Sildenir Alves Ribeiro

Firewall em Linux

Monografia

apresentada

ao

Departamento

de

Cincia da Computao da Universidade Federal de Lavras, como parte das exigncias do curso de PsGraduao Lato Sensu em Administrao em Redes Linux, para obteno do ttulo de especialista em Administrao em Redes Linux.

Orientador Prof. MSc. Joaquim Quinteiro Ucha

LAVRAS Minas Gerais Brasil 2004

Sildenir Alves Ribeiro

Firewall em Linux

Monografia

apresentada

ao

departamento

de

Cincia da Computao da Universidade Federal de Lavras, como parte das exigncias do curso de PsGraduao Lato Senso em Administrao em Redes Linux, para obteno do ttulo de especialista em Redes Linux. Aprovada em 25 de Julho de 2004

__________________________________ Prof. Samuel Pereira Dias

__________________________________ Prof. Dsc. Ricardo Martins de Abreu Silva

______________________________________ UFLA Prof. Msc. Joaquim Quinteiro Ucha (Orientador) LAVRAS Minas Gerais Brasil 2004

Dedicatria

Aos meus pais pela fora e pelo carinho a mim demonstrado em todos os momentos de minha vida. Aos meus irmos e amigos que sempre acreditaram em meu potencial. A minha namorada Viviani Freitas, pela pacincia e pela fora. E aos professores e colegas do ARL pela troca continua de conhecimentos, essencial para a concluso deste projeto.

iii

Agradecimentos

Agradeo a Deus pela luz e por ter mostrado-me o caminho nos momentos mais difceis. A todos os professores do ARL que colaboraram com a realizao deste projeto, transmitindo me os seus conhecimentos, em especial ao professor Joaquim Quinteiro Ucha pela orientao e pelo apoio irrestrito em todo perodo do curso. Aos meus colegas de turma que juntos caminhamos durante este longo perodo visando um nico objetivo.

iv

Resumo

Esta monografia trata exclusivamente de assuntos relacionados segurana em redes de computadores. Abordando temas polmicos como: estratgia e adoo de polticas de segurana, ataques e invaso a sistemas de computadores e a utilizao de firewalls como ferramenta de apoio segurana em rede e sistemas de computadores. O texto traz ainda uma comparao entre os principais sistemas operacionais dispostos no mercado, apontando a usabilidade e portabilidade com relao implantao e configurao de software de firewalls. Dentre os diversos firewalls disponveis no mercado, este trabalho destaca o CheckPoint FireWall-1 como soluo proprietria e o Iptables como soluo gratuita e livre. O Iptables apresentado neste texto com mais riqueza de detalhes e informaes por se tratar do objeto fim deste trabalho. Palavras Chaves: Firewalls, Checkpoint Firewall-1, Iptables

Sumrio

Lista de Figuras ..............................................................................................9 1 Introduo ...................................................................................................10 2 Viso Geral de Firewalls ........................................................................12 2.1 Limitaes de um Firewall ..................... ...............................................14 2.2 Componentes de um Firewall................................................................15 2.3 Segurana Eficaz de Fronteiras ............................................................17 2.4 Conceitos de Segurana .........................................................................18 2.5 Vulnerabilidades, Ameaas e Ataques .................................................19

3 Polticas e Modelos de Segurana ................................ .......................21 3.1 Polticas de Segurana ...........................................................................21 3.2 Modelos de Segurana ...........................................................................22 3.2.1 Modelos Discricionrios ...................................................................23 3.2.2 Modelos Obrigatrios........................................................................23 3.2.3 Modelos Baseados em Papis ........................................ ...................24 3.3 Autenticao e Autorizao .......................................................................25

3.4 Definindo uma Poltica de Segurana ..................................................26

4 Firewall: Conceitos e Discusses .........................................................29 4.1 Componentes de um Sistema de Firewall ............................................30 4.2 Roteador de Filtro de Pacote.................................................................32 4.3 Filtro de Nvel de Servio ......................................................................33 4.4 Filtro de Nvel de Fonte/Destino ...........................................................34 4.5 Filtro Avanado................................. .....................................................34 4.6 Limitaes do Filtro de Pacote..............................................................34

4.7 Exemplos de Firewall........................................................................... ..35

4.7.1 Firewall de Filtro de Pacote..............................................................35 4.7.2 Firewall de Gateway Dual-homed ....................................................36 4.7.3 Firewall de host Screened .................................................................36 4.7.4 Firewall de Sub-rede Screened - Zona Desmilitarizada....................37 5 Firewall e Sistema Operacional ......................................... ................38 5.1 A segurana nas Organizaes e a Escolha do Firewall Ideal ...........38 5.1.1 Pequenas Empresas e Escritrios Domsticos ..................................39 5.1.2 Empresas de Mdio e Grande Porte ................................. .................39 5.1.3 rgos Governamentais, Escolas, Universidades, Organizaes Militares e Hospitais. .................................................................................40 5.1.4 Instituies Financeiras e Empresas de e-comerce ...........................41 5.2 Selecionando um Sistema Operacional................................................41 5.3 O Sistema Operacional Adequado........................................................42 5.3.1 O Sistema Operacional Linux ...........................................................43 5.3.2 O Sistema Operacional Solaris (Sparc e x86)...................................44 5.3.3 O Sistema Operacional Windows (NT, 2000 e 2003 Server) ...........45 5.4 Os Software de Firewalls .......................................................................47 5.5 Apresentando O Check Point FireWall-1 ............................................48 5.6 Instalando o Check Point FireWall-1 no Linux ..................................48 6 Firewalls e Linux ......................................................................................53 6.1 Ipfwadm e Ipchains................................................................................53 6.1.1 Caracterstica do Ipfwadm........................... ......................................53 6.1.2 Caractersticas do Ipchains ...............................................................54 6.4 O Iptables................................................................................................55 6.5 Diferena entre Iptables E Ipchains .....................................................56 6.6 Como Criar as Regras ...........................................................................56 6.7 Matches ...................................................................................................57 6.8 Tabelas ....................................................................................................58

6.9 Comandos ........................... ....................................................................60 6.10 Implementando Regras com o Iptables..............................................61 6.11 Regras de Filtro INPUT e OUTPUT ...............................................61 6.12 Regras de Filtro FORWARD...........................................................62 6.13 Regra de NAT MASQUERADE ......................................................62 6.14 Regra de NAT REDIRECT.................................................. ............63 7 Consideraes Finais...............................................................................65 8 Referncias Bibliogrficas .....................................................................66 9 Apndices....................... ..............................................................................67 9.1 APNDICE A .........................................................................................67 9.1.1 Script de Firewall Implementado em um Servidor Linux.................67 9.2 APNDICE B .........................................................................................68 9.2.1 Comandos Utilizados no Iptables .....................................................68

Lista de Figuras

Figura 2.0.1 Exemplo de um Firewall. Figura 4.1.2 Configurao dos Componentes de Firewall Figura 4.2.3 Roteador de Filtro de Pacote Figura 5.6.4 Instalao do Firewall-1 Passo 1 Figura 5.3.5 Instalao do Firewall-1 Passo 2 Figura 6.9.6 Comandos do Iptables Figura 6.10.7 Regras de filtro INPUT OUTPUT Figura 6.11.8 Regra de Filtro FORWARD Figura 6.12.9 Regras de NAT Mascarede Figura 6.13.10 Regras de Nat Redirect.

13 31 33 48 49 58 59 60 61 62

1 Introduo

A rede mundial de computadores trouxe uma grande preocupao, o risco de invaso de redes e sistemas de computadores. Em contrapartida surgiu o firewall, vulgarmente chamado de parede de fogo, que tem como principal finalidade o isolamento entre duas ou mais redes, provendo assim uma proteo maior ao sistema. Um firewall um sistema, ou um conjunto de sistemas, que fora uma poltica de segurana entre uma rede interna segura e uma rede insegura, como a internet. Um firewall tende a ser visto como uma proteo entre a internet e uma rede privada. De modo geral um firewall deve ser considerado como um meio para dividir duas ou mais redes seguras, de uma ou mais redes no seguras, como a internet. Existe vrios software de firewalls no mercado para os diversos tipos de sistemas operacionais, que sero abordados no decorrer deste trabalho. O objetivo primrio deste trabalho apresentar solues relativas segurana em redes de computadores com a utilizao dos firewalls, abordando e apresentando os vrios software de firewalls para os principais sistemas operacionais. O uso do Iptables em empregado Linux ser abordado com mais destaque devido a sua relevncia, apontando as suas principais caractersticas e funcionamento. Este trabalho apresenta a importncia e a relevncia do uso de firewalls em uma rede de computadores. O Captulo 2 est centrado nos conceitos bsicos e definio dos firewalls, demonstrando uma viso mais geral sobre os firewalls. O Captulo 3 trs uma questo muito polmica e extremamente importante para qualquer rede e sistema de computadores: o

uso de polticas de segurana, que o princpio para obteno de um sistema, se no seguro, ao menos confivel. J no Captulo 4, o enfoque est nos sistemas operacionais disponveis no mercado, destacando-se; o Linux, o Solaris e o Windows. Este captulo tambm destaca o Chekpoint Firewall-1, uma soluo proprietria para implantao de um firewall em uma rede, objetivando um comparativo com as opes gratuitas e livre, oferecidas para o sistema operacional Linux. disponveis para Linux. O Capitulo 6 dedicado inteiramente ao firewall Ipatbles, apresentando seus componentes e sua implantao e configurao. Ao final deste texto encontram-se dois apndices, o Apndice A apresenta um conjunto de regras construdas para implementar um firewall em um servidor na UNEMAT Universidade do Estado de Mato Grosso; o Apndice B traz uma lista contendo os comandos utilizados no Iptables. O Captulo 5 apresenta os componentes dos firewalls, baseando-se nas opes

11

2 Viso Geral de Firewalls

A expanso das redes de computadores e a chegada da internet, trouxe para o mundo virtual problemas de segurana de sistemas. Problemas estes, antes no muito freqentes, j que para conectar-se a uma rede privada um invasor precisava de um modem para efetuar uma discagem direta usando a rede de telefonia pblica. A internet possui uma eficincia de comunicao muito grande, o que facilita o acesso s redes privadas. As conexes direta via internet facilitam a explorao dos recursos privados em uma rede por pessoas de toda a parte do mundo. Este um problema srio de segurana, pois as facilidades de acesso fornecidas pela rede mundial de computadores no faz nenhuma restrio quanto ao acesso ao contedo disponvel e a quem tem acesso a este contedo. Ao conectar uma rede privada a internet, est na verdade conectando a rede diretamente a todas as outras redes ligadas internet diretamente. No existe nenhum ponto central de controle de segurana na rede mundial, isto uma porta aberta para pessoas mal intencionadas. Com os problemas inerentes segurana, vindo junto com a internet, surgiram ferramentas, dispositivos e prticas de controle de acesso para tornar as redes mais seguras, como os firewalls. Os firewalls podem ser definidos como um computador acompanhado de um software, que protege a rede privada da internet. Assim, a rede privada fica isolada da internet, ou seja, no possui uma comunicao direta com a

internet e sim com o firewall. Com isso toda vez que uma solicitao de conexo for realizada com um host internet, ser realizado primeiro a conexo com o firewall e somente depois a conexo com a rede externa liberada. A Figura 2.0.1 exemplifica esta definio.

