Centro Universitrio de Maring

Curso Superior de Tecnologia em Redes de Computadores

MARCOS ANTONIO RODRIGUES
IMPLANTAO DO IPCOP FIREWALL EM MICROS E
PEQUENAS EMPRESAS
Maring
2007
MARCOS ANTONIO RODRIGUES
IMPLANTAO DO IPCOP FIREWALL EM MICROS E
PEQUENAS EMPRESAS
Monografia apresentada ao Curso
Superior de Tecnologia em Redes de
Computadores, do Centro Universitrio de
Maring como requisito parcial obteno
do ttulo de Tecnlogo.
Orientador: Prof. Alex Lopes Galvo
Maring
2007
MARCOS ANTONIO RODRIGUES
IMPLANTAO DO IPCOP FIREWALL EM MICROS E
PEQUENAS EMPRESAS
Relatrio Final apresentado ao Curso Superior de Tecnologia em Redes de
Computadores, do Centro Universitrio de Maring como requisito parcial para a
obteno do titulo de Tecnlogo, sob orientao do Prof. Alex Lopes Galvo,
aprovada em 12 de Dezembro 2007.
BANCA EXAMINADORA
Orientador: ______________________________________
Prof. Alex Lopes Galvo
CESUMAR
Membro: ______________________________________
Prof. Elias C. Arajo de Carvalho
CESUMAR
Membro: ______________________________________
Prof. Cleber Lecheta Franchini
CESUMAR
Dedico minha me, meu pai, irmos,
esposa, filhos e amigos pelos incentivos,
confiana e fora nos momentos de
dificuldades para que eu alcanasse mais
esta vitria.
AGRADECIMENTOS
Deus por estar sempre comigo nesta vida. Agradeo a minha esposa Tnia
Mrcia Margato Rodrigues e a meus pais Jos Antonio Rodrigues Maria Venina
Rodrigues por ter me incentivado a voltar a estudar e me ajudar conseguir chegar a
este objetivo. Gostaria de mencionar minha gratido pela preciosa orientao do
professor Alex Lopes Galvo, agradeo ainda a Coordenadora do curso professora
Mrcia Cristina Dadalto Pascutti, ao professor Luis Csar de Mello e aos demais
professores que contriburam para minha formao acadmica.
RESUMO
Este trabalho tem como objetivo elaborar um manual de instalao, configurao e
gerenciamento do linux Ipcop Firewall, apresentando os recursos de segurana que
este sistema oferece para micro e pequenas empresas. Para a elaborao deste
manual foi preciso fazer um levantamento bibliogrfico sobre Software Livre,
Sistema Operacional e Linux, explicando cada um desses assuntos. Este Trabalho
de Concluso de Curso aborda a histria, os conceitos e a filosofia de Software
Livre, como funciona um sistema operacional, mostrando alguns tipos de sistema
operacionais. Mostrar como surgiu o sistema operacional Linux e algumas
distribuies existentes no mercado. Ser elaborado um manual de instalao,
configurao do sistema operacional IPCOP FIREWALL, mostrando a forma correta
de instalao, configurao e gerenciamento desse sistema operacional.
Palavras-chave: software livre, sistema operacional, linux, firewall, Ipcop firewall.
ABSTRACT
The aim of this paper is to elaborate an installation manual, setup and management
of Linux Ipcop Firewall, presenting safety resources that this system offers not only to
personal computers but also to companies of small size. For the elaboration of this
manual, it was necessary to make a bibliographical survey on Free Software,
Operating System and Linux, explaining each one of these issues. This Course
Conclusion Work brings the history, the concepts and the philosophy of Free
Software. It also presents how an operating system works besides showing some
operating system types. It will talk about how Linux operating system started as well
as the distributions that there are in the market. Finally, an installation manual and an
operating system setup Ipcop Firewall will be elaborated in order to present the
proper form of installation, setup and management of this operating system.
Key words: Free Software, operating system, Linux, Firewall, Ipcop Firewall.
LISTA DE FIGURAS
Figura 1 Ipcop_Banner_Half_Size ............................................................................ 39
Figura 2 Diagrama detalhado da rede....................................................................... 43
Figura 3 Tela inicial da instalao............................................................................. 44
Figura 4 Language selection..................................................................................... 45
Figura 5 Mensagem de boas vindas ......................................................................... 46
Figura 6 Select installation media ............................................................................. 46
Figura 7 IPCOP v1.4.16 The Bad Packets Stop Here............................................ 47
Figura 8 Restore ....................................................................................................... 47
Figura 9 Configure networking.................................................................................. 48
Figura 10 Deteco placa rede................................................................................. 48
Figura 11 Configure networking ................................................................................ 49
Figura 12 Congratulations! ........................................................................................ 50
Figura 13 Keyboard mapping.................................................................................... 50
Figura 14 Timezone .................................................................................................. 51
Figura 15 Hostname.................................................................................................. 51
Figura 16 Domain name............................................................................................ 52
Figura 17 ISDN configuration menu.......................................................................... 53
Figura 18 Network configuration menu ..................................................................... 53
Figura 19 GREEN + RED.......................................................................................... 54
Figura 20 Drivers and card assignments................................................................... 54
Figura 21 Card assignment ....................................................................................... 55
Figura 22 RED interface............................................................................................ 55
Figura 23 DNS and Gateway settings....................................................................... 56
Figura 24 DHCP Server configuration....................................................................... 57
Figura 25 IPCop SMP (ACPI HT enabled) ................................................................ 58
Figura 26 IPCop login ............................................................................................... 59
Figura 27 WinSCP Login........................................................................................... 61
Figura 28 Sesso WinSCP........................................................................................ 62
Figura 29 Sesso winscp mostrando os diretrios c:\ipcop , /install ......................... 63
Figura 30 Abrir sesso no PuTTy.............................................................................. 64
Figura 31 Instalao addon server............................................................................ 64
Figura 32 Acesso a pgina de configuraes do IPCOP .......................................... 67
Figura 33 Connect..................................................................................................... 68
Figura 34 Brazilian Portuguese (Portugus-Brasil) ................................................... 68
Figura 35 Menu Sistema ........................................................................................... 70
Figura 36 Menu situao........................................................................................... 71
Figura 37 Menu Servios .......................................................................................... 72
Figura 38 Configuraes comuns ............................................................................. 74
Figura 39 Proxy principal, configuraes do log........................................................ 74
Figura 40 Gerenciamento de Cache ......................................................................... 76
Figura 41 Portas de destino...................................................................................... 77
Figura 42 Controle de acesso baseado na rede ....................................................... 78
Figura 43 Restrio de tempo, Limites de transferncia, Limitao para Download. 79
Figura 44 Filtro tipo MIME, Web browser .................................................................. 80
Figura 45 Privacidade, Filtro URL, Mtodo de autenticao..................................... 81
Figura 46 Bloquear categorias, Blacklist personalizada............................................ 82
Figura 47 Whitelist personalizada, Lista personalizada de expresses .................... 83
Figura 48 Bloqueamento por exteno de arquivo, Redirecionar arquivo local e
Controle de tempo de acesso ................................................................................... 84
Figura 49 Configurao de pginas bloqueadas....................................................... 85
Figura 50 Configuraes avanadas......................................................................... 86
Figura 51 Manuteno de filtro URL ......................................................................... 87
Figura 52 Editor blacklist, Configurao de backup de filtro URL, Restaurar filtro de
configurao URL ..................................................................................................... 87
Figura 53 Settings..................................................................................................... 89
Figura 54 Adicionar um host ..................................................................................... 89
Figura 55 Editar hosts............................................................................................... 90
Figura 56 Servidor de horrio.................................................................................... 91
Figura 57 Controle de Trfego.................................................................................. 91
Figura 58 Deteco de intruso.................................................................................. 92
Figura 59 Menu Firewall............................................................................................ 93
Figura 60 Forwarding de porta.................................................................................. 94
Figura 61 Acesso externo ......................................................................................... 95
Figura 62 Opes do Firewall ................................................................................... 95
Figura 63 Block Outgoing Traffic............................................................................... 99
Figura 64 Advanced Bot Config .............................................................................. 101
Figura 65 Configurao do Log............................................................................... 102
Figura 66 Resumo do Log....................................................................................... 103
Figura 67 Logs de Proxy ......................................................................................... 103
Figura 68 Logs do Firewall ...................................................................................... 104
Figura 69 Logs do IDS............................................................................................ 104
Figura 70 Logs do Filtro URL.................................................................................. 105
Figura 71 Logs do sistema...................................................................................... 105
LISTA DE SIGLAS
ADSL - Asymmetric Digital Subscriber Line
ARP - Address resolution protocol
ASL - Apache Software License
BSD - Berkeley Software Distribution
CPU - Unidade Central de Processamento
DHCP- Dynamic Host Configuration Protocol
DMZ - Demilitarized zone
DNS - Domain Name System
E/S - Entrada/Sada
FTP - File Transfer Protocol
GB - Gigabyte
GNU C/C++ - Linguagem de programao
GNU GPL - General Public License
HD - Hard Disk
HTTP - Hyper Text Transfer Protocol
HTTPS - HyperText Transfer Protocol Secure
ICMP - Internet Control Message Protocol
IDS - Intrusion Detection System
IP - Internet Protocol
IPSEC - IP Security Protocol
IRC - Internet Relay Chat
ISA - Industry Standard Architecture
ISDN - Integrated services digital networks
KB - KiloBytes
LRU - Least Recently Used
MAC - Media Access Control
MB - MegaBytes
MIME - Multipurpose Internet Mail Extensions
NAT - Network Address Translation
NFS - Network File System
NIC - Network Information Center
NIS - Network Information Service
NTP - Network Time Protocol
PCI - Peripheral Component Interconnect
PDF - Portable Document Format
PERL - Linguagem de programao
PXE - Preboot Execution Environment
PPP - Point-to-Point Protocol
PSK - Phase Shift Keying
RAM - Random Access Memory
RPM - Red Hat Package Manager
ISA - Instruction Set Architecture
SCSI - Small Computer System Interface
SFTP - Secure File Transfer Protocol
SMP - Symmetric Multi-Processing
SSH - Secure Shell
SSL - Secure Sockets Layer
SWAP - rea de troca
TCL - Tool command Language
TCP - Transmission Control Protocol
TFTP - Trivial File Transfer Protocol
UDP - User Datagram Protocol
URL - Uniform Resource Locator
USB - Universal Serial Bus
UUCP - Unix to Unix Copy Protocol
VPN - Virtual Private Network
SUMRIO
1 INTRODUO.......................................................................................................16
2 SOFTWARE LIVRE ...............................................................................................17
2.1 REGRAS SOBRE A MANEIRA DE DISTRIBUIR SOFTWARE LIVRE............... 18
2.2 TIPOS DE LICENAS MAIS COMUNS.............................................................. 20
3 SISTEMA OPERACIONAL....................................................................................21
3.1 TIPOS DE SISTEMAS OPERACIONAIS............................................................ 23
3.1.1 Sistemas Operacionais de Computadores de Grande Porte......................23
3.1.2 Sistemas Operacionais de Servidores .........................................................24
3.1.3 Sistemas Operacionais de Multiprocessadores..........................................25
3.1.4 Sistemas Operacionais de Computadores Pessoais..................................25
3.1.5 Sistemas Operacionais de Tempo Real .......................................................25
4 LINUX ....................................................................................................................27
4.1 DISTRIBUIES LINUX..................................................................................... 28
4.1.1 Algumas distribuies...................................................................................28
5 FIREWALL.............................................................................................................31
5.1 BENEFCIOS ...................................................................................................... 31
5.2 LIMITAES ...................................................................................................... 32
5.3 PREJUZOS........................................................................................................ 33
5.4 A NECESSIDADE DE FIREWALL ...................................................................... 35
5.5 CONSIDERAES ESPECIAIS......................................................................... 36
5.6 POLTICAS DE SEGURANA PARA FIREWALL .............................................. 38
6 IPCOP FIREWALL.................................................................................................39
6.1 SURGIMENTO DO IPCOP FIREWALL............................................................... 39
6.2 CARACTERSTICAS DE INSTALAO............................................................. 40
6.2.1 Interfaces ........................................................................................................40
6.2.2 Hardware.........................................................................................................40
6.2.3 Instalao........................................................................................................41
6.2.4 Idiomas Disponveis.......................................................................................41
6.2.5 Servio de Backup.........................................................................................41
6.2.6 Servios Disponveis. ....................................................................................42
6.2.7 Caractersticas do Firewall............................................................................42
6.2.8 Vpn Ipsec .......................................................................................................42
7 MANUAL DE INSTALAO DO LINUX IPCOP FIREWALL................................43
7.1 INICIANDO A INSTALAO............................................................................... 44
8 MANUAL DE CONFIGURAO E GERENCIAMENTO DO LINUX IPCOP
FIREWALL................................................................................................................60
8.1 PGINA PRINCIPAL........................................................................................... 68
8.2 MENU SISTEMA................................................................................................. 69
8.3 MENU SITUAO .............................................................................................. 70
8.4 MENU SERVIOS.............................................................................................. 71
8.4.1 Proxy Avanado.............................................................................................72
8.4.2 URL Filter........................................................................................................81
8.4.3 DHCP...............................................................................................................88
8.4.4 DNS Dinmico ................................................................................................88
8.4.5 Editar Hosts ....................................................................................................90
8.4.6 Servidor de Horrio........................................................................................90
8.4.7 Controle de Trfego.......................................................................................91
8.4.8 Deteco de Intruso.....................................................................................92
8.5 FIREWALL .......................................................................................................... 92
8.5.1 Forwarding de Porta......................................................................................93
8.5.2 Acesso Externo..............................................................................................94
8.5.3 Opes do Firewall ........................................................................................95
8.5.4 Block Outgoing Traffic...................................................................................95
8.5.5 Advanced Bot Config.....................................................................................99
8.6 LOGS................................................................................................................ 101
8.6.1 Configurao do Log...................................................................................102
8.6.2 Resumo do Log............................................................................................103
8.6.3 Logs do Proxy..............................................................................................103
8.6.4 Logs do Firewall ...........................................................................................104
8.6.5 Logs do IDS ..................................................................................................104
8.6.6 Logs do Filtro URL.......................................................................................105
8.6.7 Logs do Sistema...........................................................................................105
9 CONCLUSES....................................................................................................106
REFERNCIAS ......................................................................................................107
1 INTRODUO
A Internet possibilitou que pessoas e empresas cruzassem fronteiras de modo
fcil, rpido, nunca visto antes, criando um mundo virtual globalizado. Por isso hoje
em dia, os usurios de micros e pequenas empresas necessitam, cada vez mais, do
acesso a Internet seja para trabalho ou lazer. Embora a Internet tenha, e tem dado
bons frutos, ela tambm oferece muitos perigos a usurios inexperientes. Alguns
desses perigos so vrus, spams, worms, spywares, aes de Crackers e Hackers.
H softwares que so fundamentais para acesso a internet e para a
segurana a navegao, desenvolvendo processos bsicos ou no e/ou
administrados.
Algumas organizaes acabam decidindo utilizar software proprietrio de
segurana mesmo sem obter sua devida licena, incorrendo assim na pirataria de
software, que uma prtica ilegal. Com a intensificao do combate pirataria, esta
prtica pode sair cara, como mostra a Lei de Software, Lei n. 9.609, de 19 de
fevereiro de 1998. O captulo V Art. 12 da lei, enuncia que quem violar direitos de
autor de programa de computador ter pena de deteno de seis meses a dois anos
ou multa e se a violao consistir na reproduo, por qualquer meio, de programa de
computador, no todo ou em parte, para fins de comrcio, sem autorizao expressa
do autor ou de quem o represente a pena ser recluso de um a quatro anos e
multa.
Para no incorrer nesta prtica ilegal, as organizaes tem dois caminhos.
O primeiro consiste em pagar as devidas licenas de uso. O segundo caminho
consiste em buscar no software livre uma alternativa de qualidade e de baixo custo.
2 SOFTWARE LIVRE
Segundo a Free Software Foundation (2007) Software livre, se refere
liberdade dos usurios executarem, copiarem, distriburem, estudarem, modificarem
e aperfeioarem o software. Mais precisamente, ele se refere a quatro tipos de
liberdade, para os usurios do software:
A liberdade de executar o programa, para qualquer propsito (liberdade
n. 0).
A liberdade de estudar como o programa funciona, e adapt-lo para s
suas necessidades (liberdade n. 1). Acesso ao cdigo-fonte um pr-
requisito para esta liberdade.
