Curso de Ps-Graduao em Engenharia de

Telecomunicaes e Redes de Computadores

Disciplina 19: Gerenciamento e

Segurana de Redes
Prof.

Wagner Elvio

18 de Maio de 2015

Objetivo: Apresentar os conceitos sobre rewall, suas caractersticas, funcionalidades e seguranas adicionais.
Apresentar tambm o servio de DHCP.

1 Informaes sobre o Firewall

Um Firewall uma soluo de segurana baseada em hardware ou em Software que possui o objetivo de

proteger os dados de uma rede de computadores contra aes de invasores (hackers ) ou pragas digitais.

Ele separa a rede de dados de uma empresa da rede externa (A Internet ), utilizando polticas de

seguranas.

Essas polticas de segurana tem por objetivo garantir a integridades dos dados e as informaes de

usurios em uma rede corporativa.

Essas polticas podem ser enumeradas como:

a. Polticas de negar tudo e liberar o que for apenas o necessrio na rede de computadores da
empresa.
b. Aberturas de portas TCP e UDP apenas para as aplicaes existentes dentro da rede de computadores da empresa.
c. Autorizao de login de usurio oriundos da rede externa.
d. Polticas contra spam, antivrus e outras pragas digitais(Ex. Malwares, Phishing e Adwares )
Informando que:

a.

Malware: um programa que tem por objetivo capturar informaes de um computador de

forma ilcita ou, ainda, danicar o sistema.

b.

Phishing: um tipo de golpe eletrnico cujo objetivo o furto de dados pessoais, tais como

c.

Adware: um tipo de golpe eletrnico cujo objetivo o furto de dados pessoais, tais como

nmero de CPF e dados bancrios.

nmero de CPF e dados bancrios.

 A Figura 1 apresenta um layout de uma rede corporativa com um rewall na entrada e com polticas

de segurana a serem utilizadas nos servidores da empresa.

Observa-se que entre a rede mundial de computadores (A Internet ) e os servidores da empresa ( Servidor

de E-mail, Servidor Web, Banco de dados e servidor de arquivos) h um Firewall com um conjunto de
politicas da empresa.

Figura 1: Firewall em uma rede corporativa

1.1

Firewall baseado em Hardware

A combinao de um software1 de rewall customizado em um hardware 2 chamado tecnicamente de

Appliance.

A complexidade de instalao depende do tamanho da rede, da poltica de segurana, da quantidade

de regras que controlam o uxo de entrada e sada de informaes e do grau de segurana desejado.

Caractersticas:

a.
b.
c.
d.

Segurana em rede de computadores elevada.

Possui poltica de controle de trfego toda customizada.
Possui politicas e assinatura de anti-spam, anti-vrus e outras pragas digitais.
Custo elevado (Em torno de R$ 100.000,00 ou mais)

Detalhe de um applicance da Sonicall.

Figura 2: Appliance da Sonicall

1 O Software nesse caso refere-se a um sistema operacional customizado.

2 O Hardware nesse caso refere-se a um hardware customizado.

1.2

Firewall baseado em Software

Os rewall baseado em software, so aqueles em que um administrador do sistema da rede, utiliza-se de

um sistema operacional Linux ou Unix e congura para transforma-lo em uma rewall de rede. Essas
conguraes devem atender aos seguintes requisitos:
a. A politica de uso da empresa.
b. Criao de regras no rewall para habilitar apenas ao trfego e as aplicaes necessrias da rede
de computadores da empresa.
c. Congurao de regras contra spam e anti-vrus.

Os sistema operacionais utilizado para a construo de rewall so estes:

a. As distribuies GNU/Linux (Debian, Ubuntu Server, RedHat, Fedora, Slackware,

OpenSUSE)
b. Este utilizam o software iptables para a implementao de seus rewalls
As distribuies baseadas no BSD (Berkeley Software Distribution ) que um Sistema Operacional

UNIX desenvolvido pela Universidade de Berkeley, na Califrnia e so estas:

a.
b.
c.
d.
e.

386BSD
FreeBSD
NetBSD
OpenBSD
DragonFly BSD

2 Segurana adicionais no Firewall

Os rewalls podem utilizados com outras ferramentas de segurana para aumentar ainda mais o nvel

de proteo em uma rede.