Servidor de Rede Privada Interna

Internet

Servidor WWW (Web) Firewall

Rede Pblica Externa

Servidor de E-mail

Estaes de Trabalho

Figura 2.0.1 Exemplo de um Firewall Esta definio nos faz lembrar uma parede de proteo entre a rede privada e a internet, representando assim com fidelidade a traduo de firewall do ingls, parede de fogo . Hatch, et al (2000), define um firewall como uma parede a prova de fogo que protege uma mquina ou uma rede local contra o restante do ciberespao.

13

2.1 Limitaes de um Firewall

importante observar que um firewall uma ferramenta utilizada para impor uma poltica de segurana, to eficiente quanto prpria poltica de segurana empregada na rede pelo projetista ou administrador, mas que no capaz de as questes de segurana sozinho. Conforme abordado por Welch-Abernathy (2003), um firewall no poder proteger um sistema dos seguintes perigos. Uso malicioso dos servios autorizados. Um firewall no pode, por exemplo, impedir que algum use uma sesso TELNET1 autenticada, para comprometer as mquinas internas. Usurios que no passam pelo firewall. Um firewall s pode restringir as conexes que passam por ele; portanto, no poder proteg contra pessoas que evitam o -lo firewall, por exemplo, por meio de um servidor dial-up, que pode ser implantado antes do firewall. Engenharia social. Se os intrusos puderem, de alguma forma, obtiver senhas, as quais no esto autorizados a ter ou comprometer de alguma outra forma os mecanismos de autenticao por meio de engenharia social, o firewall no os impedir. Por exemplo, um invasor poder ligar para um de seus usurios fingindo ser o administrador do sistema e pedir sua senha para resolver um problema. Falhas no sistema operacional. Um firewall to seguro quanto um sistema operacional em que est instalado. Existem muitas falhas presentes nos sistemas operacionais, contra as quais um firewall no pode proteg-lo. por isso que importante proteger corretamente o sistema operacional aplicando os patches2 de segurana necessrio

TELNET Servios que permite que uma mquina cliente possa acessar e executar tarefas em um servidor. 2 Patches Aplicativos utilizados pra corrigir possveis erros em um sistema operacional. 1

14

antes de instalar o firewall e atualizando periodicamente os patches aps a instalao completa do firewall. Todas as ameaas que podem ocorrer. Normalmente os invasores esto frente dos projetistas e fabricantes de firewalls, os quais desenvolvem aplicativos sobre os problemas e falhas descobertos pelos invasores. Assim, um firewall por mais atual que seja no pode proteger a rede e o sistema com totalidade.

2.2 Componentes de um Firewall

Como pode ser visto anteriormente, a idia central de um firewall manter uma conexo segura com a internet. atravs dos firewalls que podemos controlar inspecionar, aprovar ou rejeitar cada tentativa de conexo feita entre a rede interna e a rede externa, internet. Os firewalls de grande poder deve proteger uma rede em todas as camadas de software, que vai da camada de enlace at a camada de aplicao. Em contrapartida, um firewall sozinho, ou seja, um software de firewall instalado sem estar configurado devidamente, com um banco de regras bem definido, somente ir consumir inutilmente recursos de hardware e software, aumentando assim, o tempo necessrio para conectar, autenticar e criptografar os dados em uma rede. Diante deste problema deve-se estar atento, e configurar adequadamente o firewall e seus componentes nas fronteiras da rede, interconexes ou gateways, que fornecem o acesso a outras redes. Um bom firewall opera usando seus componentes fundamentais, que so estabelecidos pelos trs mtodos abaixo.

15

Filtragem de Pacotes: rejeita pacotes TCP/IP de hosts no autorizados e rejeita tentativas de conexes de servios no autorizados;

NAT (Network Address Translation converso de endereos de redes): converte os endereos IP dos hosts internos para ocult-los de qualquer monitorao externa. A NAT tambm chamada de mascaramento de IP;

Servios Proxy: faz com que as conexes de aplicativos de alto nvel, em benefcios do host interno, quebrem completamente a conexo da camada de rede entre o host interno e o host externo. A maioria dos firewalls ainda realiza dois outros servios importantes e

fundamentais relacionados segurana, que so: Autenticao Criptografada: permite aos usurios da rede pblica provar sua identidade ao firewall para obter acesso rede privada com segurana de seus dados garantida. Tneis Criptografados: estabelece uma conexo segura entre duas redes privadas atravs de um meio pblico a internet. O tunelamento tambm chamado de VPN3. Existem centenas de produtos de firewalls no mercado, praticamente todos usam os mtodos bsicos, filtragem de pacotes, NAT e servios de proxies, para oferecer um servio de segurana (STREBE; PERKINS, 2000). Os conceitos de filtragem de pacotes, NAT, proxies, autenticao criptografada e tneis criptografados sero melhores apresentados no captulo 4 deste trabalho. 3

VPN Virtual Private Network Rede Privada Virtual

16

2.3 Segurana Eficaz de Fronteiras

Como mencionado anteriormente, para manter um nvel mnimo de segurana, o administrador deve conhecer os conceitos de fronteiras, local onde o firewall deve ser implantado, para que as trs funes bsicas sejam realizadas pelo firewall, garantindo assim a segurana mnima desejada. Os firewalls ainda precisam ser dedicados, evitando o uso de outros servios, como e-mail, web e servios pblicos executados no prprio firewall. Esta ultima observao dispensada se o software de servio acompanha o software do fabricante do firewall. Outro ponto importante que o administrador deve sempre procurar minimizar, so os servios a serem executados no firewall, reduzindo a complexidade do software executado na mquina, diminuindo assim, a probabilidade de erros no sistema operacional e no software de segurana. No caso de sistemas operacionais em ambientes grficos, como: o Windows NT, 2000 e 2003 Server, nenhum dos servios do painel de controle necessrio para um computador que executado somente como firewall. No caso do Linux e Unix, instale somente os pacotes necessrios para a operao do firewall ou selecione a opo de instalao do firewall, caso a distribuio tenha. Normalmente no preciso estes cuidados, porque o programa de instalao ir desativar todos os servios desnecessrios automaticamente. Para se ter uma total proteo das fronteiras preciso tambm reforar a idia de um nico ponto de controle no firewall. Caso sua rede disponha de

17

mais de um firewall, certifique que todos esto configurados corretamente e da mesma maneira.

2.4 Conceitos de Segurana

Conceituar segurana no uma questo muito simples, alm de ser um ponto que sempre gera muita discusso e poucas concluses em comum, mas consenso de todos que este assunto deve ser observado com muito cuidado, dada sua tamanha importncia e relevncia. da violao de segurana. As violaes de segurana correspondem revelao no autorizada de informaes, modificaes e produes no autorizada da informao e negao de servio. Evitar estas violaes em sistemas complexos sempre uma tarefa rdua. A segurana geralmente vista como uma qualidade de servio, destinada a garantir o fornecimento e o funcionamento dos servios oferecidos e no como um servio especfico. A segurana est fundamentada sobre cinco propriedades que devem ser mantidas conforme descreve (Melo, 2004). Confidencialidade A informao s dever ser revelada para usurios autorizados a acess-la; Integridade A informao no poder ser modificada, intencionalmente ou acidentalmente, por usurios que no possuam direito para tal; Disponibilidade O uso do sistema no poder ser negado, de forma maliciosa, a usurios autorizados; Autenticidade O acesso ao sistema s dever ser feito por usurios autnticos; Dentro deste assunto o que mais tira o sono dos administradores de sistemas a questo

18

No-repdio Um usurio no poder negar a sua participao na ocorrncia de um evento ou transao.

2.5 Vulnerabilidades, Ameaas e Ataques

As violaes de segurana ocorrem devido explorao das vulnerabilidades existentes nos sistemas. As vulnerabilidades em sistemas computacionais sempre estiveram presentes e pode ser destacadas como: um erro de programao, erro na configurao ou at mesmo um erro de operao. Estes problemas podem permitir que usurios no autorizados entrem no sistema ou mesmo que usurios autnticos executem aes no autorizadas, podendo assim comprometer o funcionamento correto do sistema. Tais aes so especificadas por Melo (2003) e apresentadas abaixo: Ameaa: consiste em uma possvel ao que, se concretizada poder produzir efeitos indesejados ao sistema, comprometendo a confidencialidade, integridade, disponibilidade e a autenticidade. Ataque: a concretizao de uma ameaa, explorando alguma vulnerabilidade do sistema, executado por algum intruso, de forma maliciosa ou no; Interceptao: onde uma parte no autorizada obtm acesso informao (violao de revelao no autorizada de informao); Interrupo: servio). o fluxo normal da mensagem interrompido, impossibilitando que a informao chegue ao destino (negao de

19

Modificao: uma parte no autorizada modifica a informao recebida da origem e a transmite para o verdadeiro destino (violao de modificao no autorizada de informao).

Personificao: entidade no autorizada transmite uma mensagem maliciosa pela rede, se passando por uma parte autntica. Em sistemas computacionais as ameaas so constantes e uma

maneira de evitar os ataques identificar e corrigir as vulnerabilidades existentes nos sistemas, algo que no to simples quanto parece. Sistemas mais complexos tendem a possuir mais brechas de segurana, porm, so nesses sistemas que a segurana mais enfatizada, sabendo que o comprometimento desses sistemas geraria enormes prejuzos financeiros.

20

3 Polticas e Modelos de Segurana

Este captulo aborda um tema que no poderia ficar de fora deste trabalho. Trata das -se polticas e modelos de segurana, que so fortemente recomendas em qualquer sistema, desde os mais simples at os mais complexos.