A liberdade de redistribuir cpias de modo que se possa ajudar ao seu
prximo (liberdade n. 2).
A liberdade de aperfeioar o programa, e liberar os seus
aperfeioamentos, de modo que toda a comunidade se beneficie
(liberdade n. 3). Acesso ao cdigo-fonte um pr-requisito para esta
liberdade.
Um programa software livre se os usurios tm todas essas liberdades.
Portanto, o usurio deve ser livre para redistribuir cpias, seja com ou sem
modificaes, seja de graa ou cobrando uma taxa pela distribuio, para qualquer
um em qualquer lugar. Ser livre para fazer essas coisas significa (entre outras
coisas) que o usurio no tem que pedir ou pagar pela permisso.
O usurio deve tambm ter a liberdade de fazer modificaes e us-las
privativamente no seu trabalho ou lazer, sem nem mesmo mencionar que elas
existem. Se o usurio publicar as modificaes, ele no deve ser obrigado a avisar
ningum em particular, ou de nenhum modo em especial.
A liberdade de utilizar um programa significa a liberdade para qualquer tipo de
pessoa fsica ou jurdica utilizarem o software em qualquer tipo de sistema
computacional, para qualquer tipo de trabalho ou atividade, sem que seja necessrio
comunicar ao desenvolvedor ou a qualquer outra entidade em especial.
A liberdade de redistribuir cpias deve incluir formas binrias ou executveis
do programa, assim como o cdigo-fonte, tanto para as verses originais quanto
para as modificadas. Est ok, se no for possvel produzir uma forma binria de
18
programao ou executvel (pois algumas linguagens de programao no
suportam este recurso), mas deve ser concedida a liberdade de redistribuir essas
formas caso seja desenvolvido um meio de cri-las.
De modo que a liberdade de fazer modificaes, e de publicar verses
aperfeioadas, tenha algum significado, deve-se ter acesso ao cdigo-fonte do
programa. Portanto, acesso ao cdigo-fonte uma condio necessria ao software
livre.
Para que essas liberdades sejam reais, elas tm que ser irrevogveis desde
que o usurio no faa nada errado; caso o desenvolvedor do software tenha o
poder de revogar a licena, mesmo que o usurio no tenha dado motivo, o software
no livre (FREE SOFTWARE FOUNDATION, 2007).
2.1 REGRAS SOBRE A MANEIRA DE DISTRIBUIR SOFTWARE LIVRE
So aceitveis, quando elas no entram em conflito com as licenas
principais. Por exemplo, copyleft. O copyleft diz que qualquer um que distribui o
software, com ou sem modificaes, tem que passar adiante a liberdade de copiar e
modificar novamente o programa. O copyleft garante que todos os usurios tm
liberdade, ou seja, se voc recebeu um software com uma licena livre que inclua
clusulas de copyleft, e se optar por redistribu-lo (modificado ou no), ter que
mant-lo com a mesma licena com que o recebeu. Nem todas as licenas de
software livre incluem a caracterstica de copyleft. A licena GNU GPL (adotada pelo
kernel Linux) o maior exemplo de uma licena copyleft. Outras licenas livres,
como a licena BSD ou a licena ASL (Apache Software License) no incluem a
caracterstica de copyleft. Esta regra no conflita com as liberdades, na verdade, ela
as protege.
Portanto, o usurio pode ter pago para receber cpias do software GNU, ou o
usurio pode ter obtido cpias sem nenhum custo. Mas independente de como o
usurio obteve a sua cpia, este sempre tem a liberdade de copiar e modificar o
software, ou mesmo de vender cpias.
19
Software livre no significa no-comercial. Um programa livre deve estar
disponvel para uso comercial, desenvolvimento comercial, e distribuio comercial.
O desenvolvimento de softwares livres comerciais muito importante.
Regras sobre como empacotar uma verso modificada so aceitveis, se elas
no acabam bloqueando a liberdade de liberar verses modificadas. Regras como:
se voc tornou o programa disponvel deste modo, voc tambm tem que torn-lo
disponvel deste outro modo tambm podem ser aceitas, da mesma forma. (Note
que tal regra ainda deixa para voc, a escolha de tornar o programa disponvel ou
no.) Tambm aceitvel uma licena que exija que, caso voc tenha distribudo
uma verso modificada e um desenvolvedor anterior, pea por uma cpia dele, voc
deva enviar uma.
No projeto GNU, usado copyleft para proteger estas liberdades legalmente
para todos. Mas tambm existe software livre que no copyleft.
s vezes regras de controle de exportao e sanes de comrcio podem
limitar a liberdade de distribuio de cpias de programas internacionalmente.
Desenvolvedores de software no tm o poder para eliminar ou sobrepor estas
restries, mas o que eles podem e devem fazer se recusar a imp-las como
condies para o uso dos seus programas. Deste modo, as restries no afetam as
atividades e as pessoas fora da jurisdio deste governo.
Quando se fala de software livre, melhor evitar o uso de termos como
dado ou de graa, porque estes termos implicam que a questo de preo, no
de liberdade.
Finalmente, note que critrios como os estabelecidos nesta definio de
software livre, requerem cuidadosa deliberao quanto a sua interpretao. Para
decidir se uma licena se qualifica como de software livre, ela baseada nestes
critrios para determinar se ela segue no esprito assim como as palavras exatas. Se
uma licena inclui restries impensadas, ela rejeitada (FREE SOFTWARE
FOUNDATION, 2007).
20
2.2 TIPOS DE LICENAS MAIS COMUNS
Software proprietrio: Esse tipo de licenciamento garante ao autor do software
plenos poderes sobre venda, distribuio ou modificao do cdigo fonte, afinal ele
mesmo quem define tais parmetros de maneira desejada. Um usurio desse
software normalmente deve pagar uma taxa pela utilizao do mesmo, o que lhe
garante uma ou mais licenas de uso. Caso queira instalar o software em mais
mquinas do que sua licena permite, ele deve adquirir mais licenas do fornecedor.
Normalmente no tem acesso ao cdigo fonte, o que lhe impede de fazer
modificaes ou melhoras ao software, mesmo que seja para uso prprio, o que o
torna altamente dependente do fornecedor para obter atualizaes de falhas de
segurana, por exemplo. No pode redistribuir o software. Um exemplo de software
proprietrio o sistema operacional Windows.
Software shareware: Possui caractersticas semelhantes ao software
proprietrio, mas com uma diferena importante: o usurio pode testar antes de
comprar. possvel realizar a descarga do software pela internet ou adquiri-lo em
uma mdia e instalar por um perodo de avaliao. Caso o usurio opte por continuar
usando o software, deve pagar uma taxa de licena ao fornecedor. Alguns
consideram uma prtica invivel de comercializao de software, mas existem
exemplos bem sucedidos. Existe tambm o shareware incompleto, que costuma ser
uma verso do shareware que pode ser usada a vontade e indefinidamente como
um freeware, mas no contm todas as caractersticas da verso completa. Um
exemplo famoso de shareware o software Winzip.
Software freeware: Programas de cdigo fechado que so distribudos
gratuitamente pelo autor do software. Normalmente o usurio pode fazer cpias e
distribu-las gratuitamente, porm, no pode alterar o programa. Um exemplo de
freeware o Internet Explorer.
Domnio pblico: Programas em domnio pblico so considerados de
propriedade coletiva de todos. O autor abre mo dos direitos de cpia, permitindo
que se copie, altere ou redistribua o software, sem qualquer tipo de obrigao,
inclusive permitindo que o software seja incorporado em trabalhos proprietrios, sem
nenhuma necessidade de pagamento ou respeito a restries. Um exemplo de
software em domnio pblico o sistema operacional BSD (GOLDCHLEGER, 2001).
3 SISTEMA OPERACIONAL
Segundo Tanenbaum (2003), um sistema computacional moderno consiste
em um ou mais processadores, memria principal, discos, impressoras, teclado,
monitor, interfaces de rede e outros dispositivos de entrada e sada. Enfim, um
sistema complexo. Desenvolver programas que mantenham o controle de todos
esses componentes e os utilizem corretamente de maneira otimizada um trabalho
extremamente difcil. Por isso, os computadores tm um dispositivo de software
denominado sistema operacional, cujo trabalho gerenciar esses componentes e
fornecer aos programas do usurio uma interface com o hardware mais simples.
Na parte inferior est o hardware, que em muitos casos ele prprio
composto de dois ou mais nveis (ou camadas). O nvel mais baixo contm
dispositivos fsicos: chips de circuitos integrados, fios, fontes de alimentao, tubos
de raios catdicos e dispositivos semelhantes. Sua construo e seu funcionamento
so atribuies da engenharia eltrica.
Em seguida vem o nvel de micro arquitetura, no qual os dispositivos fsicos
so agrupados em unidades funcionais. Normalmente, esse nvel contm alguns
registradores internos CPU (unidade central de processamento) e um caminho dos
dados (data path) contendo uma unidade lgico-aritmtica. Em cada ciclo de
mquina, um ou dois operandos so trazidos aos registradores e combinados na
unidade lgico-aritmtica (por exemplo, pela adio ou por um E-booleano). O
resultado armazenado em um ou mais registradores.
Em algumas mquinas, a operao do caminho dos dados controlada por
um software denominado micro-programa. Em outras, controlado diretamente por
circuitos de hardware.
A funo do caminho dos dados executar um determinado conjunto de
instrues. Algumas dessas instrues podem ser executadas em um ciclo de
caminho dos dados; outras podem necessitar de mltiplos ciclos.
Essas instrues podem usar registradores ou outros recursos do hardware.
Juntos, o hardware e as instrues visveis a um programador de linguagem de
montagem formam o nvel ISA (instruction set architecture arquitetura do conjunto
de instrues). Esse nvel muitas vezes denominado linguagem de mquina.
22
A linguagem de mquina tem, em geral, entre 50 e 300 instrues. A maioria
delas serve para mover os dados por meio da mquina, fazer operaes aritmticas
e comparar valores. Nesse nvel, os dispositivos de entrada e sada so controlados
carregando-se valores em registradores de dispositivos.
Pode-se comandar a leitura de um disco carregando-se os valores de
endereo do disco, endereo da memria principal, contador de bytes e a direo
(leitura ou escrita) em seus registradores. Na prtica, vrios outros parmetros so
necessrios e o status que retorna unidade leitora depois de uma operao
basicamente complexo. Alm disso, para muitos dispositivos de E/S (entrada /
sada) a temporizao desempenha um papel fundamental na programao.
Para ocultar essa complexidade existe o sistema operacional. Ele consiste em
uma camada de software que oculta (parcialmente) o hardware e fornece ao
programador um conjunto de instrues mais conveniente. Por exemplo, read block
from file (leia um bloco de um arquivo) conceitualmente mais simples do que ter
de se preocupar com os detalhes da movimentao das cabeas de leitura, como
esperar que elas abaixem.
No topo do sistema operacional situa-se o restante do software do sistema.
Nele encontramos o interpretador de comandos (tambm conhecido como Shell), o
sistema de janelas, os compiladores, os editores e os programas similares
independentes de aplicao. importante notar que esses programas no
constituem partes definitivas dos sistemas operacionais, mesmo que sejam
normalmente fornecidos pelo fabricante do computador. Trata-se de um ponto
crucial e sutil. O sistema operacional (normalmente) aquela parte do software
executada em modo supervisor ou modo ncleo (no caso, a parte mais interna de
um sistema operacional). Os compiladores e os editores so executados em modo
usurio. Se o usurio no gostar de um determinado compilador, ele ser livre para
escrever seu prprio compilador se o quiser; mas no lhe permitido escrever sua
prpria rotina de tratamento de interrupo de relgio, que parte do sistema
operacional e est normalmente protegida pelo hardware contra tentativas de
alteraes pelo usurio.
Esta distino, contudo, s vezes confusa em sistemas embargados (que
podem no ter um modo ncleo) ou sistemas interpretados (como sistemas
operacionais baseados em Java, que usam interpretao, e no hardware, para
23
separar os componentes). Alm disso, em computadores tradicionais, o sistema
operacional que se executa em modo ncleo.
Em muito sistema h programas executados em modo usurio, mas que
auxiliam o sistema operacional ou realizam funes privilegiadas. Por exemplo,
existe um programa, que permite aos usurios mudarem suas senhas. Esse
programa no faz parte do sistema operacional e no executado em modo ncleo,
mas realiza uma funo claramente delicada e precisa ser protegido de maneira
especial.
Em alguns sistemas, essa idia levada ao extremo, e parte do que
tradicionalmente tido como sistema operacional (como o sistema de arquivos)
executado em espao do usurio. Nesses sistemas, difcil definir um limite claro.
Tudo o que executado em modo ncleo constitui sem dvida parte do sistema
operacional, mas alguns programas executados fora dele so inquestionavelmente
tambm parte dele, ou pelo menos esto intimamente associados a ele.
Por fim, acima dos programas dos sistemas vem o programa de aplicao,
que so comprados ou escritos por usurios para resolver problemas especficos,
como processamento de texto, planilhas, clculos de engenharia ou armazenamento
de informao em um banco de dados (TANENBAUM, 2003).
3.1 TIPOS DE SISTEMAS OPERACIONAIS
3.1.1 Sistemas Operacionais de Computadores de Grande Porte
No topo esto os sistemas operacionais para computadores de grande porte
aqueles que ocupam uma sala inteira, ainda encontrada em centros de dados de
grandes corporaes. Esses computadores distinguem-se dos computadores
pessoais em termos de capacidade de E/S. Um computador de grande porte com mil
discos e milhares de gigabytes de dados no incomum; um computador pessoal
com essas especificaes seria algo similar. Os computadores de grande porte
esto tambm ressurgindo como sofisticados servidores Web, como servidores para
24
sites de comrcio eletrnico em larga escala e ainda, como servidores para
transaes entre empresas (business-to-business).
Os sistemas operacionais para computadores de grande porte so, sobretudo
orientados para o processamento simultneo de muitos jobs, sendo que a maioria
deles precisa de quantidades prodigiosas de E/S. Esses sistemas operacionais
oferecem normalmente trs tipos de servios: em lote (batch), processamento de
transaes e tempo compartilhado. Um sistema em lote processa jobs de rotina sem
a presena interativa do usurio. O processamento de aplices de uma companhia
de seguros ou de relatrios de vendas de uma cadeia de lojas em geral realizado
em modo de lote. Sistemas de processamento de transaes administram grandes
quantidades de pequenas requisies por exemplo, processamento de
verificaes em um banco ou em reservas de passagem areas. Cada unidade de
trabalho pequena, mas o sistema precisa tratar centenas ou milhares delas por
segundo. Sistemas de tempo compartilhado permitem que mltiplos usurios
remotos executem seus jobs simultaneamente no computador, como na realizao
de consultas a um grande banco de dados. Essas funes esto intimamente,
relacionadas; sistemas operacionais de computadores de grande porte em geral
realizam todas elas. Um exemplo de sistema operacional de computador de grande
porte OS/390, um descendente do OS/360 (TANENBAUM, 2003).
3.1.2 Sistemas Operacionais de Servidores
Um nvel abaixo est o sistema operacional de servidores. Eles so
executados em servidores, que so computadores pessoais muito grandes, em
estaes de trabalho ou at mesmo em computadores de grande porte. Eles servem
mltiplos usurios de uma vez em uma rede e permitem-lhes compartilhar recursos
de hardware e de software. Servidores podem fornecer servios de impresso,
servios de arquivo ou servios de Web.
Provedores de acesso Internet utilizam vrias mquinas servidoras para dar
suporte a seus clientes. Sites Web usam servidores para armazenar pginas Web e
tratar requisies que chegam. Sistemas operacionais tpicos de servidores so Unix
25
e Windows 2000. O Linux est tambm ganhando terreno em servidores
(TANENBAUM, 2003).
3.1.3 Sistemas Operacionais de Multiprocessadores
Um modo cada vez mais comum de obter potncia computacional conectar
mltiplas (CPUS) em um nico sistema. Dependendo precisamente de como
estiverem conectadas e o que compartilhado, esses sistemas so denominados
computadores paralelos, multicomputadores ou multiprocessadores. Elas precisam
de sistemas operacionais especiais, mas muitos deles so variaes dos sistemas
operacionais de servidores com aspectos especiais de comunicao e conectividade
(TANENBAUM, 2003).
