Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
VPN e Firewall
Mauro César de Farias Marinho
2008
1. Introdução
O objetivo deste laboratório é configurar um Firewall e uma rede
VPN com IPSec.
O Firewall, fisicamente posicionado na borda da rede privada ou
até em mais setores considerados críticos dessa rede, é responsável por
autorizar ou barrar a passagem de pacotes de dados tanto de dentro
para fora, como de fora para dentro da rede que se quer proteger.
Regras são configuradas de forma a permitir comunicação apenas para
os serviços necessários e, por fim, barrar os demais. Pode estar
presente em equipamentos de rede como roteadores ou em hosts em
softwares.
Uma VPN ou RPV, como o nome já diz, é uma Rede Privativa
Virtual. Ela simula acessos locais entre sub-redes privadas fisicamente
separadas, utilizando para isso, redes públicas, ou seja, a internet.
Utilizando-se de criptografia em uma ou mais camadas OSI,
dependendo no nível de segurança desejado.
2. Procedimentos Experimentais
Utilizamos os hosts A(10.10.16.40) e B(10.10.16.14) para execução
do roteiro, sendo o A o que sofreu as configurações no firewall.
a) IPTables
1. Verificamos com sucesso a comunicação entre os hosts A e B com
o comando ‘ping’ de A para B, vice-versa.
No Host A Æ ping 10.10.16.14
No Host B Æ ping 10.10.16.40
2. No Host A, Executamos o comando “iptables -A INPUT -p icmp -j DROP -s
0.0.0.0/0” que barra qualquer tentativa de comunicação que utiliza o
protocolo ICMP, como o ping.
3. Então, para verificar se o firewall de A estava funcionando
corretamente, aplicamos um ping para o host A através do host B.
Host B Æ ping 10.10.16.40
Como queríamos, o comando falhou. A não respondeu B.
Verificamos com sucesso as regras do firewall de A com o comando
“iptables –nL”.
4. Seguindo o roteiro, incluímos a regra para impedir conexões pela
porta 113 com o comando “iptables -A INPUT -p tcp --dport 113 -j REJECT –reject-
with tcp-reset”.
b) IPSec
Com os procedimentos abaixo, configuramos os 2 hosts para se
comunicarem de forma segura, com o protocolo IPSec, que implementa
criptografia para os pacotes destinados aos Hosts A e B.
1. Inicialmente verificamos a comunicação entre A e B com o comando
ping com sucesso. Com o wireshark, capturamos o tráfego de A como
referência para comparar com o tráfego a ser capturado quando
configurada a rede VPN ou RPV.
2. Instalamos os pacotes ‘racoon’ e ‘ipsec-tools’ em ambos os hosts
com o comando apt-get install raccon ipsec-tools.
3. Configuramos o IKE editando o arquivo em /etc/racoon/racoon.conf
com o conteúdo abaixo:
path pre_shared_key "/etc/racoon/psk.txt";
remote anonymous
{
exchange_mode aggressive;
my_identifier user_fqdn "sakane@kame.net";
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
encryption_algorithm 3des, blowfish, des,
rijndael;
authentication_algorithm hmac_sha1, hmac_md5;
compression_algorithm deflate;
}
Para o Host B:
spdadd 10.10.16.10 10.10.16.40 any -P in ipsec
esp/transport//require
spdadd 10.10.16.10 10.10.16.40 any -P out ipsec
esp/transport//require
"iptables ‐N syn‐flood”
“iptables ‐A INPUT ‐j DROP”
b) IPSec
4. Referências
Site: http://pt.wikipedia.org/wiki/ em 25 de Abril, as 16:50.
Site: http://www.linuxmanpages.com/man8/iptables.8.php em 17 de Maio, as 16:00.
Site:
http://www.linuxsecurity.com.br/biblioteca/out_frame.php?PHPSESSID=&ID=558 em 18
de Maio, as 16:00.