre a rede, qualquer protocolo ou host que no esteja
definido ser bloqueado.
Essas polticas podem ser aplicadas sobre toda a rede ou somente sobre alguns protocolos ou
servios. Um exemplo so protocolos criptografados como o https. Usado em transmisses seguras
como pginas de e-mail ou servios on-line, por ser um protocolo criptografado o firewall no
consegue analisar seus pacotes. Isso pode ser um problema, o eMule por exemplo software P2P
usado como exemplo nesse trabalho carrega em s uma opo chamada Protocol Obfuscation que
usa https para criptografar o trfego do mesmo. Nesse caso deve ser aplicada uma poltica de default
deny sobre esses protocolos criptografados e uma white list deve ser criada para as excees, ou seja
uma lista dos sites que segundo as polticas da empresa, os colaboradores podem ter acesso.
2.9 Termos Utilizados
Alguns termos so corriqueiros quando o assunto firewall, alguns so bastante conhecidos e
outros so confundidos. As definies a seguir so para o contexto de firewalls em geral, de acordo
com a obra de Zwicky, Cooper e Chapman (2000) so elas:
Firewall: um componente ou conjunto de componentes que restringem o acesso entre uma
rede protegida e a internet, ou entre outros conjuntos de redes.
Host ou Hospedeiro: um sistema de computador conectado a uma rede.
Bastion Host: um sistema de computador que deve ser altamente seguro, pois vulnervel a
ataques, geralmente porque exposto internet e o ponto principal de contato para os
usurios das redes internas. Segundo Ranum (1995 apud Zwicky et al. 2000),bastions so

24

reas crticas de defesa, geralmente apresentando paredes fortes, salas para tropas extras, e o
ocasional til repositrio de leo quente para desencorajar os atacantes.
Dual-homed host: em geral, um sistema de computador que possu duas interfaces de rede.
Network Address Translation (NAT): um processo pelo qual um roteador pode realizar
mudanas no campo endereo dos pacotes que passam por ele. Permitindo assim que os
hospedeiros de uma rede interna fiquem ocultos e garantindo que vrios hospedeiros com
IPs no vlidos possam acessar a internet. Realmente no uma tcnica de segurana,
embora possa fornecer uma pequena quantidade de segurana adicional e geralmente
executado no mesmo roteador que faz parte do firewall.
Pacotes (Packets): a unidade fundamental de comunicao entre hospedeiros e redes.
Proxy: De acordo com o dicionrio Michaelis (http://michaelis.uol.com.br/), a palavra proxy em
sua terceira definio significa substituto, representante. O proxy Recebe solicitaes do
cliente e faz as verificaes a fim de conferir se o mesmo tem permisso de acesso a um
determinado servio, em caso de confirmao, o proxy ento far a conexo com o servidor
real.
Filtro de pacotes (Packet Filtering): a ao de um dispositivo necessrio para controlar
seletivamente o fluxo de dados de uma rede para outra. Os filtros de pacotes permitem
bloquear pacotes utilizando um conjunto de regras atravs de determinado endereo ip, porta
ou tipo de pacote. Essa filtragem de pacotes pode ocorrer em um roteador ou em algum
hospedeiro individual. s vezes, conhecidos como screening ou triagem de pacotes.
Rede de perimetro (Perimeter Network): Uma rede inserida entre uma rede protegida e uma
rede externa, a fim de proporcionar uma camada adicional de segurana. Uma rede de
permetro s vezes chamada de DMZ, que significa De-Militarized Zone (nomeado aps a
zona de separao da Coria do Norte e Coria do Sul).
Virtual Private Network (VPN): Uma rede que permite conectar duas redes atravs de uma
rede pblica, sem que isso seja bvio para os hospedeiros das redes internas. Em geral, VPNs
utilizam criptografia para proteger os pacotes que passam atravs da rede pblica. Solues
de VPN so populares porque muitas vezes mais barato para conectar duas redes atravs de
rede pblicas do que atravs de redes privadas (como as conexes tradicionais de linhas
alugadas).

25

2.10 Tipos de Firewall

Diferentes situaes requerem diferentes tipos de abordagem, e trabalhar com firewalls no
diferente, pois diferentes tipos de ameaas requerem diferentes formas de defesa. Abaixo, citaremos
alguns tipos de firewall como: filtro de pacotes, servidores proxy / gateways de aplicao e
gateways de circuito.
Filtro de pacotes (Packet Filters): Uma organizao normalmente ir precisar de um roteador
que a conecte com seu provedor ISP (Internet service provider Provedor de acesso Internet),
assim seu provedor poder lhe fornecer uma conexo com a Internet Pblica. Segundo Kurose e
Ross (2006) todo o trfego que entra ou sai da rede interna passa por esse roteador, e nesse
roteador que ocorre a filtragem de pacotes. Um filtro de pacotes permite a um administrador de
redes estabelecer regras que sero aplicadas sobre os pacotes. Assim atravs da anlise dos
cabealhos de pacotes IP/TCP/UDP, nmeros de porta, bits de reconhecimento, que o firewall deve
decidir se o pacote continuar seu caminho, ou ser descartado.
A Poltica de filtragem de pacotes pode seguir vrios tipos de combinaes, a fim de chegar
a uma melhor configurao de filtragem de acordo com o tipo de ameaa que se quer ter sob
controle. Segundo Kurose e Ross (2006) as decises de filtragem so normalmente baseadas em:
endereo de origem, endereo de destino, portas TCP, UDP, de origem, de destino, tipo de
mensagem ICMP, datagramas de inicializao de conexo usando bits TCP SYN ou ACK.
Segundo Frisch (1995), sistemas packet filtering devem apresentar as seguintes
caractersticas:

Filtragem baseada nos endereos fonte e destino, nas portas fonte e destino, no protocolo,
nos flags e/ou no tipo de mensagem;

Filtragem realizada quando o pacote est chegando, quando o pacote est saindo ou ambos;

Habilidade de desabilitar reprogramao a partir da rede, ou qualquer outra localizao que

no o console.