3.1.4 Sistemas Operacionais de Computadores Pessoais
A categoria seguinte o sistema operacional de computadores pessoais. Seu
trabalho oferecer uma boa interface para um nico usurio. So amplamente
usados para processadores de texto, planilhas e acesso a Internet. Exemplos
comuns so o Windows 98, o Windows 2000, o sistema operacional da Macintosh e
o Linux. Sistemas operacionais de computadores pessoais so to amplamente
conhecidos que provvel que precisem aqui de pouca introduo. Na verdade,
muitas pessoas nem mesmo sabem da existncia de outros tipos de sistemas
operacionais (TANENBAUM, 2003).
3.1.5 Sistemas Operacionais de Tempo Real
Outro tipo de sistema operacional o de tempo real. Esses sistemas so
caracterizados por terem o tempo como um parmetro fundamental. Por exemplo,
26
em sistema de controle de processos industriais, computadores de tempo real
devem coletar dados sobre o processo de produo e us-los para controlar as
mquinas na fbrica. bastante comum a existncia de prazos rgidos para a
execuo de determinadas tarefas. Por exemplo, se um carro est se movendo por
uma linha de montagem, certas aes devem ser realizadas em momentos
especficos. Se um rob soldador realiza seu trabalho muito cedo ou muito tarde, o
carro est perdido. Se as aes precisam necessariamente ocorrer em
determinados instantes (ou em determinado intervalo de tempo), tem-se ento um
sistema real crtico.
Outro tipo de sistema de tempo real o sistema de tempo real no crtico, no
qual o descumprimento ocasional de um prazo aceitvel. Sistemas de udio digital
ou multimdia pertencem a essa categoria. VxWorks e o QNX so sistemas
operacionais de tempo real bem conhecidos (TANENBAUM, 2003).
4 LINUX
Segundo Tibet (2001) Linux uma verso derivada do Minix, que por sua vez
uma verso Unix gratuita. O Linux foi desenvolvido por Linus Torvalds na
Universidade Helsinque na Finlndia. Foi originalmente desenvolvido a partir do
desejo de Linus de trabalhar com um sistema mais completo que o Minix, pequeno
sistema Unix criado para fins didticos por Andrew Tanembaum. O kernel do Linux
no usa o cdigo patenteado de nenhum fabricante, e grande parte do software
distribudo para Linux desenvolvido pelo projeto GNU ou GPL (General Public
Licence) na Free Software Fundation em Cambridge Massachussets.
O lanamento da primeira verso oficial do Linux se deu em 5 de outubro de
1991, j em sua verso 0.02. At ento o Linux j era capaz de executar o bash
(GNU Born Again Shell) e o gcc (GNU C compiler), porm havia pouca coisa, alm
disso. O foco primrio do Linus ainda era o desenvolvimento do kernel. Na verdade,
o prprio Linus Torvalds at os dias atuais dedica-se apenas ao desenvolvimento do
kernel em si, porm nem s de kernel se faz um sistema operacional, um sistema
completo necessita de softwares de apoio, como devices drivers, protocolos de rede,
ferramentas de desenvolvimento, utilitrios e aplicativos.
Para o desenvolvimento de tais softwares, o Linux conta com uma legio de
voluntrios espalhados pelo mundo conectados via Internet, conhecida tambm
como Comunidade Linux. Por essa razo podemos considerar o Linux um sistema
operacional nascido e criado na Internet, e por esse motivo fcil explicar a sua
grande popularidade em to pouco tempo, pois medida que ele foi se
desenvolvendo, a prpria Internet foi atingindo a massa crtica que levou sua
exploso comercial nos dias de hoje.
O linux hoje se tornou uma alternativa vivel, de qualidade e desempenho a
qualquer sistema comercial atual, sendo considerado por muitos, a ltima palavra
em se falando de sistemas na Internet devido a sua portabilidade, estabilidade,
segurana e relao custo - beneficio. Atualmente em sua verso de kernel 2.2.13
um sistema capaz tanto de servir como executar a funo de estao de trabalho em
qualquer ambiente de rede (TIBET, 2001).
28
4.1 DISTRIBUIES LINUX
Conforme vimos anteriormente um sistema operacional no feito apenas de
seu kernel. Para que possamos utiliz-lo necessitamos de outros programas escritos
para executar uma srie de funes. Vrias empresas fizeram seus pacotes destes
programas e do linux, de maneira que podem se facilmente instalados e utilizados.
Estes pacotes so as famosas distribuies do Linux.
Uma distribuio tpica ir conter:
O prprio linux ou kernel do sistema operacional (em sua verso mais
recente);
Device drivers para o hardware disponvel;
Net3: suporte a redes Ethernet, Token-ring, PPP, etc;
Ambiente grfico - X Windows System;
Desktop para ambiente grfico (fvwm, fvwm95, Window maker, After
dark, KDE, etc;)
GNU File tool;
GNU C/C++, Perl, TCL e outras ferramentas para desenvolvimento;
Aplicativos e utilitrios;
GhostScript, interpretador e visualizador de documentos em Postscript;
Tex e Ltex para formatao de documentos cientficos.
Porm, as distribuies no ficam limitadas a somente esses produtos. Elas
podem oferecer uma variedade muito grande de outros produtos (TIBET, 2001).
4.1.1 Algumas distribuies
As distribuies aqui relacionadas foram escolhidas com base em
experincias do autor.
29
4.1.1.1 Slackware
Uma das distribuies mais antigas, mas ainda em evidncia, apesar de ser
pouco atrativa aos novatos. uma das poucas, seno a nica que ainda pode ser
instalada a partir de disquetes. O Slackware atraente a pessoa que tem bastante
experincia em administrao Unix e que gosta de baixar o cdigo-fonte de
programas, compil-los, instal-los, configur-los e gerenci-los com as prprias
mos, a moda antiga. E, no entanto, a distribuio que fornece mais liberdade ao
administrador por no impor restries e que exige mais conhecimento dos utilitrios
e pacotes de software do sistema (TIBET, 2001).
4.1.1.2 Open Linux
A distribuio da empresa norte-americana Caldera, responsvel pela
manuteno de diversos produtos comerciais para Linux. O Open Linux, apesar do
nome, a distribuio que possui mais pacotes de cdigo fechado, tendo um visual
bem familiar ao mundo comercial. Essa distribuio foi a primeira a fornecer o
Netscape quando este ainda era um produto fechado. O servidor Oracle, lanado
para Linux, foi disponibilizado primeiro para essa distribuio. A Caldera tambm
detm, entre outros, os direitos de comercializao do servidor Novell para Linux
coincidncia ou no, o fundador da empresa Caldera um ex-proprietrio da Novell.
O Caldera Open Linux tem pouco compromisso com software livre (TIBET, 2001).
4.1.1.3 Red Hat Linux
A Red Hat , hoje em dia, a distribuio mais popular. Alm de contar com o
famoso (RPM), o gerenciador de pacotes mais difundido na Internet, mantido por
uma empresa que se preocupa com o Free Software, mantendo vrios funcionrios
com a tarefa exclusiva de escrever softwares que sero divulgados na Internet com
30
seus respectivos cdigos-fontes. A sua popularidade pode estar ligada a
preocupao com o usurio leigo, sendo assim a distribuio de mais fcil
instalao, contando com softwares de apoio ao usurio bem intuitivos para tal
tarefa. a nica distribuio atualmente que tem clone em nossa lngua, o
Conectiva Linux (TIBET, 2001).
4.1.1.4 Debian GNU/Linux
A Debian comeou com o projeto da Free Software Fundation e
posteriormente se desligou do projeto e tomou vida prpria. a mais preocupada
com free software de todas as distribuies. Apenas pacotes que tenham o cdigo-
fonte disponvel sem restries podem fazer parte dessa distribuio. A distribuio
com o maior nmero de pacotes entre todas e com a maior equipe de
desenvolvimento. Porm, apresenta desvantagens em relao facilidade de
instalao e seleo dos pacotes, pois obriga o usurio a escolher um por um todos
os pacotes a serem instalados. Uma parte dos usurios do Red Hat migra para esta
distribuio aps adquirirem experincia suficiente (TIBET, 2001).
5 FIREWALL
Ferretto et al. (2002.) definem que Firewall foi desenvolvido para impedir o
acesso no autorizado s redes privadas. O Firewall um mecanismo de segurana
resistente a invases, composto por um nico sistema, ou por um conjunto de
componentes bsicos que o constituem e formam a sua arquitetura.
Agindo como um ponto de interseco entre duas redes, ou mais, o Firewall
centraliza a comunicao entre elas e tambm pode controlar todo o trfego que
passa por ele, tendo como finalidade e princpio proteger uma determinada rede das
outras (FERRETTO, 2002).
O Firewall deve estar sempre presente em todas as comunicaes entre
redes pblicas e privadas ou entre duas ou mais redes privadas que exijam maior
segurana. Esse controle tem como base a poltica de segurana implementada no
Firewall, bloqueando ou permitindo a passagem de trfego entre as redes, de acordo
com as autorizaes desta poltica.
Desta forma, o Firewall prov um meio de controle do trfego que passa por
ele e cria um permetro de defesa em torno da rede que protege. Todos os recursos
de hardware e software que se encontram dentro deste permetro estaro protegidos
pelo Firewall (FERRETTO, 2002).
5.1 BENEFCIOS
Segundo Ferretto et al. (2002.) o Firewall gerencia os acessos entre duas
redes distintas, evitando que a rede protegida fique facilmente vulnervel e exposta
a ataques externos. Como centraliza e tambm pode controlar todo o trfego que
entra ou sai da rede, pode inibir a entrada ou sada de servios estratgicos que
tornem a segurana vulnervel e age como um ponto de obstruo choke point,
mantendo pessoas no autorizadas, como hackers, crackers, vndalos, espies,
etc., do lado de fora do permetro da rede protegida (FERRETTO, 2002).
Alm disso, possui a vantagem de ser o local onde a segurana pode ser
monitorada de forma prtica, e caso ocorram problemas, pode ser o local onde esto
32
acionados os procedimentos de defesa necessrios disparo de alarmes, registro
de ocorrncias, contra-ataque, bloqueio passagem de todo o trfego, etc. Devido a
sua caracterstica centralizadora, o local ideal para se fazer auditorias, o
levantamento de necessidades e usos que justifiquem os gastos com a comunicao
(FERRETTO, 2002).
Desta forma, o Firewall agrega vantagens que visa garantir os seguintes
princpios bsicos de segurana da informao:
Disponibilidade: garantia que a informao estar disponvel para
acesso no momento desejado;
Sigilo: garantia que a informao seja inteligvel apenas para os
usurios, mquinas ou processos autorizados;
Controle de acesso: garantia que a informao s possa ser acessada
por pessoas ou processos autorizados;
Autenticidade: garantia da identificao correta da origem da
informao ou dos participantes, ou seja, a origem conhecida. Dela
deriva a integridade e o no repdio;
Integridade: garantia que a informao original no foi alterada;
No repdio: garantia que os participantes no podem negar ao
anterior da qual participam (FERRETTO, 2002).
5.2 LIMITAES
Segundo Ferretto et al. (2002.) para que um Firewall seja eficaz necessrio
que todo o trfego de entrada e sada de rede a ser protegida, passe por ele. O
Firewall no pode proteger a rede de trfego que no passa por ele. essencial que
nenhuma conexo com a rede externa, mesma via modem, seja feita em qualquer
ponto da rede, pois este tipo de conexo exclui os esquemas de segurana, pr-
estabelecidos e conseqentemente a poltica de segurana. (FERRETTO, 2002).
O Firewall no capaz de proteger uma rede dos ataques que no passam
por ele. Da mesma forma, o Firewall no pode impedir que usurios mal
intencionados copiem as informaes em disquetes ou outra mdia qualquer e as
33
divulguem. Tambm no consegue impedir que uma pessoa, usando a senha de
outra, acesse a rede em seu lugar. (FERRETTO, 2002).
O mais grave na aplicao de uma poltica de segurana justamente a falta
de cuidado dos prprios usurios do sistema, tais como: uso de senhas fracas ou
sua divulgao, contas abertas, baixa de arquivos infectados e execuo dos
mesmos sem antes passar pela verificao do antivrus. Assim, nem o Firewall
perfeitamente configurado pode garantir segurana. Por isso, a conscincia das
responsabilidades e o treinamento dos usurios so estritamente necessrios
(FERRETTO, 2002).
O Firewall no proporciona nenhum tipo de proteo contra intrusos que j
conseguiram penetrar, de alguma forma, no seu permetro de defesa. O Firewall,
tambm, no consegue proteger a rede da execuo de cdigos maliciosos e so
suscetveis a eles. Um Firewall de nada ser til se houver propagao de vrus na
rede protegida ou se programas mal comportados, desenvolvidos sem cuidado ou
que apresentam alguma falha, permitam a entrada de intrusos ou coloquem a rede
em risco de ataques (FERRETTO, 2002).
5.3 PREJUZOS
Segundo COLLE et al. (2006), controlar o uso de recursos e do tempo dos
funcionrios tem sido uma prioridade para muitas organizaes sendo que em
outras a questo da privacidade dos usurios considerada.
Com a chegada da Internet, ficou muito mais fcil e rpido ter acesso a
informaes e comunicar-se com o mundo, para o bem ou para o mal. Muita gente
acha que no h problema em acessar um ou outro site de entretenimento ou e-mail
pessoal durante o horrio de expediente. Mas, vale lembrar que o funcionrio pago
para, durante esse tempo, prestar seus servios empresa. Se a inteno tirar
alguns minutinhos para relaxar e esfriar a cabea o certo procurar fazer algo que
no seja uma ameaa para as organizaes, usar a Internet para fins pessoais, em
casa. O uso do correio eletrnico uma ferramenta de produtividade, estudos
mostram que o nmero de mensagens ir dobrar a cada ano, at 2007, e esse
aumento ir diminuir a produtividade de mais de 60% dos usurios (COLLE, 2006).
34
As empresas em geral, no so to rgidas com essas escapadinhas para o
mundo virtual. O problema quando o funcionrio perde o limite de tempo, ou, pior
ainda, do contedo dos sites acessados. Usar a Internet no trabalho para surfar em
sites de pornografia ou relacionados a assuntos ilegais algo altamente no-
recomendvel. Muitas empresas controlam a navegao dos usurios internos e
podem at demitir o funcionrio que for flagrado ao usar indevidamente a rede. Esse
foi o caso de um ex-funcionrio de uma grande instituio financeira, acusado de
utilizar o correio eletrnico da empresa para repassar imagens pornogrficas. A
causa foi parar na 3 Turma do Tribunal Regional do Trabalho da 10 Regio
(Braslia), que reconheceu, por unanimidade, a justa causa na demisso (COLLE,
2006).
Se os equipamentos e softwares utilizados para acessar a Internet pertencem
empresa e h clusula expressa no contrato de trabalho dispondo que o
computador s pode ser utilizado para fim de trabalho e que seu uso ser
monitorado, a simples consulta de e-mail particular pode ser motivo para a aplicao
de justa causa. Muitos funcionrios reclamam da monitorao feita pelas empresas,
alegando que sua privacidade violada (COLLE, 2006).
As empresas esto mais cautelosas. No invaso de privacidade checar o
que seus funcionrios andam fazendo pela Internet. direito da corporao ter
controle o que est ou no sendo produzido, afinal, ela quem paga o salrio no fim
do ms (COLLE, 2006).
O que faz um funcionrio quando no est exercendo seu trabalho, mas se
encontra nos limites da empresa? Este tempo gasto com atividades alheias ao
trabalho, com periodicidade excessiva, consequentemente traz perda de
produtividade, prejuzos financeiros. Estes prejuzos nem sempre so de fcil
constatao e mensurao. Muitas empresas no se do conta do enorme prejuzo
que sofrem por no terem uma boa poltica de acesso a Internet e um bom controle
de acesso (COLLE, 2006).
As corporaes esto classificando o e-mail pessoal e as conexes de
Internet de seus empregados como fator potencial de distrao no trabalho,
vazamento de informaes e problemas com a pornografia. Por isso, esto
considerando limitar ou mesmo proibir o uso pessoal da Web, a razo simples:
grande parte dos problemas de vrus nas empresas vem por causa do uso pessoal
da Internet por parte dos empregados (COLLE, 2006).