3.1 Polticas de Segurana

Uma poltica de segurana de sistemas definida como um conjunto de diretrizes, normas e procedimentos, os quais estabelecem os limites de operao dos usurios. A poltica de segurana feita sob medida para um sistema especfico e no para uma classe geral de sistemas. As diretrizes ditadas em uma poltica de segurana indicam o que cada componente do sistema (usurios, mquinas, etc.) pode ou no pode fazer. As normas indicam o que cada componente est habilitado a fazer e como dever ser feito. Portanto, so ditados os procedimentos que devem ser tomados para cada estado do sistema, onde o sistema poderia sair desde um estado normal

de funcionamento at um estado de emergncia aps algum evento inesperado ou malicioso. Segundo MELO (2002), as polticas de segurana de sistemas diferem em trs ramos: segurana fsica, segurana gerencial e segurana lgica, observados a seguir. Poltica de segurana fsica preocupa-se em proteger o meio fsico em que opera o sistema. So medidas definidas contra desastres como: incndio, alagamento, terremoto, etc; e tambm so definidas medidas para proteger o acesso fsico ao provedor do sistema, fornecendo meios de proibir o acesso de pessoas no autorizadas. Poltica de segurana gerencial preocupase com o ponto vista organizacional, definindo os processos que devem ser tomados para seleo de pessoal, e at definindo os processos para criao e manuteno das prprias polticas de segurana. Poltica de segurana lgica - a mais habitual e bastante utilizada no dia-a-dia. Esta poltica define quais usurios tero direito de acesso ao sistema e quais so os direitos que cada usurio possuir. So aplicados aqui dois conceitos: a autenticao, onde um usurio necessita se identificar ao sistema para que possa obter acesso ao recurso; e a autorizao, onde o usurio precisa provar que possui direitos sobre o recurso o qual ele deseja acessar.

3.2 Modelos de Segurana

Os modelos de segurana so comumente confundidos com mecanismos de segurana. Um modelo de segurana uma expresso, muitas vezes, formal de uma classe de polticas de segurana, abstraindo

22

detalhes e concentrando-se em conjunto de comportamentos que so utilizados como base para defini-las de polticas de segurana. Em seu trabalho, MELO (2002) afirma que os modelos de segurana so divididos em trs tipos bsicos: discricionrios (discretionary), obrigatrios (mandatory) e os modelos baseados em papis (roles).

3.2.1 Modelos Discricionrios Os modelos discricionrios garantem o acesso de usurios s informaes com base na identidade do usurio e nas autorizaes que determinam, para cada usurio ( u grupo de o usurios) e para cada objeto do sistema, a forma de acesso que o usurio est autorizado a realizar sobre o objeto. O modelo de matriz de acesso um modelo conceitual discricionrio, o qual especifica os direitos que cada sujeito possui sobre cada objeto do sistema. ocasies. Os principais4 so tipicamente usurios, processos ou mquinas representando o usurio, podendo assumir diferentes sujeitos em diferentes

3.2.2 Modelos Obrigatrios Enquanto os modelos discricionrios so direcionados a definio, modelagem e controle do acesso informao, os modelos obrigatrios (mandatory models), ou no-discricionrios, tambm se preocupam com o 4

Principais: Termo utilizado comumente para identificar: usurio, processos e mquinas atuando em nome dos usurios de sistemas, considerados aptos pela poltica estabelecida (poltica de segurana lgica) em suas aes no sistema. O sentido contrrio (usurios no autorizados pelas polticas) identificado como intrusos.

23

fluxo de informaes no sistema. Nos modelos obrigatrios, classes de segurana so atribudas aos objetos e aos sujeitos, as quais so designadas como rtulos de segurana (Security label). Para os objetos o rtulo chamado de classificao, enquanto que para os sujeitos o rtulo chamado de habilitao (clearance). A classificao representa a sensibilidade dos dados rotulados, enquanto que a habilitao representa a confiana no sujeito em no revelar informaes sensveis a outros sujeitos.

3.2.3 Modelos Baseados em Papis Modelos baseados em papis (roles-based models) restringem o acesso dos principais s informaes de acordo com as atividades que estes desempenham no sistema. Os papis podem ser definidos como um conjunto de aes e responsabilidades associadas com uma atividade de trabalho em particular. Logo, ao invs de especificar o que cada principal est autorizado a fazer, essa autorizao dada aos papis. Um principal que desempenha um papel s estar apto a realizar aes no sistema de acordo com as permisses que o papel possui. Em diferentes situaes um principal poder assumir diferentes papis e tambm um papel pode ser assumido por diferentes principais, s vezes simultaneamente. As vantagens apresentadas pelo modelo baseado em papis so: Gerncia de autoriza - As o especificaes de autorizao so divididas em duas partes, a associao de direitos de acesso a papis e associao destes papis aos principais, deixando assim o gerenciamento de segurana mais simplificado, por exemplo, no caso de um principal ter que desempenhar um novo papel na organizao. Hierarquia de papis - Em muitos tipos de aplicaes existe uma

hierarquia natural de papis baseada nos princpios da generalizao e

24

especializao, permitindo assim que permisses sejam herdadas e compartilhadas. Privilgio mnimo - Papis permitem que um principal trabalhe com o

mnimo privilgio exigido por uma determinada tarefa, garantindo assim, que um principal far uso dos benefcios e privilgio somente para realizar as tarefas especificadas pelos papis. Separao de tarefas (duties) - Tal propriedade parte do princpio

que a nenhum principal deve ser dado privilgios o bastante alm do que o mesmo possa utiliz-los, de forma maliciosa, em benefcio prprio. Por exemplo, a pessoa que autoriza os pagamentos de salrio no deveria ser a mesma pessoa que os efetua. E ainda, a efetuao dos pagamentos no poder ocorrer sem que antes ocorra a autorizao dos mesmos. Classificao dos objetos - No modelo baseado em papis a classificao dos principais ocorre de acordo com as tarefas que cada um poder executar no sistema. Analogamente, tal classificao poderia ser dada aos objetos do sistema. Assim, as autorizaes de acesso dos papis fariam sobre as classes de objetos e no em objetos especficos.

3.3 Autenticao e Autorizao

O processo de identificao em sistemas computacionais consiste de um conjunto de procedimentos e mecanismos que permitem que agentes externos, como: usurios, dispositivos, etc, sejam identificados como usurios autorizados segundo as polticas de segurana adotadas no sistema. No processo de identificao, alguns mecanismos de segurana exigem um nome de usurio (login) e uma senha, assim garantem a identidade do agente

25

externo, dando a este possibilidade de usufruir do sistema. J processo de autenticao, composto por um conjunto de mecanismos e procedimentos, d ao sistema a possibilidade de assegurar que um principal realmente quem ele diz ser. Se considerado um sistema distribudo, em uma comunicao entre duas partes, o servio de autenticao preocupa -se em assegurar autenticidade da comunicao. Neste caso, dois aspectos so envolvidos. O primeiro, no incio da conexo: o servio de autenticao garante a autenticidade das duas entidades, garantindo que cada entidade quem diz realmente ser. O segundo, o servio deve assegurar que a comunicao no interferida de tal maneira que uma terceira parte no autntica consiga personificar uma das duas partes autnticas com o propsito de transmitir ou receber informao aes de forma no autorizada. Desta forma, um servio de autenticao pode promover a

identificao de principais, a autenticao mtua entre as partes e a ainda garantir a autenticidade dos dados transmitidos entre as partes.

3.4 Definindo uma Poltica de Segurana

Para se ter uma rede segura no basta configurar um firewall na fronteira de sua rede, preciso antes de qualquer coisa, estabelecer uma poltica de segurana clara e bem definida, definindo inclusive uma poltica de uso, onde sero estabelecidas questes de acesso e restries do usurio a rede e o sistema, respectivamente.

26

MANN, MITCHEL5, citado por UCHA (2003); Uma poltica de segurana incorpora os resultados de uma anlise de risco em um plano que providencia procedimentos para gerenciar um ambiente computacional. Em particular, ela fornece ao administrador do sistema linhas operacionais para o ambiente, tais como regras para o gerenciamento de contas de usurios, procedimentos de instalao de sistemas... SOARES; LEMOS; COLCHER6, citado por UCHA (2003); Uma poltica de segurana um conjunto de leis, regras e prticas que regulam como uma organizao gerencia, protege e distribui suas informaes e recursos. Um dado sistema considerado seguro em relao a uma poltica de segurana, caso garanta o cumprimento das leis, regras e prticas definidas nesta poltica.

O uso de firewalls permite a imposio de uma poltica de segurana, mesmo no sendo a nica ferramenta para impor esta poltica. Uma boa poltica de segurana deve vir acompanhada de outros itens fundamentais conforme apontado por (UCHA, 2003). Uma poltica de segurana deve possuir as seguintes caractersticas. Ser implementvel atravs de procedimentos de administrao de sistemas, regras de uso, ou outros mtodos apropriados; Ser reforada com ferramentas de segurana e sanses; Definir claramente as reas de responsabilidade para usurios e administradores de sistemas.

MANN, S; MITCHELL, E.L., Linux System Security: An Administrator s Guide to Open Source Security Tools, New Jersey: Prentice-Hall, 2000. 6 SOARES, L.F.G.; LEMOS, G.; COLCHER, S. Redes de Computadores: das LANS, MANS e WANS s Redes ATM. 2 Ed. Rio de Janeiro: Campus, 1995.

27

Com uma poltica de segurana claramente definida, o administrador sabe exatamente quem manter seus firewalls e que tipos de mudanas so permitidos. O contrrio acontece com uma poltica mal definida. Uma poltica de segurana o primeiro passo crtico rumo proteo da rede de sua organizao (WELCH-ALBERNATHY, 2003).

Dentro do processo de definio da poltica de segurana, est tambm contida uma questo crucial para que uma poltica de segurana possa ser empregada, a documentao. Observa -se o seguinte caso: o que foi imposto hoje poder ser alterado amanh. As regras podem ser includas ou removidas aleatoriamente sem qualquer plano de coerncia real. O resultado disso de uma ferramenta eficaz configurada de modo ineficaz. Definir uma poltica de segurana documentar de forma simples, clara e objetiva o que dever ser e quais recursos que deve ser protegidos e sob que condies o acesso a esses documentos ser concedidos ou negados. Normalmente so criadas polticas de seguranas extensas, que abordam situaes imaginveis gerando documentos grandes, complicados e desajeitados e que ningum se dispe a ler e a entender. Assim, o objetivo primeiro do administrador ou projetista criar um documento simples que possa ser usado por outra pessoa com certo grau de facilidade.

