Centro Universitrio de Maring Curso Superior de Tecnologia em Redes de Computadores

MARCOS ANTONIO RODRIGUES

IMPLANTAO DO IPCOP FIREWALL EM MICROS E PEQUENAS EMPRESAS

Maring 2007

MARCOS ANTONIO RODRIGUES

IMPLANTAO DO IPCOP FIREWALL EM MICROS E PEQUENAS EMPRESAS

Monografia

apresentada

ao

Curso

Superior de Tecnologia em Redes de Computadores, do Centro Universitrio de Maring como requisito parcial obteno do ttulo de Tecnlogo. Orientador: Prof. Alex Lopes Galvo

Maring 2007

MARCOS ANTONIO RODRIGUES

IMPLANTAO DO IPCOP FIREWALL EM MICROS E PEQUENAS EMPRESAS

Relatrio Final apresentado ao Curso Superior de Tecnologia em Redes de Computadores, do Centro Universitrio de Maring como requisito parcial para a obteno do titulo de Tecnlogo, sob orientao do Prof. Alex Lopes Galvo, aprovada em de Novembro 2007.

BANCA EXAMINADORA Orientador: ______________________________________ Prof. Alex Lopes Galvo CESUMAR Membro: ______________________________________

Membro:

______________________________________

Dedico minha me, meu pai, irmos, esposa, filhos e amigos pelos incentivos, confiana e fora nos momentos de dificuldades para que eu alcanasse mais esta vitria.

AGRADECIMENTOS

Deus por estar sempre comigo nesta vida. Agradeo a minha esposa Tnia Mrcia Margato Rodrigues e a meus pais Jos Antonio Rodrigues Maria Venina Rodrigues por ter me incentivado a voltar a estudar e me ajudar conseguir chegar a este objetivo. Gostaria de mencionar minha gratido pela preciosa orientao do professor Alex Lopes Galvo, agradeo ainda a Coordenadora do curso professora Mrcia Cristina Dadalto Pascutti, ao professor Luis Csar de Mello e aos demais professores que contriburam para minha formao acadmica.

RESUMO

Este trabalho tem como objetivo elaborar manual de instalao, configurao e gerenciamento do linux Ipcop Firewall, apresentando os recursos de segurana que este sistema oferece para micro e pequenas empresas. Para a elaborao deste manual foi preciso fazer um levantamento bibliogrfico sobre Software Livre, Sistema Operacional e Linux, explicando cada um desses assuntos. Este Trabalho de Concluso de Curso aborda a histria, os conceitos e a filosofia de Software Livre, como funciona um sistema operacional, mostrando alguns tipos de sistema operacionais. Mostrara como surgiu o sistema operacional Linux e algumas distribuies existentes no mercado. Ser elaborado um manual de instalao, configurao do sistema operacional IPCOP FIREWALL, mostrando a forma correta de instalao, configurao e gerenciamento desse sistema operacional.

Palavras-chave: software livre, sistema operacional, linux, firewall, Ipcop firewall.

ABSTRACT

The aim of this paper is to elaborate an installation manual, setup and management of Linux Ipcop Firewall, presenting safety resources that this system offers not only to personal computers but also to companies of small size. For the elaboration of this manual, it was necessary to make a bibliographical survey on Free Software, Operating System and Linux, explaining each one of these issues. This Course Conclusion Work brings the history, the concepts and the philosophy of Free Software. It also presents how an operating system works besides showing some operating system types. It will talk about how Linux operating system started as well as the distributions that there are in the market. Finally, an installation manual and an operating system setup Ipcop Firewall will be elaborated in order to present the proper form of installation, setup and management of this operating system.

Key words: Free Software, operating system, Linux, Firewall, Ipcop Firewall.

LISTA DE FIGURAS

Figura 1 Ipcop_Banner_Half_Size...........................................................................38 Figura 2 Diagrama detalhado da rede.....................................................................42 Figura 3 Tela inicial da instalao...........................................................................43 Figura 4 Language selection....................................................................................44 Figura 5 Mensagem de boas vindas........................................................................45 Figura 6 Select installation media...........................................................................45 Figura 7 IPCOP v1.4.16 The Bad Packets Stop Here..........................................46 Figura 8 Restore........................................................................................................46 Figura 9 Configure networking................................................................................47 Figura 10 Deteco placa rede.................................................................................47 Figura 11 Configure networking..............................................................................48 Figura 12 Congratulations!.......................................................................................49 Figura 13 Keyboard mapping...................................................................................49 Figura 14 Timezone...................................................................................................50 Figura 15 Hostname..................................................................................................50 Figura 16 Domain name............................................................................................51 Figura 17 ISDN configuration menu........................................................................52 Figura 18 Network configuration menu.................................................................. 52 Figura 19 GREEN + RED...........................................................................................53 Figura 20 Drivers and card assignments................................................................53 Figura 21 Card assignment......................................................................................54 Figura 22 RED interface............................................................................................54 Figura 23 DNS and Gateway settings......................................................................55 Figura 24 DHCP Server configuration.....................................................................56 Figura 25 IPCop SMP (ACPI HT enabled)................................................................57 Figura 26 IPCop login................................................................................................58 Figura 27 WinSCP Login...........................................................................................60 Figura 28 Sesso WinSCP........................................................................................61

Figura 29 Sesso winscp mostrando os diretrios c:\ipcop , /install................. 62 Figura 30 Abrir sesso no PuTTy............................................................................63 Figura 31 Instalao addon server..........................................................................63 Figura 32 Acesso a pgina de configuraes do IPCOP......................................66 Figura 33 Connect.....................................................................................................67 Figura 34 Brazilian Portuguese (Portugus-Brasil)...............................................67 Figura 35 Menu Sistema...........................................................................................69 Figura 36 Menu situao..........................................................................................70 Figura 37 Menu Servios..........................................................................................71 Figura 38 Configuraes comuns...........................................................................73 Figura 39 Proxy principal, configuraes do log...................................................73 Figura 40 Gerenciamento de Cache........................................................................75 Figura 41 Portas de destino.....................................................................................76 Figura 42 Controle de acesso baseado na rede.................................................... 77 Figura 43 Restrio de tempo, Limites de transferncia, Limitao para Download.................................................................................................................... 8 7 Figura 44 Filtro tipo MIME, Web browser................................................................79 Figura 45 Privacidade, Filtro URL, Mtodo de autenticao................................ 80 Figura 46 Bloquear categorias, Blacklist personalizada...................................... 81 Figura 47 Whitelist personalizada, Lista personalizada de expresses............. 82 Figura 48 Bloqueamento por exteno de arquivo, Redirecionar arquivo local e Controle de tempo de acesso..................................................................................83 Figura 49 Configurao de pginas bloqueadas...................................................84 Figura 50 Configuraes avanadas.......................................................................85 Figura 51 Manuteno de filtro URL........................................................................86 Figura 52 Editor blacklist, Configurao de backup de filtro URL, Restaurar filtro de configurao URL.......................................................................................86 Figura 53 Settings.....................................................................................................88 Figura 54 Adicionar um host....................................................................................88 Figura 55 Editar hosts...............................................................................................89 Figura 56 Servidor de horrio..................................................................................90 Figura 57 Controle de Trfego.................................................................................90 Figura 58 Deteco de intruso.................................................................................91 Figura 59 Menu Firewall............................................................................................92 Figura 60 Forwarding de porta.................................................................................93

Figura 61 Acesso externo.........................................................................................94 Figura 62 Opes do Firewall..................................................................................94 Figura 63 Block Outgoing Traffic.............................................................................97 Figura 64 Advanced Bot Config.............................................................................100 Figura 65 Configurao do Log.............................................................................101 Figura 66 Resumo do Log......................................................................................102 Figura 67 Logs de Proxy.........................................................................................102 Figura 68 Logs do Firewall.....................................................................................103 Figura 69 Logs do IDS............................................................................................103 Figura 70 Logs do Filtro URL.................................................................................104 Figura 71 Logs do sistema.....................................................................................104

LISTA DE SIGLAS

ADSL - Asymmetric Digital Subscriber Line ARP - Address resolution protocol ASL - Apache Software License BSD - Berkeley Software Distribution CPU - Unidade Central de Processamento DHCP- Dynamic Host Configuration Protocol DMZ - Demilitarized zone DNS - Domain Name System E/S FTP GB - Entrada/Sada - File Transfer Protocol - Gigabyte

GNU C/C++ - Linguagem de programao GNU GPL - General Public License HD - Hard Disk HTTP - Hyper Text Transfer Protocol HTTPS - HyperText Transfer Protocol Secure ICMP - Internet Control Message Protocol IDS IP IRC ISA KB - Intrusion Detection System - Internet Protocol - Internet Relay Chat - Industry Standard Architecture - KiloBytes

IPSEC - IP Security Protocol

ISDN - Integrated services digital networks LRU - Least Recently Used MAC - Media Access Control MB - MegaBytes MIME - Multipurpose Internet Mail Extensions

NAT - Network Address Translation NFS - Network File System NIC NIS PCI - Network Information Center - Network Information Service - Peripheral Component Interconnect