35
Com relao aos problemas legais, uma empresa pode ser processada se um
de seus funcionrios usar a rede corporativa para baixar ilegalmente msica e outros
contedos protegidos por copyrigth. (COLLE, 2006)
5.4 A NECESSIDADE DE FIREWALL
Segundo Ferretto et al. (2002.), a finalidade principal de um Firewall
proteger uma rede de ataques externos, ou seja, provenientes de outra rede.
importante observar que no ambiente de negcios na Internet, atualmente, o
Firewall, por si s, no suficiente para fornecer todos os nveis de segurana
necessrios. Firewalls so geralmente muito eficientes em manter pessoas no
autorizadas do lado de fora das redes empresariais. Isto feito delimitando-se os
tipos de conexes que sero permitidas e os servios que sero suportados. Isto
funciona bem quando as fronteiras da rede so claramente definidas e quando h
pouca ou nenhuma necessidade de computao colaborativa (FERRETTO, 2002).
Os processos atuais de negcios baseados na Web mudaram as regras da
computao empresarial. As empresas precisam, cada vez mais, disponibilizar
informaes, assim como ter acesso a diversas aplicaes no mundo dos negcios.
Em cada nova aplicao permitida, o risco de brechas na segurana multiplicado.
Cada novo usurio implica, tambm, um risco ampliado de espionagem, maus usos
de contas ou que informaes caiam em mos erradas, deliberadamente ou no.
Considerando o acesso estendido a parceiros, clientes e fornecedores provenientes
da rede externa, uma soluo gerenciada centralmente necessria para controlar a
complexidade do sistema. possvel delimitar o acesso a informaes crticas
residentes na rede protegida, por trs do Firewall, assim como definir e controlar
quais informaes que podem sair da empresa para a rede externa (FERRETTO,
2002).
Ataques ou invases podem originar-se de dentro ou de fora das fronteiras
convencionais da empresa. Muitas brechas na segurana originam-se do lado de
trs do Firewall, ou seja, dentro da prpria empresa. Para evitar que informaes
confidenciais caiam em mos erradas, a habilidade de monitorar o contedo de
arquivos saindo da rede interna para a Internet, ou s trafegando na rede interna
36
to ou mais importante, quanto a habilidade de monitorar o contedo de arquivos
entrando da Internet para a rede interna (FERRETTO, 2002).
O Firewall tem a capacidade de impor limites no fluxo da informao que sai
para a rede externa, como o bloqueio de protocolo, podendo impedir o
estabelecimento de conexes de bate papo tipo IRC, por exemplo, e outros servios
considerados perigosos ou simplesmente dispensveis. Porm, este bloqueio pode
ser driblado se o aplicativo utilizar outros protocolos ou portas diferentes daquelas
utilizadas normalmente (FERRETTO, 2002).
Em geral, Firewalls no so capazes de exercer controle rigoroso sobre o
contedo atravs do monitoramento e bloqueio de informaes no autorizadas,
assim como impedir todo e qualquer acesso no autorizado. Tambm no
disponibilizam procedimentos antivrus nativamente, assim como o controle sobre
cdigos maliciosos embutidos em Applets, Java ou arquivos Activex (FERRETTO,
2002).
Estes arquivos podem possuir contedos perigosos, capazes de paralisar as
redes empresariais. A filtragem de contedo e medidas antivrus efetivas, baseadas
no gateway, so ambas necessrias para garantir uma proteo adequada
empresa (FERRETTO, 2002).
Embora a segurana nos desktops e servidores sejam importantes, medidas
relacionadas a contedo no autorizado e programas malignos so mais efetivas e
eficientemente empregadas em gateway para a Internet, que atuam como Firewalls,
operando como o nico ponto de comunicao da empresa com o restante do
mundo (FERRETTO, 2002).
5.5 CONSIDERAES ESPECIAIS
Segundo Ferretto et al. (2002.) devido a importncia e responsabilidade de
um Firewall na segurana de uma rede, faz-se necessria a adoo de algumas
consideraes para resguard-lo (SHELDON, 1996):
Limitar as contas no Firewall ao estritamente necessrio, tal como a
conta do administrador. Se possvel, deve ser desabilitado o login da
rede;
37
Usar autenticao para garantir um grau de segurana maior do que o
uso de login/senha;
Dispositivos do tipo desafio/resposta so facilmente integrados aos
mais populares sistemas operacionais;
Remover todos os programas desnecessrios instalados num Firewall:
compiladores, editores de texto, jogos, etc. Eles podem conter alguma
brecha que permita que os hackers a explorem;
No se deve rodas protocolos vulnerveis em um Firewall, tais como:
TFTP, NIS, NFS, UUCP, etc;
Desabilitar o protocolo Finger. Atravs dele, um usurio remoto pode
obter informaes sobre todas as contas de um sistema;
Nos Gateways de e-mail, desabilitar os comandos EXPN e VRFY, os
quais podem ser utilizados por hackers para obter informaes sobre
os endereos dos usurios;
Desabilitar todos os servios que no esto sendo utilizados num
Firewall;
Utilizar Firewall somente como Firewall;
Habilitar a criao de logs no Firewall e constantemente analis-los
com o apoio de ferramentas especficas;
Desenvolver polticas de conteno;
Utilizar o host do Firewall apenas para sua atividade especifica.
Caractersticas Firewall;
Combinao mais completa e segura do mercado de Proxy a nvel de
aplicao;
VPN com vrios algoritmos de criptografia;
Bloqueio de sites Web indesejveis;
Suporte a NAT bi-direcional;
Medidas anti-spamming integradas;
Possui capacidades externas de log, permitindo exportar informaes
para analisadores ou programas de deteco de intrusos (FERRETTO,
2002).
38
5.6 POLTICAS DE SEGURANA PARA FIREWALL
Segundo Ferretto et al. (2002.) a poltica de segurana um dos fatores mais
importantes para garantir a segurana corporativa. Isso porque ela trata justamente
do ativo: as pessoas. o conjunto formado por diretrizes, normas, procedimentos e
instrues que ir nortear os usurios quanto ao uso adequado dos recursos e eles
disponibilizados (FERRETTO, 2002).
onde se definem regras, comportamentos, proibies e at punies por m
utilizao. Deve estar de acordo com a cultura da empresa e seus recursos
tecnolgicos (FERRETTO, 2002).
Regras de manuteno e criao de senhas, rotinas de backup, fragmentao
de material descartado, limites para uso de e-mail e a definio de trilhas de
auditoria so alguns dos pontos abordados. Sendo o padro comum existir uma
diretriz bsica, onde enfoca a proteo de dados/informaes da empresa, sendo
complementada por normas que abrangem assuntos especficos (FERRETTO,
2002).
Polticas de segurana, para serem efetivas, devem ser divulgadas tanto aos
usurios dos sistemas quanto aos responsveis pela manuteno dos mesmos
(SHELDON, 1996).
importante ressaltar que um Firewall no somente um dispositivo, para
fornecer segurana a uma rede. O Firewall parte de uma poltica estratgica e
consistente de segurana organizacional, que possibilita a criao de um plano de
defesa para proteger os recursos computacionais. O Firewall pea fundamental na
segurana de uma organizao, mas deve ser lembrado que de nada adianta se
este no estiver configurado adequadamente (FERRETTO, 2002).
6 IPCOP FIREWALL
O IPCOP FIREWALL uma distribuio do sistema operacional Linux sendo
que sua finalidade proteger a rede em que instalado. E extremamente fcil de
instalar e configurar por qualquer utilizador, desde o mais inexperiente at o mais
tcnico utilizador.
distribudo sob a licena GNU (General Public License), uma de muitas
vantagens que ele possui, que seu cdigo fonte aberto permitindo que peritos
em segurana WORLDWIDEWEB (Rede de alcance mundial), examinem e reparem
problemas de segurana. O logotipo do IPCOP mostrado na figura 1.
Figura 1 Ipcop_Banner_Half_Size
6.1 SURGIMENTO DO IPCOP FIREWALL
O IPCOP foi iniciado em outubro de 2001, de uma bifurcao, do projeto
Smoothwall. Pois surgiu na poca uma proposta que o Smoothwall, passa a ser
cobrado, um grupo de pessoas foi contra a esta proposta, e se retiram do projeto
Smoothwall.
Este grupo que se retirou do projeto Smoothwall, decidiu iniciar um novo
projeto, pois eles queriam ter um projeto de cdigo fonte aberto que atendesse suas
necessidades, e que outras pessoas pudessem se beneficiar.
Como possuam os cdigos fontes eles os recodificaram e o relanaram com
o nome de IPCOP FIREWALL. Este grupo estipulou metas que todo membro tem
que seguir, para fazer parte do grupo. Essas metas so:
Fornecer uma distribuio de Firewall estvel;
Fornecer uma distribuio de Firewall seguro;
40
Fornecer uma distribuio de Firewall que seja software livre;
Fornecer uma distribuio de Firewall altamente configurvel;
Fornecer uma distribuio de Firewall de fcil configurao;
Fornecer Suporte confivel;
Fornecer um ambiente agradvel para o usurio discutir e ter ajuda;
Fornecer upgrades/patches estveis, assegurando, fcil
implementao para IPCOP FIREWALL;
Se esforce para adaptar o IPCOP FIREWALL s necessidades da
Internet.
6.2 CARACTERSTICAS DE INSTALAO
6.2.1 Interfaces
O IPCOP suporta 4 interfaces de rede e classifica cada uma delas com cores,
variando essas de acordo com a funo de cada interface.
Green (rede interna);
Red (rede externa ou Internet);
Orange (DMZ);
Blue (conexo access point).
Alem das 4 interfaces o IPCOP FIREWALL suporta tambm VLAN, e suporte
nome alternativo para a interface red.
6.2.2 Hardware
Suporte a arquitetura i386 e alfa.
Memria mnima de 12 MB at 4 GB.
41
Disco rgido ide, scsi, controladora disco sata e raid com 250 MB no mnimo.
Placa ethernet ISA, PCI.
Ncleo SMP disponvel para i386 HT / multicore ou mltiplos CPU.
6.2.3 Instalao
O IPCOP Firewall pode ser instalado das seguintes formas:
Boot disquete;
Boot cd room ide, SCSI;
Boot usb;
Boot placa ethernet com PXE habilitado (necessitando de avdhcp e tftp
servidor instalado);
Instalao http/ftp.
6.2.4 Idiomas Disponveis
O IPCOP FIREWALL esta disponvel nos seguintes idiomas:
Holands, Sul-Africano, Portugus Brasileiro, Blgaro, Catalo, Chins,
Tcheco, Dinamarqus, Ingls, Finlands, Francs, Alemo, Grego, Hngaro,
Italiano, Japons, Lituano, Noruegus, Persa, Polons, Portugus, Romano, Russo,
Eslovaco, Esloveno, Espanhol, Sueco, Tailands, Turco, Urdu, Vietnamita.
6.2.5 Servio de Backup
Disquete;
Interface web;
USB.
42
6.2.6 Servios Disponveis.
Cliente/Servidor DHCP;
DNS dinmico;
Http/ftp proxy (squid);
IDS (snort) em todas as interfaces;
LOG (local e remoto);
Cliente/ Servidor ntp;
Servidor ssh;
Informao de trafego (interface red).
6.2.7 Caractersticas do Firewall
Statefull Firewall uma caracterstica utilizada por Firewalls que tem a
finalidade de analisar os pacotes TCP detalhadamente. Ele cria um
poderoso sistema, evitando ataques do tipo Stealth Scans, isso permite
que o Firewall Statefull seja tecnicamente melhor do que um Firewall
Filtro de Pacotes, devido sua criticidade na anlise dos pacotes de
uma rede;
Suporte a Nat h323, irc, msn, pptp, proto-gre, quake3;
Nat programvel para interface Laranja;
PING de resposta configurvel para todas as interfaces.
6.2.8 Vpn Ipsec
Certificado ou PSK;
Conexo Host a rede (Roadwarrior);
Conexo Rede a Rede. (Net-to-Net).
7 MANUAL DE INSTALAO DO LINUX IPCOP FIREWALL
Neste captulo ser mostrado como se instala o IPCOP FIREWALL, para que
micros e pequenas empresas possam ter uma ferramenta poderosa, eficiente para
proteger sua rede dos perigos da Internet, e tambm monitorar as atividades de
seus funcionrios na rede mundial de computadores. Ser construda uma rede
conforme diagrama detalhado mostrado na figura 2.
IP valido do modem ADSL 200.146.119.82.
IP invlido do modem ADSL 192.168.1.1.
IP invlido interface Red (eth0) 192.168.1.5.
IP invlido interface Green (eth1) 192.168.0.5.
IP invlido PC administrador 192.168.0.3.
Figura 2 Diagrama detalhado da rede
O material usado neste manual foi gerado atravs de uma mquina virtual
usando o software VMWARE Workstation, e tambm o software Wink 2.0 para
extrair os screenshots.
Depois de obtido o material necessrio para elaborao do manual, o IPCOP
FIREWALL foi instalado em um computador com, 1 processador AMD-k6(tm)-2/500
MHz com 256 MB de memria ram, 1 HD de 10 GB de espao, 2 placas Realtek
RTL8139 Family PCI fast Ethernet NIC, 1 Gravadora Cd room, 1 switch 3COM 16
44
portas, 1 modem adsl modelo Altavia 670R da Parks, com a opo Boot cd room
ide.
Lembrando que o IPCOP FIREWALL um sistema operacional que roda
sozinho, s pode ser instalado em uma mquina dedicada como Firewall, no
recomendado instalar em uma mquina que tenha outro sistema operacional, pois
esta instalao ir apagar todos os dados do HD.
preciso fazer o download do arquivo ipcop-1.4.16-install-cd.i386.iso no
seguinte endereo http://downloads.sourceforge.net/ipcop/ipcop-1.4.16-install-
cd.i386.iso?modtime=1184673271&big_mirror=1, este endereo a fonte oficial
para download do IPCOP FIREWALL, aps o download preciso gravar este
arquivo em uma mdia cd rom.
7.1 INICIANDO A INSTALAO.
Com o arquivo gravado na mdia cd rom insere-se a mesma no computador
que ser instalado o IPCOP FIREWALL. Entra-se na bios do computador e habilita o
computador para dar boot pelo cd room. Reinicia-se o computador com a mdia no
leitor cd room, e espere at o cd rom ser lido, ir aparecer a tela inicial de instalao
do IPCOP, conforme mostra a figura 3.
Figura 3 Tela inicial da instalao
45
Durante a instalao sero usadas as seguintes teclas para navegao entre
as opes:
TAB, para posicionar e selecionar as opes;
ENTER, para prosseguir a instalao;
ESPAO, para selecionar opes;
Seta esquerda, Seta direita, Seta abaixo, Seta acima, tambm servem
para posicionar e selecionar opes.
Depois de clicar ENTER, para dar inicio a instalao ser feita a leitura de
compatibilidade de hardware da mquina e ser apresentada a tela Language
selection mostrada na figura 4, para que seja escolhido do idioma de instalao do
sistema. Neste manual escolhemos o idioma English, por ser de fcil atualizaes
futuras de ferramentas do sistema, e por ser uma linguagem universal, tecle
ENTER para seguir para a prxima tela.
Figura 4 Language selection
A prxima tela somente uma mensagem de boas vindas do sistema, como
mostra a figura 5, tecle ENTER para iniciar a instalao.
46
Figura 5 Mensagem de boas vindas
A tela Select installation media, mostrada na figura 6 para informar qual o
tipo de instalao que ser realizada. Selecione CDROM/USB-KEY e pressione
TAB at chegar a opo OK e tecle ENTER.
Figura 6 Select installation media
A tela IPCOP v1.4.16 The Bad Packets Stop Here est informando que o
HD ser formatado automaticamente e sero criadas as parties necessrias para
a instalao do sistema, como mostra a figura 7, clique ENTER para continuar a
instalao. (OBS: tudo que estiver no HD ser perdido).
47
Figura 7 IPCOP v1.4.16 The Bad Packets Stop Here
A tela Restore, conforme mostra a figura 8, para escolher alguma forma de
backup, nesta instalao no ser usada esta opo, clique a tecla TAB at chegar
a opo SKIP. Para marcar esta opo pressione a tecla ESPAO, depois
pressione a tecla TAB at chegar opo OK e clique ENTER para continuar a
instalao.
Figura 8 Restore
A partir da tela Configure networking onde se deve ter muita ateno, pois
nela que se comea a ser configurada a rede, e qualquer descuido pode-se ter
problemas, conforme a figura 8.