Essas ferramentas so:

a. Um sistema de Antivrus e
b. Um IDS ( Intrusion detection system )
H antivrus pagos e alguns gratuitos para ser utilizados em rede.
O clamav, um tipo de antivrus gratuito e que pode ser utilizado em rede de computadores com o

Firewall mais um IDS ( Intrusion detection system )

H o IDS de rede e de host.

A Figura 3, mostra-se um Firewall mais um IDS, onde pode-se observa-se o comportamento da ao

do Firewall mais a ao do IDS.

2.1

IDS - Intrusion Detection System

Um IDS (Intrusion Detection System ) ou Sistema de Deteco de Intruso tem por nalidade

analisar o comportamento em uma rede computadores. Ele trabalha com um sistema que alerta o
administrator ou o prprio sistema quando da ocorrncia de tentativas de intruses na rede, com uso de
conhecimentos listados em uma base de dados(como por exemplo assinatura de ataques, comportamento
diferente do esperado).

Figura 3: Edio de arquivo com o editor pico.

Um IDS junto com o rewall tem a capacidade de melhor proteger uma rede de computadores. O

rewall limita-se a bloquear portas de servios que no estejam em uso em uma rede, enquanto que um
IDS realiza a analise do trfego na rede em todas as portas de servios disponveis em um sistema, ele
detecta os ataques realizados contras portas e servios legtimos (como por exemplo, podemos citar as
portas TCP: 25, 80, 110 e 4433 e as portas UDP: 53 e 1234 ).
Os servios listados para essas portas podem sofrer ataques que no sero barrados pelo rewall, haja
vista que essas portas so legtimas. Entretanto, o trfego de rede em todas essas portas pode ser
capturado e analisado por um IDS e dependendo das regras que o IDS possuir, o mesmo poder
responder ao invasor com o bloqueio da porta para o IP do atacante.
Na Figura, mostra-se um cenrio com o comportamento do trfego em uma rede corporativa, onde
um rewall e um IDS trabalham em conjunto para melhor proteger a rede corporativa. Observa-se na
Figura que todo trfego que vem da Internet passar pelo rewall que poder bloquear a conexo, caso
a porta(TCP e/ou UDP) no esteja liberada no rewall ou poder permitir sua conexo, para portas
(TCP e/ou UDP) liberadas no rewall.
A conexo liberada pelo rewall ser enviada ao IDS que far a anlise desse trfego de rede e consequentemente permitir a passagem do trfego legtimo e aquele trfego suspeito ou com anormalidades
ser analisado e logo em seguida ser efetuada uma reao de proteo para a rede.

Figura 4: Firewall mais IDS

Um sistema IDS deve possuir as seguintes caractersticas:

 Captura de dados: Necessita ter um sistema de captura de dados da rede ou em algum arquivo
de log em um sistema;
 Anlise de dados: Necessita ter um sistema que realizar a anlise dos dados capturados com
base em assinaturas de ataques j conhecidas e registradas em uma base de dados. Tambm
realizar anlise em atividades consideradas fora do padro de normalidade de uso da rede;
3 A porta 25 oferece o servio de SMTP, a porta 80 oferece servio para o servidor web, a porta 110 oferece servio para o
servidor POP e a porta 443 fornece servio para uma conexo segura para servidores web.
4 As portas 53 e 123, fornecem os servios de resoluo de nomes e sincronizao do horrio nos relgios dos computadores,
respectivamente

 Base de dados: Necessita ter uma base de dados para registrar informaes sobre tipos de
assinatura de ataques j conhecidos e fornecer respostas a consulta realizadas pelo sistema de
anlise de dados;
 Atualizao na base de dados: Far a atualizao em uma base de dados, das ocorrncias
capturadas e consideradas como atividades suspeitas;
 Mdulo de reao: Esse mdulo ter a capacidade de realizar aes de resposta a um ataque
realizando aes como: alteraes nas regras do rewall, emisso de alarme, gerao dos eventos
ocrridos em relatrios ou em um arquivo de registro desses eventos(Arquivo de log ).
2.2