NTP - Network Time Protocol PDF - Portable Document Format PERL - Linguagem de programao PXE - Preboot Execution Environment PPP - Point-to-Point Protocol PSK - Phase Shift Keying RAM - Random Access Memory RPM - Red Hat Package Manager ISA - Instruction Set Architecture SCSI - Small Computer System Interface SFTP - Secure File Transfer Protocol SMP - Symmetric Multi-Processing SSH SSL TCL TCP UDP URL USB VPN - Secure Shell - Secure Sockets Layer - Tool command Language - Transmission Control Protocol - User Datagram Protocol - Uniform Resource Locator - Universal Serial Bus - Virtual Private Network

SWAP - rea de troca

TFTP - Trivial File Transfer Protocol

UUCP - Unix to Unix Copy Protocol

SUMRIO

1 INTRODUO.........................................................................................................15 2 SOFTWARE LIVRE................................................................................................. 16 2.1 REGRAS SOBRE A MANEIRA DE DISTRIBUIR SOFTWARE LIVRE............... 17 2.2 TIPOS DE LICENAS MAIS COMUNS.............................................................. 19 3 SISTEMA OPERACIONAL ......................................................................................20 3.1 TIPOS DE SISTEMAS OPERACIONAIS.............................................................22 3.1.1 Sistemas Operacionais de Computadores de Grande Porte.......................22 3.1.2 Sistemas Operacionais de Servidores...........................................................23 3.1.3 Sistemas Operacionais de Multiprocessadores........................................... 24 3.1.4 Sistemas Operacionais de Computadores Pessoais................................... 24 3.1.5 Sistemas Operacionais de Tempo Real.........................................................24 4 LINUX.......................................................................................................................26 4.1 DISTRIBUIES LINUX......................................................................................27 4.1.1 Algumas distribuies.....................................................................................27 5 FIREWALL...............................................................................................................30 5.1 BENEFCIOS........................................................................................................30 5.2 LIMITAES .......................................................................................................31 5.3 PREJUZOS ........................................................................................................32 5.4 A NECESSIDADE DE FIREWALL.......................................................................34 5.5 CONSIDERAES ESPECIAIS..........................................................................35 5.6 POLTICAS DE SEGURANA PARA FIREWALL.............................................. 37 6 IPCOP FIREWALL...................................................................................................38 6.1 SURGIMENTO DO IPCOP FIREWALL...............................................................38 6.2 CARACTERSTICAS DE INSTALAO............................................................. 39 6.2.2 Hardware...........................................................................................................39 6.2.3 Instalao..........................................................................................................40 6.2.4 Idiomas Disponveis.........................................................................................40 6.2.5 Servio de Backup...........................................................................................40 6.2.6 Servios Disponveis.......................................................................................41 6.2.7 Caractersticas do Firewall..............................................................................41 6.2.8 Vpn Ipsec..........................................................................................................41

7 MANUAL DE INSTALAO DO LINUX IPCOP FIREWALL ................................42 7.1 INICIANDO A INSTALAO............................................................................... 43 8 MANUAL DE CONFIGURAO E GERENCIAMENTO DO LINUX IPCOP FIREWALL..................................................................................................................59 8.1 PGINA PRINCIPAL............................................................................................67 8.2 MENU SISTEMA..................................................................................................68 8.3 MENU SITUAO............................................................................................... 69 8.4 MENU SERVIOS...............................................................................................70 8.4.1 Proxy Avanado...............................................................................................71 8.4.2 URL Filter.......................................................................................................... 80 8.4.3 DHCP................................................................................................................. 87 8.4.4 DNS Dinmico ..................................................................................................87 8.4.5 Editar Hosts...................................................................................................... 89 8.4.6 Servidor de Horrio..........................................................................................89 8.4.7 Controle de Trfego......................................................................................... 90 8.4.8 Deteco de Intruso.......................................................................................91 8.5 FIREWALL........................................................................................................... 91 8.5.1 Forwarding de Porta........................................................................................ 92 8.5.2 Acesso Externo................................................................................................ 93 8.5.3 Opes do Firewall.......................................................................................... 94 8.5.4 Block Outgoing Traffic.....................................................................................94 8.5.5 Advanced Bot Config.......................................................................................98 8.6 LOGS.................................................................................................................. 100 8.6.1 Configurao do Log.....................................................................................101 8.6.2 Resumo do Log..............................................................................................102 8.6.3 Logs do Proxy................................................................................................ 102 8.6.4 Logs do Firewall.............................................................................................103 8.6.5 Logs do IDS.....................................................................................................103 8.6.6 Logs do Filtro URL.........................................................................................104 8.6.7 Logs do Sistema.............................................................................................104 9 CONCLUSES......................................................................................................105 REFERNCIAS.........................................................................................................106

1 INTRODUO

A Internet possibilitou que pessoas e empresas cruzassem fronteiras de modo fcil, rpido, nunca visto antes, criando um mundo virtual globalizado. Por isso hoje em dia, os usurios de micros e pequenas empresas necessitam, cada vez mais, do acesso a Internet seja para trabalho ou lazer. Embora a Internet tenha, e tem dado bons frutos, ela tambm oferece muitos perigos a usurios inexperientes. Alguns desses perigos so vrus, spams, worms, spywares, aes de Crackers e Hackers. H softwares que so fundamentais para acesso a internet e para a segurana a navegao, desenvolvendo processos bsicos ou no e/ou administrados. Algumas organizaes acabam decidindo utilizar software proprietrio de segurana mesmo sem obter sua devida licena, incorrendo assim na pirataria de software, que uma prtica ilegal. Com a intensificao do combate pirataria, esta prtica pode sair cara, como mostra a Lei de Software, Lei n. 9.609, de 19 de fevereiro de 1998. O captulo V Art. 12 da lei, enuncia que quem violar direitos de autor de programa de computador ter pena de deteno de seis meses a dois anos ou multa e se a violao consistir na reproduo, por qualquer meio, de programa de computador, no todo ou em parte, para fins de comrcio, sem autorizao expressa do autor ou de quem o represente a pena ser recluso de um a quatro anos e multa. Para no incorrer nesta prtica ilegal, as organizaes tem dois caminhos. O primeiro consiste em pagar as devidas licenas de uso. O segundo caminho consiste em buscar no software livre uma alternativa de qualidade e de baixo custo.

2 SOFTWARE LIVRE

Segundo a Free Software Foundation (2007) Software livre, se refere liberdade dos usurios executarem, copiarem, distriburem, estudarem, modificarem e aperfeioarem o software. Mais precisamente, ele se refere a quatro tipos de liberdade, para os usurios do software: A liberdade de executar o programa, para qualquer propsito (liberdade n. 0). A liberdade de estudar como o programa funciona, e adapt-lo para s suas necessidades (liberdade n. 1). Acesso ao cdigo-fonte um prrequisito para esta liberdade. A liberdade de redistribuir cpias de modo que se possa ajudar ao seu prximo (liberdade n. 2). A liberdade de aperfeioar o programa, e liberar os seus aperfeioamentos, de modo que toda a comunidade se beneficie (liberdade n. 3). Acesso ao cdigo-fonte um pr-requisito para esta liberdade. Um programa software livre se os usurios tm todas essas liberdades. Portanto, o usurio deve ser livre para redistribuir cpias, seja com ou sem modificaes, seja de graa ou cobrando uma taxa pela distribuio, para qualquer um em qualquer lugar. Ser livre para fazer essas coisas significa (entre outras coisas) que o usurio no tem que pedir ou pagar pela permisso. O usurio deve tambm ter a liberdade de fazer modificaes e us-las privativamente no seu trabalho ou lazer, sem nem mesmo mencionar que elas existem. Se o usurio publicar as modificaes, ele no deve ser obrigado a avisar ningum em particular, ou de nenhum modo em especial. A liberdade de utilizar um programa significa a liberdade para qualquer tipo de pessoa fsica ou jurdica utilizarem o software em qualquer tipo de sistema computacional, para qualquer tipo de trabalho ou atividade, sem que seja necessrio comunicar ao desenvolvedor ou a qualquer outra entidade em especial. A liberdade de redistribuir cpias deve incluir formas binrias ou executveis do programa, assim como o cdigo-fonte, tanto para as verses originais quanto

17

para as modificadas. Est ok, se no for possvel produzir uma forma binria de programao ou executvel (pois algumas linguagens de programao no suportam este recurso), mas deve ser concedida a liberdade de redistribuir essas formas caso seja desenvolvido um meio de cri-las. De modo que a liberdade de fazer modificaes, e de publicar verses aperfeioadas, tenha algum significado, deve-se ter acesso ao cdigo-fonte do programa. Portanto, acesso ao cdigo-fonte uma condio necessria ao software livre. Para que essas liberdades sejam reais, elas tm que ser irrevogveis desde que o usurio no faa nada errado; caso o desenvolvedor do software tenha o poder de revogar a licena, mesmo que o usurio no tenha dado motivo, o software no livre (FREE SOFTWARE FOUNDATION, 2007).