48
Conforme a Figura 2 o IPCOP possui 2 interfaces de rede sendo elas, a
interfaces Green e Red e nesta parte onde a instalao detecta o driver da placa
de rede da interface GREEN, e informa-se o endereo IP da placa.
Selecione a opo Probe e tecle ENTER para a instalao detectar o
primeiro driver da placa de rede.
Figura 9 Configure networking
Se tudo ocorreu bem a instalao reconhecer o driver de placa rede, e
mostrar o driver reconhecido e aparecer a opo OK, assinalada clica-se
ENTER para continuar a instalao.
Figura 10 Deteco placa rede
49
Se a mensagem Error: Auto Detecting failed aparecer porque a placa de
rede no suportada pelo sistema, ou est com algum problema, deve-se
providenciar a troca da placa de rede no suportada, ou com problema.No endereo
http://www.ipcop.org/index.php?module=pnWikka&tag=IPCopHCLv01, est dispon-
vel uma lista de placas de redes suportadas pelo sistema.
A tela GREEN interface solicitar que seja digitado o endereo IP para a
interface Green como mostra a figura 11. Neste manual usaremos o endereo
192.168.0.5, clique na tecla TAB at chegar a opo OK, clique ENTER, para
finalizar.
Figura 11 Configure networking
A tela Congratulations! informa que o sistema foi instalado com sucesso,
como mostra a figura 12.
50
Figura 12 Congratulations!
A tela Keyboard mapping para configurar o layout do teclado. Neste
manual ser usada a opo br-abnt, mova o cursor com as teclas acima, abaixo
at encontrar a configurao do teclado, pressione a tecla TAB para ir para a
opo OK, clique na tecla ENTER para continuar a instalao.
Figura 13 Keyboard mapping
A tela Timezone para configurar a zona de tempo, neste manual foi
escolhida a zona Brazil/East (Brasil/Leste) como mostra a figura 14.
51
Figura 14 Timezone
Na tela Hostname solicitado que se informe o nome para o servidor, como
mostra a figura 15. Neste manual usaremos o nome IPCOP, pode-se colocar
qualquer nome que desejar desde que no tenha nenhum outro computador na rede
com o nome.
Figura 15 Hostname
Na tela Domain name solicitado que se informe o domnio que o Firewall
far parte.como mostra a figura 16. Neste manual usaremos o domnio
RODRIGUES, lembre-se que para os computadores se comunicarem eles tm que
pertencerem no mesmo domnio.
52
Figura 16 Domain name
A prxima tela para se configurar conexo ISDN como mostra a figura 17. A
conexo ISDN usa o sistema telefnico comum, com isso se paga pulsos
telefnicos. Tem-se disposio duas linhas de 64 K cada uma, que podem ser
usadas tanto para conexo Internet quanto para chamadas de voz. Na hora que
conectar-se a Internet tem-se a opo de usar as duas linhas, conectando-se a 128
k, ou ento deixar a segunda linha livre para uma chamada de voz, mas em
compensao acessando a apenas 64 k.
O grande problema desse tipo de conexo que se usar as duas linhas para
conectar a Internet, a tarifa cobrada em dobro. Por isso que ela no usada
largamente, alm disso, ela no est disponvel em muitas cidades. Para desabilitar
esta funo clicamos TAB at o cursor se posicionar em Disable ISDN e clicamos
ENTER para continuar a instalao.
53
Figura 17 ISDN configuration menu
A tela Network configuration menu onde se configura o tipo de rede,
detecta o driver da interface RED, informa o IP da interface RED, informa os IPs
dos servidores DNS, o IP do Gateway da rede e tem a opo de habilitar um
servidor DHCP para a rede interna, como mostra a figura 18. Escolhe-se a opo
Network configuration type para informar qual o tipo de rede.
Figura 18 Network configuration menu
Na tela Network configuration type escolhe-se a opo GREEN + RED,
pressiona-se as teclas TAB, ENTER para a instalao gravar o tipo de rede que
ser usado, como mostra a figura 19.
54
Figura 19 GREEN + RED
A instalao voltar a tela Network configuration menu, seleciona-se a
opo Drivers and card assignments, como mostra a figura 20. Pressione ENTER
para entrar na opo, e pressione ENTER novamente para a instalao detectar o
driver da interface RED.
Figura 20 Drivers and card assignments
Se tudo correr bem ser apresentada a tela Card assignment e a interface
RED selecionada, como mostra a figura 21. Pressione ENTER e ser
apresentada a mensagem ALL cards successfully allocated, esta mensagem quer
dizer o driver foi reconhecido.
55
Figura 21 Card assignment
A instalao voltara tela Network configuration menu, nesta tela escolhe-
se a opo "Address settings pressiona-se ENTER ser apresentado as interfaces
GREEN e RED, seleciona-se a interface RED, pressiona-se ENTER, e ser
apresentada a tela RED interface estar marcada a opo STATIC, pressiona-se
a tecla TAB at chegar a opo IP address e digita-se o IP, 192.168.1.5,
pressiona-se a tecla TAB at a opo OK e tecla-se ENTER para terminar a
configurao da interface RED, conforme a figura 22.
Figura 22 RED interface
56
A instalao voltar na tela Address settings, pressiona-se ENTER duas
vezes at chegar a opo Done, e clica-se ENTER para voltar tela Network
configuration menu.
Na opo DNS and Gateway settings pressionando ENTER aparecer a
tela para ser digitado o DNS primrio, DNS secundrio e Default Gateway. Os DNS
usados para este manual so, primrio 200.221.11.100, secundrio 200.221.11.101,
(Obs. Para saber os IPs dos servidores dns vlidos pode-se entrar em contato a
operadora que disponibiliza o servio a sua empresa, ou com o provedor). O Default
Gateway o endereo IP do modem ADSL que neste caso 192.168.1.1.
Figura 23 DNS and Gateway settings
Depois de configurado a opo DNS and Gateway settings a instalao
voltara tela Network configuration menu restando a opo DHCP Server
configuration.
Na opo de configurao do servidor DHCP a seguir, existe um bug e tem
que ser tomado muito cuidado, pois qualquer descuido a instalao ter que ser feita
de novo, este bug ocorre da seguinte forma.
Se for escolhido no configurar o servidor escolhendo a opo DONE a
instalao mesmo assim entra na configurao, e se mover o cursor at a opo
Cancel e clicar ENTER a instalao pula a fase onde solicitada que se informe
as senhas dos usurios ROOT, ADMIN, BACKUP e encerra a instalao.
Com isso no tem como logar no sistema, pois as senhas de login no foram
informadas. Se for escolhido configurar o servidor, a instalao obriga a fazer duas
57
vezes a configurao do servidor, para depois solicitar as senhas dos usurios
ROOT, ADMIN, BACKUP.
Para contornar este bug, tanto para configurar ou no o servidor deve-se
seguir os seguintes procedimentos. Selecionar a opo DHCP Server configuration
escolher a opo DONE pressionar ENTER.
A instalao entrar na tela de configurao, para no configurar o servidor
deve-se pressionar TAB at chegar opo DONE depois ENTER, caso for
configurar o servidor siga os procedimentos abaixo.
Para configurar o servidor habilite a opo Enabled, pressiona-se TAB.
Preencham-se os campos, Start address, End address, Primary DNS, as opes
Start address e End address informar o endereo IP inicial e o endereo IP final
que o servidor usar para atribuir IPs automaticamente para computadores que
forem conectados rede, como mostra a figura 24. Neste trabalho estamos
informando que o endereo inicial 192.168.0.30 e o endereo final 192.168.0.40,
Primary DNS para endereo IP do servidor DHCP, como mostra a figura 24.
Figura 24 DHCP Server configuration
Aps informar o endereo IP na opo Primary DNS, pressiona-se TAB at
chegar opo OK, a seguir pressiona-se ENTER para encerrar a configurao
do servidor DHCP.
58
Terminada a configurao do servidor DHCP, o sistema solicitar que sejam
informadas as senhas dos usurios root, admin, e de backup. (Obs. Nunca
digite a mesma senha para os usurios root e admin).
Na primeira tela digita-se a senha do usurio root e confirma-se a senha,
pressione ENTER, siga este procedimento para o usurio admin, e para backup.
Depois de digitar a senha de backup o sistema informar que a instalao foi
completada e solicitar que o computador seja reiniciado. Clique ENTER para
reiniciar o computador.
Lembre-se de tirar a mdia do cd rom, e entrar na bios do computador e
mudar a opo de boot, para que seja dado boot pelo HD.
Depois de reiniciado o computador e ter colocado para dar boot pelo HD, ser
apresentada a tela inicial de boot do sistema. O cursor estar na opo IPCOP,
move-se o cursor at a opo IPCOP SMP (ACPI HT enabled) e pressiona-se
ENTER, como mostra a figura 25.
Figura 25 IPCop SMP (ACPI HT enabled)
Depois de inicializado, o IPCOP far a leitura de hardware, arquivos de
inicializao habilitaro os mdulos necessrios para seu funcionamento, e
apresentar a tela de login, como mostra a figura 26.
59
Figura 26 IPCop login
8 MANUAL DE CONFIGURAO E GERENCIAMENTO DO LINUX IPCOP
FIREWALL
Neste captulo ser apresentada a forma correta de configurar e gerenciar o
IPCOP FIREWALL, sendo que estas configuraes so feitas quase todas via
interface Web. Foi utilizado um computador com Windows XP Professional instalado,
navegador Internet Explorer 7.0, o software WINSCP e software PUTTY.
Winscp: cliente grfico para acesso remoto usa FTP, SFTP.
Putty: cliente acesso remoto em modo texto.
Primeiramente faz-se o download dos softwares winscp e putty nos seguintes
endereos, site oficial do winscp http://winscp.net/eng/index.php, endereo oficial do
site putty http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html.
Terminados os downloads, instala-se o software winscp, e cria-se um diretrio
em c:\arquivos de programas\PuTTy e copia-se o software putty.exe para este
diretrio.
A instalao default do IPCOP j vem pr configurada e funcionando,
podendo atender as necessidades, porm para melhorar algumas funes h a
necessidade de instalar o servidor de addons (Addons Server). Com o servidor
addons instalado melhora-se a segurana e desempenho do servidor.
Addons so softwares que melhoram algumas ferramentas do sistema, ou
inclui nova ferramenta. Existem vrios addons para o IPCOP na Internet, mas alguns
so exclusivos para uma determinada verso do IPCOP.
Sempre que encontrar um addon para o IPCOP procure saber se a fonte que
disponibiliza confivel, nunca instale este addon no servidor principal sem fazer
testes primeiro, pois se este addon for incompatvel para a verso do IPCOP, podem
ocorrer problemas srios, at mesmo inviabilizar o sistema.
Para a instalao do Addons Server, crie um diretrio em C:\IPCOP, logo
aps faa o download do arquivo addons-2.3-CLI-b2.tar.tar no endereo
http://firewalladdons.sourceorge.net/ e salve-o no diretrio criado.
Para prosseguir com as configuraes necessrio habilitar a opo de
acesso via SSH do IPCOP. Abra um navegador de internet e digite na barra de
61
endereo do navegador https:// ip da interface GREEN :445
(https://192.168.0.5:445). Ser apresentado um erro de segurana que deve ser
ignorado, este erro apresentado em qualquer navegador.
Se estiver usando o navegador Internet Explorer ser apresentado a seguinte
mensagem Erro do Certificado:Navegao Bloqueada, clica-se em Continuar
neste site (no recomendado),conforme a figura 32.
Aps aparecer a pgina principal do IPCOP clique em Connect, no campo
Nome de usurio informe o nome admin e no campo Senha informe a senha
que foi digitada na instalao. (obs. Somente o usurio admin tem permisso de
acesso a interface web do ipcop). V at a opo SYSTEM procure por SSH
Access marque a clique em Save.
Feche o navegador, e execute o programa Winscp, (caso queria mudar o
idioma do Winscp feche o programa, baixe o arquivo de traduo compactado no
endereo http://winscp.net/translations/dll/pt.zip, descompacte este arquivo no
diretrio c:\arquivos de programas\Winscp, depois execute o programa Winscp
clique a opo Languages e escolha o idioma Portugueses Portugus (Brasil)).
Execute novamente o Winscp, agora habilitado o idioma Portugus clique na
opo Nome do Host, digite o IP da interface Green, em Nmero de porta digite a
porta 222, em Usurio digite root e na opo senha digite a senha do usurio root,
clique em Login, conforme mostra a figura 27.
Figura 27 WinSCP Login
62
Se quiser salvar esta configurao para no ter que ficar digitando as
informaes toda vez que executar o Winscp basta clicar em Salvar, perguntado
se realmente deseja salvar, clique OK, depois deve-se escolher com que nome
deseja salvar a configurao.
Se no for informado nenhum nome ser salvo como root@192.168.0.5, logo
aps clique em Login, surgira a pergunta se deseja realmente prosseguir, clique
OK, e ser aberta a sesso WinSCP, conforme mostra a figura 28.
Figura 28 Sesso WinSCP
A sesso Winscp apresenta a esquerda o diretrio C:\Documents and
Settings\marcos\Meus documentos que computador com Windows XP
professional, e a direita o diretrio /root que computador com o IPCOP.
Agora necessrio posicionar o winscp para o diretrio onde foi feito o
download do arquivo addons-2.3-CLI-b2.tar.tar. Para fazer isso d dois cliques com
o mouse na tarja azul no lado esquerdo e ser aberta uma janela, clique na opo
procurar, procure pelo diretrio onde foi salvo o arquivo, selecione o diretrio e
clique OK e OK , o Winscp ficar posicionado no diretrio c:\ipcop.
Agora posicione o mouse no lado direito e clique duas vezes na tarja azul,
ser apresentada uma janela, mude de /root para / clique OK, o programa se
posicionar na raiz do IPCOP.
Cria-se um diretrio INSTALL na raiz do ICOP para enviar os addons que
sero instalados. Para criar o diretrio, posicione o mouse no espao em branco da
63
raiz do IPCOP, clique na tecla direita do mouse e posicione o mouse em NEW
depois em DIRECTORY e digite INSTALL e clique OK.
Depois de criado o diretrio clica-se nele com mouse para entrar no diretrio,
o winscp mostrar no lado esquerdo o diretrio C:\IPCOP e no lado direito /install,
conforme figura 29. Veja que o diretrio c:\IPCOP esta com o arquivo addons-2.3-
CLI-b2.tar.tar que foi baixado, move-se este arquivo para /install. Para mover clique
com a tecla esquerda do mouse no arquivo fique segurando, e arraste o arquivo
para o lado direito e depois solte o boto, ser perguntado se deseja copiar o
arquivo para o diretrio /install clique OK para que seja copiado.
Figura 29 Sesso winscp mostrando os diretrios c:\ipcop , /install
Depois que o arquivo foi copiado para /install deve-se descompact-lo para
que possa ser instalado, para fazer a descompactao, clique com o boto direito do
mouse no arquivo v at a opo Comandos personalizados selecione a opo
UnTar/GZip e clique nela, ser perguntado se realmente deseja descompactar o
arquivo, clique OK, e qual o caminho que o arquivo ser descompactado. Deixe
como est e clique OK pois ele ser descompactado dentro do diretrio /install
mesmo.
Note que foi criado um diretrio addons com os arquivos descompactados
dentro, para instalar o addon Server, no menu do winscp a uma opo chamada
Abrir sesso no PuTTy clica-se na opo e winscp abrir o software PuTTY,
conforme figura 30.
64
Figura 30 Abrir sesso no PuTTy
Este software emula um terminal de acesso remoto, ser apresentado um
sinal de alerta, se deseja mesmo criar a sesso remota, clique SIM e ser
apresentada a tela do terminal onde solicitada a senha do usurio root digita-se a
senha e o terminal ser habilitado.
Dentro do terminal digita-se cd /install para ir at o diretrio onde est o
subdiretrio addons que contm os arquivos de instalao do addon Server, digita-
se cd /addons para entrar no diretrio, e o comando ls para listar os arquivos de
instalao. Para instalar o addon Server digita-se o comando ./setup i e ser
instalado o programa, conforme a figura 31.
Figura 31 Instalao addon server
Depois que instalado, o addon Server acrescentado pgina principal do
ipcop, menu ADDONS este menu contm as seguintes opes:
1. ADDONS NEWS;
2. ADDONS;
3. ADDONS-UPDATE;
65
4. ADDONS-INFO.
A opo ADDONS-NEWS traz informaes sobre addons novos, ou que
foram modificados, s clicar na opo Refresh addons news que so mostradas
as informaes.