Servidor Proxy / Gateway de Aplicao: Como vimos a filtragem de pacotes permite um

controle sobre os pacotes que entram em saem da rede fazendo uma anlise sob os cabealhos de
pacotes IP/TCP/UDP, nmeros de porta, bits de reconhecimento. Porm se houver a necessidade da
corporao atribuir acesso rede baseado em identidades de usurios? Kurose e Ross (2006)
26

apontam que informaes sobre a identidade de usurios internos no esto includas nos cabealhos
IP/TCP/UDP; elas esto nos dados da camada de aplicao.
Gateways de camada de aplicao fazem mais que analisar cabealhos de datagramas eles
tomam decises mediante dados presentes na camada de aplicao do Modelo OSI. Um Gateway de
aplicao um servidor especifico de aplicao atravs do qual todos os dados da aplicao (que
entram e saem) devem passar (KUROSE; ROSS, 2006). Os Servidores proxy esto entre o usurio
da rede interna e os servios de internet, criando assim uma camada entre a rede interna e a internet
(STATON, 2009), eles recebem as solicitaes dos usurios para o servio da internet, verificam se
estas solicitaes so aceitas no conjunto de regras estabelecidas e em seguida passam ou no a
solicitao ao servio solicitado. Os Servidores proxy possuem dois componentes: Servidor Proxy e
Cliente Proxy no qual o servidor executado no dispositivo firewall, enquanto o cliente poder ser
um software que dar maior suporte ao servidor, como um browser, um software SSH (Secure shell
Shell seguro) entre outros que se comunicam com o proxy server e este por sua vez com o servidor
real.
Gateway de circuitos: Esse tipo de firewall similar a um Servidor proxy e atua na camada
de transporte do modelo OSI ou podemos dizer na camada Transporte do modelo TCP/IP. Stato
(2009) aponta que Circuit-Level Gateways cria um circuito entre o cliente e o servidor e no
interpreta o protocolo de aplicao. Ele atua monitorando o handshaking (aperto de mo processo
onde duas mquinas se reconhecem e confirmam estarem prontas para iniciar uma comunicao)
entre pacotes, objetivando determinar se a sesso legitima.

27

2.11 Arquiteturas de Firewall

A arquitetura de Firewall, nada mais que a forma em que eles sero dispostos dentro da
rede que visam proteger. Citaremos aqui algumas das mais utilizadas.
Screening Router : Essa arquitetura utiliza um roteador para proteger uma rede interna, suas
funcionalidades so descritas na seo Filtro de pacotes. a arquitetura mais falha quando tratamos
de firewall, uma falha no roteador comprometeria toda a rede, esse tipo de arquitetura geralmente
atua em conjunto com outra.

Figura 2 - Arquitetura Screening router Fonte: Autores

Dual-Homed Host : Nesse tipo de arquitetura toda a segurana da rede depende de um

nico computador que atua como um roteador entre as duas redes, isso teoricamente, pois na
verdade o computador em questo no oferece nenhum tipo de servio de roteamento de pacotes.
Segundo Stato (2009) uma arquitetura deste tipo montada sobre um computador com duas
interfaces de rede, onde uma est conectada internet e a outra rede interna. Nesse tipo de
arquitetura a rede interna consegue conexo com a rede externa (Internet) atravs do dual-homed
host porm a rede externa no ter comunicao com o sistema interno do firewall. ideal para
pequenas redes com trfego baixo.

28

Figura 3 - Arquitetura Dual-homed Host Fonte: Autores

Screened Host: Aqui temos a combinao de um Bastion Host (Hospedeiro bastio) atuando
como Gateway de Aplicao e um roteador com Screening router. Segundo afirma Stato (2009) o
Screening router s aceita conexes provindas do Bastion Host, e o mesmo por sua vez prov os
servios necessrios para a rede interna. Ou seja, o nico ponto de acesso rede interna passa pelo
Bastion Host que recebe apenas dados que j foram analisados pelo screening router. Este tipo de
arquitetura prov duas camadas de segurana: uma a nvel de rede atravs do screening router e
outra a nivel de aplicao atravs do Bastion Host, Stato (2009) afirma que em termos de segurana,
ela bem razovel.

Figura 4 - Arquitetura Screened Host Fonte: Autores

29

Screened Subnet Firewall: Tambm conhecida como DMZ (DeMilitarized Zone) adiciona
mais uma camada de segurana, implementando uma sub-rede entre a rede interna e a Internet.
Nesse tipo de arquitetura teremos dois roteadores atuando como screening router, um na sada para a
rede externa e outro na entrada da rede interna, entre eles teremos um Bastion Host (Gateway de
aplicao), ou seja, para se chegar a rede interna h a necessidade de se passar pelo roteador externo,
pelo Bastion Host e pelo roteador interno. Stato (2009) aponta que essa arquitetura mais complexa
de implementar, pois necessita da configurao dos firewall tanto interno como externo, do Bastion
Host e ainda a comunicao entre eles.