2.1 REGRAS SOBRE A MANEIRA DE DISTRIBUIR SOFTWARE LIVRE

So aceitveis, quando elas no entram em conflito com as licenas principais. Por exemplo, copyleft. O copyleft diz que qualquer um que distribui o software, com ou sem modificaes, tem que passar adiante a liberdade de copiar e modificar novamente o programa. O copyleft garante que todos os usurios tm liberdade, ou seja, se voc recebeu um software com uma licena livre que inclua clusulas de copyleft, e se optar por redistribu-lo (modificado ou no), ter que mant-lo com a mesma licena com que o recebeu. Nem todas as licenas de software livre incluem a caracterstica de copyleft. A licena GNU GPL (adotada pelo kernel Linux) o maior exemplo de uma licena copyleft. Outras licenas livres, como a licena BSD ou a licena ASL (Apache Software License) no incluem a caracterstica de copyleft. Esta regra no conflita com as liberdades, na verdade, ela as protege. Portanto, o usurio pode ter pago para receber cpias do software GNU, ou o usurio pode ter obtido cpias sem nenhum custo. Mas independente de como o usurio obteve a sua cpia, este sempre tem a liberdade de copiar e modificar o software, ou mesmo de vender cpias.

18

Software livre no significa no-comercial. Um programa livre deve estar disponvel para uso comercial, desenvolvimento comercial, e distribuio comercial. O desenvolvimento de softwares livres comerciais muito importante. Regras sobre como empacotar uma verso modificada so aceitveis, se elas no acabam bloqueando a liberdade de liberar verses modificadas. Regras como: se voc tornou o programa disponvel deste modo, voc tambm tem que torn-lo disponvel deste outro modo tambm podem ser aceitas, da mesma forma. (Note que tal regra ainda deixa para voc, a escolha de tornar o programa disponvel ou no.) Tambm aceitvel uma licena que exija que, caso voc tenha distribudo uma verso modificada e um desenvolvedor anterior, pea por uma cpia dele, voc deva enviar uma. No projeto GNU, usado copyleft para proteger estas liberdades legalmente para todos. Mas tambm existe software livre que no copyleft. s vezes regras de controle de exportao e sanes de comrcio podem limitar a liberdade de distribuio de cpias de programas internacionalmente. Desenvolvedores de software no tm o poder para eliminar ou sobrepor estas restries, mas o que eles podem e devem fazer se recusar a imp-las como condies para o uso dos seus programas. Deste modo, as restries no afetam as atividades e as pessoas fora da jurisdio deste governo. Quando se fala de software livre, melhor evitar o uso de termos como dado ou de graa, porque estes termos implicam que a questo de preo, no de liberdade. Finalmente, note que critrios como os estabelecidos nesta definio de software livre, requerem cuidadosa deliberao quanto a sua interpretao. Para decidir se uma licena se qualifica como de software livre, ela baseada nestes critrios para determinar se ela segue no esprito assim como as palavras exatas. Se uma licena inclui restries impensadas, ela rejeitada (FREE SOFTWARE FOUNDATION, 2007).

19

2.2 TIPOS DE LICENAS MAIS COMUNS

Software proprietrio: Esse tipo de licenciamento garante ao autor do software plenos poderes sobre venda, distribuio ou modificao do cdigo fonte, afinal ele mesmo quem define tais parmetros de maneira desejada. Um usurio desse software normalmente deve pagar uma taxa pela utilizao do mesmo, o que lhe garante uma ou mais licenas de uso. Caso queira instalar o software em mais mquinas do que sua licena permite, ele deve adquirir mais licenas do fornecedor. Normalmente no tem acesso ao cdigo fonte, o que lhe impede de fazer modificaes ou melhoras ao software, mesmo que seja para uso prprio, o que o torna altamente dependente do fornecedor para obter atualizaes de falhas de segurana, por exemplo. No pode redistribuir o software. Um exemplo de software proprietrio o sistema operacional Windows. Software shareware: Possui caractersticas semelhantes ao software proprietrio, mas com uma diferena importante: o usurio pode testar antes de comprar. possvel realizar a descarga do software pela internet ou adquiri-lo em uma mdia e instalar por um perodo de avaliao. Caso o usurio opte por continuar usando o software, deve pagar uma taxa de licena ao fornecedor. Alguns consideram uma prtica invivel de comercializao de software, mas existem exemplos bem sucedidos. Existe tambm o shareware incompleto, que costuma ser uma verso do shareware que pode ser usada a vontade e indefinidamente como um freeware, mas no contm todas as caractersticas da verso completa. Um exemplo famoso de shareware o software Winzip. Software freeware: Programas de cdigo fechado que so distribudos gratuitamente pelo autor do software. Normalmente o usurio pode fazer cpias e distribu-las gratuitamente, porm, no pode alterar o programa. Um exemplo de freeware o Internet Explorer. Domnio pblico: Programas em domnio pblico so considerados de propriedade coletiva de todos. O autor abre mo dos direitos de cpia, permitindo que se copie, altere ou redistribua o software, sem qualquer tipo de obrigao, inclusive permitindo que o software seja incorporado em trabalhos proprietrios, sem nenhuma necessidade de pagamento ou respeito a restries. Um exemplo de software em domnio pblico o sistema operacional BSD (GOLDCHLEGER, 2001).

3 SISTEMA OPERACIONAL

Segundo Tanenbaum (2003), um sistema computacional moderno consiste em um ou mais processadores, memria principal, discos, impressoras, teclado, monitor, interfaces de rede e outros dispositivos de entrada e sada. Enfim, um sistema complexo. Desenvolver programas que mantenham o controle de todos esses componentes e os utilizem corretamente de maneira otimizada um trabalho extremamente difcil. Por isso, os computadores tm um dispositivo de software denominado sistema operacional, cujo trabalho gerenciar esses componentes e fornecer aos programas do usurio uma interface com o hardware mais simples. Na parte inferior est o hardware, que em muitos casos ele prprio composto de dois ou mais nveis (ou camadas). O nvel mais baixo contm dispositivos fsicos: chips de circuitos integrados, fios, fontes de alimentao, tubos de raios catdicos e dispositivos semelhantes. Sua construo e seu funcionamento so atribuies da engenharia eltrica. Em seguida vem o nvel de micro arquitetura, no qual os dispositivos fsicos so agrupados em unidades funcionais. Normalmente, esse nvel contm alguns registradores internos CPU (unidade central de processamento) e um caminho dos dados (data path) contendo uma unidade lgico-aritmtica. Em cada ciclo de mquina, um ou dois operandos so trazidos aos registradores e combinados na unidade lgico-aritmtica (por exemplo, pela adio ou por um E-booleano). O resultado armazenado em um ou mais registradores. Em algumas mquinas, a operao do caminho dos dados controlada por um software denominado micro-programa. Em outras, controlado diretamente por circuitos de hardware. A funo do caminho dos dados executar um determinado conjunto de instrues. Algumas dessas instrues podem ser executadas em um ciclo de caminho dos dados; outras podem necessitar de mltiplos ciclos. Essas instrues podem usar registradores ou outros recursos do hardware. Juntos, o hardware e as instrues visveis a um programador de linguagem de montagem formam o nvel ISA (instruction set architecture arquitetura do conjunto de instrues). Esse nvel muitas vezes denominado linguagem de mquina.

21

A linguagem de mquina tem, em geral, entre 50 e 300 instrues. A maioria delas serve para mover os dados por meio da mquina, fazer operaes aritmticas e comparar valores. Nesse nvel, os dispositivos de entrada e sada so controlados carregando-se valores em registradores de dispositivos. Pode-se comandar a leitura de um disco carregando-se os valores de endereo do disco, endereo da memria principal, contador de bytes e a direo (leitura ou escrita) em seus registradores. Na prtica, vrios outros parmetros so necessrios e o status que retorna unidade leitora depois de uma operao basicamente complexo. Alm disso, para muitos dispositivos de E/S (entrada / sada) a temporizao desempenha um papel fundamental na programao. Para ocultar essa complexidade existe o sistema operacional. Ele consiste em uma camada de software que oculta (parcialmente) o hardware e fornece ao programador um conjunto de instrues mais conveniente. Por exemplo, read block from file (leia um bloco de um arquivo) conceitualmente mais simples do que ter de se preocupar com os detalhes da movimentao das cabeas de leitura, como esperar que elas abaixem. No topo do sistema operacional situa-se o restante do software do sistema. Nele encontramos o interpretador de comandos (tambm conhecido como Shell), o sistema de janelas, os compiladores, os editores e os programas similares independentes de aplicao. importante notar que esses programas no constituem partes definitivas dos sistemas operacionais, mesmo que sejam normalmente fornecidos pelo fabricante do computador. Trata-se de um ponto crucial e sutil. O sistema operacional (normalmente) aquela parte do software executada em modo supervisor ou modo ncleo (no caso, a parte mais interna de um sistema operacional). Os compiladores e os editores so executados em modo usurio. Se o usurio no gostar de um determinado compilador, ele ser livre para escrever seu prprio compilador se o quiser; mas no lhe permitido escrever sua prpria rotina de tratamento de interrupo de relgio, que parte do sistema operacional e est normalmente protegida pelo hardware contra tentativas de alteraes pelo usurio. Esta distino, contudo, s vezes confusa em sistemas embargados (que podem no ter um modo ncleo) ou sistemas interpretados (como sistemas operacionais baseados em Java, que usam interpretao, e no hardware, para

22

separar os componentes). Alm disso, em computadores tradicionais, o sistema operacional que se executa em modo ncleo. Em muito sistema h programas executados em modo usurio, mas que auxiliam o sistema operacional ou realizam funes privilegiadas. Por exemplo, existe um programa, que permite aos usurios mudarem suas senhas. Esse programa no faz parte do sistema operacional e no executado em modo ncleo, mas realiza uma funo claramente delicada e precisa ser protegido de maneira especial. Em alguns sistemas, essa idia levada ao extremo, e parte do que tradicionalmente tido como sistema operacional (como o sistema de arquivos) executado em espao do usurio. Nesses sistemas, difcil definir um limite claro. Tudo o que executado em modo ncleo constitui sem dvida parte do sistema operacional, mas alguns programas executados fora dele so inquestionavelmente tambm parte dele, ou pelo menos esto intimamente associados a ele. Por fim, acima dos programas dos sistemas vem o programa de aplicao, que so comprados ou escritos por usurios para resolver problemas especficos, como processamento de texto, planilhas, clculos de engenharia ou armazenamento de informao em um banco de dados (TANENBAUM, 2003).

