EDUCACIONAL DE BARRETOS
UNIFEB
Orientador
Prof. Fbio Fernando da Silva
BARRETOS
2010
Barretos
2010
Aprovado pela Banca Examinadora, aceito pela UNIFEB Centro Universitrio da Fundao
Educacional de Barretos e homologado como requisito parcial obteno do ttulo de Bacharel em
Sistemas de Informao.
____________________________
DEDICATRIA
Dedico esse trabalho a meu Pai, Adilson e minha me Gilcinei, por terem apoiado todas
minhas decises e escolhas, certas ou erradas. Obrigado por acreditarem nesse filho que os ama
tanto. Dedico minha namorada Isadora pela compreenso, dedicao e apoio desde o incio do
curso de Sistemas de informao, foram muito importantes.
Douglas Marra da Costa
Dedico esse trabalho a minha me Ana meu Pai Paulo, meus irmos e todos meus amigos,
colegas e professores.
Rafael Aparecido de Lima
Dedicamos a todos os nossos amigos que nos acompanharam nessa jornada de quatro anos.
No esqueceremos de todos os momentos que passamos juntos.
Douglas e Rafael
AGRADECIMENTOS
RESUMO
ABSTRACT
The globalization has brought significant technological innovations and the maturation of computing
has made computers before, isolated islands, could communicate through global networks. Many
benefits and problems that come with technological developments and the following question arose:
How keep the security on a private network, while we use the worlds largest network of computers,
the Internet? Its a complex question and to solve complex problems, we should divide it into parts.
This work show how to solve the challenges that companies find to control the unnecessary network
traffic generated by applications like Msn messenger and others IM Clients, and many other
software Emule P2P (peer-to-peer). The IPCop will be the tool used, which we demonstrate the
installation and configuration of specific addons for traffic control applications cited.
Keywords: Firewall, Instantaneous Messenger ,IPCop.
SUMRIO
INTRODUCO .................................................................................................................................. 11
CAPITULO 1 OBJETIVOS DESTE TRABALHO .................................................................... 13
1.1
Objetivos .......................................................................................................................... 13
1.2
Metodologia do Trabalho ................................................................................................. 13
CAPITULO 2 REFERENCIAL TERICO ................................................................................... 14
2.1
Protocolos......................................................................................................................... 14
2.2
Modelo OSI ...................................................................................................................... 14
2.3
Modelo TCP/IP ................................................................................................................ 17
2.4
O TCP .............................................................................................................................. 20
2.5
O UDP .............................................................................................................................. 21
2.6
O IP .................................................................................................................................. 21
2.7
O ICMP ............................................................................................................................ 21
2.8
Firewall ............................................................................................................................ 22
2.9
Termos Utilizados ............................................................................................................ 24
2.10
Tipos de Firewall ............................................................................................................. 26
2.11
Arquiteturas de Firewall................................................................................................... 28
2.12
IPCop ............................................................................................................................... 30
2.13
IPCop: Interfaces de Rede................................................................................................ 31
2.13.1.1
Interface Verde................................................................................................... 31
2.13.1.2
Interface Vermelha............................................................................................. 32
2.13.1.3
Interface Laranja ................................................................................................ 32
2.13.1.4
Interface Azul..................................................................................................... 33
CAPITULO 3 Desenvolvimento .................................................................................................... 34
3.1
Configurao bsica do IPCop ......................................................................................... 34
3.2
Obteno de pacotes e softwares adicionais .................................................................... 38
3.3
O que URLfilter ? .......................................................................................................... 39
3.4
O que P2PBlock ? ......................................................................................................... 39
3.5
O que L7Block ? ........................................................................................................... 40
3.6
Acesso SSH com o Putty ................................................................................................. 40
3.7
Envio de arquivos com Winscp ....................................................................................... 42
3.8
Descompactar pacotes ...................................................................................................... 45
3.9
Instalao do Url filter ..................................................................................................... 46
3.10
Instalao do P2PBlock ................................................................................................... 46
3.11
Instalao do L7Blocker .................................................................................................. 47
3.12
Configurao do P2PBlock .............................................................................................. 47
3.13
Configurao do L7Blocker ............................................................................................. 50
3.14
Configurao do Urlfilter ................................................................................................. 55
CONCLUSO .................................................................................................................................... 59
REFERNCIAS BIBLIOGRAFICAS ................................................................................................ 60
LISTA DE FIGURAS
LISTA DE TABELAS
10
INTRODUCO
A globalizao ocorre em todos os aspectos do nosso cotidiano, no sendo diferente no
mundo computacional. Tanenbaum (2003) apontou que apesar da indstria de informtica ainda ser
jovem, foi simplesmente espetacular o progresso que os computadores conheceram em to pouco
tempo. Todo esse progresso tecnolgico nos deu a liberdade de buscar e compartilhar conhecimento
dentro de uma rede mundial, de acessar informaes em servidores espalhados pelo mundo, de ligar
redes privadas a outras conforme nossas necessidades. Porm como o mundo, a Internet no
segura. Com o surgimento de novos produtos e servios de TI (Tecnologia da Informao), novos
desafios e riscos tambm surgiram. Polticas de segurana da informao tiveram que ser revistas e
muitas empresas encontraram obstculos para controlar a disseminao da informao atravs de
seus colaboradores. Esses colaboradores devem ser orientados quanto ao bom uso de recursos da
rede e de polticas de acesso internet para fins pessoais, emails, compartilhamento de arquivos e
outros recursos. Como diz Mitnick (2003), o elo mais fraco da segurana da informao so as
pessoas.