Figura 5 - Arquitetura Screened Subnet Fonte: Autores

2.12 IPCop
O slogan do IPCop The bad packets stop here! o que significa: Os pacotes ruins param
por aqui! Essa a principal proposta do IPCop, impedir que arquivos no autorizados, (sob o ponto
de vista da organizao), entrem em sua rede. O IPCop um firewall desenvolvido para redes SOHO
(Small Office/Home Office) e fornece as mesmas caractersticas de um firewall moderno, mas com
uma diferena, um software livre, ou seja, temos a permisso de alter-lo conforme nossas
necessidades, seguindo sempre as especificaes GNU GPL.
30

O livro dos autores Dempster e Eaton-Lee (2006), aborda com detalhes todo o
funcionamento do IPCop, instalao do sistema operacional e alguns mdulos, este trabalho baseiase no contedo do livro para aplicar mdulos. Abordaremos a aplicao dos mdulos Urlfilter,
Layer7 e P2PBlocker nos quais no so citados no livro.
A escolha do IPCop em nosso projeto levou em considerao suas caractersticas como a
facilidade de uso, sua intuitiva interface web e tambm a caracterstica de centralizar em um nico
ponto 4 redes. No IPCop a rede separada em 4 cores: verde, vermelha, azul e laranja. A interface
verde representa a rede interna, a interface vermelha faz conexo com a rede externa (Internet), a
interface azul designada para enlace wireless, e por ltimo, a interface laranja conhecida tambm
por DMZ (DeMiliatized Zone).
O IPcop possui duas formas de acesso remoto: ssh e https, sem contar o acesso direto ao
sistema operacional. Conseguimos fazer quase todas as instalaes e configuraes dos mdulos
pela interface web (https), mas alguns mdulos possuem peculiaridades, e necessitam ser instalados
e configurados utilizando a linha de comando do IPCop. Um exemplo o Layer7 que iremos
abordar.

2.13 IPCop: Interfaces de Rede

2.13.1.1 Interface Verde
A interface Verde representa a rede interna ao Firewall, segundo Dempster e Eaton-Lee
(2006) um firewall IPCop ir automaticamente permitir que todas as conexes sejam realizadas a
partir da interface Verde para todos os outros segmentos da rede. Essa interface verde poder ser
ligada desde um pequeno HUB at vrios swicthes ou at mesmo um roteador. A interface verde
deve possuir um endereo de rede privado, assim o IPCop por padro exibe apenas um nico
endereo IP realizando NAT. O uso de endereos pblicos na interface verde seria intil j que por
padro o IPCop iria trat-lo como se fosse um endereo privado. Conforme afirma Dempster e
Eaton-Lee (2006) usar o IPCop como roteamento firewall (ao invs de um firewall realizando NAT,
que o configurao padro) requer configuraes mais avanadas e no pode ser realizado atravs
do GUI (Graphical User Interfaces Interface grfica do usurio).

31

2.13.1.2 Interface Vermelha

Assim como a interface verde a interface vermelha estar sempre presente na topologia da
rede, segundo Dempster e Eaton-Lee (2006) a interface de rede vermelha representa a Internet ou um
segmento de rede no confivel.
O princpio bsico do firewall IPCOP proteger todas as outras interfaces, verde, azul e
laranja de todo o trfego ocorrido na interface vermelha, essa interface geralmente usar um
endereamento pblico que dever estar de acordo com o seu ISP.
Conforme afirmao de Dempster e Eaton-Lee (2006) a interface vermelha o nico
segmento de rede em que o IPCop tem apoio para outro hardware de uma rede Ethernet Interface
Card. Esse segmento pode ser uma interface de rede Ethernet atribuda estaticamente ou com uso de
DHCP, pode ser um cabo USB, um modem ADSL ou mesmo uma conexo dial-up com um modem
analgico.

2.13.1.3 Interface Laranja

A interface laranja totalmente opcional na arquitetura do IPCop, ela concebida como
uma rede DMZ (DeMiliatized Zone), o termo DMZ aplicado na rea militar quando h a existncia
de um territrio onde a atividade militar no permitida. Segundo Dempster e Eaton-Lee (2006) na
terminologia firewall, a DMZ assume um significado semelhante, como um segmento de rede entre a
rede interna de uma organizao e uma rede externa tal como a Internet. Aqui a DMZ protegida da
internet pelo firewall, ela tem exposio direta internet, assim sendo h a necessidade de separ-la
da interface verde que est em uma zona mais protegida da rede. Segundo Dempster e Eaton-Lee
(2006) nessa interface de rede no confivel que a organizao coloca servios destinados ao
mundo l fora. Sendo assim, geralmente onde ficaro os servidores Web ou de email, por exemplo.
Os clientes residentes na interface laranja no tero acesso a interface verde ou a interface azul, a
no ser que seja configurado um DMZ pinholes. Pinholes podem ser descritos como um canal de
comunicao seguro entre dois clientes presentes em diferentes interfaces da rede, a comunicao da
interface laranja com a vermelha feita atravs de redirecionamento de portas

32

2.13.1.4 Interface Azul

Assim como a interface de rede Laranja a interface Azul totalmente opcional, ela foi
adicionada a verso 1.4 do IPCop. Segundo Dempster e Eaton-Lee (2006) esta rede foi projetada
especificamente para ser um segmento de rede wireless. Clientes na interface Azul no alcanam a
interface Verde, isso apenas seria possvel atravs de uma canal direto assim como feito com a
interface laranja, ou atravs de uma VPN permitindo assim total acesso aos recursos presentes na
interface verde.