3.1 TIPOS DE SISTEMAS OPERACIONAIS

3.1.1 Sistemas Operacionais de Computadores de Grande Porte

No topo esto os sistemas operacionais para computadores de grande porte aqueles que ocupam uma sala inteira, ainda encontrada em centros de dados de grandes corporaes. Esses computadores distinguem-se dos computadores pessoais em termos de capacidade de E/S. Um computador de grande porte com mil discos e milhares de gigabytes de dados no incomum; um computador pessoal com essas especificaes seria algo similar. Os computadores de grande porte esto tambm ressurgindo como sofisticados servidores Web, como servidores para

23

sites de comrcio eletrnico em larga escala e ainda, como servidores para transaes entre empresas (business-to-business). Os sistemas operacionais para computadores de grande porte so, sobretudo orientados para o processamento simultneo de muitos jobs, sendo que a maioria deles precisa de quantidades prodigiosas de E/S. Esses sistemas operacionais oferecem normalmente trs tipos de servios: em lote (batch), processamento de transaes e tempo compartilhado. Um sistema em lote processa jobs de rotina sem a presena interativa do usurio. O processamento de aplices de uma companhia de seguros ou de relatrios de vendas de uma cadeia de lojas em geral realizado em modo de lote. Sistemas de processamento de transaes administram grandes quantidades de pequenas requisies por exemplo, processamento de verificaes em um banco ou em reservas de passagem areas. Cada unidade de trabalho pequena, mas o sistema precisa tratar centenas ou milhares delas por segundo. Sistemas de tempo compartilhado permitem que mltiplos usurios remotos executem seus jobs simultaneamente no computador, como na realizao de consultas a um grande banco de dados. Essas funes esto intimamente, relacionadas; sistemas operacionais de computadores de grande porte em geral realizam todas elas. Um exemplo de sistema operacional de computador de grande porte OS/390, um descendente do OS/360 (TANENBAUM, 2003).

3.1.2 Sistemas Operacionais de Servidores

Um nvel abaixo est o sistema operacional de servidores. Eles so executados em servidores, que so computadores pessoais muito grandes, em estaes de trabalho ou at mesmo em computadores de grande porte. Eles servem mltiplos usurios de uma vez em uma rede e permitem-lhes compartilhar recursos de hardware e de software. Servidores podem fornecer servios de impresso, servios de arquivo ou servios de Web. Provedores de acesso Internet utilizam vrias mquinas servidoras para dar suporte a seus clientes. Sites Web usam servidores para armazenar pginas Web e tratar requisies que chegam. Sistemas operacionais tpicos de servidores so Unix

24

e Windows 2000. O Linux est tambm ganhando terreno em servidores (TANENBAUM, 2003).

3.1.3 Sistemas Operacionais de Multiprocessadores

Um modo cada vez mais comum de obter potncia computacional conectar mltiplas (CPUS) em um nico sistema. Dependendo precisamente de como estiverem conectadas e o que compartilhado, esses sistemas so denominados computadores paralelos, multicomputadores ou multiprocessadores. Elas precisam de sistemas operacionais especiais, mas muitos deles so variaes dos sistemas operacionais de servidores com aspectos especiais de comunicao e conectividade (TANENBAUM, 2003).

3.1.4 Sistemas Operacionais de Computadores Pessoais

A categoria seguinte o sistema operacional de computadores pessoais. Seu trabalho oferecer uma boa interface para um nico usurio. So amplamente usados para processadores de texto, planilhas e acesso a Internet. Exemplos comuns so o Windows 98, o Windows 2000, o sistema operacional da Macintosh e o Linux. Sistemas operacionais de computadores pessoais so to amplamente conhecidos que provvel que precisem aqui de pouca introduo. Na verdade, muitas pessoas nem mesmo sabem da existncia de outros tipos de sistemas operacionais (TANENBAUM, 2003).

3.1.5 Sistemas Operacionais de Tempo Real

Outro tipo de sistema operacional o de tempo real. Esses sistemas so caracterizados por terem o tempo como um parmetro fundamental. Por exemplo,

25

em sistema de controle de processos industriais, computadores de tempo real devem coletar dados sobre o processo de produo e us-los para controlar as mquinas na fbrica. bastante comum a existncia de prazos rgidos para a execuo de determinadas tarefas. Por exemplo, se um carro est se movendo por uma linha de montagem, certas aes devem ser realizadas em momentos especficos. Se um rob soldador realiza seu trabalho muito cedo ou muito tarde, o carro est perdido. Se as aes precisam necessariamente ocorrer em determinados instantes (ou em determinado intervalo de tempo), tem-se ento um sistema real crtico. Outro tipo de sistema de tempo real o sistema de tempo real no crtico, no qual o descumprimento ocasional de um prazo aceitvel. Sistemas de udio digital ou multimdia pertencem a essa categoria. VxWorks e o QNX so sistemas operacionais de tempo real bem conhecidos (TANENBAUM, 2003).

4 LINUX

Segundo Tibet (2001) Linux uma verso derivada do Minix, que por sua vez uma verso Unix gratuita. O Linux foi desenvolvido por Linus Torvalds na Universidade Helsinque na Finlndia. Foi originalmente desenvolvido a partir do desejo de Linus de trabalhar com um sistema mais completo que o Minix, pequeno sistema Unix criado para fins didticos por Andrew Tanembaum. O kernel do Linux no usa o cdigo patenteado de nenhum fabricante, e grande parte do software distribudo para Linux desenvolvido pelo projeto GNU ou GPL (General Public Licence) na Free Software Fundation em Cambridge Massachussets. O lanamento da primeira verso oficial do Linux se deu em 5 de outubro de 1991, j em sua verso 0.02. At ento o Linux j era capaz de executar o bash (GNU Born Again Shell) e o gcc (GNU C compiler), porm havia pouca coisa, alm disso. O foco primrio do Linus ainda era o desenvolvimento do kernel. Na verdade, o prprio Linus Torvalds at os dias atuais dedica-se apenas ao desenvolvimento do kernel em si, porm nem s de kernel se faz um sistema operacional, um sistema completo necessita de softwares de apoio, como devices drivers, protocolos de rede, ferramentas de desenvolvimento, utilitrios e aplicativos. Para o desenvolvimento de tais softwares, o Linux conta com uma legio de voluntrios espalhados pelo mundo conectados via Internet, conhecida tambm como Comunidade Linux. Por essa razo podemos considerar o Linux um sistema operacional nascido e criado na Internet, e por esse motivo fcil explicar a sua grande popularidade em to pouco tempo, pois medida que ele foi se desenvolvendo, a prpria Internet foi atingindo a massa crtica que levou sua exploso comercial nos dias de hoje. O linux hoje se tornou uma alternativa vivel, de qualidade e desempenho a qualquer sistema comercial atual, sendo considerado por muitos, a ltima palavra em se falando de sistemas na Internet devido a sua portabilidade, estabilidade, segurana e relao custo - beneficio. Atualmente em sua verso de kernel 2.2.13 um sistema capaz tanto de servir como executar a funo de estao de trabalho em qualquer ambiente de rede (TIBET, 2001).

27

4.1 DISTRIBUIES LINUX

Conforme vimos anteriormente um sistema operacional no feito apenas de seu kernel. Para que possamos utiliz-lo necessitamos de outros programas escritos para executar uma srie de funes. Vrias empresas fizeram seus pacotes destes programas e do linux, de maneira que podem se facilmente instalados e utilizados. Estes pacotes so as famosas distribuies do Linux. Uma distribuio tpica ir conter: O prprio linux ou kernel do sistema operacional (em sua verso mais recente); Device drivers para o hardware disponvel; Net3: suporte a redes Ethernet, Token-ring, PPP, etc; Ambiente grfico - X Windows System; Desktop para ambiente grfico (fvwm, fvwm95, Window maker, After dark, KDE, etc;) GNU File tool; GNU C/C++, Perl, TCL e outras ferramentas para desenvolvimento; Aplicativos e utilitrios; GhostScript, Postscript; Tex e Ltex para formatao de documentos cientficos. interpretador e visualizador de documentos em

Porm, as distribuies no ficam limitadas a somente esses produtos. Elas podem oferecer uma variedade muito grande de outros produtos (TIBET, 2001).