Laudon (2004) definiu a informao como um conjunto de dados representados de uma
forma til e significativa para as pessoas. A informao poder, sendo necessrio manter uma
forma de controle sobre ela. O aumento do fluxo de informaes entre empresas, organizaes e
governos fez com que a percepo para o controle da informao, tornasse essencial para a
excelncia do gerenciamento das mesmas. Podemos notar que muitos usurios so obcecados por
relacionamentos instantneos com outras pessoas, internas ou externas a organizao. Estes mesmos
usurios, sempre esto em busca de burlar a segurana (mesmo inconscientemente) criada para
impedir esse tipo de utilizao da rede corporativa, fazendo com que o rendimento, a produtividade e
a segurana dos dados do colaborador diminuam, e, por conseguinte a segurana da organizao
como um todo. Por muitas vezes o usurio nem tem idia do mal que pode estar fazendo.
A divulgao de informaes confidenciais de determinada empresa sobre seus clientes ou
novos produtos em desenvolvimento podem causar prejuzos imensurveis a mesma. A forma mais
correta de proteger uma rede privada seria com o isolamento fsico da estrutura, assim nenhum
indivduo externo conseguiria acesso sem ter contato com a estrutura fsica da organizao. Porm
com o crescimento da rede mundial de computadores, e a necessidade de conexes entre pontos
distantes, esse isolamento tornou-se praticamente impossvel.
11
Nesse cenrio, fez-se necessrio algo que pudesse prover uma anlise e controle sobre tudo
que entrasse e sasse da rede. Ferramentas como essas so chamadas de firewalls, um conceito de
dispositivo presente na borda da rede por onde todos os dados que entram e saem da mesma, devero
ser analisados, a fim de manter a rede interna segura de ameaas externas. Cada pacote tratado de
acordo com as regras do firewall, resultando em pacotes permitidos ou rejeitados.
Um firewall concebido por software, hardware ou ambos e sua maior funo o controle
de trfego indesejado em uma rede interna.
No mercado h firewalls de todos os tipos e preos, mas quando uma empresa pretende
comprar um produto ou servio, ela analisa vrios aspectos como custo/benefcio, manuteno e
treinamentos para os colaboradores responsveis para administrar o produto.
Esse trabalho aborda o IPCop, uma distribuio Linux que possui ferramentas de um firewall
moderno, customizvel e de fcil utilizao. Ideal para empresas com estruturas de redes de pequeno
e mdio porte, alm de ser gratuito.
O objetivo principal documentar os procedimentos de configuraes do IPCop para
controle e bloqueio de comunicadores instantneos e softwares P2P (peer-to-peer), como: MSN
Messenger, Skype, Bittorrent, Emule, Kazaa, Ares alm de jogos e outros.
Qualquer administrador de redes ou outra pessoa com um mnimo de treinamento poder
utilizar a ferramenta para criar filtros de controle de trfego.
12
CAPITULO 1
1.1 Objetivos
Este trabalho tem como objetivo aplicar e analisar o resultado da configurao de polticas de
bloqueio em um ambiente de teste, utilizando uma distribuio linux GNU GPL (General Public
License - Licena Pblica Geral) com ferramentas especficas para firewall, conhecida como IPCop.
13
CAPITULO 2
REFERENCIAL TERICO
2.1 Protocolos
2.2 Modelo OSI
14
Modelo OSI
Aplicao
Apresentao
Sesso
Transporte
Rede
Enlace de dados
Fsica
Tabela 1 - Modelo OSI Fonte: Autores
Como Tanembaum (2003) citou o modelo OSI no pode ser considerado uma arquitetura de
rede, pois o mesmo no especifica quais os protocolos e servios exatos que devem ser usados em
cada camada. A seguir uma breve explicao sobre cada camada do Modelo OSI:
Camada Fsica
Conforme afirmao de Gheorge (2006) quando pensamos na camada fsica devemos pensar
em cabos e conectores, a camada fsica que controla toda a parte mecnica e eltrica da
comunicao.
Camada de rede
Tanenbaum (2003) aponta que uma questo fundamental em um projeto de redes definir
como os pacotes sero roteados da origem at o destino. na camada de rede que as rotas e o
15
controle do fluxo dos dados so estabelecidos. Gheorhe (2006) cita que quando pensamos na camada
de redes devemos pensar em rotas.