28

4 Firewall: Conceitos e Discusses

Um firewall um sistema, ou grupo de sistemas, que fora uma poltica de segurana entre uma rede interna segura e uma rede insegura como a Internet. Os firewalls tende a ser visto como uma proteo entre a Internet e uma rede privada. Mas falando de modo geral um firewall deve ser considerado como um meio para dividir o mundo em duas ou mais redes: uma ou mais redes seguras e uma ou mais redes no seguras. Um firewall pode ser um PC, um roteador, um midrange7, um mainframe8, um Unix workstation ou uma combinao destes, determinando quais informaes ou servios podem ser acessados de fora, e quem tem permisso para usar estas informaes e servios. Geralmente, um firewall est instalado no ponto onde a rede interna segura e a rede externa insegura, este ponto que conhecido como ponto de sufoco ou choke point. A fim de entender como um firewall trabalha, considere a rede como sendo um edifcio onde o acesso deve ser controlado. O edifcio tem um salo de entrada como o nico ponto de entrada.

7 Midrange Dispositivo que realiza uma ou mais conexo entre um ou mais dispositivos. Em informtica um midrange tido como um servidor para uma rede cliente servidor. Trata-se geralmente de um computador de mdio porte. 8 Mainframe Computador de grande porte.

Neste salo de entrada esto s recepcionistas de visitantes, guarda-costas de visitantes, vdeo-cmeras gravando as aes dos visitantes e leitores de distintivo que autenticam os visitantes que entram no edifcio (RUSSEL, 2002).

Embora, estes procedimentos possam trabalhar bem para controlar o acesso ao edifcio, conforme definio de RUSSEL (2002), se uma pessoa, sem autorizao tiver sucesso ao entrar, no existe nenhum modo de proteger o edifcio contra alguma ao do intruso. Porm, se os movimentos do intruso for monitorado, pode ser possvel descobrir qualquer atividade suspeita. Semelhantemente, um firewall projetado para proteger os recursos de informaes da organizao controlando o acesso entre a rede interna segura e a rede externa insegura. Todavia, importante notar que o firewall projetado para permitir que os dados confiveis passem atravs dele, negue os servios vulnerveis e previna a rede interna de ataques de fora. Um ataque recentemente criado pode penetrar no firewall a qualquer hora. O administrador da rede deve examinar todos os logs e alarmes gerados pelo firewall em uma base regular. Caso contrrio, no possvel proteger a rede interna de ataques externos.

4.1 Componentes de um Sistema de Firewall

Como mencionado previamente, um firewall pode ser um PC, um midrange, um mainframe, uma Workstation Unix, um roteador ou a combinao destes. Conforme RUSSEL (2002), dependendo dos requisitos, um firewall pode consistir em um ou mais dos componentes funcionais seguintes:

30

Roteador de filtro de pacote; Aplicao em nvel de gateway - proxy; Circuito de nvel de gateway. Cada um destes componentes tem uma funo diferente. Geralmente,

a fim de construir um firewall efetivo, estes componentes so usados juntos. A Figura 4.1.2 ilustra a configurao e o uso destes componentes, onde a rede privada, estabelecida pelos servidores e clientes, est conectada a um concentrador (hub), o qual est conectado ao firewall, protegendo assim a rede privada da rede pblica externa (internet).

Ivasor Servidor Netbios

Modem Cliente www

Firewall Servidor Web

Internet

E en t th r e

7x C 7 8 9 1011 12 A 1 2 3 4 5 6 1x

8x

9x

10x

11x

12x

7x

8x

9x

10x

11x

12x

2x

3x

4x

5x

6x

1x

2x

3x

4x

5x

6x

Concentrador (Hub) Modem PcAnyware

Cliente

Usurio Remoto Modem Cliente Rede Privada Interna Rede Pblica Externa

Figura 4.1.2 - Configurao dos componentes de firewall

31

4.2 Roteador de Filtro de Pacote

Na maioria das vezes, a filtragem de pacote realizada, utilizando-se uma roteador que possa enviar pacotes de acordo com as regras de filtragem. Quando um pacote chegar ao filtro de pacotes, o roteador extrai as informaes do cabealho do pacote e faz decises de acordo com as regras de filtro, e decide se o pacote passar por ele ou se ser descartado. As informaes seguintes podem ser extradas do cabealho de pacote: Endereo IP da Fonte. Endereo IP de Destino. Porta TCP/UDP da Fonte. Porta TCP/UDP de Destino. Tipo de mensagem de ICMP. Informaes de encapsulamento do protocolo (TCP, UDP, ICMP ou Tnel de IP). A filtragem de pacotes atravs de roteadores ilustrado na Figura 4.2.3, com a rede privada interna conectada ao roteador, onde os pacotes so filtrados. O roteador por sua vez conecta-se ao firewall, que conectado ao provedor de acesso a internet. Deste modo a rede privada interna fica protegida da rede externa pblica, evitando que os usurios externos acessem a rede privada interna diretamente.

32

Rede Privada HEWLETT PACKARD

Internet

HEWLETT PACKARD

IBM

Rede Pblica Externa Rede Privada Interna Provedor de Acesso a Internet

Figura 4.2.3 Roteador de Filtro de Pacotes

4.3 Filtro de Nvel de Servio

J que a maioria dos servios usa nmeros de porta do famoso TCP/UDP, possvel permitir ou negar que os servios usem informaes relacionadas a portas no filtro. Por exemplo, um servidor de FTP escuta as conexes na porta TCP 20 e 21. Ento, permitir que conexes de FTP passem atravs de uma rede segura, deve o roteador ser configurado para permitir pacotes que contenha a porta 20 e 21 do TCP em seu cabealho. Por outro lado, existem algumas aplicaes, como NFS e RPC e usam portas especficas para cada conexo. Permitindo estes tipos de servios poderiam causar problemas de segurana.

33

4.4 Filtro de Nvel de Fonte/Destino

As regras de filtragem de pacotes permitem a um roteador negar ou autorizar um pacote de acordo com o destino ou as informaes da fonte do cabealho do pacote. Na maioria dos casos, se um servio est disponvel, somente aquele servidor particular ser permitido para usurios de fora. Outros pacotes que tenham outros destinos ou nenhuma informao de destino em seus cabealhos sero descartados.

4.5 Filtro Avanado

Como mencionado previamente, existem tipos diferentes de ataques que ameaam a segurana de rede isoladamente. Alguns deles podem ser descartados, usando regras de filtro avanadas, como a verificao das opes de IP.

4.6 Limitaes do Filtro de Pacote

As regras de filtragem de pacote so s vezes muito complexas. Embora, existam algumas aplicaes de teste disponvel, ainda possvel deixar alguns buracos na segurana da rede. Os filtros de pacote no fornecem uma proteo absoluta para uma rede. Para alguns casos, pode ser necessrio restringir algum conjunto de informaes, como por exemplo, um comando que passa atravs da rede interna segura. No possvel controlar

34

os dados com filtros de pacote porque eles no so capazes de entender o contedo de um servio em particular. Para este propsito, deve-se utilizar um controle em nvel de aplicao.

4.7 Exemplos de Firewall

Um firewall consiste em um ou mais elementos de software que executado em um ou mais host. Os hosts podem ser sistemas de computador de propsito geral ou especializado como roteadores. Existem quatro exemplos importantes para firewalls, conforme apresentados por ANDREASSON (2002). Estes exemplos so especificados abaixo: Firewall de Filtro de Pacote; Firewall de Gateway Dual-homed; Firewall de host Screened; Firewall de Sub-rede Screened. Estes exemplos de firewall so comumente usados em vrios tipos de firewall e sero descritos abaixo.

4.7.1 Firewall de Filtro de Pacote O firewall de filtro de pacote comumente usado em um tipo de firewall barato. Neste tipo de firewall existe um roteador entre a rede interna segura e a rede externa.

35

Uma roteador de filtro de pacote permite o trfego entre as redes usando as regras de filtro de pacote para permitir ou negar o trfego. Um roteador de filtro de pacote tem as mesmas desvantagens do filtro de pacote roteado. Geralmente, uma roteador de filtro de pacotes configurado para negar qualquer servio se ele no for explicitamente permitido. Embor esta a abordagem previna alguns ataques potenciais, ela ainda aberta a ataques que resultam de configuraes imprprias nas regras de filtro.

4.7.2 Firewall de Gateway Dual-homed Um host dual-homed tem pelo menos duas interfaces de rede e pelo menos dois endereos IP. Se o IP enviado no for ativo, todo trfego de IP entre as duas interfaces ser passa pelo firewall. Deste modo, no existe nenhuma opo para um pacote passar pelo firewall a menos que o servio de proxy ou socks relacionados so definidos no firewall. Comparado ao firewall de filtro de pacote, o firewall de gateway de dual-homed tem certeza que qualquer ataque que vem de servios desconhecidos sero bloqueados. Um gateway de dual-homed cumpre o mtodo em que tudo no permitido especificamente negado.

4.7.3 Firewall de host Screened Este tipo de firewall consiste em um filtro de rota de pacote e um gateway de nvel de aplicao. O router configurado para enviar todos os trfego para o host e em alguns casos tambm para o servidor de informaes. J que a rede interna est na mesma sub-rede que o host. A poltica de segurana pode permitir que os usurios internos possam acessar o lado de fora diretamente, ou forar que eles utilizem os servios de proxy para acessar a rede externa. Isto pode ser alcanado configurando as regras

36

de filtro de roteador de forma que o roteador s aceita trfego que origine do host principal.

4.7.4 Firewall de Sub-rede Screened - Zona Desmilitarizada Este tipo de firewall consiste em dois roteadores de filtro de pacote e um bastian host9. Screened subnet firewalls fornece a segurana de nvel mais alto no meio dos exemplos de firewall. Isto alcanado criando uma zona desmilitarizada (DMZ) entre a rede externa e a rede interna, de forma que, o roteador exterior s permite acesso de fora ao bastian host e o roteador interno s permita acesso a rede interna at o bastian. J que o roteador exterior s anuncia a DMZ, para a rede externa, o sistema na rede externa no pode alcanar a rede interna. Semelhantemente, o roteador interno anuncia o DMZ para a rede interna, os sistemas da rede interna no podem alcanar a Internet diretamente. Este fornece uma forte segurana, pois um intruso tem que penetrar trs sistemas separados para alcanar a cadeia interna.

Bastion Host: uma mquina segura instalada em um ponto crtico da rede, chamado de zona desmilitarizada (zona sem proteo) ou DMZ.