A figura 6 (seis) mostra um exemplo da Topologia IPCop.

Figura 6 - Topologia IPCop Fonte: Autores

No prximo captulo abordaremos a instalao e configurao dos mdulos no IPCop.

33

CAPITULO 3

Desenvolvimento

Abordaremos nesse captulo o desenvolvimento para chegarmos aos resultados esperados.

O bloqueio e controle do trfego de aplicaes como MSN Messenger, transferncia de arquivos
pelo mesmo (MSN file transfer), o bloqueio de endereos URL (Uniforme Resource Locator
Localizador Uniforme de Recursos) e aplicaes P2P (Peer-to-perr Ponto a ponto).
Ser demonstrado a facilidade de configurao e utilizao da distribuio e seus
respectivos mdulos adicionais. Afinal, empresrios que adquirem esse tipo de soluo, esperam que
a ferramenta seja til, eficiente, barata e que o colaborador responsvel por administrar a ferramenta
no tenha grandes dificuldades.

3.1 Configurao bsica do IPCop

Nesse ponto do trabalho, abordaremos apenas a configurao do IPCop aps a instalao,
caso tenha interesse, no livro dos autores Dempster e Eaton-Lee(2006) o assunto abordado com
conceitos novos da ferramenta, instalao e configurao da distribuio e vrios mdulos, com
exceo do l7blocker e p2pblock que estaremos abordando em nosso trabalho.
O endereo utilizado em nosso desenvolvimento para acessar a interface web o
https://192.168.0.1:445, lembrando que este endereo usado em nossa interface verde por ser a
rede interna. Podemos destacar no primeiro acesso, a interface web, uma interface intuitiva e
simples. Vejamos a pgina principal na figura 7 (sete) abaixo.

Figura 7 - interface IPCop Fonte: Autores

34

Note que a interface nos mostra algumas informaes, como o tempo de conexo do
servidor, o endereo ip usado na interface vermelha e um aviso There are updates available for your
system. Please go to the "Updates" section for more information, (H atualizaes disponveis para
seu sistema. Por favor, v para o "Atualizaes" para obter mais informaes). Essas atualizaes
sero realizadas conforme avanarmos no trabalho. No primeiro acesso, o IPCop pedir a senha de
validao do usurio Admin, como mostra a figura 8 (oito).

Figura 8 - Primeiro acesso - Fonte: Autores

Aps o acesso realizado, devemos citar que o IPCop d suporte a vrios idiomas, nesse
trabalho o idioma escolhido foi o portugus.
Temos oito abas na parte superior da pgina, nas quais conforme avanarmos no trabalho
iremos explicar pelo que cada uma responsvel. Para mudar o idioma clique na aba System, em
seguida em GUI Settings, depois selecione o idioma que deseja que o IPCop exiba, clique no boto
Save para que o IPCop possa atribuir as mudanas.

Figura 9 - Mudando de idioma - Fonte: Autores

35

Agora com o menus em portugus estamos prontos para iniciar a atualizao do IPCop e
habilitar o acesso via ssh.
Clique na recm traduzida aba, Sistema, em seguida clique na opo Actualizaes,
estaremos acessando a seguinte pgina referenciada pela figura 10 (dez) a seguir.

Figura 10 - IPCop Updates Fonte: Autores

H duas formas de atualizar o IPCop, baixando o arquivo diretamente com o auxilio da

interface,

ou

baixando

arquivo

de

atualizao

do

seguinte

endereo

http://sourceforge.net/projects/ipcop/files/ e posteriormente fazendo o envio do arquivo clicando no

boto Selecionar arquivo evidenciado na figura 10 (dez).
Em nosso procedimento de atualizar para a verso 1.4.21, nos deparamos com uma
situao peculiar. Ao tentar atualizar o IPCop, o seguinte erro era reportado: Esta no uma
atualizao autorizada, como na figura 11 a seguir.
A Causa desse problema o fato do horrio no estar atualizado, sendo necessrio acessar o
IPCop atravs da linha de comando (veremos em 3.4) e alter-lo com o seguinte comando:

root@ipcop:~ # date
mmddhhmmyyyy
Onde a sequncia aps o comando date representa ms, dia, horas, minutos e ano,
respectivamente.

36

Figura 11 - IPCop Update Error Fonte: Autores

Aps a modificao do horrio e data de nosso IPCop, conseguimos atualizar para a verso
1.4.21 como evidenciado na figura 12 abaixo.

Figura 12 - Update Fonte: Autores

Outra opo importantssima para a configurao da ferramenta, o suporte ao protocolo

SSH. Sem essa opo habilitada, dificilmente teremos a facilidade de acessar o IPCop para transferir
os arquivos necessrios aos outros passos a seguir. Para habilitar o ssh, acesse o menu Sistema e
clique na opo SSH Access. Surgir a pgina de configurao que prover a opo do SSH Access
como na figura 13.
37

Figura 13 - IPCop ssh Fonte: Autores

Nosso ambiente est atualizado e pronto para receber os pacotes necessrios para
prosseguimento da configurao do IPCop.