4.1.1 Algumas distribuies

As distribuies aqui relacionadas foram escolhidas com base em experincias do autor.

28

4.1.1.1 Slackware

Uma das distribuies mais antigas, mas ainda em evidncia, apesar de ser pouco atrativa aos novatos. uma das poucas, seno a nica que ainda pode ser instalada a partir de disquetes. O Slackware atraente a pessoa que tem bastante experincia em administrao Unix e que gosta de baixar o cdigo-fonte de programas, compil-los, instal-los, configur-los e gerenci-los com as prprias mos, a moda antiga. E, no entanto, a distribuio que fornece mais liberdade ao administrador por no impor restries e que exige mais conhecimento dos utilitrios e pacotes de software do sistema (TIBET, 2001).

4.1.1.2 Open Linux

A distribuio da empresa norte-americana Caldera, responsvel pela manuteno de diversos produtos comerciais para Linux. O Open Linux, apesar do nome, a distribuio que possui mais pacotes de cdigo fechado, tendo um visual bem familiar ao mundo comercial. Essa distribuio foi a primeira a fornecer o Netscape quando este ainda era um produto fechado. O servidor Oracle, lanado para Linux, foi disponibilizado primeiro para essa distribuio. A Caldera tambm detm, entre outros, os direitos de comercializao do servidor Novell para Linux coincidncia ou no, o fundador da empresa Caldera um ex-proprietrio da Novell. O Caldera Open Linux tem pouco compromisso com software livre (TIBET, 2001).

4.1.1.3 Red Hat Linux

A Red Hat , hoje em dia, a distribuio mais popular. Alm de contar com o famoso (RPM), o gerenciador de pacotes mais difundido na Internet, mantido por uma empresa que se preocupa com o Free Software, mantendo vrios funcionrios

29

com a tarefa exclusiva de escrever softwares que sero divulgados na Internet com seus respectivos cdigos-fontes. A sua popularidade pode estar ligada a preocupao com o usurio leigo, sendo assim a distribuio de mais fcil instalao, contando com softwares de apoio ao usurio bem intuitivos para tal tarefa. a nica distribuio atualmente que tem clone em nossa lngua, o Conectiva Linux (TIBET, 2001).

4.1.1.4 Debian GNU/Linux

A Debian comeou com o projeto da Free Software Fundation e posteriormente se desligou do projeto e tomou vida prpria. a mais preocupada com free software de todas as distribuies. Apenas pacotes que tenham o cdigofonte disponvel sem restries podem fazer parte dessa distribuio. A distribuio com o maior nmero de pacotes entre todas e com a maior equipe de desenvolvimento. Porm, apresenta desvantagens em relao facilidade de instalao e seleo dos pacotes, pois obriga o usurio a escolher um por um todos os pacotes a serem instalados. Uma parte dos usurios do Red Hat migra para esta distribuio aps adquirirem experincia suficiente (TIBET, 2001).

5 FIREWALL

Ferretto et al. (2002.) definem que Firewall foi desenvolvido para impedir o acesso no autorizado s redes privadas. O Firewall um mecanismo de segurana resistente a invases, composto por um nico sistema, ou por um conjunto de componentes bsicos que o constituem e formam a sua arquitetura. Agindo como um ponto de interseco entre duas redes, ou mais, o Firewall centraliza a comunicao entre elas e tambm pode controlar todo o trfego que passa por ele, tendo como finalidade e princpio proteger uma determinada rede das outras (FERRETTO, 2002). O Firewall deve estar sempre presente em todas as comunicaes entre redes pblicas e privadas ou entre duas ou mais redes privadas que exijam maior segurana. Esse controle tem como base a poltica de segurana implementada no Firewall, bloqueando ou permitindo a passagem de trfego entre as redes, de acordo com as autorizaes desta poltica. Desta forma, o Firewall prov um meio de controle do trfego que passa por ele e cria um permetro de defesa em torno da rede que protege. Todos os recursos de hardware e software que se encontram dentro deste permetro estaro protegidos pelo Firewall (FERRETTO, 2002).

5.1 BENEFCIOS

Segundo Ferretto et al. (2002.) o Firewall gerencia os acessos entre duas redes distintas, evitando que a rede protegida fique facilmente vulnervel e exposta a ataques externos. Como centraliza e tambm pode controlar todo o trfego que entra ou sai da rede, pode inibir a entrada ou sada de servios estratgicos que tornem a segurana vulnervel e age como um ponto de obstruo choke point, mantendo pessoas no autorizadas, como hackers, crackers, vndalos, espies, etc., do lado de fora do permetro da rede protegida (FERRETTO, 2002). Alm disso, possui a vantagem de ser o local onde a segurana pode ser monitorada de forma prtica, e caso ocorram problemas, pode ser o local onde esto

31

acionados os procedimentos de defesa necessrios disparo de alarmes, registro de ocorrncias, contra-ataque, bloqueio passagem de todo o trfego, etc. Devido a sua caracterstica centralizadora, o local ideal para se fazer auditorias, o levantamento de necessidades e usos que justifiquem os gastos com a comunicao (FERRETTO, 2002). Desta forma, o Firewall agrega vantagens que visa garantir os seguintes princpios bsicos de segurana da informao: Disponibilidade: garantia que a informao estar disponvel para acesso no momento desejado; Sigilo: garantia que a informao seja inteligvel apenas para os usurios, mquinas ou processos autorizados; Controle de acesso: garantia que a informao s possa ser acessada por pessoas ou processos autorizados; Autenticidade: garantia da identificao correta da origem da informao ou dos participantes, ou seja, a origem conhecida. Dela deriva a integridade e o no repdio; Integridade: garantia que a informao original no foi alterada; No repdio: garantia que os participantes no podem negar ao anterior da qual participam (FERRETTO, 2002).

5.2 LIMITAES

Segundo Ferretto et al. (2002.) para que um Firewall seja eficaz necessrio que todo o trfego de entrada e sada de rede a ser protegida, passe por ele. O Firewall no pode proteger a rede de trfego que no passa por ele. essencial que nenhuma conexo com a rede externa, mesma via modem, seja feita em qualquer ponto da rede, pois este tipo de conexo exclui os esquemas de segurana, prestabelecidos e conseqentemente a poltica de segurana. (FERRETTO, 2002). O Firewall no capaz de proteger uma rede dos ataques que no passam por ele. Da mesma forma, o Firewall no pode impedir que usurios mal intencionados copiem as informaes em disquetes ou outra mdia qualquer e as

32

divulguem. Tambm no consegue impedir que uma pessoa, usando a senha de outra, acesse a rede em seu lugar. (FERRETTO, 2002). O mais grave na aplicao de uma poltica de segurana justamente a falta de cuidado dos prprios usurios do sistema, tais como: uso de senhas fracas ou sua divulgao, contas abertas, baixa de arquivos infectados e execuo dos mesmos sem antes passar pela verificao do antivrus. Assim, nem o Firewall perfeitamente configurado pode garantir segurana. Por isso, a conscincia das responsabilidades e o treinamento dos usurios so estritamente necessrios (FERRETTO, 2002). O Firewall no proporciona nenhum tipo de proteo contra intrusos que j conseguiram penetrar, de alguma forma, no seu permetro de defesa. O Firewall, tambm, no consegue proteger a rede da execuo de cdigos maliciosos e so suscetveis a eles. Um Firewall de nada ser til se houver propagao de vrus na rede protegida ou se programas mal comportados, desenvolvidos sem cuidado ou que apresentam alguma falha, permitam a entrada de intrusos ou coloquem a rede em risco de ataques (FERRETTO, 2002).

5.3 PREJUZOS

Segundo COLLE et al. (2006), controlar o uso de recursos e do tempo dos funcionrios tem sido uma prioridade para muitas organizaes sendo que em outras a questo da privacidade dos usurios considerada. Com a chegada da Internet, ficou muito mais fcil e rpido ter acesso a informaes e comunicar-se com o mundo, para o bem ou para o mal. Muita gente acha que no h problema em acessar um ou outro site de entretenimento ou e-mail pessoal durante o horrio de expediente. Mas, vale lembrar que o funcionrio pago para, durante esse tempo, prestar seus servios empresa. Se a inteno tirar alguns minutinhos para relaxar e esfriar a cabea o certo procurar fazer algo que no seja uma ameaa para as organizaes, usar a Internet para fins pessoais, em casa. O uso do correio eletrnico uma ferramenta de produtividade, estudos mostram que o nmero de mensagens ir dobrar a cada ano, at 2007, e esse aumento ir diminuir a produtividade de mais de 60% dos usurios (COLLE, 2006).

