Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Wagner Elvio
18 de Maio de 2015
Objetivo: Apresentar os conceitos sobre rewall, suas caractersticas, funcionalidades e seguranas adicionais.
Apresentar tambm o servio de DHCP.
proteger os dados de uma rede de computadores contra aes de invasores (hackers ) ou pragas digitais.
Ele separa a rede de dados de uma empresa da rede externa (A Internet ), utilizando polticas de
seguranas.
Essas polticas de segurana tem por objetivo garantir a integridades dos dados e as informaes de
a. Polticas de negar tudo e liberar o que for apenas o necessrio na rede de computadores da
empresa.
b. Aberturas de portas TCP e UDP apenas para as aplicaes existentes dentro da rede de computadores da empresa.
c. Autorizao de login de usurio oriundos da rede externa.
d. Polticas contra spam, antivrus e outras pragas digitais(Ex. Malwares, Phishing e Adwares )
Informando que:
a.
b.
Phishing: um tipo de golpe eletrnico cujo objetivo o furto de dados pessoais, tais como
c.
Adware: um tipo de golpe eletrnico cujo objetivo o furto de dados pessoais, tais como
A Figura 1 apresenta um layout de uma rede corporativa com um rewall na entrada e com polticas
Observa-se que entre a rede mundial de computadores (A Internet ) e os servidores da empresa ( Servidor
de E-mail, Servidor Web, Banco de dados e servidor de arquivos) h um Firewall com um conjunto de
politicas da empresa.
Appliance.
de regras que controlam o uxo de entrada e sada de informaes e do grau de segurana desejado.
Caractersticas:
a.
b.
c.
d.
1.2
um sistema operacional Linux ou Unix e congura para transforma-lo em uma rewall de rede. Essas
conguraes devem atender aos seguintes requisitos:
a. A politica de uso da empresa.
b. Criao de regras no rewall para habilitar apenas ao trfego e as aplicaes necessrias da rede
de computadores da empresa.
c. Congurao de regras contra spam e anti-vrus.
386BSD
FreeBSD
NetBSD
OpenBSD
DragonFly BSD
a. Um sistema de Antivrus e
b. Um IDS ( Intrusion detection system )
H antivrus pagos e alguns gratuitos para ser utilizados em rede.
O clamav, um tipo de antivrus gratuito e que pode ser utilizado em rede de computadores com o
2.1
Um IDS (Intrusion Detection System ) ou Sistema de Deteco de Intruso tem por nalidade
analisar o comportamento em uma rede computadores. Ele trabalha com um sistema que alerta o
administrator ou o prprio sistema quando da ocorrncia de tentativas de intruses na rede, com uso de
conhecimentos listados em uma base de dados(como por exemplo assinatura de ataques, comportamento
diferente do esperado).
rewall limita-se a bloquear portas de servios que no estejam em uso em uma rede, enquanto que um
IDS realiza a analise do trfego na rede em todas as portas de servios disponveis em um sistema, ele
detecta os ataques realizados contras portas e servios legtimos (como por exemplo, podemos citar as
portas TCP: 25, 80, 110 e 4433 e as portas UDP: 53 e 1234 ).
Os servios listados para essas portas podem sofrer ataques que no sero barrados pelo rewall, haja
vista que essas portas so legtimas. Entretanto, o trfego de rede em todas essas portas pode ser
capturado e analisado por um IDS e dependendo das regras que o IDS possuir, o mesmo poder
responder ao invasor com o bloqueio da porta para o IP do atacante.
Na Figura, mostra-se um cenrio com o comportamento do trfego em uma rede corporativa, onde
um rewall e um IDS trabalham em conjunto para melhor proteger a rede corporativa. Observa-se na
Figura que todo trfego que vem da Internet passar pelo rewall que poder bloquear a conexo, caso
a porta(TCP e/ou UDP) no esteja liberada no rewall ou poder permitir sua conexo, para portas
(TCP e/ou UDP) liberadas no rewall.
A conexo liberada pelo rewall ser enviada ao IDS que far a anlise desse trfego de rede e consequentemente permitir a passagem do trfego legtimo e aquele trfego suspeito ou com anormalidades
ser analisado e logo em seguida ser efetuada uma reao de proteo para a rede.
Captura de dados: Necessita ter um sistema de captura de dados da rede ou em algum arquivo
de log em um sistema;
Anlise de dados: Necessita ter um sistema que realizar a anlise dos dados capturados com
base em assinaturas de ataques j conhecidas e registradas em uma base de dados. Tambm
realizar anlise em atividades consideradas fora do padro de normalidade de uso da rede;
3 A porta 25 oferece o servio de SMTP, a porta 80 oferece servio para o servidor web, a porta 110 oferece servio para o
servidor POP e a porta 443 fornece servio para uma conexo segura para servidores web.
4 As portas 53 e 123, fornecem os servios de resoluo de nomes e sincronizao do horrio nos relgios dos computadores,
respectivamente
Base de dados: Necessita ter uma base de dados para registrar informaes sobre tipos de
assinatura de ataques j conhecidos e fornecer respostas a consulta realizadas pelo sistema de
anlise de dados;
Atualizao na base de dados: Far a atualizao em uma base de dados, das ocorrncias
capturadas e consideradas como atividades suspeitas;
Mdulo de reao: Esse mdulo ter a capacidade de realizar aes de resposta a um ataque
realizando aes como: alteraes nas regras do rewall, emisso de alarme, gerao dos eventos
ocrridos em relatrios ou em um arquivo de registro desses eventos(Arquivo de log ).