A opo ADDONS informa quais addons esto disponveis para o ipcop, para
ver esses addons s clicar em Refresh addons list e ser mostrada uma lista com
vrios addons. Para saber informaes sobre um addon, clica-se na opo
informao que possui um link pro site do desenvolvedor, ou para um site que
possui o arquivo para download.
A opo ADDONS-UPDATE mostra quais addons precisam de atualizaes.
A opo ADDONS-INFO mostra informaes detalhadas de um addon.
Na opo ADDONS quando se clica em Refresh addons list aparecem
vrios addons, caso queira instalar um ou mais addons tem que ter muito cuidado,
pois h addons nesta lista que no funciona na verso 1.4.16, e pior ainda que no
funcionar ele pode estragar a instalao toda do IPCOP, um exemplo o addon
Copplus2.1-b1.
Neste trabalho sero apresentados 3 addons importantes para segurana e
monitoramento de usurios, que so:
1. BlockOutTraffic;
2. Ipcop-advproxy;
3. Ipcop-urlfilter.
O objetivo do BlockOutTraffic criar uma poltica DROP ou REJECT para
todo trfego que passar pelo IPCOP. Todo trfego que era permitido pela instalao
default do IPCOP bloqueado pelo BlockOutTraffic.
necessrio ento, criar regras para permitir trnsito de pacotes. Estas
regras so criadas usando a interface Web do IPCOP, que estar disponvel depois
da instalao do addon.
Acessando o endereo http://blockouttraffic.de/files/BlockOutTraffic-2.3.2-GUI-
b3.tar.gz pode-se fazer o download dos arquivos para instalar o BlockOuTraffic,
salve o arquivo em c:\ipcop, use o programa winscp para copiar o arquivo para o
diretrio /install do ipcop.
66
Antes de descompactar o arquivo crie um diretrio com o nome Block e copie
o arquivo BlockOutTraffic-2.3.2-GUI-b3.tar.gz para este diretrio, pois os arquivos de
instalao foram compactados sem um diretrio, e na descompactao esses
arquivos sero adicionados no diretrio /install, esse procedimento somente para
que os arquivos compactados no fiquem juntos com arquivos de instalao.
Descompacte o arquivo com o programa winscp, execute o PuTTY e digite o
comando cd /install/Block, lembrando que tem que digitar os nomes dos diretrios
igualmente como foi criado, se foi criado o diretrio Block com letra maiscula tem
que se digitar o incio com letra maiscula, pois o IPCOP Linux e ele difere
maisculas de minsculas.
Estando no diretrio digite o seguinte comando para instalar o addon
BlockOutTraffic, ./setup i, aps ter digitado o comando ser instalado o addon.
Agora sero instalados os addons ipcop-advproxy, ipcop-urlfilter. Estes
addons tem que ser instalados juntos, pois funcionam em conjunto, so eles que
fazem os bloqueios de sites, palavras, e tambm monitora os usurios da rede
interna quando navegam na Internet.
Para fazer o download do ipcop-advproxy, ipcop-urlfilter acesse o site
http://www.advproxy.net/ clique em Download Advanced Proxy, procure pela opo
Download Advanced Proxy for IPCop 1.4.4 - 1.4.16 e clique em I agree with these
terms, salve o arquivo no diretrio c:/ipcop.
Para fazer o download do ipcop-urlfilter procure a opo URL filter add-on
clique nela, procure a opo Download URL filter e clique nela, procura agora a
opo Download URL filter for IPCop 1.4.8 - 1.4.15 e clique na opo I agree with
these terms para fazer o download.
Terminado o download dos dois addons copie-os com o winscp para o
diretrio /install, descompacte-os usando o winscp. Sero criado dois diretrios, um
chamado ipcop-advproxy, e outro ipcop-urlfilter. Usando o PuTTY acesse o diretrio
ipcop-advproxy com o comando cd /install/ipcop-advproxy, e instale o addon com o
comando ./install.
Aps ter instalado o ipcop-advproxy, digite o comando cd /install/ipcop-urlfilter
para entrar no diretrio de instalao do addon ipcop-urlfilter e digite o comando
./install.
Depois de instalados os addons, a interface web do ipcop alterada da
seguinte forma, no menu SERVIOS, a opo proxy alterada para PROXY
67
AVANADO, e acrescentado o item URL FILTER, no menu FIREWALL
acrescentado as opes BLOCK OUTGOING TRAFFIC e ADVANCED BOT
CONFIG, tambm foram acrescentados trs opes no menu LOGS, sendo elas
LOGS DO PROXY e LOGS DE FILTROS URL.
Para acessar a pgina de configuraes do IPCOP, inicializa-se o navegador
IE e digita-se https:// o IP da interface Green seguido de :445,
(https://192.168.0.5:445), ser apresentado a seguinte mensagem Erro do
Certificado:Navegao Bloqueada, clica-se em Continuar neste site (no
recomendado), para ter acesso a pgina do IPCOP, conforme a figura 32.
Figura 32 Acesso a pgina de configuraes do IPCOP
Aps aparecer a pgina principal do IPCOP clica-se em Connect, conforme
a figura 33. Ser solicitada a senha de usurio administrador do IPCOP, este usurio
tem poderes para fazer a administrao do IPCOP. Digita-se admin e a senha que
foi digitada na instalao.
68
Figura 33 Connect
Para mudar o idioma do IPCOP para Portugus (Brasileiro), v com o mouse
at o menu System na opo GUI SETTINGS, e procure pela opo Brazilian
Portuguese (Portugus-Brasil), clique em Save para mudar o idioma.
Figura 34 Brazilian Portuguese (Portugus-Brasil)
8.1 PGINA PRINCIPAL
atravs da pgina principal que se tem acesso aos menus de configuraes
e logs do sistema. Esses menus sos:
69
SISTEMA;
SITUAO;
REDE;
SERVIOS;
FIREWALL;
VPNS;
LOGS.
O menu Rede no ser abordado neste trabalho porque ele configurado
somente quando se usa conexo discada, o que no o caso deste manual. E o
menu Vpns serve para fazer tunelamento na Internet entre duas redes, ou um host e
uma rede, no sendo este o objetivo deste manual.
8.2 MENU SISTEMA
O menu Sistema contm as seguintes opes, conforme mostra a figura 35:
1. Principal;
2. Atualizaes;
3. Senhas;
4. Acesso SSH;
5. Configuraes da GUI;
6. Cpia de Segurana;
7. Desligar;
8. Crditos.
A opo 1 somente a pgina inicial da interface web do IPCOP FIREWALL.
A opo 2 onde se faz atualizaes para uma nova verso do sistema, caso
seja disponibilizado uma atualizao esta opo informa que preciso fazer a
atualizao. Alm de informar que preciso fazer a atualizao apresentado o link
para fazer o download das atualizaes, tambm a opo de limpeza de cache do
Proxy (squid).
70
A opo 3 usada para alterar a senha do administrador e do usurio de
conexo de discagem.
A opo 4 usada para habilitar o servidor de conexo SSH.
A opo 5 usada para alterar o idioma da interface Web do sistema.
A opo 6 usada para fazer backup, havendo a possibilidade de fazer
backup do sistema em disquetes, HD, mdias removveis.
A opo 7 serve para reinicializar, desligar ou programar o sistema para
desligar ou reinicializar com hora e dia automaticamente.
A opo 8 apresentao das pessoas que fazem parte do grupo que
mantem o ipcop ativo.
Figura 35 Menu Sistema
8.3 MENU SITUAO
No menu Situao esto as opes mostradas na figura 36;
1. Situao do Sistema;
2. Situao da Rede;
3. Grfico do Sistema;
4. Grfico de Trafego;
5. Conexes.
A opo 1 apresenta os servios que o sistema possui, e quais esto sendo
executados e quais esto parados, exibe tambm o uso da memria, uso do disco,
71
os Inodes usage. Quais usurios esto logados no sistema e o tempo que eles esto
logados, mostra os mdulos carregados e qual a verso do kernel do Linux usado
pelo sistema.
A opo 2 apresenta as interfaces do sistema detalhadamente tais como
endereo IP, endereo MAC, a tabela de roteamento, a tabela de entrada ARP.
A opo 3 mostra estatsticas de uso da CPU, da memria RAM, SWAP, e do
HD, em modo grfico se clicar em uma dessas opes pode-se ter estatstica
individual mostrando dia, ms e ano.
A opo 4 mostra o trfego das interfaces Green e Red, clicando numa
dessas opes so mostrados grficos por dia, ms e ano.
A opo 5 rastreia as conexes entre o sistema e a rede interna.
Figura 36 Menu situao
8.4 MENU SERVIOS
Este menu contm as opes mostradas na figura 37:
Proxy Avanado;
Url filter;
Servidor DHCP;
DNS dinmico;
Editar hosts;
72
Servidor de horrio;
Controle de trfego;
Deteco de intruso.
Figura 37 Menu Servios
8.4.1 Proxy Avanado
A opo Proxy Avanado um servidor Proxy que atua sobre as requisies
dos usurios na rede interna, ele funciona da seguinte forma: quando um usurio da
rede interna vai navegar na Internet ele abre o navegador e digita o endereo que
quer acessar, na verdade o usurio est acessando o servidor Proxy.
A solicitao do usurio vai at o servidor, o servidor quem realmente
navega, ele vai ao endereo solicitado, armazena no cache e depois repassa as
informaes para o usurio. Este endereo fica armazenado por um tempo no cache
do Proxy, se algum outro usurio solicitar este endereo ele repassa
automaticamente sem a necessidade de entrar de novo na Internet.
Por isso um servidor Proxy muito importante, pois diminui bastante o trfego
entre a Internet e a rede interna.
O Proxy avanado instalado atravs do addon ipcop-advproxy, ele
sobrepem o proxy da instalao original para que o firewall seja mais seguro e
eficiente. Para configurar dividiremos em partes para melhor entendimento.
1. Configuraes comuns.
73
2. Proxy principal.
3. Configuraes de logs.
4. Gerenciamento de cache.
5. Portas de destino.
6. Controle de acesso base na rede.
7. Restries de tempo.
8. Limites de transferncia.
9. Limitao para download.
10.Filtro mime.
11.Web browser.
12.Privacidade.
13.Filtro url.
14.Mtodo de autenticao.
A. Configuraes comuns
Na opo 1 Configuraes Comuns habilita-se as seguintes opes:
Habilitao ligada Green, esta opo diz ao Proxy que a rede Green pode
trafegar pelo Proxy. Na opo Porta Proxy por default vem habilitada a porta 800,
geralmente o Proxy trabalha nas 3128 ou 8080, mas se quiser colocar outro nmero
de porta h esta possibilidade, mas lembre-se NUNCA USE UMA PORTA PARA O
PROXY QUE ESTEJA SENDA USADO POR OUTRO SERVIO, pois certamente
haver conflito de portas.
Marque a opo Transparncia ligada, caso esta opo no seja habilitada
cada computador que estiver conectado rede, ter que ser configurado o
navegador manualmente. Em Hostname visvel para informar o nome do servidor
Proxy.
Na opo E-mail do administrador do cache informa-se o e-mail da pessoa
que administra o servidor Proxy, nas opes Linguagem de mensagens de erro e
Design de mensagens de erro deixe padro, porque elas s funcionam no idioma
ingls. H bilite Suprimir informaes da verso, pois habilitando esta opo no
apresentada verso do servidor Proxy esta sendo usada, conforme a figura 38.
74
Figura 38 Configuraes comuns
B. Proxy principal, configuraes do log
A opo Proxy principal no configurada, pois ela s configurada quando
se tem um servidor Proxy principal.
Habilite a opo Configuraes do Log para que o sistema gere
informaes sobre a navegao pela Internet. A figura 39 mostra as opes Proxy
principal e configuraes do log.
Figura 39 Proxy principal, configuraes do log
C. Gerenciamento de Cach
As opes disponveis em gerenciamento de cach so mostradas na figura 40.
75
Tamanho da memria cache em (NB): a quantia de memria RAM
que usado para fazer cache de objetos. Este valor no deve exceder
mais de 50% de RAM instalada. O mnimo para este valor 1MB, o
default 2 MB.
Este parmetro no especifica o tamanho do processo de mximo. S
coloca um limite de memria RAM ADICIONAL que o Servidor Proxy
usar para fazer cache de objetos.
Tamanho do cache em (MB): a quantia de espao do disco (MB) que
ser usado para fazer cache. O default 50 MB. Mude esta opo para
um cache maior, mas nunca coloque o tamanho total da unidade de
disco, o uso mximo do disco 20%.
Tamanho mnimo do objeto em (KB): o tamanho mnimo de objetos
que sero salvos em cache. O valor especificado em kilobytes, o
tamanho mnimo padro 0 KB, que significa no existir tamanho
mnimo.
Tamanho mximo do objeto em (KB): o tamanho mximo de objetos
que sero salvos em cache. O valor especificado em kilobytes, o
tamanho mximo padro 4096 KB.
Nmero de subdiretrios de nvel-1: O valor padro para o Nmero de
subdiretrios de nvel-1 16.
Cada nvel-1 contm 256 subdiretrios, ento um valor de 256 nveis-1
usa um total 65536 subdiretrios para cache, o valor recomendado
16. S se deve aumentar este valor somente quando for necessrio.
No faa cache desses domnios (um por linha): Esta opo para no
fazer cache de determinados domnios.
Substituio de regra de memria: O parmetro de poltica de
substituio de regra de memria determina quais objetos sero
76
substitudos da memria, para criar espao para novos objetos, a
poltica padro LRU.
Substituio de regra de cache: O parmetro de poltica de substituio
de cache decide que objetos permanecero em cache e quais objetos
sero substitudos, para criar espao para novos objetos. A poltica
default para substituio de cache LRU.
Modo desligado habilitado: Esta opo desligar o gerenciamento de
cache.
Figura 40 Gerenciamento de Cache
D. Portas de destino
Esta opo enumera as portas de destino permitido para os padres HTTP e
SSL e codificaram pedidos HTTPS, as portas podem ser definidas como um nmero
de porta nica ou varias portas. A figura 41 mostra um exemplo de portas de
destino.
77
Figura 41 Portas de destino
E. Controle de acesso baseado na rede
Esta opo serve para controlar o acesso dos usurios da rede interna, ao
Servidor Proxy. A figura 42 mostra as opes a serem configuradas.
Subnets permitidas (uma por linha): Nesta opo so definidas quais
redes tm permisso para acessar o Servidor Proxy, a rede GREEN e
AZUL (se disponvel) devem ser includas aqui.
Desabilite o acesso por Proxy interno a Green de outras subredes:
Esta opo para desabilitar o Proxy para acessar outras subredes
internas.
Endereos IP sem restrio (um por linha) / Endereos MAC sem
restrio (um por linha): Estas opes so para o caso de um
computador ter acesso irrestrito ao servidor Proxy, insere-se o IP e
endereo MAC da placa de rede do computador.
(OBS: Estas funes tambm funcionam independentes, mas o correto
inserir o IP e MAC para o caso de algum tentar burlar o servidor Proxy.)
Endereos IP banidos (um por linha) / Endereos MAC banidos (um
por linha): Estas opes so para o caso de um computador no ter
78
acesso ao servidor Proxy, insere-se o IP e o endereo MAC da placa
de rede do computador.
(OBS: Estas funes tambm funcionam independentes, mas o correto
inserir o IP e MAC para o caso de algum tentar burlar o servidor Proxy.)
Figura 42 Controle de acesso baseado na rede
F. Restrio de tempo, Limites de transferncia, Limitao para Download
As opes disponveis em Restrio de tempo, limite de transferncia e limitao
para download so mostradas na figura 43.
Restrio de tempo
A opo configurada quando se quer restringir o acesso a Internet
em um determinado perodo, o padro permitir acesso em qualquer
dia e horrio. Para negar acesso num determinado dia e horrio,
selecionam-se os dias e o horrio e mude a opo Acesso para
negar, depois clique em Salvar e reiniciar.
Limites de transferncias
Esta opo configurada quando se quer restringir o tamanho mximo
de arquivos download e upload da Internet, sendo que o padro 0
para ambos. Se for definido o tamanho mximo do arquivo em 1MB,
arquivos maiores no sero baixados ou enviados.
79
Limitao para Download
Esta opo configurada quando se quer restringir a velocidade de
downloads de arquivos, podendo restringir a velocidade de 64 kBit/s
at 5120 KBit/s.