Camada de transporte
Camada de Sesso
Camada de Apresentao
Duas redes distintas podem se comunicar usando tipos de dados diferentes, nessa
comunicao existe a necessidade de algo que traduza os protocolos e dados utilizados na
comunicao. Tanenbaum(2003) aponta que a camada de apresentao gerencia essas estruturas de
dados abstratos e permite a definio e o intercmbio de estruturas de dados de nvel mais alto (por
exemplo, registros bancrios). Basicamente ela converte o dado recebido da camada de aplicao e
converte esse dado em um formato comum para a transmisso do mesmo.
Camada de Aplicao
Tanenbaum (2003) aponta que a camada de aplicao contm uma srie de protocolos
comumente necessrios para os usurios, o HTTP (Hyper Text Transfer Protocol), por exemplo, que
constitui a base para a World Wide Web. Essa a camada mais prxima do usurio, a camada de
aplicao fornece servios a ele na entrega dos dados, ela cria uma interface entre o protocolo de
16
comutao de pacotes era vivel. Segundo Tanenbuam (2003) Roberts saiu da conferncia
determinado a construir o que mais tarde ficou conhecido como ARPANET.
O principio da ARPANET consistia em minicomputadores chamados IMPs (Interface
Message
Processors
transmisso de 56 kbps. Tanenbaum (2003) aponta que para garantir sua confiabilidade, a sub-rede
tinha de ser uma sub-rede de datagramas, de modo que, se algumas linhas e alguns IMPs fossem
destrudos, as mensagens pudessem ser roteadas automaticamente por caminhos alternativos.
Em dezembro de 1969 entrou no ar uma rede experimental com quatro ns (UCLA, UCSB,
SRI e University of Utah) que foram escolhidos por j terem um grande numero de IMPs ligados a
ARPANET e por serem redes diferentes e incompatveis, o que aumentava o desafio. Em trs anos a
ARPANET j se estendia por todo territrio norte americano.
Tanenbaum (2003) afirma que essa experincia serviu para demonstrar que os protocolos da
ARPANET no eram adequados para execuo em vrias redes. O que levou a mais pesquisas sobre
protocolos, culminando com a inveno dos protocolos e do modelo TCP/IP. Para estimular o uso
desses protocolos a ARPA ofereceu diversos contratos Universidade da Califrnia, Berkeley, para
integr-los ao seu sistema UNIX. Segundo Tanenbaum (2003) durante esse perodo os pesquisadores
da Califrnia desenvolveram muitos programas e aplicativos para a interligao de redes.
Durante a dcada de 80, muitas novas redes foram ligadas a ARPANET, esse crescimento
tornou mais dispendioso a localizao de computadores presentes na rede, o que deu origem ao DNS
(Domain Naming System), que segundo Tanenbuam (2003) tinha o objetivo de organizar as
mquinas em domnios, e mapear nomes de hosts em endereos IP.
Tanenbaum (2003) aponta que o nmero de redes, mquinas e usurios conectados
ARPANET cresceu rapidamente depois que o TCP/IP se tornou o nico protocolo oficial, em 1 de
janeiro de 1983.
Conforme afirma Dempster e Eaton-lee (2006), o TCP/IP um conjunto de protocolos
originalmente desenvolvido em camadas para uso na ARPANET, juntamente com outras normas
sobre as quais o TCP/IP implementado, como a 802.3 ou Ethernet. O modelo TCP/IP ganhou uma
rpida notoriedade devido tambm ao fato de ser uma arquitetura de rede aberta, e assim como o
modelo OSI o modelo TCP/IP foi concebido em camadas. Era necessrio uma arquitetura flexvel,
capaz de se adaptar a aplicaes com requisitos divergentes como, por exemplo, a transferncia de
arquivos e a transmisso de dados de voz em tempo real (TANENBAUM, 2003).
18
Modelo TCP/IP
Aplicao
Transporte
Inter-redes
Host Rede
Tabela 2 - Modelo TCP/IP Fonte: Autores
A camada Inter-redes
Como aponta Tanenbaum (2003) pode-se dizer que essa camada tem funes muito parecidas
com a camada de redes do modelo OSI, aqui feito o controle do fluxo, de erros, e o roteamento
para a entrega de pacotes.
A camada de Transporte
19
A camada de Aplicao
aqui que residem protocolos como HTTP (Hypertext Transfer Protocol), FTP (File
Transfer Protocol), SMTP (Simple Mail Transfer Protocol), SSH (Secure Shell), DNS (Domain
Name System), todos eles servem para tornar essa camada mais prxima do usurio, ela que faz
a primeira ligao entre o que o usurio deseja e o todo o resto do trabalho invisvel a ele.
Modelo OSI
Aplicao
Apresentao
Sesso
Transporte
Rede
Enlace de dados
Fsica
Modelo TCP/IP
Aplicao
Transporte
Inter-redes
Host Rede
2.4 O TCP
O TCP (Transmission Control Protocol) um protocolo presente na camada de transporte do
modelo OSI e do modelo TCP/IP, ele tem como principal funo promover uma comunicao segura
e de baixo custo entre os hospedeiros. Tanembaum (2003) afirma que o TCP foi projetado
especificamente para oferecer um fluxo de bytes fim a fim confivel em uma inter-rede no
confivel.