IDS na Rede - NIDS

O IDS baseado em rede de computadores, o NDIS, consiste em instalar um IDS em um segmento de

rede. Esse segmento de rede pode ser uma rede de um laboratrio de pesquisa, uma rede de uma
rea administrativa ou em uma DMZ(DeMilitarized Zone ), que uma rea onde se localizam todos os
servidores onde os aplicativos da empresa so executados(como servidor web, servidor com banco de
dados, servidor de arquivos, servidor de DNS, servidor de correio eletrnico e outros servios em uma
rede corporativa). Entretanto, pode-se instalar esse NIDS na entrada da rede em uma posio anterior
ou posterior ao rewall da rede. Uma desvantagem nesse caso, reside na grande quantidade de dados
a serem analisados, pois o NIDS estar escutando todo o trfego da rede. O NDIS5 pode facilmente
ser instalado em um segmento de rede onde existe um switch com essa tecnologia de SPAN disponvel,
sem causar maiores impactos na performance da rede.

Na Figura 5, mostra-se um NDIS instalado em um segmento de rede, localizado logo aps o rewall,

utilizando-se da tecnologia SPAN de um switch. Nessa Figura observa-se que todo o trfego de rede que
sai do rewall e entra na porta 1 do switch copiado para a porta 2, onde encontra-se instalado o
NDIS, que realizar a captura e anlise dos pacotes da rede. Uma alternativa para esse caso apresentado
na Figura 5, caso o switch no tivesse a tecnologia de espelhamento de trfego (a SPAN ), seria fazer
com que todo o trfego nesse segmento passasse pelo NDIS, o que poderia afetar o desempenho na rede,
pois todo o trfego de dados precisaria primeiro ser analisado pelo NDIS para depois ser liberado para
a rede.

Figura 5: IDS baseado em rede

As atividades realizadas pelo NDIS so as seguintes:

 Monitorar o trfego em segmento de rede ou em toda a rede;

 Capturar cada pacote de rede e fazer a anlise dos cabealhos e do contedo do pacote;
 Registrar, baseado em regras de anlises, a quantidade de vezes que um determinado endereo IP
de origem e/ou destino acessou o sistema;
 Registrar, baseado em regras de anlises, a quantidade de vezes que uma determinada porta (TCP
e/ou UDP) foi acessada.
5 Os novos switches possuem o recurso de SPAN (Switched
do trfego em uma outra porta.

Port Analyzer ) ou Port Mirroring, que permitem fazer uma cpia

5

2.3

IDS baseado em Host

O IDS baseado em anlise de host, o HIDS, consiste na anlise dos logs do Hosts monitorados. Esses

logs, referem-se aos registros dos servios ou daemons em um sistema operacional e no comportamento
das atividades em um host.
A Figura 6 apresenta um HIDS.

Figura 6: IDS baseado em host

As atividades realizadas pelo HIDS so as seguintes:

 Registro das atividades de autenticao de usurios no sistema;

 Atividades de acesso e erro em servidores web ;
 atividades de acesso e erro em correio eletrnico e com os servios associados ao controle de spam,
ltro de spam e a sistema de antivirus;
 Atividades de acesso e erro em servidor de nomes (DNS);
 Atividades de acesso e integridade de arquivos nas pastas dos usurios;
 Atividades de varredura nas portas dos servios (daemons );
 Anlise de comportamento de processos no sistema e
 Anlise do uso da CPU e da quantidade de memria por cada servio e/ou usurio.

3 Conguraes de Rede no VirtualBox

Importe a Appliance Ubuntu_FW_32_Inicial.ova fornecida no DVD que ser congurada como

rewall nessa INFRA desta aula.

Importe a Appliance Windows_XP_Cliente_Inicial.ova fornecida no DVD que ser cliente desse

rewall.

Appliance do Firewall com Ubuntu Server, faa as seguintes conguraes

utilizando o VirtualBox no item Rede deste servidor:

Aps importar a

a. Denir as interfaces de rede;

b. Em Rede, selecione Placa em modo Bridge em Conectado a: no Adaptador 1. Selecione a
interface de seu host
c. Em Rede, selecione Rede Interna em Conectado a: no Adaptador 2. Selecione intnet em
Nome.
d. Nos Adaptadores 1 e 2, selecione Permitir Tudo em Modo Promscuo

Appliance do Windows XP, faa as seguintes conguraes utilizando o VirtualBox no item Rede deste cliente:

Aps importar a

a. Denir as interfaces de rede;

b. Em Rede, selecione Rede Interna em Conectado a: no Adaptador 1. Selecione intnet em
Nome.
c. Tambm no Adaptador 1, selecione Permitir Tudo em Modo Promscuo
Na Figura 7 observa-se as opes de Rede no VirtualBox as serem alteradas.