3.2 Obteno de pacotes e softwares adicionais

Nesta etapa do trabalho reunimos sete arquivos que so indispensveis para prosseguir
prxima etapa. Os nomes dos softwares ou pacotes e a referente URL para download esto abaixo:
1. Putty (Cliente SSH)
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
2. Winscp (Cliente Ftp e Scp)
http://winscp.net/eng/download.php
3. Ipcop-1.4.21-Kernel 2.4.36 (Kernel do Ipcop com suporte ao layer 7)
http://embcop.org/node/7
4. URLfilter (Mdulo para IPCop)
http://www.urlfilter.net/
5. P2pblock 1.4.21 (Mdulo para IPCop)
http://mh-lantech.css-hamburg.de/ipcop/download.php?view.206
6. L7-Blocker 1.4.21 (Mdulo para IPCop)
http://mh-lantech.css-hamburg.de/ipcop/download.php?view.207
38

7. L7-protocols (Definies de protocolos. Necessrios na configurao do L7)

http://sourceforge.net/projects/l7-filter/files/Protocol%20definitions/2009-05-28/l7protocols-2009-05-28.tar.gz/download

3.3 O que URLfilter ?

O URLfilter um mdulo desenvolvido para o IPCop na inteno de estender sua capacidade
de bloquear domnios indesejados, URLs e at mesmo arquivos. O Pacote baseado no
redirecionador SquidGuard (http://www.squidguard.org), e a interface grfica do URL filter permite
o acesso a todas as configuraes necessrias.
3.4 O que P2PBlock ?
O P2PBlock um mdulo desenvolvido para o IPCop para controlar a utilizao de
softwares P2P como: Kazaa, Emule, WinMX, Bittorrent, Ares, Edonkey, Gnutella, WarezClient,
AppleJuice e alguns outros.
A interface desse mdulo no IPCop, consiste em trs colunas contendo respectivamente
nome da aplicao ou protocolo, colunas Block e Log. As duas colunas possuem somente caixas de
marcao (check box), veja figura 14 a seguir.

39

Figura 14 - IPCop P2P Block Fonte: Autores

3.5 O que L7Block ?

O mdulo L7Blocker como o P2PBlock foram desenvolvidos por Markus Hoffman,
aumentando a qualidade do controle de trfego com o IPCop.
Desenvolvido para acabar com a ineficincia dos firewalls ao controlar o trfego de
aplicaes como Skype, Msn messenger, Jabber, World of War craft, Telnet, Doom, Counter Strike,
Battlefield e muitos outros.
O L7Blocker tem um leque de opes desde os mais simples protocolos como telnet at
jogos mundialmente conhecidos. O L7blocker utiliza expresses regulares para identificar e
distinguir os protocolos das aplicaes

3.6 Acesso SSH com o Putty

Com o suporte ao SSH habilitado, devemos testar se nossa conexo est funcionando
corretamente. Para isso execute o Putty, responsvel por disponibilizar o acesso remoto a sistemas

40

Linux atravs de sistemas Windows. Preencha as informaes como na figura 15 a seguir,

lembrando que a porta utilizada ser a 222.

Figura 15 - Putty Fonte: Autores

O primeiro acesso com o Putty exigir uma confirmao como na figura 16.

Figura 16 - Putty Securty Alert Fonte: Autores

41

Na figura 17 temos a confirmao de que obtivemos sucesso em nossa conexo, no exato

momento que solicitado ao usurio, a insero de login e senha.

Figura 17 - Putty Login Fonte: Autores

Siga para o diretrio raiz do sistema e crie uma pasta com o nome addons. Ser nessa pasta
onde iremos realizar o upload dos pacotes, posteriormente ela poder ser apagada. Verifique com o
comando pwd para saber em qual diretrio do sistema voc est, provavelmente estar no diretrio
/root. Na linha de comando digite os seguintes comandos, aps a cerquilha (#) como abaixo:
root@ipcop:~ # cd /
root@ipcop:~ # mkdir addons
root@ipcop:~ # ls /

Os comandos acima significam respectivamente mudana do diretrio atual para o diretrio

raiz do sistema, criao de um novo diretrio e a listagem do diretrio raiz do sistema para verificar
se o diretrio addons foi criado corretamente.
3.7 Envio de arquivos com Winscp
Com o funcionamento da conexo remota atravs de ssh, precisamos instalar o WinSCP que
nos ajudar a enviar os pacotes para o IPCop.
Aps sua instalao, execute-o e preencha as informaes como na figura 18. Um detalhe a
ser notado a utilizao da porta 222 como utilizamos no Putty.

42

Figura 18 WinSCP Login Fonte: Autores

Na figura 19 temos o Winscp conectado no IPCop, ao lado esquerdo esto os arquivos

locais em nossa mquina Windows. Ao lado direito da figura, os arquivos contidos no IPCop.

Figura 19 - WinSCP Transferncia de arquivos Fonte: Autores

Selecione os seguintes arquivos que esto em nossa mquina Windows local:

Ipcop-1.4.21-kernel-2.4.36.tar.bz2

Ipcop-urlfilter-1.9.3.tar.gz

L7blocker_ipcop_1.4.21.tar.gz

P2pblock_ipcop_1.4.21.tar.gz
43

Arraste-os para dentro do diretrio addons, criado anteriormente no IPCop. O Resultado

pode ser visto na figura 20 a seguir.