37

5 Firewall e Sistema Operacional

Assim como existe vrios sistemas operacionais no mercado, existe tambm vrios software de firewall. O desafio do administrador de sistema escolher o software de firewall certo para o sistema operacional que est sendo utilizado ou que se pretende utilizar. Sempre levando em conta tambm, o que se pretende proteger e que tipo de organizao est administrando.

5.1 A segurana nas Organizaes e a Escolha do Firewall Ideal

Alm da escolha do firewall para o sistema operacional certo, o administrador deve se ater tambm ao tipo de informao que se pretende proteger, sendo o tipo de instituio em que ser implantado o firewall de relevncia primeira, pois, o tipo de rede e sua organizao iro determinar as necessidades relativas segurana. A quantidade de trabalho que se deve proteger e que se tem para proteger em uma rede marcada pelo tipo de informao que trafega e que esta contida na rede. Para ter uma viso mais significativa deste assunto to singular, apresenta-se abaixo alguns tipos de organizaes e as sugestes de segurana, levando-se em conta, sempre o tipo de organizao e no os

vrios

nveis

de

paranias

existentes

no

campo

da

segurana

computacional.

5.1.1 Pequenas Empresas e Escritrios Domsticos Geralmente aplica-se a este caso redes mais simples, com trs ou quatros computadores ligados ponto a ponto, formando assim, uma pequena rede local. Neste caso no vivel, logicamente e financeiramente, ter um computador dedicado para ser um firewall da rede. O que se faz geralmente em casos como esses, utilizar a segurana do provedor para proteger a rede. Esta tcnica pouco eficaz e nunca recomendada. Como no economicamente vivel para uma organizao deste porte adquirir um software de firewall proprietrio10, a soluo seria ento, configurar os recursos do sistema operacional para proteger a rede. Uma soluo tima para esta organizao, a implantao de sistemas operacionais, software e firewalls open source 11

. importante frisar

que esta recomendao, aplica-se tambm s empresas de grande porte e outras instituies, inclusive instituies pblicas, por ser totalmente gratuitas, legal e extremamente seguro.

5.1.2 Empresas de Mdio e Grande Porte Uma rede com aproximadamente 50 a 100 computadores conectados um alvo mais tentador para um invasor, especialmente se a rede dispuser de equipamentos com relativo custo e enlaces de VPNs com outras redes 10

Software Proprietrio: Software comercial, registrado e patenteado pelo fabricante. Para a aquisio de ferramentas ditas como proprietria deve-se obter legalmente a licena com o proprietrio, que de modo geral cedida atravs da compra do produto. 10 Open source Termo atribudo a sistemas operacionais e software gratuitos, e de cdigo aberto licenciados pelo projeto Open/GL.

39

grandes de computadores. Esse tipo de rede mais usual em empresas de mdio e grande porte e consequentemente um alvo desejado por invasores, pois, devido sua complexidade mais fcil encontrar vulnerabilidades. Nas instituies de mdio e grande porte, um ou dois computadores no iro pesar no oramento da empresa, assim recomenda o uso de um -se firewall dedicado ou at mesmo firewalls multihomed12.

5.1.3 rgos Governamentais, Escolas, Universidades, Organizaes Militares e Hospitais.

comum depararmos com notcias pelo mundo afora, de invases ou tentativas de invases de empresas pblicas, organizaes militares e governamentais. Estas entidades so muito assediadas por praticantes de hackerismos . Na maioria dos casos a invaso ou tentativa de invaso a estas instituies se d meramente devido ao status atribudo ao invasor dentro da comunidade hacker. Outro fato que contribui para este assdio deve-se geralmente por tratarem-se de redes de grande porte e conseqentemente sujeitas a falhas e vulnerabilidades. Grande parte dos pases europeus utiliza software livre em suas redes, no caso de paises pobres e emergentes como o Brasil, por ironia, a maioria das redes opera com software proprietrios. Embora este conceito esteja mudando, mesmo que em passos lentos, ainda existe uma grande restrio por parte dos usurios em utilizar sistemas como o Linux. Simplesmente por no conhecerem e no se dar ao trabalho de procurar conhecer esses sistemas. 12

Firewall Multihomed Um firewall que possui mltiplas bases.

40

Em casos como este, fundamental que os administradores e projetistas de redes adotem polticas corretas e sensatas de migrao para que os software livres no caiam em descrdito perante aos usurios e no seja queimado , como acontece na maioria dos casos.

5.1.4 Instituies Financeiras e Empresas de e-comerce As Instituies financeiras e empresas de e-comerce13 so tambm bastantes visadas por invasores, finalidade geral neste caso, o desvio de dinheiro e a interceptao de senhas e nmeros de cartes de crdito. Os clientes destas organizaes, geralmente, so os que sofrem conseqncias mais drsticas no caso de uma interceptao de uma movimentao financeira ou de uma compra de um produto. A maioria das empresas que operam neste ramo de atividade possui polticas de segurana bem definidas e recurso de software e de mquina para a proteo de seus sistemas e seus clientes, embora nem sempre eficientes.

5.2 Selecionando um Sistema Operacional

Um dos propsitos deste trabalho apresentar o uso dos firewalls nos diversos tipos de sistemas operacionais. Existe uma grande disponibilidade de sistemas operacionais no mercado, desde gratuitos (free), de cdigo aberto (GNU/GPL) e proprietrios como o caso do Windows14. Apresenta-se aqui, um paralelo sobre o uso de firewalls em alguns destes sistemas operacionais. 13 14

E-comerce: Atividade comercial exercida atravs da internet comrcio eletrnico. A marca Windows de propriedade da Microsoft Corporation.

41

A escolha de um sistema operacional e destacada por WELCHALBERNATHY (2003) como um processo determinante no aspecto de segurana, devendo o administrador de sistemas uma ateno especial em trs pontos principais, os quais so apresentados abaixo. Selecionar o Sistema operacional que seja melhor para o seu ambiente; Fortalecer corretamente o sistema operacional; Instalar o software de firewall e todos os packs de servios a ele relacionado.

5.3 O Sistema Operacional Adequado

O primeiro passo na montagem de seu firewall a seleo do sistema operacional em que a aplicao ir rodar. Existem vrias opes, dentre as quais, destaca-se: Linux Mac Solaris Unix Windows 2000 e 2003 Server Todo sistema operacional possui vantagens e desvantagens, no objeto de estudo deste trabalho uma avaliao de qual o melhor ou o pior sistema operacional, mesmo porque, esta uma questo polmica e que reserva muitas contradies; mas ser apresentado algumas caractersticas, vantagens e desvantagens dos sistemas operacionais. Dentre os destacados anteriormente, vamos citar o Linux, Solaris e o Windows.

42

Por uma questo de segurana, recomenda-se que a escolha do sistema operacional esteja relacionado ao tipo de aplicao e finalidade, j que nenhum sistema operacional timo para todos os ambientes. O critrio isolado e mais importante para a escolha do sistema operacional est centrado no conjunto de habilidades de seus administradores. Uma das questes apresentadas por WELCH-ALBERNATHYA (2003) que qualquer que seja o sistema operacional selecionado, garanta que o pessoal de segurana tenha conhecimento suficiente sobre tal sistema, pois mesmo que voc tenha o melhor sistema operacional do mundo, certamente ter problemas para montar e mant-lo se no tiver pessoal habilitado.

5.3.1 O Sistema Operacional Linux O Linux um sistema operacional baseado no Unix, disponvel sobre licena pblica GNU15. O que significa que se pode ter acesso gratuito ao cdigo fonte e permitindo inclusive, realizar quaisquer alteraes no original adquirido. As vantagens principais do Linux so: Estabilidade: O sistema operacional Linux, embora exista uma variao entre a maioria das distribuies, apresenta uma estabilidade muito satisfatria. Recursos do UNIX: O Linux compartilha as mesmas vantagens da maioria das verses do UNIX. Gerenciamento: Assim como o UNIX, o Linux possui um poderoso gerenciamento e interface de linhas de comandos.

15

GNU - General Public License Softwares licenciados pelo projeto GNU so de distribuio gratuita e livre.

43

Fonte Aberta: Alm de adquirir o sistema operacional gratuitamente, tem-se tambm o cdigo fonte. O que permite mudar inclusive o kernel de acordo com os requisitos de segurana. O Linux possui tambm algumas desvantagens, de onde pode se

destacar: Sistema operacional novo: O Linux um sistema relativamente novo para o mundo comercial, dependendo do tipo de aplicao que se deseja configurar, pode ainda no estar disponvel para o Linux. Pessoal Habilitado: Ainda existe uma carncia com relao pessoal habilitado para o mercado de trabalho. Variao entre distribuies: Apesar de obedecer a uma padronizao, existem muitas variaes entre as diversas distribuies disponveis.

5.3.2 O Sistema Operacional Solaris (Sparc e x86) O Solaris (Sparc e X86) um sistema operacional da Sun Microsystems. Trata-se de um sistema proprietrio e de uso relativamente fcil. O Solaris pouco conhecido no Brasil, tendo seu uso mais difundido nos Estados Unidos e Europa. O Solaris possui algumas vantagens, dentre as quais especificamos abaixo: Bastante Utilizado: O Solaris bastante utilizado e uma soluo popular para a instalao de firewalls. Alm disso, existe uma rica documentao disponvel sobre o Solaris na Web, inclusive sobre instalao, configurao e manuteno de firewalls. Sistema Operacional da primeira camada: O Solaris um sistema operacional da primeira camada, o que corresponde que novos

44

recursos de firewall sempre aparecero primeiro em SOs com esta caracterstica. Acesso pela linha de comandos: O Solaris possui esta caracterstica, pois um SO baseado na arquitetura UNIX, assim como o Linux. Isso um facilitador para o diagnstico do sistema operacional e de aplicaes de firewalls, especialmente pelo acesso remoto. Suporte de Hardware de Alto nvel: O Solaris costuma oferecer suporte para hardware de alto nvel, incluindo muita memria, e grandes unidades de discos, significando que uma plataforma altamente escalvel; Software de terceiros: Embora esta no seja uma vantagem que se compara com outros software proprietrios, como o Windows, existe muitas aplicaes que pode-se usar em conjunto, principalmente tratando-se de softwares de firewalls, como o Chekpoint FireWall-116. Algumas desvantagens do Solaris podem ser apresentadas, como: Treinamento: O Solaris, assim como a maioria dos SOs baseados em UNIX, exige mais habilidade e treinamento do administrador; Pessoal com experincia: Pouca gente no Brasil conhece o Solaris, e muito difcil encontrar um administrador experiente. Quando isso acontece o custo deste profissional muito elevado;

5.3.3 O Sistema Operacional Windows (NT, 2000 e 2003 Server) As plataformas Windows, desenvolvidos pela Microsoft, so totalmente software proprietrios e geralmente os software desenvolvido para este SO deve ter a assinatura ou autenticao da Microsoft como um produto

16

Checkpoint FireWall-1 marca registrada da Checkpoint Corporation Inc.