33

As empresas em geral, no so to rgidas com essas escapadinhas para o mundo virtual. O problema quando o funcionrio perde o limite de tempo, ou, pior ainda, do contedo dos sites acessados. Usar a Internet no trabalho para surfar em sites de pornografia ou relacionados a assuntos ilegais algo altamente norecomendvel. Muitas empresas controlam a navegao dos usurios internos e podem at demitir o funcionrio que for flagrado ao usar indevidamente a rede. Esse foi o caso de um ex-funcionrio de uma grande instituio financeira, acusado de utilizar o correio eletrnico da empresa para repassar imagens pornogrficas. A causa foi parar na 3 Turma do Tribunal Regional do Trabalho da 10 Regio (Braslia), que reconheceu, por unanimidade, a justa causa na demisso (COLLE, 2006). Se os equipamentos e softwares utilizados para acessar a Internet pertencem empresa e h clusula expressa no contrato de trabalho dispondo que o computador s pode ser utilizado para fim de trabalho e que seu uso ser monitorado, a simples consulta de e-mail particular pode ser motivo para a aplicao de justa causa. Muitos funcionrios reclamam da monitorao feita pelas empresas, alegando que sua privacidade violada (COLLE, 2006). As empresas esto mais cautelosas. No invaso de privacidade checar o que seus funcionrios andam fazendo pela Internet. direito da corporao ter controle o que est ou no sendo produzido, afinal, ela quem paga o salrio no fim do ms (COLLE, 2006). O que faz um funcionrio quando no est exercendo seu trabalho, mas se encontra nos limites da empresa? Este tempo gasto com atividades alheias ao trabalho, com periodicidade excessiva, consequentemente traz perda de produtividade, prejuzos financeiros. Estes prejuzos nem sempre so de fcil constatao e mensurao. Muitas empresas no se do conta do enorme prejuzo que sofrem por no terem uma boa poltica de acesso a Internet e um bom controle de acesso (COLLE, 2006). As corporaes esto classificando o e-mail pessoal e as conexes de Internet de seus empregados como fator potencial de distrao no trabalho, vazamento de informaes e problemas com a pornografia. Por isso, esto considerando limitar ou mesmo proibir o uso pessoal da Web, a razo simples: grande parte dos problemas de vrus nas empresas vem por causa do uso pessoal da Internet por parte dos empregados (COLLE, 2006).

34

Com relao aos problemas legais, uma empresa pode ser processada se um de seus funcionrios usar a rede corporativa para baixar ilegalmente msica e outros contedos protegidos por copyrigth. (COLLE, 2006)

5.4 A NECESSIDADE DE FIREWALL

Segundo Ferretto et al. (2002.), a finalidade principal de um Firewall proteger uma rede de ataques externos, ou seja, provenientes de outra rede. importante observar que no ambiente de negcios na Internet, atualmente, o Firewall, por si s, no suficiente para fornecer todos os nveis de segurana necessrios. Firewalls so geralmente muito eficientes em manter pessoas no autorizadas do lado de fora das redes empresariais. Isto feito delimitando-se os tipos de conexes que sero permitidas e os servios que sero suportados. Isto funciona bem quando as fronteiras da rede so claramente definidas e quando h pouca ou nenhuma necessidade de computao colaborativa (FERRETTO, 2002). Os processos atuais de negcios baseados na Web mudaram as regras da computao empresarial. As empresas precisam, cada vez mais, disponibilizar informaes, assim como ter acesso a diversas aplicaes no mundo dos negcios. Em cada nova aplicao permitida, o risco de brechas na segurana multiplicado. Cada novo usurio implica, tambm, um risco ampliado de espionagem, maus usos de contas ou que informaes caiam em mos erradas, deliberadamente ou no. Considerando o acesso estendido a parceiros, clientes e fornecedores provenientes da rede externa, uma soluo gerenciada centralmente necessria para controlar a complexidade do sistema. possvel delimitar o acesso a informaes crticas residentes na rede protegida, por trs do Firewall, assim como definir e controlar quais informaes que podem sair da empresa para a rede externa (FERRETTO, 2002). Ataques ou invases podem originar-se de dentro ou de fora das fronteiras convencionais da empresa. Muitas brechas na segurana originam-se do lado de trs do Firewall, ou seja, dentro da prpria empresa. Para evitar que informaes confidenciais caiam em mos erradas, a habilidade de monitorar o contedo de arquivos saindo da rede interna para a Internet, ou s trafegando na rede interna

35

to ou mais importante, quanto a habilidade de monitorar o contedo de arquivos entrando da Internet para a rede interna (FERRETTO, 2002). O Firewall tem a capacidade de impor limites no fluxo da informao que sai para a rede externa, como o bloqueio de protocolo, podendo impedir o estabelecimento de conexes de bate papo tipo IRC, por exemplo, e outros servios considerados perigosos ou simplesmente dispensveis. Porm, este bloqueio pode ser driblado se o aplicativo utilizar outros protocolos ou portas diferentes daquelas utilizadas normalmente (FERRETTO, 2002). Em geral, Firewalls no so capazes de exercer controle rigoroso sobre o contedo atravs do monitoramento e bloqueio de informaes no autorizadas, assim como impedir todo e qualquer acesso no autorizado. Tambm no disponibilizam procedimentos antivrus nativamente, assim como o controle sobre cdigos maliciosos embutidos em Applets, Java ou arquivos Activex (FERRETTO, 2002). Estes arquivos podem possuir contedos perigosos, capazes de paralisar as redes empresariais. A filtragem de contedo e medidas antivrus efetivas, baseadas no gateway, so ambas necessrias para garantir uma proteo adequada empresa (FERRETTO, 2002). Embora a segurana nos desktops e servidores sejam importantes, medidas relacionadas a contedo no autorizado e programas malignos so mais efetivas e eficientemente empregadas em gateway para a Internet, que atuam como Firewalls, operando como o nico ponto de comunicao da empresa com o restante do mundo (FERRETTO, 2002).

5.5 CONSIDERAES ESPECIAIS

Segundo Ferretto et al. (2002.) devido a importncia e responsabilidade de um Firewall na segurana de uma rede, faz-se necessria a adoo de algumas consideraes para resguard-lo (SHELDON, 1996):

Limitar as contas no Firewall ao estritamente necessrio, tal como a conta do administrador. Se possvel, deve ser desabilitado o login da rede;

36

Usar autenticao para garantir um grau de segurana maior do que o uso de login/senha; Dispositivos do tipo desafio/resposta so facilmente integrados aos mais populares sistemas operacionais; Remover todos os programas desnecessrios instalados num Firewall: compiladores, editores de texto, jogos, etc. Eles podem conter alguma brecha que permita que os hackers a explorem;

No se deve rodas protocolos vulnerveis em um Firewall, tais como: TFTP, NIS, NFS, UUCP, etc; Desabilitar o protocolo Finger. Atravs dele, um usurio remoto pode obter informaes sobre todas as contas de um sistema; Nos Gateways de e-mail, desabilitar os comandos EXPN e VRFY, os quais podem ser utilizados por hackers para obter informaes sobre os endereos dos usurios;

Desabilitar todos os servios que no esto sendo utilizados num Firewall; Utilizar Firewall somente como Firewall; Habilitar a criao de logs no Firewall e constantemente analis-los com o apoio de ferramentas especficas; Desenvolver polticas de conteno; Utilizar o host do Firewall apenas para sua atividade especifica.

Caractersticas Firewall;

Combinao mais completa e segura do mercado de Proxy a nvel de aplicao; VPN com vrios algoritmos de criptografia; Bloqueio de sites Web indesejveis; Suporte a NAT bi-direcional; Medidas anti-spamming integradas; Possui capacidades externas de log, permitindo exportar informaes para analisadores ou programas de deteco de intrusos (FERRETTO, 2002).

37

5.6 POLTICAS DE SEGURANA PARA FIREWALL

Segundo Ferretto et al. (2002.) a poltica de segurana um dos fatores mais importantes para garantir a segurana corporativa. Isso porque ela trata justamente do ativo: as pessoas. o conjunto formado por diretrizes, normas, procedimentos e instrues que ir nortear os usurios quanto ao uso adequado dos recursos e eles disponibilizados (FERRETTO, 2002). onde se definem regras, comportamentos, proibies e at punies por m utilizao. Deve estar de acordo com a cultura da empresa e seus recursos tecnolgicos (FERRETTO, 2002). Regras de manuteno e criao de senhas, rotinas de backup, fragmentao de material descartado, limites para uso de e-mail e a definio de trilhas de auditoria so alguns dos pontos abordados. Sendo o padro comum existir uma diretriz bsica, onde enfoca a proteo de dados/informaes da empresa, sendo complementada por normas que abrangem assuntos especficos (FERRETTO, 2002). Polticas de segurana, para serem efetivas, devem ser divulgadas tanto aos usurios dos sistemas quanto aos responsveis pela manuteno dos mesmos (SHELDON, 1996). importante ressaltar que um Firewall no somente um dispositivo, para fornecer segurana a uma rede. O Firewall parte de uma poltica estratgica e consistente de segurana organizacional, que possibilita a criao de um plano de defesa para proteger os recursos computacionais. O Firewall pea fundamental na segurana de uma organizao, mas deve ser lembrado que de nada adianta se este no estiver configurado adequadamente (FERRETTO, 2002).