2.2
rede. Esse segmento de rede pode ser uma rede de um laboratrio de pesquisa, uma rede de uma
rea administrativa ou em uma DMZ(DeMilitarized Zone ), que uma rea onde se localizam todos os
servidores onde os aplicativos da empresa so executados(como servidor web, servidor com banco de
dados, servidor de arquivos, servidor de DNS, servidor de correio eletrnico e outros servios em uma
rede corporativa). Entretanto, pode-se instalar esse NIDS na entrada da rede em uma posio anterior
ou posterior ao rewall da rede. Uma desvantagem nesse caso, reside na grande quantidade de dados
a serem analisados, pois o NIDS estar escutando todo o trfego da rede. O NDIS5 pode facilmente
ser instalado em um segmento de rede onde existe um switch com essa tecnologia de SPAN disponvel,
sem causar maiores impactos na performance da rede.
Na Figura 5, mostra-se um NDIS instalado em um segmento de rede, localizado logo aps o rewall,
utilizando-se da tecnologia SPAN de um switch. Nessa Figura observa-se que todo o trfego de rede que
sai do rewall e entra na porta 1 do switch copiado para a porta 2, onde encontra-se instalado o
NDIS, que realizar a captura e anlise dos pacotes da rede. Uma alternativa para esse caso apresentado
na Figura 5, caso o switch no tivesse a tecnologia de espelhamento de trfego (a SPAN ), seria fazer
com que todo o trfego nesse segmento passasse pelo NDIS, o que poderia afetar o desempenho na rede,
pois todo o trfego de dados precisaria primeiro ser analisado pelo NDIS para depois ser liberado para
a rede.
2.3
O IDS baseado em anlise de host, o HIDS, consiste na anlise dos logs do Hosts monitorados. Esses
logs, referem-se aos registros dos servios ou daemons em um sistema operacional e no comportamento
das atividades em um host.
A Figura 6 apresenta um HIDS.
rewall.
Aps importar a
Appliance do Windows XP, faa as seguintes conguraes utilizando o VirtualBox no item Rede deste cliente:
Aps importar a
Aps inserir esse valores no arquivo /etc/network/interfaces, digite o seguinte comando: ifup eth1
Digite o comando: ifcong -a e veja quais as informaes que aparecem na interface eth1
Reinicie as interfaces de rede eth0 e eth1
Qual o comando utilizado?
Responda as seguintes questes:
arno-iptables-rewall
/proc/sys/net/ipv4/ip_forward
a) Qual o contedo deste arquivo?
arno-iptables-rewall
rcconf e ccze
/proc/sys/net/ipv4/ip_forward
Imagine congurar manualmente a interface de rede de 200 hosts em uma rede de com-
putadores diariamente.
Instalao:
s u b n e t 1 9 2 . 1 6 8 . 2 4 0 . 0 netmask 2 5 5 . 2 5 5 . 2 5 5 . 0 {
range 1 9 2 . 1 6 8 . 2 4 0 . 1 0 0 1 9 2 . 1 6 8 . 2 4 0 . 2 4 0 ;
o p t i o n domainname s e r v e r s 8 . 8 . 8 . 8 ;
option routers 1 9 2 . 1 6 8 . 2 4 0 . 1 ;
o p t i o n b r o a d c a s t a d d r e s s 1 9 2 . 1 6 8 . 2 4 0 . 2 5 5 ;
default l e a s e time 6 0 0 ;
max l e a s e time 7 2 0 0 ;
INTERFACES=" e t h 1 "
DHCP.
Teste a conexo com a Internet com esse cliente e veja se realmente foi atribudo um IP dinmico a
este host.
Acesse um site na web para ter certeza que o o cliente com o Windows XP est conseguindo navegar
na Internet.
10
9 Lista de exerccios
Questes:
a. Faa uma breve descrio sobre um Firewall, apresentando suas funcionalidades, tipos de sistemas
operacionais utilizados na construo do mesmo.
Resposta:
b. Alm do Appliance com SonicAll, pesquise e liste quais outros Appliances comercializados.
Resposta:
c. Em uma empresa de mdio porte e que necessita utilizar os servios de correio eletrnico (e-mail ),
servio de DNS, servidor de DHCP, pginas web de sua empresa e servios de NTP. Quais as
portas que devem ter sua passagem liberada no rewall desta empresa para que estes serviso
funcionem?
Resposta:
d. Descreva qual a importncia do uso de um servidor de DHCP em uma rede de grande porte com
quase trs centenas de hosts para acessar a Internet?
Resposta:
11
10 Referncias Bibliogrcas
Firewall. Disponvel em:
http://www.inf.unioeste.br/ guilherme/cursos/projens/rewall.pdf.
Acesso em 03 de Maio de 2015.
http://www.mlaureano.org/guias-e-tutoriais/rewall-no-linux-com-iptables/.
Acesso em 04 de Maio de 2015.
http://pt.wikipedia.org/wiki/Adware.
Acesso em 04 de Maio de 2015.
www.techtudo.com.br/artigos/noticia/2012/01/o-que-e-phishing-e-malware.html.
Acesso em 05 de Maio de 2015.
12