Figura 43 Restrio de tempo, Limites de transferncia, Limitao para Download
G. Filtro tipo MIME, Web browser
A opo Filtro tipo mime usada para bloquear MIMES, para habilitar esta
opo clique em Habilitado, depois no campo Bloquear esses tipos de MIME (um
por linha): digita-se os tipos de mimes que se quer bloquear, conforme mostra a
figura 44.
Exemplo: Caso queira bloquear acesso a arquivos com extenso PDF, digite
no campo Bloquear esses tipos de MIME (um por linha):.pdf
Web browser
A opo Web browser permite que seja controlado o tipo de navegador que
ter acesso a sites da Web, para habilitar marque a opo Habilitar check de
browser:, e marque os tipos de navegadores que podero acessar a Web.
80
Figura 44 Filtro tipo MIME, Web browser
H. Privacidade, Filtro URL, Mtodo de autenticao
Esta opo Privacidade habilitada quando se quer ter privacidade durante a
navegao na Internet, conforme mostrado na figura 45.
No campo Falso Useragent para sites externos: informada uma string, e
toda vez que um usurio da rede interna for navegar na Internet o servidor Proxy,
muda o cabealho de navegao que submetido para sites externos.
Exemplo: Ensira a string Mozilla/5.0 (Windows; U; Windows NT 5.1; En-os
EUA; Rv:1.7.3) Gecko/20041002 Firefox/0.10, esta string far com que servidores
Web externos acreditam que todos os usurios da rede interna estejam usando o
Firefox Browser:
Na opo Feferenciador falso submetido a sites externos:, quando se clica
em um hyperlink, a URL de origem enviada para o site da web de destino.
Inserindo, por exemplo a string Http://xxxxxxxxxxxxxxxxxxxxxxxxxxx, a URL de
origem trocada por uma falsa, ficando o usurio da rede interna, anonimamente.
A opo filtro URL, s funciona se o addon ipcop-urlfilter estiver instalado,
ela habilitada para que o Servidor Proxy possa fazer filtros de URLS, domnios,
expresses.
O mtodo de autenticao, no configurado para Servidores Proxy
transparentes.
81
Figura 45 Privacidade, Filtro URL, Mtodo de autenticao
8.4.2 URL Filter
O URL Filter um dos addons mais importantes do IPCOP, ele quem faz
bloqueios de acesso a domnios, urls, palavras, arquivos indesejveis. possvel
bloquear toda navegao Internet, ou liberar a navegao somente a sites
autorizados pela empresa. Ele s funciona se o addon Proxy avanado estiver
instalado. Sero mostradas a seguir as opes de configuraes desse addon.
A. Bloquear categorias e Blacklist personalizada
A opo Bloquear categorias um banco de dados que contm varias
categorias de blacklist (lista negra), que representam ameaas segurana da
navegao na Internet, para habilitar marque todas as opes. A figura 46 mostra
todas as opes.
A opo Blacklist personalizada bloqueia domnios e urls indesejveis, para
habilit-la marque a opo Habilitar blacklist personalizada.
Exemplo: Caso se queria bloquear o domnio cesumar.br adiciona-se o
domno na opo Domnios bloqueados ( permitido um domnio por linha).
Caso queira bloquear somente uma URL de um domnio em vez do domnio
todo, adiciona-se a URL que ser bloqueada na opo, URLs bloqueadas.
82
Exemplo: Caso se queira bloquear a URL cesumar.br/moodle adiciona-se a
URL na opo URLs bloqueadas, ( permitido uma URL por linha), com isso os
usurios podero acessar o domno cesumar.br, mas no podero acessar a URL
cesumar.br/moodle.
Figura 46 Bloquear categorias, Blacklist personalizada
B. Whitelist personalizada e Lista personalizada de expresses
A opo Whitelist habilitada quando se deseja especificar domnios e URLs
para os usurios da rede interna acessarem. Para habilitar marque a opo
Habilitar whitelist personalizada, conforme mostra a figura 47.
A opo Lista personalizada de expresses habilitada quando se deseja
bloquear acesso por expresses ou palavras. Para habilitar marque a opo
Habilitar lista de expresses personalizadas.
Exemplo: Caso queira bloquear as palavras sexo e nudez, adicione estas
palavras no campo Expresses bloqueadas, se algum usurio tentar acessar um
endereo da Internet que contenha uma dessas palavras, a navegao dele ser
bloqueada.
83
Figura 47 Whitelist personalizada, Lista personalizada de expresses
C. Bloqueamento por exteno de arquivo, Redirecionar arquivo local e Controle de
tempo de acesso
A opo Bloqueamento por exteno habilitada quando se quer bloquear
download de arquivos executveis, compactados, vdeo ou udio.
A opo Redirecionamento arquivo local ativa o redirecionamento de
pedidos de download de arquivo para o repositrio local. Com isso aumenta a
velocidade e a largura de banda da rede.
A opo Controle de acesso rede tem duas opes, a opo Endereos
IP no filtrados (um por linha) para dar privilgio a um usurio para navegar na
Internet sem restries, ou seja, todas as regras contidas no URL Filter no sero
aplicadas para este usurio.
J na opo Endereos IP descartados (um por linha) para bloquear o
acesso de um usurio a Internet, ou seja, o URL Filter ignorar todas as regras e
bloqueia de imediato o usurio.
As opes Controle de tempo de Acesso e Definir cota do usurio so para
definir dias, horas, minutos de acesso a Internet para usurios individualmente.
Todas opes descritas neste item so mostradas na figura 48.
84
Figura 48 Bloqueamento por exteno de arquivo, Redirecionar arquivo local e Controle de
tempo de acesso
D. Configurao de pginas bloqueadas
Nesta opo onde so configuradas as mensagens que iro aparecer para
os usurios que tenham restrio de acesso a Internet. A figura 49 mostra todas as
opes desta tela.
Mostrar categoria de pgina bloqueada: deveria mostrar o nome da
categoria a qual esta pgina foi adicionada para bloqueio. (Bug).
Mostrar URL de pgina bloqueada; mostra a URL da pgina que
tentaram acessar na mensagem.
Mostrar IP de pgina bloqueada; mostra o IP do usurio que tentou
acessar a pgina bloqueada na mensagem.
Use DNS Error para bloquear URLs: se habilitada mostra uma
mensagem no navegador de pgina no encontrada.
Habilitar imagem de background: se habilitada deveria mostrar uma
imagem personalizada de background para a pgina bloqueada. (Bug).
Linha de mensagem 1; insira aqui a 1 mensagem que ser mostrada
para o usurio que tentar acessar algum contedo proibido.
Linha de mensagem 2: insira aqui a 2 mensagem que ser mostrada
para o usurio que tentar acessar algum contedo proibido.
Linha de mensagem 3; insira aqui a 3 mensagem que ser mostrada
para o usurio que tentar acessar algum contedo proibido.
85
Exemplo de mensagem:
ACESSO NEGADO"
Acesso a pgina solicitada foi negada
Por favor, contacte o Administrador da rede caso exista Algum erro".
Figura 49 Configurao de pginas bloqueadas
E. Configuraes avanadas
Estas opes ativam os seguintes servios:
Habilitar listas de expresses: ativa a lista de expresso personalizada.
Habilitar SafeSearch: verificao de palavras-chave, frases, url.
Bloquear ads com janelas em branco: bloqueia anncios e banners
indesejados.
Bloquear sites acessados por esses endereos IP: bloqueia sites
acessados por endereo IP. O mesmo site estar disponvel se
acessado pelo nome de domnio, se no estiver bloqueado por outra
regra.
Bloquear todas as URLs no explicitamente permitidas: bloqueia
acesso a todos os sites, somente os site que estiverem na opo
Whitelist personalizada podero ser acessados.
Habilitar Log: Ativa logs do URL Filter.
Log nome de usurio: inclui o nome do usurio no log.
Repartir log por categorias: divide o log por categoria de Blacklist.
86
Nmero de processos filtrador: quantidade de processos filtrados que
esto ativos, o valor default 5.
Allow custom whitelist for banned clients: todas as solicitaes de
navegao a Internet, de clientes proibidos sero bloqueadas a revelia.
Os clientes proibidos somente podero acessar sites que estiverem
indicados na opo Whitelist personalizada. A opo Habilitar
whitelist personalizada deve estar habilitada.
Salvar: salva todas as configuraes habilitadas no URL Filter.
Salvar e reinicializar: salva todas as configuraes habilitadas no URL
Filter e reiniciar, o servio para ativar as regras.
Todos os servios descritos acima so mostrados na figura 50.
Figura 50 Configuraes avanadas
F. Manuteno de filtro URLs
As opes de manuteno de filtro URL so mostradas na figura 51.
Atualizao de blacklist: faz atualizao de uma blacklist existente no
sistema.
Atualizao automtica da blacklist: habilitando esta opo o sistema
procura na Internet uma blacklist atualizada e baixa automaticamente a
lista, depois de baixada a lista atualizada, clica-se em Salvar
configuraes atualizadas. Tem-se a opo de escolher a baixa
automtica diariamente, semanalmente ou mensalmente, e tambm
87
possui quatro fontes para downloads. Caso queira indicar uma fonte
para download s indicar na opo Fonte URL customizada.
Figura 51 Manuteno de filtro URL
G. Editor blacklist, configurao de backup de filtro URL e Restaurar filtro de
configurao URL
Editor blacklist: serve para incluir uma nova categoria de filtro, editar
uma categoria existente.
Configurao de backup de filtro Url: faz backup de toda blacklist,
incluindo as opes Blacklist personalizada, Whitelist personalizada.
Restaurar filtro de configurao URL: restaura o backup blacklist
Todas essas opes so mostradas na figura 52.
Figura 52 Editor blacklist, Configurao de backup de filtro URL, Restaurar filtro de
configurao URL
88
8.4.3 DHCP
Este menu usado para fazer manutenes no servidor DHCP, tais como,
mudar a faixa de IPs que o servidor DHCP distribui aleatoriamente, atribuir IP fixo a
uma determinada mquina, verificar quais mquinas esto conectadas rede com
IPs distribuidos pelo servidor DHPC.
8.4.4 DNS Dinmico
Esta opo somente configurada para conexes que possuem IPs
dinmicos. A Internet possui um nmero limitado de endereos de IP. Quando se
conecta a um provedor de Internet, o provedor atribui um endereo de IP dinmico
para o computador utilizar enquanto estiver conectado. Se o computador tiver a
necessidade de hospedar um servidor web, ou outro servio qualquer, que exija que
outros computadores o achem na Internet, eles precisam saber qual o seu endereo
IP. Como o IP dinmico muda constantemente fica impossvel que outros
computadores localizem o servidor web, ou outro servio hospedado no computador
que usa IP dinmico.
O servio dns dinmico oferecido por provedores externos, sendo que
alguns desses provedores cobram pelo servio, e outros no. O dns dinmico um
software que atribui um hostname esttico a um endereo de IP dinmico. Assim
quando o provedor de acesso muda o ip dinmico do computador este software
avisa ao provedor de dns dinmico IP novo.
Para configurar esta opo siga os passos abaixo.
A SETTINGS
Para habilitar Dns dinmico marque as opes Consiga o IP pblico real com
a ajuda de um servidor externo, Minimiza atualizaes: antes de uma atualizao,
89
o IP no DNS para [host.]domnio com o IP Vermelho depois clique em salvar.
Conforme mostra a figura 53.
Figura 53 Settings
B ADICIONAR UM HOST
Para adicionar um host tem-se que acessar uns dos servidores externos
cadastrados no IPCOP e abrir uma conta de usurio, depois preencha os campos
Hostname, domnio, Nome do usurio e senha, clique em Adicionar, que so
mostrado na figura 54.
Figura 54 Adicionar um host
90
8.4.5 Editar Hosts
Esta opo adiciona nome aos hosts da rede. Para isso, preencha os campos
Endereo IP do Host, Hostname, Nome do domnio e marque a opo Habilitado,
clique em Adicionar, conforme mostra a figura 55.
Figura 55 Editar hosts
8.4.6 Servidor de Horrio
O servidor de horrio configurado quando se quer que os relgios dos
computadores da rede interna sejam atualizados por um servidor de horas externo.
Esta tarefa pode ser executada automaticamente ou manualmente.
As opes de habilitao do servidor de horrio so mostradas na figura 56.
Marque as seguintes opes, Obtenha a hora de um Servidor de Tempo da
Rede, Fornece hora para a rede local e escolha a forma de execuo
Manualmente ou automtica.
Para habilitar a forma de atualizao manualmente marque somente a opo
Manualmente.
Para habilitar a forma de atualizao automtica marque a opo Cada,
informando que a atualizao ser em horas, dias, semanas ou meses.
91
Figura 56 Servidor de horrio
8.4.7 Controle de Trfego
Esta opo para controlar o trfego entre a Internet e a rede interna, ou
seja, ele prioriza trfego de alguns servios melhorando o desempenho da rede. O
trfego configurado em categorias de prioridades Alta, Mdia e Baixa.
Para habilitar marque a opo Controle de trafego, informe as velocidades
de download e Uplink, escolha qual ser a prioridade da conexo, Alta, Mdia,
Baixa, a porta usada pelo servio e o tipo de protocolo usado por ela, marque a
opo habilitada, e clique em adicionar, conforme mostrado na figura 57.
Figura 57 Controle de Trfego
92
8.4.8 Deteco de Intruso
Um sistema de deteco de intruso, analisa o contedo dos pacotes
recebidos pelo Firewall e procura por cdigos maliciosos conhecidos que possam
prejudicar os computadores da rede interna. O IPCOP usa o Snort para fazer a
deteco de intruso.
Para habilitar esta opo, faa o cadastro no site www.snort.org depois do
cadastro gere o Oink Code, copie e cole o cdigo gerado no campo Oink Code,
como mostra a figura 58. Marque as opes GREEN Snort e RED Snort e Regras
Sourcefire VRT para usurios registrados, depois clicar em Salvar. Para manter o
snort atualizado o administrador do IPCOP recebe frequentemente e-mail sobre
novas regras que esto disponveis para atualizao, e tambm necessrio entrar
na opo Deteco de Intruso e fazer a atualizao manual de novas regras,
clicando em Baixar novo conjunto de regras e finalmente em Aplicar agora.
Figura 58 Deteco de intruso
8.5 FIREWALL
O menu Firewall importantssimo, pois nele esto servios essencias para a
segurana do sistema e de toda a rede. Atravs dele pode-se adicionar regras
93
ipatbles, fazer bloqueios de portas, servios e redirecionamentos de portas, permitir
acesso de usurios externos rede interna. A figura 59 apresenta as opes do
menu firewall, sendo elas:
FORWARDING DE PORTA;
ACESSO EXTERNO;
OPES DO FIREWALL;
BLOCK OUTGOING TRAFFIC;
ADVANCED BOOT CONFIG.
Figura 59 Menu Firewall
8.5.1 Forwarding de Porta
Nesta opo onde so feitos os redirecionamentos de portas. Se h um
servio na rede interna e algum tem que acessar este servio atravs da Internet
este servio s ser acessvel se for feito o redirecionamento da porta para o
computador que estiver instalado o servio.
Por exemplo, tem-se um Servidor Windows 2003 na rede interna e este
servidor est rodando o servio Terminal Server, para que usurios acessem este
servio da Internet, preciso redirecionar a porta para o IP do Servidor Windows
2003. O Terminal Server usa a porta 3389 TCP e UDP para redirecionar faz-se o
seguinte: No campo Porta de Origem digite o numero da porta 3389, no campo IP
94
de destino informa-se o endereo IP do Servidor Windows 2003. Em Porta de
destino informe a porta 3389, em Observao digite o nome do servio que esta
sendo feito o redirecionamento Terminal Server, marque a opo Habilitado,
depois s clicar em Adicionar, repita o procedimento s mudando a opo
Protocolo para UDP. A figura 60 mostra todas essas opes.
Figura 60 Forwarding de porta
8.5.2 Acesso Externo
Esta opo libera a entrada de um servio da Internet para a rede interna, no
captulo 8.5.1 foi configurado o redirecionamento de portas do servio de Terminal
Server, no adianta nada configurar o redirecionamento de porta se esta opo no
for configurada.
Para liberar o acesso externo digite na opo Porta de destino o nmero da
porta que est sendo liberada, no caso a porta 3389, marque a opo Habilitado,
no campo Observao digite o nome do servio Terminal Server e clique em
adicionar, repita o procedimento mudando somente a opo TCP, para UDP,
conforme mostra a figura 61.