6 IPCOP FIREWALL

O IPCOP FIREWALL uma distribuio do sistema operacional Linux sendo que sua finalidade proteger a rede em que instalado. E extremamente fcil de instalar e configurar por qualquer utilizador, desde o mais inexperiente at o mais tcnico utilizador. distribudo sob a licena GNU (General Public License), uma de muitas vantagens que ele possui, que seu cdigo fonte aberto permitindo que peritos em segurana WORLDWIDEWEB (Rede de alcance mundial), examinem e reparem problemas de segurana. O logotipo do IPCOP mostrado na figura 1.

Figura 1 Ipcop_Banner_Half_Size

6.1 SURGIMENTO DO IPCOP FIREWALL

O IPCOP foi iniciado em outubro de 2001, de uma bifurcao, do projeto Smoothwall. Pois surgiu na poca uma proposta que o Smoothwall, passa a ser cobrado, um grupo de pessoas foi contra a esta proposta, e se retiram do projeto Smoothwall. Este grupo que se retirou do projeto Smoothwall, decidiu iniciar um novo projeto, pois eles queriam ter um projeto de cdigo fonte aberto que atendesse suas necessidades, e que outras pessoas pudessem se beneficiar. Como possuam os cdigos fontes eles os recodificaram e o relanaram com o nome de IPCOP FIREWALL. Este grupo estipulou metas que todo membro tem que seguir, para fazer parte do grupo. Essas metas so: Fornecer uma distribuio de Firewall estvel; Fornecer uma distribuio de Firewall seguro;

39

Fornecer uma distribuio de Firewall que seja software livre; Fornecer uma distribuio de Firewall altamente configurvel; Fornecer uma distribuio de Firewall de fcil configurao; Fornecer Suporte confivel; Fornecer um ambiente agradvel para o usurio discutir e ter ajuda; Fornecer upgrades/patches estveis, assegurando, fcil implementao para IPCOP FIREWALL; Se esforce para adaptar o IPCOP FIREWALL s necessidades da Internet.

6.2 CARACTERSTICAS DE INSTALAO

6.2.1 Interfaces

O IPCOP suporta 4 interfaces de rede e classifica cada uma delas com cores, variando essas de acordo com a funo de cada interface. Green (rede interna); Red (rede externa ou Internet); Orange (DMZ); Blue (conexo access point). Alem das 4 interfaces o IPCOP FIREWALL suporta tambm VLAN, e suporte nome alternativo para a interface red.

6.2.2 Hardware

Suporte a arquitetura i386 e alfa. Memria mnima de 12 MB at 4 GB.

40

Disco rgido ide, scsi, controladora disco sata e raid com 250 MB no mnimo. Placa ethernet ISA, PCI. Ncleo SMP disponvel para i386 HT / multicore ou mltiplos CPU.

6.2.3 Instalao

O IPCOP Firewall pode ser instalado das seguintes formas: Boot disquete; Boot cd room ide, SCSI; Boot usb; Boot placa ethernet com PXE habilitado (necessitando de avdhcp e tftp servidor instalado); Instalao http/ftp.

6.2.4 Idiomas Disponveis

O IPCOP FIREWALL esta disponvel nos seguintes idiomas: Holands, Sul-Africano, Portugus Brasileiro, Blgaro, Catalo, Chins, Tcheco, Dinamarqus, Ingls, Finlands, Francs, Alemo, Grego, Hngaro, Italiano, Japons, Lituano, Noruegus, Persa, Polons, Portugus, Romano, Russo, Eslovaco, Esloveno, Espanhol, Sueco, Tailands, Turco, Urdu, Vietnamita.

6.2.5 Servio de Backup

Disquete; Interface web; USB.

41

6.2.6 Servios Disponveis.

Cliente/Servidor DHCP; DNS dinmico; Http/ftp proxy (squid); IDS (snort) em todas as interfaces; LOG (local e remoto); Cliente/ Servidor ntp; Servidor ssh; Informao de trafego (interface red).

6.2.7 Caractersticas do Firewall

Statefull Firewall uma caracterstica utilizada por Firewalls que tem a finalidade de analisar os pacotes TCP detalhadamente. Ele cria um poderoso sistema, evitando ataques do tipo Stealth Scans, isso permite que o Firewall Statefull seja tecnicamente melhor do que um Firewall Filtro de Pacotes, devido sua criticidade na anlise dos pacotes de uma rede;

Suporte a Nat h323, irc, msn, pptp, proto-gre, quake3; Nat programvel para interface Laranja; PING de resposta configurvel para todas as interfaces.

6.2.8 Vpn Ipsec

Certificado ou PSK; Conexo Host a rede (Roadwarrior); Conexo Rede a Rede. (Net-to-Net).

7 MANUAL DE INSTALAO DO LINUX IPCOP FIREWALL

Neste captulo ser mostrado como se instala o IPCOP FIREWALL, para que micros e pequenas empresas possam ter uma ferramenta poderosa, eficiente para proteger sua rede dos perigos da Internet, e tambm monitorar as atividades de seus funcionrios na rede mundial de computadores. Ser construda uma rede conforme diagrama detalhado mostrado na figura 2. IP valido do modem ADSL 200.146.119.82. IP invlido do modem ADSL 192.168.1.1. IP invlido interface Red (eth0) 192.168.1.5. IP invlido interface Green (eth1) 192.168.0.5. IP invlido PC administrador 192.168.0.3.

Figura 2 Diagrama detalhado da rede

O material usado neste manual foi gerado atravs de uma mquina virtual usando o software VMWARE Workstation, e tambm o software Wink 2.0 para extrair os screenshots. Depois de obtido o material necessrio para elaborao do manual, o IPCOP FIREWALL foi instalado em um computador com, 1 processador AMD-k6(tm)-2/500 MHz com 256 MB de memria ram, 1 HD de 10 GB de espao, 2 placas Realtek RTL8139 Family PCI fast Ethernet NIC, 1 Gravadora Cd room, 1 switch 3COM 16

43

portas, 1 modem adsl modelo Altavia 670R da Parks, com a opo Boot cd room ide. Lembrando que o IPCOP FIREWALL um sistema operacional que roda sozinho, s pode ser instalado em uma mquina dedicada como Firewall, no recomendado instalar em uma mquina que tenha outro sistema operacional, pois esta instalao ir apagar todos os dados do HD. preciso fazer o download do arquivo ipcop-1.4.16-install-cd.i386.iso no seguinte endereo http://downloads.sourceforge.net/ipcop/ipcop-1.4.16-installcd.i386.iso?modtime=1184673271&big_mirror=1, este endereo a fonte oficial para download do IPCOP FIREWALL, aps o download preciso gravar este arquivo em uma mdia cd rom.

7.1 INICIANDO A INSTALAO.

Com o arquivo gravado na mdia cd rom insere-se a mesma no computador que ser instalado o IPCOP FIREWALL. Entra-se na bios do computador e habilita o computador para dar boot pelo cd room. Reinicia-se o computador com a mdia no leitor cd room, e espere at o cd rom ser lido, ir aparecer a tela inicial de instalao do IPCOP, conforme mostra a figura 3.
Figura 3 Tela inicial da instalao

44

Durante a instalao sero usadas as seguintes teclas para navegao entre as opes: TAB, para posicionar e selecionar as opes; ENTER, para prosseguir a instalao; ESPAO, para selecionar opes; Seta esquerda, Seta direita, Seta abaixo, Seta acima, tambm servem para posicionar e selecionar opes. Depois de clicar ENTER, para dar inicio a instalao ser feita a leitura de compatibilidade de hardware da mquina e ser apresentada a tela Language selection mostrada na figura 4, para que seja escolhido do idioma de instalao do sistema. Neste manual escolhemos o idioma English, por ser de fcil atualizaes futuras de ferramentas do sistema, e por ser uma linguagem universal, tecle ENTER para seguir para a prxima tela.
Figura 4 Language selection

A prxima tela somente uma mensagem de boas vindas do sistema, como mostra a figura 5, tecle ENTER para iniciar a instalao.

45

Figura 5 Mensagem de boas vindas

A tela Select installation media, mostrada na figura 6 para informar qual o tipo de instalao que ser realizada. Selecione CDROM/USB-KEY e pressione TAB at chegar a opo OK e tecle ENTER.
Figura 6 Select installation media

A tela IPCOP v1.4.16 The Bad Packets Stop Here est informando que o HD ser formatado automaticamente e sero criadas as parties necessrias para a instalao do sistema, como mostra a figura 7, clique ENTER para continuar a instalao. (OBS: tudo que estiver no HD ser perdido).

46

Figura 7 IPCOP v1.4.16 The Bad Packets Stop Here

A tela Restore, conforme mostra a figura 8, para escolher alguma forma de backup, nesta instalao no ser usada esta opo, clique a tecla TAB at chegar a opo SKIP. Para marcar esta opo pressione a tecla ESPAO, depois pressione a tecla TAB at chegar opo OK e clique ENTER para continuar a instalao.
Figura 8 Restore

A partir da tela Configure networking onde se deve ter muita ateno, pois nela que se comea a ser configurada a rede, e qualquer descuido pode-se ter problemas, conforme a figura 8.