Figura 7: Opes de Rede no VirtualBox

4 Obtendo informaes sobre as interfaces de rede do Firewall

Inicie o servidor com Ubuntu Server (Appliance Ubuntu_FW_32_Inicial.ova)
Acesse com o usurio cst e senha 123
Torne-se root da maquina. Qual o comando utilizado?
Digite o comando: ifcong -a
Quais as interfaces de rede que aparecem?
Qual o IP de cada interface?

5 Atribuir um Numero IP a interface interna do Firewall

Com o comando ifcong -a obtemos informaes sobre as interfaces de rede do rewall:

a. Interface externa eth0: Esta interface possui um IP atribudo dinamicamente

b. Interface externa eth1: Esta interface no possui nenhum IP, pois a mesma foi denida na
opes de Rede do VirtualBox como rede interna e como no nenhum servidor de DHCP para essa
rede interna, nenhum IP foi atribudo a essa interface.
Para atribuir um IP a interface interna, faamos o seguinte:

a. Denir a rede interna: 192.168.240.0/24

b. Denir o IP da interface interna: 192.168.240.1
c. Denir a mascara de rede: 255.255.255.0
d. Denir o endereo de rede: 192.168.240.0
e. Denir o endereo de broadcast: 192.168.240.255
f. Acesse o arquivo /etc/network/interfaces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

# This f i l e d e s c r i b e s t h e network i n t e r f a c e s a v a i l a b l e on your system

# and how t o a c t i v a t e them . For more i n f o r m a t i o n , s e e i n t e r f a c e s ( 5 ) .
# The l o o p b a c k network interface
auto l o
i f a c e l o i n e t loopback
# I n t e r f a c e externa
auto e t h 0
i f a c e e t h 0 i n e t dhcp
# Interface Interna
auto e t h 1
i f a c e eth1 i n e t static
address 192.168.240.1
netmask 2 5 5 . 2 5 5 . 2 5 5 . 0
network 1 9 2 . 1 6 8 . 2 4 0 . 0
broadcast 192.168.240.255
dnsn a m e s e r v e r s 8 . 8 . 8 . 8

Aps inserir esse valores no arquivo /etc/network/interfaces, digite o seguinte comando: ifup eth1
Digite o comando: ifcong -a e veja quais as informaes que aparecem na interface eth1
Reinicie as interfaces de rede eth0 e eth1
Qual o comando utilizado?
Responda as seguintes questes:

6 Instalando o rewall arno-iptables-rewall

Ser utilizado o rewall
Antes de instalar o

arno-iptables-rewall

arno-iptables-rewall , veja o contedo do arquivo:

/proc/sys/net/ipv4/ip_forward
a) Qual o contedo deste arquivo?

b) O que o contedo desse arquivo representa?

Agora instale o rewall

arno-iptables-rewall

Instale tambm os pacotes:

rcconf e ccze

Durante a instalao do pacote

arno-iptables-rewall , responda as seguintes questes:

a. Congurao de Pacotes: Sim

b. Interface da rede externa: eth0
c. Abrir portas TCP externas: Deixe em branco
d. Abrir portas UDp externas: Deixe em branco
e. Interface da rede interna: eth1
f. Sub-redes interna: 192.168.240.0/24
g. O Firewall deve ser iniciado agora? Sim
h. O Firewall deve ser reinciado agora? Sim
i. Congurao de Pacotes: Sim

arno-iptables-rewall , digite o seguinte comando: dpkg-recongure arno-iptables-rewall e responda corretamente as questes.

Caso seja necessrio voltar a congurao do rewall

Aps instalar o

arno-iptables-rewall , veja o contedo do arquivo:

/proc/sys/net/ipv4/ip_forward

a) Qual o contedo deste arquivo agora?

b) O que o contedo desse arquivo representa?

7 Instalando o Servidor de DHCP

O DHCP (Dynamic Host Conguration Protocol ) um protocolo utilizado em redes de computadores

que permite s mquinas obterem um endereo IP automaticamente do servidor DHCP, facilitando

assim o servio de congurao de rede de um host.