Figura 20 - WinSCP Arquivos transferidos Fonte: Autores

O pacote l7-protocols-2009-05-28.tar.gz, contm os protocolos que sero usados pelo

l7blocker. So escritos com expresses regulares e se no estiverem no diretrio /etc/l7-protocols o
L7blocker no ir funcionar corretamente.
Para corrigir essa falha, descompacte o arquivo em sua prpria mquina Windows, acesse o
IPCop com o Putty e crie o diretrio l7-protocols dentro do diretrio /etc. Envie todos os arquivos
contidos dentro da pasta l7-protocols-2009-05-28 que esto em sua mquina local para dentro do
diretrio l7-protocols no IPCop. Veja o resultado como na figura 21 a seguir.

Figura 21 - WinSCP L7-Protocolos Fonte: Autores

44

3.8 Descompactar pacotes

Nesta etapa, descompactaremos os pacotes que esto compactados nos formatos tar.gz e
tar.bz2. Para isso acesse o IPCop remotamente atravs do Putty e digite os comandos a seguir.

root@ipcop:~ # cd /
root@ipcop:~ # ls
root@ipcop:~ # cd addons
root@ipcop:~ # ls
O comando ls lista os arquivos presentes no diretrio, nesse momento temos 4 (quatro)
arquivos:

Ipcop-1.4.21-kernel-2.4.36.tar.bz2

Ipcop-urlfilter-1.9.3.tar.gz

L7blocker_ipcop_1.4.21.tar.gz

P2pblock_ipcop_1.4.21.tar.gz

O pacote mais importante nesse momento o ipcop-1.4.21-kernel-2.4.36.tar.bz2, pois o

kernel Linux com suporte ao l7-filter. Sem esse Kernel, no obteramos sucesso na implementao
dos mdulos l7blocker e p2pblock. Para descompact-lo corretamente insira a seguinte linha de
comando:
root@ipcop:~ # tar xvfj ipcop-1.4.21-kernel-2.4.36.tar.bz2 C /

A criao de um arquivo dentro do diretrio /var/run/ deve ser realizada para que as
alteraes tenham efeito no IPCop. As linhas de comando a seguir criam o arquivo need-depmod`uname r`, onde uname r ser substitudo pela verso do kernel. O comando reboot realizar a
reinicializao da mquina.

root@ipcop:~ # touch /var/run/need-depmod-uname

r
root@ipcop:~ # reboot

45

Aps a reinicializao, confira com o comando uname ar a verso atual do kernel. Com
o novo kernel 2.4.36, podemos terminar de descompactar os 3 pacotes restantes. Recomearemos
com o Url filter, acesse o diretrio addons no diretrio raiz e digite a seguinte linha de comando:
root@ipcop:/addons # tar xvfz ipcop-urlfilter-1.9.3.tar.gz

O pacote referente ao P2pblock, contm somente dois arquivos e para a extrao dos
mesmos o comando a seguir ser utilizado:
root@ipcop:/addons # tar xvfz p2pblock_ipcop_1.4.21.tar.gz

Como foi realizado com os mdulos anteriores, a extrao dos arquivos contidos no
l7blocker_ipcop_1.4.21.tar.gz ocorre da mesma forma. Veja na linha de comando.
root@ipcop:/addons # tar xvfz l7blocker_ipcop_1.4.21.tar.gz
3.9 Instalao do Url filter
Os comandos a seguir devero ser inseridos na linha de comando na ordem em que so
mostrados. Dentro do diretrio addons digite:
root@ipcop:/addons # cd ipcop-urfilter
root@ipcop:/addons # ./install
O Url filter foi instalado com sucesso no IPCop.
3.10 Instalao do P2PBlock
O P2P Block tambm instalado em poucos passos como o Url filter. Dentro do diretrio
addons digite:
root@ipcop:/addons # cd p2pblock
root@ipcop:/addons # ./install
O P2Pblock foi instalado com sucesso no IPCop.
46

3.11 Instalao do L7Blocker

Todos os mdulos usados como podem notar, so fceis de instalar. A nica diferena para
instalar o L7Blocker a adio do parmetro i no ltimo comando da lista a seguir. Dentro do
diretrio addons digite:
root@ipcop:/addons # cd l7blocker
root@ipcop:/addons # ./install -i

O L7blocker foi instalado com sucesso no IPCop.

3.12 Configurao do P2PBlock
Conforme ressaltamos anteriormente sobre a facilidade do uso dos mdulos instalados,
iremos comear pelo mais fcil de configurar, o P2PBlock. Na aba Servios haver trs novas
opes: Url Filter, Layer7 Blocker e P2PBlock, sendo assim clique na opo P2PBlock. Por padro o
P2PBlock vem com todas as caixas de verificao desmarcadas, como na figura 22.

Figura 22 P2PBlocker Fonte: Autores

47

Na figura 23 podemos notar o eMule conectado com os servidores de transferncia.

Figura 23 - eMule conectado - Fonte:Autores

Para alcanar o resultado que obtivemos no bloqueio da aplicao Emule, ns marcaremos

as seguintes opes nas colunas Block e Log: Emule, Layer7 Edonkey, ipp2p Edonkey/Emule
exatamente como na figura 24.

Figura 24 Bloqueio com P2PBlocker Fonte: Autores

48

Para que as alteraes funcionem, clique no boto apply settings. Outra pgina surgir
confirmando as alteraes.

Figura 25 - P2PBlocker apply settings Fonte: Autores

A seguir a figura 26 mostra a falha na tentativa de conexo do Emule com seus servidores
padro.