Ele um protocolo orientado a conexo, o que lhe permite dar garantias de entrega dos
pacotes de comunicao, ele utiliza-se do protocolo IP para a entrega dos dados, e que segundo Stato
(2009) as caractersticas do TCP so:
Comunicao Fim-a-Fim;
Multiplexao;
Controle de Fluxo;
Confiabilidade.
20
2.5 O UDP
O protocolo UDP (User Datagram Protocol) um protocolo presente na camada de
transporte dos modelos OSI e TCP/IP, ele ao contrario do TCP no orientado a conexo, os dados
no carregam referncias de reordenao ou recuperao, e nos soquetes (sockets) apenas o nmero
do hospedeiro de destino inserido. De acordo com Kurose e Ross (2006), socket a interface entre
a camada de aplicao e a de transporte dentro de uma mquina.
Segundo afirma Stato (2009) caso haja necessidade de recuperao de dados, normalmente
implementada na camada de aplicao. A falta de necessidade de confirmao para que haja a
comunicao torna esse protocolo til para aplicaes de tempo real.
2.6 O IP
O protocolo IP (Internet Protocol Procolo de Internet) se encontra na camada de redes,
sendo um protocolo de comunicao sem garantia de entrega, ele um dos protocolos mais
importantes da internet, elaborando o pacote de dados a ser transmitido mais conhecido como
datagrama. Conforme Tanenbaum (2003) aponta, na Internet, cada hospedeiro e cada roteador tem
um endereo IP que codifica seu nmero de rede e seu nmero de hospedeiro. A combinao
exclusiva: em princpio, duas mquinas na Internet nunca tm o mesmo endereo IP.
2.7 O ICMP
O Protcolo ICMP (Internet Control Message Protocol) um protocolo que reside dentro de
um datagrama IP, sua tarefa ajudar o IP na administrao e controle do fluxo do mesmo,
auxilinado-o e gerando relatrios de erros e trocando informaes de estado e controle. Kurose e
Ross (2006) afirmam que o ICMP usado por hospedeiros e roteadores para comunicar informaes
de camada de rede entre s. Segundo Tanenbaum (2003) quando um erro ou algo inesperado ocorre,
o ICMP quem tem a responsabilidade de informar isso aos envolvidos na comunicao.
21
2.8 Firewall
Muitas empresas mantm grandes quantidades de informaes confidenciais guardadas em
servidores pelo mundo, segredos comerciais, planos de desenvolvimento de produtos, estratgias de
marketing, anlises financeiras, entre outros. A divulgao dessas informaes para um concorrente
poderia causar impactos negativos para a organizao.
Conforme McCumber, (1991 apud KUROSE, ROSS, 2006) a confidencialidade,
autenticidade, integridade e no-repudiao de mensagem vm sendo considerados componentes
fundamentais da comunicao segura h bastante tempo.
Para tentar alcanar a segurana destes trs componentes citados acima, firewalls so
utilizados nas estruturas das redes.
Os firewalls tornaram-se componentes comuns em redes, desde pequenas redes residenciais
at as pertencentes s maiores empresas do mundo (KUROSE, ROSS, 2006). Podem ser
implementados atravs de um roteador, um PC (personal computer) com software especial, um
sistema com esta capacidade ou um conjunto de hospedeiros, todos configurados especificamente
para proteger um site ou uma sub-rede de protocolos e servios no confiveis (SILVA,
FRANKLIN, 1997).
Atualmente o termo firewall amplamente difundido na rea de tecnologia da informao,
porm o mesmo surgiu na construo civil, como paredes de proteo contra o fogo, projetados para
ficarem entre casas e edifcios. Em segurana da informao, segundo Zwicky, Cooper e Chapman
(2000), na prtica, um firewall mais parecido com um fosso de um castelo medieval do que uma
parede em um edifcio moderno.
O firewall designa uma medida de segurana implementada com o objetivo de limitar ou
impedir o acesso de terceiros a uma determinada rede ligada Internet (NUNES, 2007).
De acordo com Kurose e Ross (2006) em uma rede de computadores, quando o trfego entra
e sa de uma rede e passa por inspeo de segurana, registrado, descartado, ou transmitido, esse
dispositivo denominado como firewall. Basicamente um firewall usado para proteger e assegurar
que o trfego da rede est sendo transmitido e recebido por caminhos seguros, impedindo assim a
interceptao dos pacotes de dados por indivduos sem autorizao.
22
como um barreira que impe limites e controla todo o trfego de dados entre um ou mais
computadores e uma rede externa, onde essa rede externa pode ser por exemplo a Internet, ou uma
rede vizinha dentro de um prdio.
Conforme aponta Cheswick e Bellovin (1997) um Firewall composto por uma coleo de
componentes localizados entre duas redes que coletivamente possuem as seguintes caracteristicas:
Todo trfego de dentro para fora e de fora para dentro deve passar pelo Firewall;
Somente o trfego autorizado, de acordo com alguma poltica de segurana local, poder
passar;
apud KUROSE; ROSS, 2006) localizar o firewall em um nico ponto de acesso rede facilita a
administrao e a imposio de uma poltica de segurana de acesso.