Imagine congurar manualmente a interface de rede de 200 hosts em uma rede de com-

putadores diariamente.

Instalao:

a. Instale o pacote: isc-dhcp-server

b. Edite o arquivo /etc/dhcp/dhcpd.conf
c. Na linha 53 adicione as seguintes informaes:
53
54
55
56
57
58
59
60

s u b n e t 1 9 2 . 1 6 8 . 2 4 0 . 0 netmask 2 5 5 . 2 5 5 . 2 5 5 . 0 {
range 1 9 2 . 1 6 8 . 2 4 0 . 1 0 0 1 9 2 . 1 6 8 . 2 4 0 . 2 4 0 ;
o p t i o n domainname s e r v e r s 8 . 8 . 8 . 8 ;
option routers 1 9 2 . 1 6 8 . 2 4 0 . 1 ;
o p t i o n b r o a d c a s t a d d r e s s 1 9 2 . 1 6 8 . 2 4 0 . 2 5 5 ;
default l e a s e time 6 0 0 ;
max l e a s e time 7 2 0 0 ;

d. Adicione a interface eth1, na linha 21, do arquivo /etc/default/isc-dhcp-server

21

INTERFACES=" e t h 1 "

8 O cliente com Windows XP

Com o rewall e o servidor DHCP congurados, reinicie todos esses servios com os seguintes coman-

dos, conforme mostrado na Fig. 8.

a. Servio de Firewall: /etc/init.d/arno-iptables-rewall start

b. Servio do DHCP:/etc/init.d/isc-dhcp-server start

Figura 8: Iniciar os servios do Firewall e do DHCP

Verique qual o IP ser atribudo pelo servidor de DHCP com o seguinte comando no Firewall do

Linux: tail -f /var/lib/dhcp/dpcpd.leases |ccze, conforme mostrado na Fig. 9.

Figura 9: Verica os IP's liberados pelo DHCP Server

Depois v at ao cliente Windows_XP e atribua o IP dinmico e veja qual o IP ele recebe do servidor

DHCP.

Teste a conexo com a Internet com esse cliente e veja se realmente foi atribudo um IP dinmico a

este host.

Acesse um site na web para ter certeza que o o cliente com o Windows XP est conseguindo navegar

na Internet.

10

9 Lista de exerccios
Questes:

a. Faa uma breve descrio sobre um Firewall, apresentando suas funcionalidades, tipos de sistemas
operacionais utilizados na construo do mesmo.
Resposta:

b. Alm do Appliance com SonicAll, pesquise e liste quais outros Appliances comercializados.
Resposta:

c. Em uma empresa de mdio porte e que necessita utilizar os servios de correio eletrnico (e-mail ),
servio de DNS, servidor de DHCP, pginas web de sua empresa e servios de NTP. Quais as
portas que devem ter sua passagem liberada no rewall desta empresa para que estes serviso
funcionem?
Resposta:

d. Descreva qual a importncia do uso de um servidor de DHCP em uma rede de grande porte com
quase trs centenas de hosts para acessar a Internet?
Resposta:

e. Qual a nalidade do contedo do arquivo /proc/sys/net/ipv4/ip_forward em um rewall

com Linux?
Resposta: Esse arquivo habilita o roteamento a nvel de kernel em uma distribuio GNU/Linux.
uma propriedade do kernel no Linux. Com o contedo igual a 1, est habilitado o roteamento
a nvel de kernel e com a opo 0 NO est habilitado o roteamento a nvel de kernel.
f. Qual a nalidade da diretiva INTERFACES="eth1", no arquio /etc/default/isc-dhcp-server?

11

10 Referncias Bibliogrcas
Firewall. Disponvel em:

http://www.inf.unioeste.br/ guilherme/cursos/projens/rewall.pdf.
Acesso em 03 de Maio de 2015.

Firewall no Linux com IPTABLES. Disponvel em:

http://www.mlaureano.org/guias-e-tutoriais/rewall-no-linux-com-iptables/.
Acesso em 04 de Maio de 2015.

Ad-ware. Disponvel em:

http://pt.wikipedia.org/wiki/Adware.
Acesso em 04 de Maio de 2015.

Pragas Digitais. Disponvel em:

www.techtudo.com.br/artigos/noticia/2012/01/o-que-e-phishing-e-malware.html.
Acesso em 05 de Maio de 2015.

12