Figura 26 - Emule conexo bloqueada - Fonte:Autores

49

Na prxima figura temos o log do bloqueio das redes do eMule:

Figura 27 Log de bloqueio (Layer7 edonkey) - Fonte:Autores

3.13 Configurao do L7Blocker

O L7Blocker requer um pouco mais de ateno, pois devemos criar grupos e regras e juntlos depois.
Na figura 28 abaixo temos dois botes: create group e create rule, onde a primeira ao
criar um grupo. Nessa pgina principal do L7blocker, a quantidade de informaes aumentar
conforme os passos deste tpico.

Figura 28 - L7Blocker Fonte: Autores

50

Antes de iniciarmos a configurao do L7blocker, visualize na figura 29 que a aplicao

Windows Live Messenger est funcionando corretamente.

Figura 29 MSN Messenger Fonte: Autores

Voltando o foco para a criao do grupo, clique no boto create group e preencha as
informaes solicitadas como o exemplo da figura 30. Em nosso exemplo usamos Colaboradores
para o nome do grupo e os 4 respectivos endereos IP da figura 30 para serem membros do Grupo.
Para adicionar o grupo, clique em add group.

Figura 30 - L7Blocker create group Fonte: Autores

Como j temos um grupo criado, devemos criar regras para controlar o trfego da rede. Na
pgina onde havia o boto create group, h um boto chamado create rule. Clicando nele a pgina de
configurao da figura 31 ir ser mostrada.

51

Figura 31 - L7Blocker create rules Fonte: Autores

Da mesma forma que criamos o grupo Colaboradores, iremos criar duas regras: bloqueio de
acesso ao aplicativo MSN Messenger e o bloqueio para transferncia de arquivos pelo mesmo
aplicativo. Apesar que existe a opo de criar uma regra com mais de um protocolo, no iremos
demonstrar assim.
No campo Rulename, colocamos MsnBlocker por questes da facilidade de identificao
para sabermos o que a regra faz. No Campo Rulemember podemos selecionar um ou mais protocolos
a serem bloqueados, mas em nosso caso optamos por escolher apenas o protocolo msnmessenger.
Na segunda regra que criamos chamada de Block-MSN-FT, estaremos bloqueando a
transferncia de arquivos que utiliza o protocolo MSN-filetransfer. Veja o exemplo na figura 32
seguir.

Figura 32 - L7Blocker MSN-filetransfer Fonte: Autores

O passo seguinte juntar o grupo com a regra, mas tambm existe a opo de atribuir todas
as regras para toda sua rede interna, ou, somente para esse grupo.
Novamente na pgina principal do L7blocker, clique no boto merge rule(s) and groups(s),
perceba que antes ele no existia. Preencha o nome desse agrupamento com algo sugestivo, por
exemplo BlockMsn.
52

No campo Groups podemos selecionar o grupo ou simplesmente deixar sem selecionar

nenhuma, dessa forma a abrangncia de nossas regras ser valida para toda a rede interna. Como dito
anteriormente sobre escolher mais de um tipo de protocolo para criar as regras, tambm podemos
fazer isso com a juno de grupos e regras.
O campo Rules dever conter as duas regras que criamos anteriormente, MsnBloqueio e
Block-MSN-FT. Selecionamos para demonstrar a regra MsnBlocker e clicamos no boto Save para
que nosso IPCop passe a bloquear esse tipo de trfego.

Figura 33 - L7Blocker Bloqueio de MSN Fonte: Autores

A prxima figura mostra que o IPCop j mostra as polticas existentes no momento, porm
no esto em funcionamento real, como aponta a mensagem em vermelho L7Blocker is not
running

Figura 34 - L7 is not running Fonte: Autores

Clique em Start para iniciar o L7Blocker, a confirmao pode ser vista na figura 35.

53

Figura 35 - L7 Running Fonte: Autores

A figura 36 mostra a falha na tentativa de conexo do Msn Messenger aps a inicializao do

L7blocker. Porm se o usurio estiver conectado ao MSN messenger no momento que aplicarmos as
novas regras, ele no ser desconectado. As alteraes tero efeito somente no prximo acesso ao
Msn Messenger.

Figura 36 - Falha na conexo MSN - Fonte: Autores

Na figura 37 mostramos o log do IPCop onde est evidenciado a tentativa de conexo do

MSN Messenger.

Figura 37 - Log bloqueio MSN Messenger - Fonte: Autores

54

3.14 Configurao do Urlfilter

A configurao do urlfilter comea na aba Servios na opo Proxy, como na figura 35 a
seguir. Por padro as opes Enabled on, Transparent on Green e Url Filter enabled estaro
desmarcadas. Marque-as como na figura 38 e salve as alteraes, clicando no boto guardar.

Figura 38 - URLFilter Fonte: Autores

O modulo do urlfilter acessado na aba servios atravs da opo urlfilter. A pgina do

urlfilter possui diversas configuraes, nas quais, abordaremos apenas as que utilizamos para
demonstrar seu uso eficaz. Na figura 39, temos onze categorias padres, mas iremos atualizar o url
filter com a Shallas Blacklists (lista negra contendo diversos sites).

Figura 39 - URLFilter Block categories Fonte: Autores

Blacklists basicamente so listas de domnios e URLs que de alguma forma so prejudiciais

quando acessados por colaboradores mal informados. Quando um domnio ou url estiver em uma
blacklist no quer dizer que todos devem evitar acessar, mas para determinadas polticas de
seguranas nas empresas o acesso deve ser proibido.