45

desenvolvido para as plataformas Windows. Principalmente nas verses do Windows 2003 Server e do Windows 2000 Server 2 edio. Isto no implica que se configure outro aplicativo de firewall que no seja autenticado pela Microsoft, principalmente os gratuitos, mas, alm da configurao ser muito complicada para estes aplicativos comum que falhas na configurao seja deixadas, o que deixar o sistema muito vulnervel a ataques. Algumas vantagens da plataforma Windows so apresentas abaixo: Facilidade de Uso: As plataformas Windows possuem uma interface grfica GUI, o que facilita bastante a instalao, configurao e manuteno do sistema operacional e de outros aplicativos, como um firewall, por exemplo. Mais Usado: O Windows o sistema operacional mais usado no mundo, existe muito profissional com habilidades para gerenciamento e a maioria dos aplicativos comerciais so desenvolvidos para plataforma Windows. Sistema Operacional de Primeira Camada: O Windows um sistema operacional de primeira camada, o que corresponde que novos recursos de firewall sempre aparecero primeiro em SOs com est caracterstica. Softwares de terceiros: Existe uma grande quantidade de software disponibilizado para a plataforma Windows. Inclusive software de firewall. As empresas de softwares comerciais, na sua maioria, desenvolvem aplicativos voltados para a plataforma Windows, isso se d devido a sua popularidade. O Windows possui algumas desvantagens, dentre as quais pode destacar: -se

46

Administrao Remota: Em comparao com os sistemas UNIX, o Windows mais difcil de administrar remotamente, j que a maioria das tarefas s pode ser realizada atravs da interface grfica. O Windows 2003 Server, j apresenta um console para administrao remota, mas no to simples como o Linux, por exemplo.

Acesso pela linha de comandos: As plataformas Windows no apresentam uma interface poderosa para linhas de comandos, o que torna difcil o diagnstico, tanto para o SO quanto para administrao de recursos de software, Principalmente para manuteno e administrao de softwares de segurana, como os firewalls.

5.4 Os Software de Firewalls

Existe uma infinidade de software de firewalls no mercado, tanto proprietrios, quanto gratuitos e de cdigo aberto. Este texto ir apresentar as caractersticas e funcionamento do Check Point FireWall-1, bem como sua implantao e instalao, como uma soluo de software de firewall proprietrio. A escolha do Check Point FireWall-1, deu-se pela sua popularidade, sendo um dos aplicativos de software mais usados no mundo e tambm por ser um aplicativo com verses disponveis pelos mais diversos sistemas operacionais, inclusive os sistemas baseados em UNIX, como o Linux. Como opo de softwares de firewalls gratuitos e de cdigo aberto, ser apresentado o Ipfwadm, o Ipchains e o Iptables, sendo que para este ltimo, dedica-se o captulo 6 inteiramente, apresentando sucintamente a configurao, implantao e a manuteno deste software de firewall, que o mais usual e popular na comunidade Linux.

47

5.5 Apresentando O Check Point FireWall-1

O Check Point FireWall-1 uma poderosa ferramenta de firewall e muito usada e conhecida no confuso meio da segurana computacional. Tratase de um software proprietrio e est disponvel para os mais diversos sistemas operacionais. A verso mais recentes para Linux o FireWall-1 4.1, a qual foi adicionada diversos services pack para garantir melhor a qualidade da segurana para o sistema operacional. As instrues de instalao e manual vem inseridas no CD de instalao do FireWall-1, especificando as etapas necessrias para carregar o software de firewall. Aqui ser apresentado de maneira genrica os passos para instalao e configurao do Check Point FireWall-1. Para uma abordagem mas completa recomenda-se a leitura de (WELCH-ALBERNATHY[5]) ou do manual do produto quem vem inserido junto ao CD de instalao, conforme comentado anteriormente. Alguns software de firewalls proprietrio, como o caso do Chekpoint FireWall-1, possui uma grande desvantagem com relao a outros firewalls proprietrios, um custo extra para configurao de alguns pacotes especficos do firewall. A razo deste custo extra no pode ser explicada, pois os representantes do Check Point FireWall-1 no responderam os vrios e-mails a eles enviados.

5.6 Instalando o Check Point FireWall-1 no Linux A instalao do Check Point FireWall-1 em sistemas operacionais baseados em UNIX, obedece um certo padro, que tambm aplicado plataforma Linux.

48

Aps a instalao e configurao correta do sistema operacional, obedecendo atentamente as polticas de segurana estabelecidas, deve-se adotar o seguinte procedimento para instalao e implantao do Check Point FireWall-1. Quando o software for carregado, a varivel FWDIR deve ser definida como local onde o software ser instalado. Essa informao precisa ser includa no .cshrc ou no .profile do seu administrador. Deve-se incluir tambm o cominho $FWDIR/bin na sua varivel patch. Os passos acima so muito simples de serem executados e geralmente nos ambientes Linux isto feito automaticamente pelo prprio sistema operacional. Em seguida deve dar incio ao processo de instalao, lembrando que antes de comear a instalao, verifique se o hostname est definido no arquivo /etc/hosts. Visto isso s executar o comando cpconfig para que a instalao seja em fim iniciada. Durante o processo de instalao algumas perguntas comuns sero feitas e uma das opes de resposta deve ser escolhida para que o processo continue. A seguir apresenta-se as Figuras 5.6.4 e 5.6.5 para melhor entendimento do processo de instalao. # cpconfig Welcome to Check Point Configuration Program =========================================== Checking avaliable options. Please Wait . Chosing Installation ___________________ (1) VPN-1 & FireWall-1 Stand Alone Installation (2) VPN-1 & FireWall-1 Distributed Installation Option (1) will install VPN-1 & FireWall-1 Internet GateWay ( Management Server and Enforcement Module) On a single machine Option (2) will allow install specific components of the VPN-1 & FireWall-1 Enterprise products on different machines. Enter you selection (1-2/a) [2]: 1 The next Option allows you to choose which module you would like install.

Figura 5.6.4 Instalao do FireWall-1 Passo 1

49

Como pode ser observado os passos de implantao do FireWall-1 bastante simples e bastante semelhante com a instalao de vrios aplicativos que estamos acostumado a instalar. A prxima ilustrao refora esta afirmao. Installing VPN-1 & FireWall-1 Stand Alone Installation Which module you like install? __________________ (1) VPN-1 & FireWall-1 Limited Hosts (25, 50, 100 or 250) (2) VPN-1 & FireWall-1 Unlimited hosts (2) VPN-1 & FireWall-1 - SecurServer Option (2) will allow install specific Enter you selection (1-2/a) [2]: 2 Figura 5.6.5 Instalao do Firewall-1 Passo 2 Aps ter instalado o Check Point FireWall-1, os passos seguintes a configurao do firewall no sistema. As opes mais comuns ou primrias indicadas em WELCH-ALBERNATHY (2003) so: Configuraes da licena, que obrigatria; Configurao do administrador ou administradores, se for o caso; Configurao dos clientes; Configurao da interface grfica, no necessria, j que o sistema pode ser gerenciado atravs de linhas de cdigo; Configurao do servidor de SMTP; Configurao de extenses SNMP; Configurao dos grupos; Configurao do IP forwarding; Configurao dos Filtros padres.

50

O processo de configurao do FireWall-1 bastante amigvel obedecendo a padronizao dos sistemas operacionais baseados em UNIX. Estas configuraes no sero mostradas aqui, devido a sua extensa documentao. Sugere-se o uma leitura do prprio manual do aplicativo ou a obra do autor citado no decorrer deste captulo.

51

6 Firewalls e Linux

Aps ter abordado os conceitos de firewalls, poltica de segurana, os vrios tipos de firewall para os diversos tipos de sistemas operacionais, alm de muitos outros tpicos relevantes no estudo de firewalls, dedica-se este captulo somente aos firewalls para Linux, destacando-se o Iptables. Este captulo apresenta ainda a diferena entre o Iptables e o Ipchains, bem como sua implementao e a configurao de seus componentes. Algumas das caractersticas dos antecessores do firewall Iptables, assim como o prprio Iptables e as partes que o compe, como: regras, tabela e sua configurao sero apresentados com mais requinte de detalhes.

6.1 Ipfwadm e Ipchains

Dentre os antecessores do Iptables, podemos destacar o Ipfwadm e Ipchains, que ainda pode ser encontrando rodando em muitos sistemas de computadores (RUSSEL, 2002).

6.1.1 Caracterstica do Ipfwadm O utilitrio ipfwadm foi um dos candidatos para ser uma substituio do antigo utilitrio ipfw, como encontradas em verses mais velhas do pacote de ferramenta de rede. Ipfwadm foi feito para ser o mais completo e de mais fcil

53

uso do que o ipfw. Um de seus pr-requisito pra funcionamento o Kernel 2.0.x e 2.1.x.. As principais caractersticas oferecidas pelo ipfwadm apontada por RUSSEL (2003) e destacadas abaixo: Mudana das polticas padres para todas as categorias de Firewall; Adicionam automaticamente as necessrias regras extras quando o nome do host tem mais de um endereo IP; Suporta especificar o endereo de interface para as regras; Suporta especificar o nome da interface para as regras; Lista e reajusta automaticamente os contadores de packet/byte para configurar um esquema de contabilidade confivel; Lista as regras existentes em vrios formatos; Suporte para funes opcionais (regras de bidirectional, TCP ACK, e TCP SYN combinando); Suporte para redirecionamento de pacote, usado para proxy transparente; Suporte para mascaramento.

6.1.2 Caractersticas do Ipchains

O Linux ipchains uma reformulao do cdigo do Linux de IPv4 firewalling, e uma reformulao do ipfwadm, ao qual era uma reformulao do ipfw do BSD (RUSSEL, 2002). Atualmente o cdigo est no kernel 2.1.102. Para a srie 2.0 do kernel, precisa carregar um patch do kernel na pgina da web. Algumas destas

54

mudanas so resultados da evoluo do Kernel, com alguns resultados do ipchains diferentes do ipfwadm. Muitos argumentos foram remapeados: os maisculos agora indicam um comando, e letra minscula agora indica uma opo. Abaixo destaca-se outras caractersticas destas mudanas. As regras arbitrrias so suportadas. Mltiplas portas de fonte e destino no so mais suportados. As interfaces s podem ser especificadas por nome e no por endereo. Os fragmentos so examinados. As opes inversas agora so suportadas. Cdigos ICMP agora so suportados. As interfaces de Wildcard agora so suportadas. As manipulaes de TOS so agora checadas. Os contadores so agora de 64 bits em m quinas de 32 bits. Outra mudana foi o velho comportamento do SYN e ACK combinado, que estava previamente ignorado para pacotes no TCP, mudou a opo de SYN que no era vlida para regras de TCP no especficas.