Conforme aponta Stato (2006) podemos ter dois tipos de polticas de Firewall:
especificando quais so os protocolos e hosts que devero ser bloqueados pelo Firewall, o que no
se encaixar nessas regras tero o acesso rede permitida.
J na Poltica Default deny (Negar por padro) so definidas no Firewall regras para os
protocolos e hosts que devem ter acesso livre a rede, qualquer protocolo ou host que no esteja
definido ser bloqueado.
Essas polticas podem ser aplicadas sobre toda a rede ou somente sobre alguns protocolos ou
servios. Um exemplo so protocolos criptografados como o https. Usado em transmisses seguras
como pginas de e-mail ou servios on-line, por ser um protocolo criptografado o firewall no
consegue analisar seus pacotes. Isso pode ser um problema, o eMule por exemplo software P2P
usado como exemplo nesse trabalho carrega em s uma opo chamada Protocol Obfuscation que
usa https para criptografar o trfego do mesmo. Nesse caso deve ser aplicada uma poltica de default
deny sobre esses protocolos criptografados e uma white list deve ser criada para as excees, ou seja
uma lista dos sites que segundo as polticas da empresa, os colaboradores podem ter acesso.
2.9 Termos Utilizados
Alguns termos so corriqueiros quando o assunto firewall, alguns so bastante conhecidos e
outros so confundidos. As definies a seguir so para o contexto de firewalls em geral, de acordo
com a obra de Zwicky, Cooper e Chapman (2000) so elas:
Firewall: um componente ou conjunto de componentes que restringem o acesso entre uma
rede protegida e a internet, ou entre outros conjuntos de redes.
Host ou Hospedeiro: um sistema de computador conectado a uma rede.
Bastion Host: um sistema de computador que deve ser altamente seguro, pois vulnervel a
ataques, geralmente porque exposto internet e o ponto principal de contato para os
usurios das redes internas. Segundo Ranum (1995 apud Zwicky et al. 2000),bastions so
24
reas crticas de defesa, geralmente apresentando paredes fortes, salas para tropas extras, e o
ocasional til repositrio de leo quente para desencorajar os atacantes.
Dual-homed host: em geral, um sistema de computador que possu duas interfaces de rede.
Network Address Translation (NAT): um processo pelo qual um roteador pode realizar
mudanas no campo endereo dos pacotes que passam por ele. Permitindo assim que os
hospedeiros de uma rede interna fiquem ocultos e garantindo que vrios hospedeiros com
IPs no vlidos possam acessar a internet. Realmente no uma tcnica de segurana,
embora possa fornecer uma pequena quantidade de segurana adicional e geralmente
executado no mesmo roteador que faz parte do firewall.
Pacotes (Packets): a unidade fundamental de comunicao entre hospedeiros e redes.
Proxy: De acordo com o dicionrio Michaelis (http://michaelis.uol.com.br/), a palavra proxy em
sua terceira definio significa substituto, representante. O proxy Recebe solicitaes do
cliente e faz as verificaes a fim de conferir se o mesmo tem permisso de acesso a um
determinado servio, em caso de confirmao, o proxy ento far a conexo com o servidor
real.
Filtro de pacotes (Packet Filtering): a ao de um dispositivo necessrio para controlar
seletivamente o fluxo de dados de uma rede para outra. Os filtros de pacotes permitem
bloquear pacotes utilizando um conjunto de regras atravs de determinado endereo ip, porta
ou tipo de pacote. Essa filtragem de pacotes pode ocorrer em um roteador ou em algum
hospedeiro individual. s vezes, conhecidos como screening ou triagem de pacotes.
Rede de perimetro (Perimeter Network): Uma rede inserida entre uma rede protegida e uma
rede externa, a fim de proporcionar uma camada adicional de segurana. Uma rede de
permetro s vezes chamada de DMZ, que significa De-Militarized Zone (nomeado aps a
zona de separao da Coria do Norte e Coria do Sul).
Virtual Private Network (VPN): Uma rede que permite conectar duas redes atravs de uma
rede pblica, sem que isso seja bvio para os hospedeiros das redes internas. Em geral, VPNs
utilizam criptografia para proteger os pacotes que passam atravs da rede pblica. Solues
de VPN so populares porque muitas vezes mais barato para conectar duas redes atravs de
rede pblicas do que atravs de redes privadas (como as conexes tradicionais de linhas
alugadas).
25
Filtragem baseada nos endereos fonte e destino, nas portas fonte e destino, no protocolo,
nos flags e/ou no tipo de mensagem;
Filtragem realizada quando o pacote est chegando, quando o pacote est saindo ou ambos;
apontam que informaes sobre a identidade de usurios internos no esto includas nos cabealhos
IP/TCP/UDP; elas esto nos dados da camada de aplicao.