55

Obtenha

pacote

do

Shallas

Blacklist

no

seguinte

endereo,

http://www.shallalist.de/Downloads/shallalist.tar.gz , em seguida procure na pgina de configurao

do url filter o Url filter maintenance como na figura 40.

Figura 40 - URLFilter Blacklist update Fonte: Autores

Selecione o arquivo shallalist.tar.gz e atualize a blacklist do seu url filter, clicando no boto
Upload blacklist. Aps a atualizao, note que houve um aumento nas categorias, passando de
onze para setenta e sete categorias de bloqueio como mostra a figura 41 a seguir.

Figura 41 - URLFilter Categories Fonte: Autores

56

Marque algumas categorias de sua escolha, caso queira seguir o exemplo da figura 42, no
qual o nosso IPCop est bloqueando corretamente as categorias marcadas.

Figura 42 - URLFilter Categories Fonte: Autores

H opes para configurar as pginas de bloqueio e dentre elas podemos direcionar o

usurio para outra pgina, exibir o ip do usurio, a URL bloqueada alm de alterar a imagem de
fundo das pginas de bloqueio. Veja a figura 43.

Figura 43 - URLFilter configuraes Fonte: Autores

57

A seguir mostraremos um exemplo de bloqueio por expresso regular no urlfilter. A figura 44

mostra a caixa de texto Custon expression List onde devem ser inseridas as expresses que sero
bloqueadas. No nosso exemplo usamos o nome do site de relacionamento Orkut. Note que a caixa
de opo enable custom expression list deve estar selecionada.

Figura 44 - Urlfilter Expresso regular - Fonte: Autores

Ao tentar, acessar a pgina oficial do orkut, http://www.orkut.com.br/ o IPCop ir bloquear a

pgina e exibir seu aviso, o mesmo ocorrer caso o usurio tente pesquisar o nome Orkut em sites
de busca.

Figura 45 - bloqueio Orkut.com - Fonte: Autores

O urlfilter possui outras funcionalidades como whitelists, editor de blacklists, e outras

configuraes, que devero ser abordadas em um artigo futuramente.

58

CONCLUSO
Os resultados obtidos atingiram os objetivos iniciais de aplicar e analisar os resultados das
configuraes de polticas de bloqueio em um ambiente de teste com a utilizao da distribuio
linux IPCop. A utilizao dos mdulos adicionais: L7blocker, P2pBlock e Urlfilter foram eficientes
e cumpriram suas funes especificas como: controlar o acesso aos servios do MSN messenger,
compartilhamento e download de arquivos atravs do Emule e por fim o acesso sites que no eram
permitidos de acordo com as categorias listadas do Urlfilter. Esse controle ocorreu de forma simples
e direta sem interveno de tcnicas complicadas como foi proposto desde o incio do trabalho. Os
trabalhos posteriores devem abordar outros servios e mdulos, e at mesmo o desenvolvimento de
uma distribuio linux IPCop embarcada em um appliance (dispositivo).
Sugestes: Embarcar o IPCop dentro de um appliance.

59

REFERNCIAS BIBLIOGRAFICAS
CHESWICK, W.R., BELLOVIN, S.M. Firewalls and Internet Security. AddisonWesley Publishing Company, 1997. 306p.
DEMPSTER, Barrie; EATON-LEE, James. Configuring IPCop Firewalls Closing
Borders with Open Source. 1 Ed., Packt Publishing, 2006.
FRISCH, . Essential System Administration. O'Reilly & Associates, 1995. 758p.
GHEORGHE, Lucian. Designing and Implementing Linux Firewalls and QoS using
netfilter, iproute2, NAT, and L7-filter. 1 Ed., Packt Publishing, 2006.
GIL, A.C. Mtodos e tcnicas de pesquisa social. So Paulo: Atlas, 1999. 305 p.
GIL, Antonio Carlos. Como Elaborar Projetos de Pesquisa. 4 Ed. So Paulo: Atlas, 2002.
KUROSE, James F.; ROSS, Keith W. Redes de Computadores e a Internet: Uma Abordagem
top-down. 3 Ed. So Paulo: Pearson Makron Books, 2006.
MACMILLAN, Dictionary. Http://www.macmillandictionary.com/. Acessado em 14 de
Novembro de 2010.
MICHAELIS, Dicionrio. Http://michaelis.uol.com.br/. Acessado em 14 de Novembro de 2010.
MITNICK, Kevin D. A Arte de Enganar. 1 Ed. So Paulo: Pearson, 2003.
NUNES, Paulo. Conceito de Firewall.
http://www.knoow.net/ciencinformtelec/informatica/firewall.htm. Acessado em 17 de Maio
de 2010.
RASH, Michael. Linux Firewalls : Attack detection and response with Iptables, PSAD, and
FWSNORT. 1 Ed., No Starch Press, 2007.
SILVA, F.Q., FRANKLIN, D. Segurana de Informaes e Acesso Seguro
Internet. DI - UFPE, 1997.

STATO FILHO, Andr, Linux: Controle de Redes. Visual Books 2009.

TANENBAUM, Andrew. Redes de Computadores e a Internet. 4 Ed. So Paulo: Campus,
2003.
ZWICKY, Elizabeth D.; COOPER, Simon; CHAPMAN, D. Brent. Building Internet Firewalls.
2 Ed., Oreilly Media, Junho de 2000.
60