6.4 O Iptables

O Iptables o principal firewall para o Linux, e de longe o mais utilizado pelos administradores de sistemas. Isto se d graas a sua portabilidade e confiabilidade, alm da facilidade de manuteno e manipulao de seu banco de regra. O Iptables o sucessor dos frewalls mas i antigos como o caso do Ipfwadm e o Ipchains. As sesses a seguir iro tratar as questes

55

relacionadas

ao

Iptables,

abordando

as

principais

caractersticas,

funcionalidades e configurao deste software de firewall.

6.5 Diferena entre Iptables E Ipchains

Primeiramente, os nomes das chains padro passaram a ser escritos com maisculas em vez de minsculas. A flag -i agora significa interface de entrada e funciona apenas nas chains INPUT e FORWARD. Outra mudana significativa aconteceu com o alvo DENY, que agora DROP, e com a MASQ, agora MASQUERADE, e que utiliza sintaxe diferente. Listar as chains mostra automaticamente os contadores e as portas TCP e UDP agora precisam ser escritas com as opes --source-port ou sport.

6.6 Como Criar as Regras

Cada regra uma linha que o kernel olha para descobrir o que fazer com um pacote. Se todos os critrios so encontrados, realizado o objetivo ou saltado para uma prxima instruo. Normalmente escreve-se uma a regra da seguinte forma: iptables [-t tabela] comando [combinao] [trajeto/pulo] No existe nada que diz que a instruo do objetivo deve ser na

ltima linha, porm, isso feito para conseguir uma melhor leitura. Tambm esse modo de escrita de regras usado desde que ele o modo mais habitual de

56

escrever. Se achar necessrio usar outra tabela ao invs da tabela normal e s inserir a especificao da tabela onde for especificado. Porm, no necessrio especificar isto explicitamente todo o tempo j que iptables por padro usa a tabela filter para implementar seus comandos. No exigido pr a especificao da tabela nesta localizao, pode colocar -se em qualquer lugar da regra, no entanto, padro pr a especificao da tabela no princpio da linha de comando. Uma coisa para se pensar que, o comando deve sempre ser o primeiro, ou diretamente aps a especificao da tabela. A regra diz ao iptables qual o comando a ser utilizado. Normalmente usa-se a primeira varivel para dizer ao programa o que fazer, por exemplo, inserir uma regra ou para somar uma regra ao final das regras, ou para apagar uma regra.

6.7 Matches

As matches so regras de verificao, que so passadas para o kernel dizendo se o pacote pertencente ou no a regra. Poder ser especificado para qual endereo IP, o pacote, deve vir, ou que interface de rede o pacote deve vir e assim por diante. Finalmente se tem o objetivo do pacote. Se a match for compatvel com o pacote ento o kernel executar a ao no pacote. Pode-se dizer ento que, para o kernel enviar o pacote para outra rede ele cria uma ourself, que deve ser parte desta tabela. Pode-se dizer tambm ao kernel para dropar este pacote e no fazer nenhum processo adicional, ou dizer para enviar uma resposta especificada. As matches so classificadas em cinco partes diferentes conforme especificao abaixo:

57

Matches genricas: como o nome j diz, so genricas, o que significa que podem ser usadas em todas as regras; Matches TCP: podem ser aplicadas somente em pacotes TCP; Matches UDP: podem ser aplicadas somente em pacotes UDP; Matches ICMP: podem ser usadas somente em pacotes ICMP; Matches especiais: so as matches definidas como: de estado, de propriedade, de limite e assim por diante. comum encontrar subdivises ou subcategorias destas matches, embora no constiturem matches diferentes.

6.8 Tabelas

A opo -t especifica qual a tabela dever ser usada. Por padro, a tabela filter usada. Porm pode-se especificar uma das tabelas a ser usada utilizando a opo -t. Os 3 tipos de tabelas so: a tabela filters, a tabela nat e a tabela mangle (ANDREASSON[9]). A tabela NAT: usada principalmente para a traduo de endereo de rede. Os pacotes tm um fluxo nico que atravessam esta tabela, um por vez. O primeiro pacote de um fluxo permitido, o resto dos pacotes do mesmo fluxo so automaticamente NATeados ou mascarado. Mas isso, no caso deles serem supostos para ter aquelas condies empreendidas a eles. O resto dos fluxos de pacotes em outras palavras no ir atravessar esta tabela de novo, mas ao invs, eles

58

tero automaticamente as mesmas aes levadas para eles como o primeiro pacote do fluxo. Esta uma razo para que no tenha qualquer tipo de filtro nesta tabela. As regras de PREROUTING so usadas para alterar os pacotes assim que eles entram no firewall. As regras de OUTPUT so usadas para alterar localmente os pacotes no firewall, antes deles chegarem ao roteamento de deciso. Finalmente ns temos a regra de POSTROUTING que usado para alterar pacotes quando eles esto pra sair do firewall. A tabela FILTER: deve ser usada geralmente para filtrar pacotes. Por exemplo, pode ser aplicado aos pacotes as aes de dropar , logar , aceitar ou rejeitar pacotes sem problemas como nas outras tabelas. Existem trs regras que se construiu esta tabela. A primeiro chamado de FORWARD usado em todo pacote no local que no so destinados para nosso host local, o firewall em outras palavras. INPUT usado em todos os pacotes que so destinados para nosso host local e o OUTPUT que finalmente usado para todas as sadas localmente de pacotes. A tabela MANGLE: , principalmente, usada para destrinar pacotes. Com esta tabela existe a possibilidade de mudar diferentes pacotes como seus cabealhos, entre outras coisas. Os exemplos disto seriam mudar o TTL, TOS ou mark. Note que o mark no realmente uma mudana para o pacote, mas uma caracterstica para o pacote que aparecida pelo kernelspace e que outras regras ou programas podem ser usadas mais adiante no firewall para filtrar ou avanar o roteamento. A tabela consiste em duas, regras a PREROUTING e a regra OUTPUT. PREROUTING usado para alterar pacotes da mesma maneira que eles entram no firewall e antes deles serem roteados. O OUTPUT usado pra mudar e alterar no local os pacotes

59

antes deles serem roteados. Nota-se que o mangle no pode ser usado para qualquer tipo de Traduo de endereo de rede ou mascaramento, a tabela NAT favorecida nestes tipos de operaes.

6.9 Comandos

Os comandos so usados para dizer o que iptables deve fazer com o resto da linha de comando a ele enviado. Normalmente se insere ou apaga algo em alguma tabela. Apresenta-se a seguir na Figura 6.9.6 alguns dos principais tipos de comandos, com o exemplo de aplicao e a descrio dos comandos usados pelo iptabes. No sero apresentados todos os comandos devido a grande quantidade de comandos existentes e sua extensa descrio. Para maiores informaes sobre os comando do iptables recomenda-se a leitura ANDREASSON (2002) e MOTA FILHO (2001), onde estes so tratados com clareza e riqueza de detalhes. Comando -A, --append Exemplo iptables -A INPUT ... Este comando anexa a regra ao final das regras. Comando -D, --delete Exemplo iptables -D INPUT --dport 80 -j DROP, iptables -D INPUT 1 Este comando apaga uma regra da lista. Comando -R, --replace Exemplo iptables -R INPUT 1 s 192.168.0.1 -j DROP Este comando substitui a regra velha na linha especificada. Comando -I, -insert Exemplo iptables -I INPUT 1 --dport 80 -j ACCEPT Insere uma regra em algum lugar da lista. A regra inserida no nmero real que se passado. Comando -L, --list Exemplo iptables L INPUT Este comando listas todas as entradas na lista especificada.

Figura 6.9.6 Comandos do Iptables

60

6.10 Implementando Regras com o Iptables

Para mostrar o funcionamento do iptables na prtica, sero apresentados a seguir alguns testes e seus resultados, feitos com o Iptables, que foram executados no servidor Linux do Departamento do 3 Grau Indgena da UNEMAT17.

6.11 Regras de Filtro INPUT e OUTPUT Apresenta-se aqui, alguns conceitos bsicos de implementao de filtragem de pacote, onde o objetivo ser o de permitir apenas a passagem de uma determinada faixa de IP e dropando todas s outras requisies. A Figura 6.11.8 apresentada um script que representa a filtragem de pacotes. iptables -F ## Esta opo zera todas as regras da tabela filter iptables -P INPUT DROP iptables P OUTPUT DROP iptables -P FORWARD DROP ## Nesta parte foi setada todas as poltica da tabela filter como DROP iptables -A INPUT -s 192.168.200.3 -j LOG --log-prefix "INPUT ACEITO:" iptables -A OUTPUT -d 192.168.200.3 -j LOG --log-prefix "OUTPUT ACEITO:" ## Nesta parte todos os pacotes vindo de 192.168.200.0 e que forem para o ## mesmo sero logadocom o prefixo "INPUT ACEITO:" iptables -A INPUT -s 192.168.200.3 -j ACCEPT iptables -A OUTPUT -d 192.168.200.3 -j ACCEPT ##Esta regra diz que tudo que vier de 192.168.200.0 de mascara ##255.255.255.0 e que tambm forem enviados para o mesmo sero aceitos iptables -A INPUT -j LOG --log-prefix "INPUT DROPADO:" iptables -A OUTPUT -j LOG --log-prefix "OUTPUT DROPADO:" ##Esta seo foi especifica que qualquer coisa que no vier nessa regras ##tambm sero logados.