Gateways de camada de aplicao fazem mais que analisar cabealhos de datagramas eles
tomam decises mediante dados presentes na camada de aplicao do Modelo OSI. Um Gateway de
aplicao um servidor especifico de aplicao atravs do qual todos os dados da aplicao (que
entram e saem) devem passar (KUROSE; ROSS, 2006). Os Servidores proxy esto entre o usurio
da rede interna e os servios de internet, criando assim uma camada entre a rede interna e a internet
(STATON, 2009), eles recebem as solicitaes dos usurios para o servio da internet, verificam se
estas solicitaes so aceitas no conjunto de regras estabelecidas e em seguida passam ou no a
solicitao ao servio solicitado. Os Servidores proxy possuem dois componentes: Servidor Proxy e
Cliente Proxy no qual o servidor executado no dispositivo firewall, enquanto o cliente poder ser
um software que dar maior suporte ao servidor, como um browser, um software SSH (Secure shell
Shell seguro) entre outros que se comunicam com o proxy server e este por sua vez com o servidor
real.
Gateway de circuitos: Esse tipo de firewall similar a um Servidor proxy e atua na camada
de transporte do modelo OSI ou podemos dizer na camada Transporte do modelo TCP/IP. Stato
(2009) aponta que Circuit-Level Gateways cria um circuito entre o cliente e o servidor e no
interpreta o protocolo de aplicao. Ele atua monitorando o handshaking (aperto de mo processo
onde duas mquinas se reconhecem e confirmam estarem prontas para iniciar uma comunicao)
entre pacotes, objetivando determinar se a sesso legitima.
27
28
Screened Host: Aqui temos a combinao de um Bastion Host (Hospedeiro bastio) atuando
como Gateway de Aplicao e um roteador com Screening router. Segundo afirma Stato (2009) o
Screening router s aceita conexes provindas do Bastion Host, e o mesmo por sua vez prov os
servios necessrios para a rede interna. Ou seja, o nico ponto de acesso rede interna passa pelo
Bastion Host que recebe apenas dados que j foram analisados pelo screening router. Este tipo de
arquitetura prov duas camadas de segurana: uma a nvel de rede atravs do screening router e
outra a nivel de aplicao atravs do Bastion Host, Stato (2009) afirma que em termos de segurana,
ela bem razovel.
29
Screened Subnet Firewall: Tambm conhecida como DMZ (DeMilitarized Zone) adiciona
mais uma camada de segurana, implementando uma sub-rede entre a rede interna e a Internet.
Nesse tipo de arquitetura teremos dois roteadores atuando como screening router, um na sada para a
rede externa e outro na entrada da rede interna, entre eles teremos um Bastion Host (Gateway de
aplicao), ou seja, para se chegar a rede interna h a necessidade de se passar pelo roteador externo,
pelo Bastion Host e pelo roteador interno. Stato (2009) aponta que essa arquitetura mais complexa
de implementar, pois necessita da configurao dos firewall tanto interno como externo, do Bastion
Host e ainda a comunicao entre eles.
2.12 IPCop
O slogan do IPCop The bad packets stop here! o que significa: Os pacotes ruins param
por aqui! Essa a principal proposta do IPCop, impedir que arquivos no autorizados, (sob o ponto
de vista da organizao), entrem em sua rede. O IPCop um firewall desenvolvido para redes SOHO
(Small Office/Home Office) e fornece as mesmas caractersticas de um firewall moderno, mas com
uma diferena, um software livre, ou seja, temos a permisso de alter-lo conforme nossas
necessidades, seguindo sempre as especificaes GNU GPL.
30
O livro dos autores Dempster e Eaton-Lee (2006), aborda com detalhes todo o
funcionamento do IPCop, instalao do sistema operacional e alguns mdulos, este trabalho baseiase no contedo do livro para aplicar mdulos. Abordaremos a aplicao dos mdulos Urlfilter,
Layer7 e P2PBlocker nos quais no so citados no livro.
A escolha do IPCop em nosso projeto levou em considerao suas caractersticas como a
facilidade de uso, sua intuitiva interface web e tambm a caracterstica de centralizar em um nico
ponto 4 redes. No IPCop a rede separada em 4 cores: verde, vermelha, azul e laranja. A interface
verde representa a rede interna, a interface vermelha faz conexo com a rede externa (Internet), a
interface azul designada para enlace wireless, e por ltimo, a interface laranja conhecida tambm
por DMZ (DeMiliatized Zone).
O IPcop possui duas formas de acesso remoto: ssh e https, sem contar o acesso direto ao
sistema operacional. Conseguimos fazer quase todas as instalaes e configuraes dos mdulos
pela interface web (https), mas alguns mdulos possuem peculiaridades, e necessitam ser instalados
e configurados utilizando a linha de comando do IPCop. Um exemplo o Layer7 que iremos
abordar.
31
32
33
CAPITULO 3
Desenvolvimento
34
Note que a interface nos mostra algumas informaes, como o tempo de conexo do
servidor, o endereo ip usado na interface vermelha e um aviso There are updates available for your
system. Please go to the "Updates" section for more information, (H atualizaes disponveis para
seu sistema. Por favor, v para o "Atualizaes" para obter mais informaes). Essas atualizaes
sero realizadas conforme avanarmos no trabalho. No primeiro acesso, o IPCop pedir a senha de
validao do usurio Admin, como mostra a figura 8 (oito).