95
Figura 61 Acesso externo
8.5.3 Opes do Firewall
Esta opo bloqueia a entrada do comando ping da Internet para interface
Red (IPCOP), e da interface Green (rede interna) para a interface Red (IPCOP).
Para habilitar esta opo marque a opo desejada, e depois clique em Salvar,
como mostra a figura 62.
Figura 62 Opes do Firewall
8.5.4 Block Outgoing Traffic
Esta opo controla o trfego entre as interfaces GREEN e RED (origem,
destino, servios, etc) ela controla quais servios da Internet podem ser utilizados
pelos computadores da rede interna. As regras so criadas usando uma interface
96
WEB bastante intuitiva e, claro, disponvel atravs da pgina de administrao do
IPCOP.
Segundo Gaspar (2006) as principais caractersticas do Block Outgoing Traffic
so:
Fcil interao com as regras atravs de uma pgina WEB;
Controle do trfego que vai ou passa atravs do IPCOP;
Possibilidade de criar restries de Trfego por endereos MAC, IP e
interfaces;
Cadastro de objetos (p. ex: endereos, servios e interfaces);
Cadastro de grupos de endereos e de servios;
Regras com restries de tempo (p. ex: intervalo de hora ou dia da
semana para ser aplicada);
Controle de acesso para rede BLUE (Wireless);
Controle e monitorao do trfego das regras atravs de Logs do
Firewall.
Para configurar clique na opo Editar, ir aparecer a tela de configurao,
preencha os seguintes campos, Admin MAC, com o endereo MAC do computador
que ir administrar o IPCOP, o campo HTTPS Port (Default is 445) com o nmero
de porta 445, que porta de acesso pgina de administrao do IPCOP. Se a rede
interna tiver algum tipo de servio que acessado pela Internet, marque a opo
Connection state:, pois ela permitir o trfego de uma conexo j existente.
Marque a opo Logging:, para criar registros ou logs do trfego que no
coincidir com as regras configuradas no Block Outgoing Traffic, no campo Default
Deny action:, escolha qual ser a poltica que o Block Outgoing Traffic ir trabalhar,
lembrando que a poltica DROP bloqueia os pacotes tanto de entrada quanto de
sada sem enviar um aviso. A poltica REJECT tambm bloqueia os pacotes de entra
ou sada, mas envia uma mensagem ICMP informando que o destino foi
unreachable (Inalcanvel).
A opo Advanced Mode: para acrescentar regras avanadas para
customizar as necessidades da rede, s habilite esta opo se o administrador do
IPCOP tiver bastante conhecimento sobre firewalls, pois esta opo abre o firewall.
97
Marque a opo Check for BlockOutTraffic updates, para o sistema avisar
caso seja disponibilizado uma nova verso, ou atualizao deste servio.
Para continuar a configurao do BlockOutTraffic, necessrio fazer a
configurao do captulo 8.5.5 e depois voltar a este captulo.
Terminadas as configuraes do captulo 8.5.5 clica-se no menu FIREWALL
na opo BLOCKOUTGOINGTRAFFIC para abrir a pgina onde so adicionadas
as regras para o BlockOutTraffic.
Segundo Gaspar (2006) a pgina New Rule divida sees:
1. Origem: identifica a origem do pacote com as opes:
Default Interface;
Adress Format (IP ou MAC) e Source Address (Endereo de origem
IP/MAC);
Redes Padres: Rede de origem, padro rede GREEN;
Custom Address: Endereos (hosts) cadastrados pelo usurio;
Address Group: Grupos de endereos (hosts) criados pelo usurio;
Invert (excluso): altera o sentido da regra em relao ao endereo
digitado, ou seja, serve para excluir o argumento da regra. No caso do
endereo, refere-se a qualquer endereo de entrada, exceto o
endereo ou grupo identificado.
2. Destino: identifica o destino do pacote com as opes:
IPCop Access: acesso ao Firewall IPCop;
Other Network/Outside: outra rede, cujo padro Any(qualquer
destino), Custom address (um host especfico), Address Group (um
grupo especfico de hosts), Destination IP or Network (o campo pode
ser preenchido com um endereo de um host ou rede);
Invert (excluso): idntico a opo Source. No caso do destino, refere-
se a qualquer endereo de destino, exceto o endereo, rede ou grupo
identificado;
Use Service: pode conter a opo Service Groups (quando o usurio
cadastra grupos de servios), Custom Services (para servios
98
cadastrados) e Default Services (para servios cadastrados por
padro no IPCop).
3. Additional:
Rule enable (habilitar a regra): voc pode apenas cadastrar a regra,
sem no entanto, habilit-la. Se marcar esta opo, a regra ficar ativa
automaticamente aps o cadastro;
Log rule (Log da regra): marque esta opo se desejar registrar em Log
o trfego da regra;
Rule Action: Ao a ser aplicada regra (ACCEPT ou DROP);
Remark: Comentrio sobre a regra.
4. Timeframe: habilitando a opo Add Timeframe voc pode escolher o
intervalo de dias do ms, o dia a semana, ou intervalo de hora em que a regra estar
ativa. Obs. os campos seguidos por uma bola azul ( ) so opcionais.
Para permitir que a rede GREEN use os servios do IPCOP selecione:
Origem (source):
Default interface: Green
Redes Padres: Green Network
Destino (destination):
IPCop access
Marque a opo "use Service", e em "Service Group", escolha a opo
"IPCOP_ADMIN" ( grupo que foi definido anteriormente para os
servios relacionados ao IPCop), clique em Salvar para adicionar a
regra.
Para habilitar o BlockOutTraffic clique em Settings, depois em Enable
BOT.
99
Figura 63 Block Outgoing Traffic
8.5.5 Advanced Bot Config
Atravs do Advanced Bot Config pode-se criar um cadastro de servios e
endereos (servios e endereos so objetos que guardam informaes globais
sobre nmeros de portas/protocolos e endereos de hosts) que no sejam padro
do programa. A seo Default services settings contm um cadastro padro de 250
servios, caso haja necessidade de adicionar um servio pode-se faz-lo atravs da
opo Services settings.
Para terminar a configurao do captulo 8.5.4 tem que ser adicionado os
servios ssh, https e proxy. Estes servios so para administrar o IPCOP quando o
Block OuttTraffic for ativado.
Caso as configuraes do captulo 8.5.4 sejam ativadas sem que sejam
adicionados os servios ssh, https e proxy, a administrao via Web do IPCOP no
sera acessada pelo navegador, causando grandes transtornos, pois para restaurar
as configuraes padres tero que ser feitas pela interface texto do IPCOP, e por
uma pessoa que tenha conhecimentos avanados.
Adicionando os servios ssh, https e proxy.
No campo Servio de Nome digite o primeiro servio a ser adicionado, no
campo Portas digite a porta usada pelo servio e no campo Protocolo, assinale
que tipo de protocolo o servio usa, clique em Adicionar para salvar a
configurao, repita o processo para os outros dois servios.
100
Exemplo:
Nome do Servio Porta Protocolo
Ipcop_https 445 TCP
Ipcop_proxy 3128 TCP
Ipcop_ssh 222 TCP
Alm de cadastrar servios, pode-se agrupar os servios em um nico objeto.
A seguir so descritos os servios que podem acrescentados:
Criar grupos de servios (Service Grouping): agrupar os servios
cadastrados;
Cadastro de hosts (Address Settings) atravs do endereo (IP ou
MAC);
Criar grupos de Endereos (Address Grouping): agrupar os objetos de
endereo;
Adicionar uma nova interface: cadastrar uma nova interface (p. ex
VPN).
Para agrupar os servios adicionados selecione a opo Service Grouping
no menu dropdown, clique na opo Show Firewall Config, ir aparecer a pgina
onde se faz o agrupamento dos servios.
Selecione a opo Service Group name: e informe um nome para o
agrupamento. Exemplo, IPCOP_ADMIN. Selecione a opo Servios
personalizados:, clique em Adicionar.
Este procedimento cria o agrupamento IPCOP_ADMIN, e j inclui o servio
Ipcop_https dentro grupo IPCOP_ADMIN, agora adicione os servios, Ipcop_proxy,
Ipcop_ssh no grupo IPCOP_ADMIN, selecione o marque o grupo no menu
dropdown Service Group name, no menu dropdown Servios personalizados
selecione um dos servios que falta adicionar ao grupo, e clique em Adicionar,
repita este procedimento para o outro servio.
Terminada esta etapa, volta-se ao captulo 8.5.4, para adicionar a regra que
permite administrar o IPCOP e a regra que permite aos usurios da rede interna
acessarem a Internet, depois que o BlockOutTraffic for habilitado.
101
Figura 64 Advanced Bot Config
8.6 LOGS
Este menu na instalao padro contm 6 tipos de logs, que so,
Configurao do Log, Resumo do Log, Logs do Proxy, Logs do Firewall, Logs do IDS
e Logs do sistema. A quantidade de logs deste menu aumenta quando instalado
um addon no sistema, e ele possui Log ser acrescentado a este menu, exemplo
disso o Logs de filtros URL, que foi acrescentado ao menu quando foi instalado o
addon ipcop-urlfilter-1.9.
Os logs so essenciais ao sistema, pois atravs deles que o administrador
do sistema pode saber se o sistema est funcionando normalmente, e vigiar o
trfego entre a rede interna e a Internet e tambm saber o que os usurios da rede
interna andam fazendo na Internet. A seguir ser mostrado para que serve cada um
dos logs.
102
8.6.1 Configurao do Log
A Configurao do Log possui 3 nveis de configuraes sendo, opes de
visualizao do log, Resumos do Log, Registro remoto. A figura 65 mostra a tela de
configurao do log.
Opes de visualizao do log:
Ordenado em ordem cronolgica inversa: ordenar a ordem de
apresentao do log.
Linhas por pgina: a quantidade de linhas que sero apresentadas
no resumo do Log.
Resumos do Log:
Manter sumrios por quantidade de dias que os logs sero mantidos no
sistema.
Nvel de detalhe: Qual nvel de detalhe se baixo, mdio ou alto.
Registro remoto:
Habilitado: habilita o envio do log para um servidor de log remoto.
Servidor Syslog: endereo do servidor remoto.
Figura 65 Configurao do Log
103
8.6.2 Resumo do Log
O Resumo do Log mostra para o administrador do sistema a quantidade de
pacotes (TCP, UDP, ICMP) que transitou na rede, de onde se originou o pacote e
qual o seu destino, informa tambm as portas usadas, a interface de origem e o
endereo IP de destino.
Figura 66 Resumo do Log
8.6.3 Logs do Proxy
O Logs Proxy mostra a hora, o endereo IP da mquina do usurio da rede
interna e o endereo do Website que ele acessou ou tentou acessar.
Figura 67 Logs de Proxy
104
8.6.4 Logs do Firewall
A opo Logs do Firewall mostra detalhadamente o trfego no firewall. E
mostrada a hora, a poltica adotada pelo firewall, qual a interface que originou o
trfego, qual o protocolo usado, qual IP que originou o trfego, qual a porta de
origem. Se o trfego foi originado por uma mquina da rede interna, mostrado o
endereo MAC da mquina que originou o trfego, o endereo IP de destino, a porta
e o servio de destino. Conforme a figura 68.
Figura 68 Logs do Firewall
8.6.5 Logs do IDS
A opo Logs do IDS mostra as tentativas de invaso rede interna. Este log
mostra os endereos IPs e porta que originaram a tentativa de invaso, mostra o
endereo IP e a porta da mquina que sofreu a tentativa de invaso.
Figura 69 Logs do IDS
105
8.6.6 Logs do Filtro URL
O Logs do Filtro URL mostra os sites acessados na Internet, pelos usurios
da rede interna. Ele mostra a hora que o usurio acessou o site, a categoria que
este site pertence, o endereo IP da mquina que tentou acessar o site e o endereo
URL do site.
Figura 70 Logs do Filtro URL
8.6.7 Logs do Sistema
O Logs do Sistema mostra a hora que um servio teve erro de
funcionabilidade, ou se o servio foi desativado, ou ativado.
Figura 71 Logs do sistema
9 CONCLUSES
A segurana das informaes vital para a sobrevivncia de qualquer
organizao. Ainda mais nos dias de hoje, quando as empresas se lanam na
Internet fazendo com que suas informaes trafeguem neste meio, sem nenhum tipo
de segurana. Proteger-se de hackers, vrus e outras ameaas um ponto que
dever ser lembrado e que a segurana deve ser encarada como um processo
contnuo.
Muitas empresas erram gravemente adotando o software proprietrio, como a
nica forma de soluo de segurana aumentando seus custos. Em muitos casos
empresas simplesmente ignoram essa segurana, por causa do alto custo de
implantao atravs de software proprietrio e migram para a pirataria. Estas
empresas tm pensamentos errneos a respeito de software livre, pois a grande
discusso sobre software livre no ambiente corporativo tem sido qual sua vantagem
(ou desvantagens) de custo, difcil implantao.
O objeto desse trabalho foi mostrar que IPCOP FIREWALL uma ferramenta
poderosa, intuitiva, de fcil implantao, podendo ajudar na segurana de micros e
pequenas empresas contra os perigos que Internet propicia nos dias atuais
A contribuio deste trabalho foi mostrar que IPCOP Firewall evita e diminui
os perigos que a Internet oferece.
Como trabalhos futuros, pretende-se estender este manual, mostrando a
implementao de outros addons.
REFERNCIAS
BRASIL. Lei n. 9.609 de 19 de fevereiro de 1998. Dispe sobre a proteo da
propriedade intelectual de programa de computador, sua comercializao no
Pas, e d outras providncias. Braslia, DF19 fev. 1998. Disponvel em
<http://www.planalto.gov.br/ccivil/Leis/L9609.htm>. Acesso em: 01 maio 2007.
FREE SOFTWARE FOUNDATION, The Free Software Definition. Boston. 2007.
Disponvel em: <http://www.gnu.org/philosophy/free-sw.html>. Acesso em: 01 maio
2007.
GOLDCHLEGER, Andrei. Open source Vs Cdigo fechado. Disponvel em
<http://www.ime.usp.br/~is/ddt/mac339/projetos/2001/demais/andrei/>. Acesso em:
27 maio 2007.
TANENBAUM, Andrew S. Sistemas Operacionais Modernos. Traduo de
Ronaldo A. L. Gonalves, Luis A. Consularo. So Paulo: Prentice Hall, 2003. 707
TIBET, Chuck V. Linux Administrao e Suporte. So Paulo: Novatec Editora
Ltda., 2001. 379 p.
FERRETTO, Luiz Filipe Fagundes, et al. Implementaes bsicas de segurana
para ambientes com processamentos crticos. Braslia: UNEB. 2002. Disponvel
em<http:www.eln.gov.br/Conhecimento/GestaodoConhecimento/monografia_Rute.d
oc>. Acesso em: 01 de Ago. 2007.
COLLE,Andrew Del, et al. Prejuzos causados as organizaes por acessos a
contedos indevidos. Curitiba: SPEI. 2006. Disponvel em
<http://www.assespropr.org.br/uploadAddress/Prejuizos_Causados_pelo_acesso_a_
conteudos_indevidos.pdf>. Acesso em: 17 de Ago. 2007.
GASPAR, Antonio Edivaldo de O, Iniciando a configurao do Boot. 2006.
Disponvel em <http://blockouttraffic.de/files/GettingStarted_ptBr.pdf>. Acesso em:
25 set. 2007.
IPCop Mission Statement
<http://www.ipcop.org/index.php?module=pnWikka&tag=IPCopMissionStatement>.
Acesso em: 02 out. 2007.
IPCop 1.4.x Features
<http://www.ipcop.org/index.php?module=pnWikka&tag=IPCop14xFeatures>.
Acesso em: 02 out. 2007.
Administrative Guide
Copyright 2002-2004 Chris Clancey, Harry Goldschmitt, John Kastner, Eric
Oberlander, Peter Walker
<http://www.ipcop.org/1.4.0/en/admin/html/ >. Acesso em : 02 out. 2007.
IPCOP_BANNER_HALF_SIZE. GIF. Altura: 234 pixels. Largura: 60 pixels., 96 dpi 8
BIT CMYK. 3.741 Bytes. Formato GIF. Disponivel em:
<http://www.ipcop.org/index.php?module=pnWikka&tag=IPCopArt>. Acesso em: 02
out. 2007.