Figura 6.11.7 Regras de filtro INPUT OUTPUT 17

UNEMAT: Universidade do Estado de Mato Grosso Campus Barra do Bugres

61

6.12 Regras de Filtro FORWARD

Este experimento foi tratado com a regra FORWARD da tabela filter, onde o principal objetivo e bloquear todos os INPUTS, OUTPUTS e permitindo o trfego de somente algumas faixas de IP. A Figura a Figura 6.12.9 ilustra os passos deste procedimento. iptables -F ## Esta opo zera todas as regras da tabela filter iptables -P INPUT DROP iptables P OUTPUT DROP iptables -P FORWARD DROP ## Aqui todas as polticas da tabela filter foram setadas com o DROP iptables -A FORWARD -s 10.0.0.0/8 -d 192.168.200.0/24 -j LOG --logprefix "s:10.0.0.0 d:192.168.200.0 - " iptables -A FORWARD -d 10.0.0.0/8 -s 192.168.200.0/24 -j LOG -logprefix "s:192.168.200.0 d:10.0.0.0 - " ## Esta sesso cria o log para registrar a passagem entra as duas sub##redes iptables -A FORWARD -s 10.0.0.0/8 -d 192.168.200.0/24 -j ACCEPT iptables -A FORWARD -d 10.0.0.0/8 -s 192.168.200.0/24 -j ACCEPT ## Permisso para comunicao entre as duas sub-redes iptables -A INPUT -j LOG --log-prefix "INPUT DROPADO " iptables -A OUTPUT -j LOG --log-prefix "OUTPUT DROPADO - " ## Neste trecho todo o trafego de INPUT e OUTPUT ser logado

Figura 6.12.8 Regra de Filtro FORWARD

6.13 Regra de NAT MASQUERADE

Neste experimento foi abordado o target MASQUERADE na tabela NAT, onde o objetivo e que todo trfego que passa por ele em direo a

62

internet seja mascarado com seu IP. A Figura 6.13.10, ilustra este processo. iptables -F iptables -F -t nat ## Nesta opo zerei todas as regras da tabela filter e da nat iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT ## As polticas da tabela filter foram setadas com ACCEPT iptables -A INPUT -j LOG --log-prefix "INPUT - NAT:" iptables -A OUTPUT -j LOG --log-prefix "OUTPUT - NAT:" iptables -t nat -A PREROUTING -j LOG --log-prefix "NAT PREROUTING:" iptables -t nat -A POSTROUTING -d 0/0 -j LOG --log-prefix "MASQUERADE- iptables -t nat -A POSTROUTING -d 0/0 -j MASQUERADE iptables -t nat -A OUTPUT -j LOG --log-prefix "NAT - OUTPUT:" ## Criao de regras de log e de uma regra de mascaramento.

Figura 6.13.9 Regras de NAT Mascarede

6.14 Regra de NAT REDIRECT

Neste experimento foi abordado o target REDIRECT na tabela NAT, onde o objetivo de que todo o trfego que passa por uma determinada porta redirecionar para outra porta do computador firewall, conforme apresentado a seguir na Figura 6.14.11 iptables -F iptables -F -t nat ## Esta opo zera todas as regras da tabela filter e da nat. iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT ## Polticas setadas tabela filter com ACCEPT iptables -A INPUT -j LOG --log-prefix "INPUT - NAT:" iptables A OUTPUT -j LOG --log-prefix "OUTPUT - NAT:" iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p tcp --dport 333 -j LOG -log-prefix "NAT PREROUTING:"

63

iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p tcp --dport 333 -j REDIRECT --to-port 80 iptables -t nat -A POSTROUTING -j LOG --log-prefix "NAT POSTROUTING:" iptables -t nat -A OUTPUT -j LOG --log-prefix "NAT - OUTPUT:"

Figura 6.14.11 Regras de Nat - Redirect Apresentou-se aqui, os principais componentes do iptables, suas regras e como efetuar sua configurao. Maiores informaes podero ser adquiridas com as literaturas referenciadas neste trabalho e dispostas no item 8 Referncias Bibliogrficas.

64

7 Consideraes Finais

A eficincia e eficcia das redes e dos sistemas de computadores possuem uma relao intrnseca com as questes relacionadas segurana dos computadores. Essa uma questo que no d para negar, e que todo administrador sensato deve ter em mente. A confiabilidade do sistema e a segurana dependem nica e exclusivamente dos projetistas e administradores de sistemas, os quais devem adotar polticas de seguranas bem definidas e documentadas para o sistema que est sendo administrado. Aliado a isto, deve-se ter um software de firewall robusto e bem configurado com manuteno peridica. Neste trabalho apresentou-se entre as muitas opes de firewall existente, o Iptables e o Check Point FireWall-1 como solues timas para a proteo de uma rede e um sistema de computador. Com a mxima de que no h sistema seguro , conclu-se, que somente o uso de firewall no prov toda segurana necessria para uma rede ou um sistema. Devemos para tanto, adotar alguns mecanismos e procedimentos necessrios para que todo o sistema se torne o mais seguro possvel, como por exemplo montar uma estrutura de rede bem planejada e ter uma boa coleo de software que interaja diretamente ou indiretamente com o firewall, assim proporcionando uma proteo do mais alto nvel de eficincia, alm de outros mecanismos de segurana que deve ser observado pelo administrador de sistemas e de rede.

8 Referncias Bibliogrficas

[1] STREBE, Mathew; PERKINS, Charles Firewalls; Ed. Makron Books; So Paulo SP, 2000. [2] HATCH, Brian; LEE, James; KURTZ, George Segurana Contra Hackers Linux; 2 Edio; Ed. Mac Graw Hill; So Paulo SP, 2003. [3] WELCH-ABERNATHY, Dameon D; Check Point Firewall1 Essencial; Ed. Campus; Rio de Janeiro RJ, 2003. [4] MENDES, Wayne Rocha Linux e os Hackers Proteja Seu Sistema; Ed. Cincia Moderna; Rio de Janeiro RJ, 2000. [5] UCHA, Joaquim Quinteiro Segurana em Redes e Criptografia; Ed. UFLA; Lavras MG, 2003. [6] MELO Emerson Ribeiro - Redes de Confiana; 2002; (Disponvel por www em:

www.das.ufsc.br/seguranca/artigos/dissertacaomestrado.pdf Acessado em: 10 de Junho de 2004) [7] RUSSELL, Rusty. Linux IPCHAINS-HOWTO; 2002. (Disponvel por www em: Acessado em: 25 de Maio de 2004). [8] RUSSELL, Rusty. Linux 2.4 Packet Filtering HOWTO; 2002. (Disponvel por www em: Acessado em: 20, Maio, 2004). [9] ANDREASSON, Oskar. Iptables tutorial 1.1.1; 2002; (Disponvel por www em: Acessado em: 20 de Maio de 2004). [10] MOTA FILHO, Joo Eriberto: Firewall com Iptables; 2001; (Disponvel por www em: Acessado em: 16 de Maio de 2004).

9 Apndices

9.1 APNDICE A

9.1.1 Script de Firewall Implementado em um Servidor Linux

# echo "1" > /proc/sys/net/ipv4/ip_forward /sbin/modprobe iptable_nat /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_tables /sbin/modprobe ipt_unclean /sbin/modprobe ipt_limit /sbin/modprobe ipt_LOG /sbin/modprobe ipt_REJECT /usr/sbin/iptables -F /usr/sbin/iptables -t nat -F /usr/sbin/iptables -P FORWARD DROP /usr/sbin/iptables -A INPUT -i lo -j ACCEPT /usr/sbin/iptables -A OUTPUT -o lo -j ACCEPT /usr/sbin/iptables -A FORWARD -s 192.168.100.0/24 -d 0/0 -j ACCEPT /usr/sbin/iptables -A FORWARD -s 0/0 -d 192.168.100.0/24 -mstate \ --state ESTABLISHED,RELATED -j ACCEPT /usr/sbin/iptables -t nat -A POSTROUTING -s 192.168.100.0/24 \ -d 0/0 -j MASQUERADE /usr/sbin/iptables -A FORWARD -s 0/0 -d 0/0 -p tcp --dport 137 -j DROP /usr/sbin/iptables -A FORWARD -s 0/0 -d 0/0 -p tcp --dport 139 -j DROP /usr/sbin/iptables -A FORWARD -s 0/0 -d 0/0 -p tcp --dport 138 -j DROP echo Scritp de Firewall ativo .................................. [ OK ]

9.2 APNDICE B

9.2.1 Comandos Utilizados no Iptables Comando -A, --append Exemplo iptables -A INPUT ... Este comando anexa a regra ao final das regras. Comando -D, --delete Exemplo iptables -D INPUT --dport 80 -j DROP, iptables -D INPUT 1 Este comando apaga uma regra da lista. Comando -R, --replace Exemplo iptables -R INPUT 1 s 192.168.0.1 -j DROP Este comando substitui a regra velha na linha especificada. Comando -I, -insert Exemplo iptables -I INPUT 1 --dport 80 -j ACCEPT Insere uma regra em algum lugar da lista. A regra inserida no nmero real que se passado. Comando -L, --list Exemplo iptables L INPUT Este comando listas todas as entradas na lista especificada. Comando -F, --flush Exemplo iptables -F INPUT Remove todas as regras existentes. No entanto, no altera a poltica.

68

Comando -Z, --zero Exemplo iptables -Z INPUT Este comando diz ao iptables para zerar todos os contadores em uma lista especfica ou em todas as listas Comando -N, --new-chain Exemplo iptables -N allowed Este comando diz ao kernel para criar uma nova regra com o nome especificado na tabela especificada. Comando -X, --delete-chain Exemplo iptables -X allowed Este comando apaga a regra especificada de um tabela Comando -P, --policy Exemplo iptables P INPUT DROP Este comando diz ao kernel para configurar um trajeto padro, ou uma poltica em uma tabela. Comando -E, --rename-chain Exemplo Iptables -E allowed disallowed O comando -E diz ao iptables para renomear o nome da tabela do primeiro para o segundo nome. Um comando deve sempre ser especificado, a menos que queira listar a ajuda que vem embutida no iptables ou conseguir a verso do comando. Para conseguir a verso, use a opo -v e para conseguir a mensagem de ajuda, use a opo -h. Afigura apresentada a seguir ilustra algumas opes que podem ser usadas junto com alguns diferentes comandos.

69

Opes -v, --verbose Comando usado com --list, --append, --insert, --delete, --replace Este comando mostra uma lista de output e principalmente usado junto com o comando de lista. Opes -x, --exact Comando usado com --list Esta opo expande os nmeros Opes -n, -numeric Comando usado com --list Esta opo diz ao iptables para listras os valores numrico das sadas. Opes --line-numbers Comando usado com --list O comando --line-numbers usado para a sada de nmeros de linha junto com o comando list Opes -c, --set-counters Esta opo usada quando criada uma regra em algum modo ou modificada alguma regra. Opes --modprobe Comando usado com All A opo --modprobe usada para dizer ao iptables para verificar os mdulos do kernel.

70