Aps o acesso realizado, devemos citar que o IPCop d suporte a vrios idiomas, nesse
trabalho o idioma escolhido foi o portugus.
Temos oito abas na parte superior da pgina, nas quais conforme avanarmos no trabalho
iremos explicar pelo que cada uma responsvel. Para mudar o idioma clique na aba System, em
seguida em GUI Settings, depois selecione o idioma que deseja que o IPCop exiba, clique no boto
Save para que o IPCop possa atribuir as mudanas.
35
Agora com o menus em portugus estamos prontos para iniciar a atualizao do IPCop e
habilitar o acesso via ssh.
Clique na recm traduzida aba, Sistema, em seguida clique na opo Actualizaes,
estaremos acessando a seguinte pgina referenciada pela figura 10 (dez) a seguir.
ou
baixando
arquivo
de
atualizao
do
seguinte
endereo
root@ipcop:~ # date
mmddhhmmyyyy
Onde a sequncia aps o comando date representa ms, dia, horas, minutos e ano,
respectivamente.
36
Aps a modificao do horrio e data de nosso IPCop, conseguimos atualizar para a verso
1.4.21 como evidenciado na figura 12 abaixo.
Nosso ambiente est atualizado e pronto para receber os pacotes necessrios para
prosseguimento da configurao do IPCop.
39
40
O primeiro acesso com o Putty exigir uma confirmao como na figura 16.
41
Siga para o diretrio raiz do sistema e crie uma pasta com o nome addons. Ser nessa pasta
onde iremos realizar o upload dos pacotes, posteriormente ela poder ser apagada. Verifique com o
comando pwd para saber em qual diretrio do sistema voc est, provavelmente estar no diretrio
/root. Na linha de comando digite os seguintes comandos, aps a cerquilha (#) como abaixo:
root@ipcop:~ # cd /
root@ipcop:~ # mkdir addons
root@ipcop:~ # ls /
42
Ipcop-1.4.21-kernel-2.4.36.tar.bz2
Ipcop-urlfilter-1.9.3.tar.gz
L7blocker_ipcop_1.4.21.tar.gz
P2pblock_ipcop_1.4.21.tar.gz
43
44
root@ipcop:~ # cd /
root@ipcop:~ # ls
root@ipcop:~ # cd addons
root@ipcop:~ # ls
O comando ls lista os arquivos presentes no diretrio, nesse momento temos 4 (quatro)
arquivos:
Ipcop-1.4.21-kernel-2.4.36.tar.bz2
Ipcop-urlfilter-1.9.3.tar.gz
L7blocker_ipcop_1.4.21.tar.gz
P2pblock_ipcop_1.4.21.tar.gz
A criao de um arquivo dentro do diretrio /var/run/ deve ser realizada para que as
alteraes tenham efeito no IPCop. As linhas de comando a seguir criam o arquivo need-depmod`uname r`, onde uname r ser substitudo pela verso do kernel. O comando reboot realizar a
reinicializao da mquina.
45
Aps a reinicializao, confira com o comando uname ar a verso atual do kernel. Com
o novo kernel 2.4.36, podemos terminar de descompactar os 3 pacotes restantes. Recomearemos
com o Url filter, acesse o diretrio addons no diretrio raiz e digite a seguinte linha de comando:
root@ipcop:/addons # tar xvfz ipcop-urlfilter-1.9.3.tar.gz
O pacote referente ao P2pblock, contm somente dois arquivos e para a extrao dos
mesmos o comando a seguir ser utilizado:
root@ipcop:/addons # tar xvfz p2pblock_ipcop_1.4.21.tar.gz
Como foi realizado com os mdulos anteriores, a extrao dos arquivos contidos no
l7blocker_ipcop_1.4.21.tar.gz ocorre da mesma forma. Veja na linha de comando.
root@ipcop:/addons # tar xvfz l7blocker_ipcop_1.4.21.tar.gz
3.9 Instalao do Url filter
Os comandos a seguir devero ser inseridos na linha de comando na ordem em que so
mostrados. Dentro do diretrio addons digite:
root@ipcop:/addons # cd ipcop-urfilter
root@ipcop:/addons # ./install
O Url filter foi instalado com sucesso no IPCop.
3.10 Instalao do P2PBlock
O P2P Block tambm instalado em poucos passos como o Url filter. Dentro do diretrio
addons digite:
root@ipcop:/addons # cd p2pblock
root@ipcop:/addons # ./install
O P2Pblock foi instalado com sucesso no IPCop.
46
47
48
Para que as alteraes funcionem, clique no boto apply settings. Outra pgina surgir
confirmando as alteraes.
A seguir a figura 26 mostra a falha na tentativa de conexo do Emule com seus servidores
padro.
49
50
Voltando o foco para a criao do grupo, clique no boto create group e preencha as
informaes solicitadas como o exemplo da figura 30. Em nosso exemplo usamos Colaboradores
para o nome do grupo e os 4 respectivos endereos IP da figura 30 para serem membros do Grupo.
Para adicionar o grupo, clique em add group.
Como j temos um grupo criado, devemos criar regras para controlar o trfego da rede. Na
pgina onde havia o boto create group, h um boto chamado create rule. Clicando nele a pgina de
configurao da figura 31 ir ser mostrada.
51
Da mesma forma que criamos o grupo Colaboradores, iremos criar duas regras: bloqueio de
acesso ao aplicativo MSN Messenger e o bloqueio para transferncia de arquivos pelo mesmo
aplicativo. Apesar que existe a opo de criar uma regra com mais de um protocolo, no iremos
demonstrar assim.
No campo Rulename, colocamos MsnBlocker por questes da facilidade de identificao
para sabermos o que a regra faz. No Campo Rulemember podemos selecionar um ou mais protocolos
a serem bloqueados, mas em nosso caso optamos por escolher apenas o protocolo msnmessenger.
Na segunda regra que criamos chamada de Block-MSN-FT, estaremos bloqueando a
transferncia de arquivos que utiliza o protocolo MSN-filetransfer. Veja o exemplo na figura 32
seguir.
O passo seguinte juntar o grupo com a regra, mas tambm existe a opo de atribuir todas
as regras para toda sua rede interna, ou, somente para esse grupo.
Novamente na pgina principal do L7blocker, clique no boto merge rule(s) and groups(s),
perceba que antes ele no existia. Preencha o nome desse agrupamento com algo sugestivo, por
exemplo BlockMsn.
52
A prxima figura mostra que o IPCop j mostra as polticas existentes no momento, porm
no esto em funcionamento real, como aponta a mensagem em vermelho L7Blocker is not
running
Clique em Start para iniciar o L7Blocker, a confirmao pode ser vista na figura 35.
53
54
55
Obtenha
pacote
do
Shallas
Blacklist
no
seguinte
endereo,
Selecione o arquivo shallalist.tar.gz e atualize a blacklist do seu url filter, clicando no boto
Upload blacklist. Aps a atualizao, note que houve um aumento nas categorias, passando de
onze para setenta e sete categorias de bloqueio como mostra a figura 41 a seguir.
56
Marque algumas categorias de sua escolha, caso queira seguir o exemplo da figura 42, no
qual o nosso IPCop est bloqueando corretamente as categorias marcadas.
57
58
CONCLUSO
Os resultados obtidos atingiram os objetivos iniciais de aplicar e analisar os resultados das
configuraes de polticas de bloqueio em um ambiente de teste com a utilizao da distribuio
linux IPCop. A utilizao dos mdulos adicionais: L7blocker, P2pBlock e Urlfilter foram eficientes
e cumpriram suas funes especificas como: controlar o acesso aos servios do MSN messenger,
compartilhamento e download de arquivos atravs do Emule e por fim o acesso sites que no eram
permitidos de acordo com as categorias listadas do Urlfilter. Esse controle ocorreu de forma simples
e direta sem interveno de tcnicas complicadas como foi proposto desde o incio do trabalho. Os
trabalhos posteriores devem abordar outros servios e mdulos, e at mesmo o desenvolvimento de
uma distribuio linux IPCop embarcada em um appliance (dispositivo).
Sugestes: Embarcar o IPCop dentro de um appliance.
59
REFERNCIAS BIBLIOGRAFICAS
CHESWICK, W.R., BELLOVIN, S.M. Firewalls and Internet Security. AddisonWesley Publishing Company, 1997. 306p.
DEMPSTER, Barrie; EATON-LEE, James. Configuring IPCop Firewalls Closing
Borders with Open Source. 1 Ed., Packt Publishing, 2006.
FRISCH, . Essential System Administration. O'Reilly & Associates, 1995. 758p.
GHEORGHE, Lucian. Designing and Implementing Linux Firewalls and QoS using
netfilter, iproute2, NAT, and L7-filter. 1 Ed., Packt Publishing, 2006.
GIL, A.C. Mtodos e tcnicas de pesquisa social. So Paulo: Atlas, 1999. 305 p.
GIL, Antonio Carlos. Como Elaborar Projetos de Pesquisa. 4 Ed. So Paulo: Atlas, 2002.
KUROSE, James F.; ROSS, Keith W. Redes de Computadores e a Internet: Uma Abordagem
top-down. 3 Ed. So Paulo: Pearson Makron Books, 2006.
MACMILLAN, Dictionary. Http://www.macmillandictionary.com/. Acessado em 14 de
Novembro de 2010.
MICHAELIS, Dicionrio. Http://michaelis.uol.com.br/. Acessado em 14 de Novembro de 2010.
MITNICK, Kevin D. A Arte de Enganar. 1 Ed. So Paulo: Pearson, 2003.
NUNES, Paulo. Conceito de Firewall.
http://www.knoow.net/ciencinformtelec/informatica/firewall.htm. Acessado em 17 de Maio
de 2010.
RASH, Michael. Linux Firewalls : Attack detection and response with Iptables, PSAD, and
FWSNORT. 1 Ed., No Starch Press, 2007.
SILVA, F.Q., FRANKLIN, D. Segurana de Informaes e Acesso Seguro
Internet. DI - UFPE, 1997.