47

Conforme a Figura 2 o IPCOP possui 2 interfaces de rede sendo elas, a interfaces Green e Red e nesta parte onde a instalao detecta o driver da placa de rede da interface GREEN, e informa-se o endereo IP da placa. Selecione a opo Probe e tecle ENTER para a instalao detectar o primeiro driver da placa de rede.
Figura 9 Configure networking

Se tudo ocorreu bem a instalao reconhecer o driver de placa rede, e mostrar o driver reconhecido e aparecer a opo OK, assinalada clica-se ENTER para continuar a instalao.
Figura 10 Deteco placa rede

48

Se a mensagem Error: Auto Detecting failed aparecer porque a placa de rede no suportada pelo sistema, ou est com algum problema, deve-se providenciar a troca da placa de rede no suportada, ou com problema.No endereo http://www.ipcop.org/index.php?module=pnWikka&tag=IPCopHCLv01, est disponvel uma lista de placas de redes suportadas pelo sistema.

A tela GREEN interface solicitar que seja digitado o endereo IP para a interface Green como mostra a figura 11. Neste manual usaremos o endereo 192.168.0.5, clique na tecla TAB at chegar a opo OK, clique ENTER, para finalizar.
Figura 11 Configure networking

A tela Congratulations! informa que o sistema foi instalado com sucesso, como mostra a figura 12.

49

Figura 12 Congratulations!

A tela Keyboard mapping para configurar o layout do teclado. Neste manual ser usada a opo br-abnt, mova o cursor com as teclas acima, abaixo at encontrar a configurao do teclado, pressione a tecla TAB para ir para a opo OK, clique na tecla ENTER para continuar a instalao.
Figura 13 Keyboard mapping

A tela Timezone para configurar a zona de tempo, neste manual foi escolhida a zona Brazil/East (Brasil/Leste) como mostra a figura 14.

50

Figura 14 Timezone

Na tela Hostname solicitado que se informe o nome para o servidor, como mostra a figura 15. Neste manual usaremos o nome IPCOP, pode-se colocar qualquer nome que desejar desde que no tenha nenhum outro computador na rede com o nome.
Figura 15 Hostname

Na tela Domain name solicitado que se informe o domnio que o Firewall far parte.como mostra a figura 16. Neste manual usaremos o domnio RODRIGUES, lembre-se que para os computadores se comunicarem eles tm que pertencerem no mesmo domnio.

51

Figura 16 Domain name

A prxima tela para se configurar conexo ISDN como mostra a figura 17. A conexo ISDN usa o sistema telefnico comum, com isso se paga pulsos telefnicos. Tem-se disposio duas linhas de 64 K cada uma, que podem ser usadas tanto para conexo Internet quanto para chamadas de voz. Na hora que conectar-se a Internet tem-se a opo de usar as duas linhas, conectando-se a 128 k, ou ento deixar a segunda linha livre para uma chamada de voz, mas em compensao acessando a apenas 64 k. O grande problema desse tipo de conexo que se usar as duas linhas para conectar a Internet, a tarifa cobrada em dobro. Por isso que ela no usada largamente, alm disso, ela no est disponvel em muitas cidades. Para desabilitar esta funo clicamos TAB at o cursor se posicionar em Disable ISDN e clicamos ENTER para continuar a instalao.

52

Figura 17 ISDN configuration menu

A tela Network configuration menu onde se configura o tipo de rede, detecta o driver da interface RED, informa o IP da interface RED, informa os IPs dos servidores DNS, o IP do Gateway da rede e tem a opo de habilitar um servidor DHCP para a rede interna, como mostra a figura 18. Escolhe-se a opo Network configuration type para informar qual o tipo de rede.
Figura 18 Network configuration menu

Na tela Network configuration type escolhe-se a opo GREEN + RED, pressiona-se as teclas TAB, ENTER para a instalao gravar o tipo de rede que ser usado, como mostra a figura 19.

53

Figura 19 GREEN + RED

A instalao voltar a tela Network configuration menu, seleciona-se a opo Drivers and card assignments, como mostra a figura 20. Pressione ENTER para entrar na opo, e pressione ENTER novamente para a instalao detectar o driver da interface RED.
Figura 20 Drivers and card assignments

Se tudo correr bem ser apresentada a tela Card assignment e a interface RED selecionada, como mostra a figura 21. Pressione ENTER e ser apresentada a mensagem ALL cards successfully allocated, esta mensagem quer dizer o driver foi reconhecido.

54

Figura 21 Card assignment

A instalao voltara tela Network configuration menu, nesta tela escolhese a opo "Address settings pressiona-se ENTER ser apresentado as interfaces GREEN e RED, seleciona-se a interface RED, pressiona-se ENTER, e ser apresentada a tela RED interface estar marcada a opo STATIC, pressiona-se a tecla TAB at chegar a opo IP address e digita-se o IP, 192.168.1.5, pressiona-se a tecla TAB at a opo OK e tecla-se ENTER para terminar a configurao da interface RED, conforme a figura 22.
Figura 22 RED interface

55

A instalao voltar na tela Address settings, pressiona-se ENTER duas vezes at chegar a opo Done, e clica-se ENTER para voltar tela Network configuration menu. Na opo DNS and Gateway settings pressionando ENTER aparecer a tela para ser digitado o DNS primrio, DNS secundrio e Default Gateway. Os DNS usados para este manual so, primrio 200.221.11.100, secundrio 200.221.11.101, (Obs. Para saber os IPs dos servidores dns vlidos pode-se entrar em contato a operadora que disponibiliza o servio a sua empresa, ou com o provedor). O Default Gateway o endereo IP do modem ADSL que neste caso 192.168.1.1.
Figura 23 DNS and Gateway settings

Depois de configurado a opo DNS and Gateway settings a instalao voltara tela Network configuration menu restando a opo DHCP Server configuration. Na opo de configurao do servidor DHCP a seguir, existe um bug e tem que ser tomado muito cuidado, pois qualquer descuido a instalao ter que ser feita de novo, este bug ocorre da seguinte forma. Se for escolhido no configurar o servidor escolhendo a opo DONE a instalao mesmo assim entra na configurao, e se mover o cursor at a opo Cancel e clicar ENTER a instalao pula a fase onde solicitada que se informe as senhas dos usurios ROOT, ADMIN, BACKUP e encerra a instalao. Com isso no tem como logar no sistema, pois as senhas de login no foram informadas. Se for escolhido configurar o servidor, a instalao obriga a fazer duas

56

vezes a configurao do servidor, para depois solicitar as senhas dos usurios ROOT, ADMIN, BACKUP. Para contornar este bug, tanto para configurar ou no o servidor deve-se seguir os seguintes procedimentos. Selecionar a opo DHCP Server configuration escolher a opo DONE pressionar ENTER. A instalao entrar na tela de configurao, para no configurar o servidor deve-se pressionar TAB at chegar opo DONE depois ENTER, caso for configurar o servidor siga os procedimentos abaixo. Para configurar o servidor habilite a opo Enabled, pressiona-se TAB. Preencham-se os campos, Start address, End address, Primary DNS, as opes Start address e End address informar o endereo IP inicial e o endereo IP final que o servidor usar para atribuir IPs automaticamente para computadores que forem conectados rede, como mostra a figura 24. Neste trabalho estamos informando que o endereo inicial 192.168.0.30 e o endereo final 192.168.0.40, Primary DNS para endereo IP do servidor DHCP, como mostra a figura 24.
Figura 24 DHCP Server configuration

Aps informar o endereo IP na opo Primary DNS, pressiona-se TAB at chegar opo OK, a seguir pressiona-se ENTER para encerrar a configurao do servidor DHCP.

57

Terminada a configurao do servidor DHCP, o sistema solicitar que sejam informadas as senhas dos usurios root, admin, e de backup. (Obs. Nunca digite a mesma senha para os usurios root e admin). Na primeira tela digita-se a senha do usurio root e confirma-se a senha, pressione ENTER, siga este procedimento para o usurio admin, e para backup. Depois de digitar a senha de backup o sistema informar que a instalao foi completada e solicitar que o computador seja reiniciado. Clique ENTER para reiniciar o computador. Lembre-se de tirar a mdia do cd rom, e entrar na bios do computador e mudar a opo de boot, para que seja dado boot pelo HD. Depois de reiniciado o computador e ter colocado para dar boot pelo HD, ser apresentada a tela inicial de boot do sistema. O cursor estar na opo IPCOP, move-se o cursor at a opo IPCOP SMP (ACPI HT enabled) e pressiona-se ENTER, como mostra a figura 25.
Figura 25 IPCop SMP (ACPI HT enabled)

Depois de inicializado, o IPCOP far a leitura de hardware, arquivos de inicializao habilitaro os mdulos necessrios para seu funcionamento, e apresentar a tela de login, como mostra a figura 26.

58

Figura 26 IPCop login

8 MANUAL DE CONFIGURAO E GERENCIAMENTO DO LINUX IPCOP FIREWALL

Neste captulo ser apresentada a forma correta de configurar e gerenciar o IPCOP FIREWALL, sendo que estas configuraes so feitas quase todas via interface Web. Foi utilizado um computador com Windows XP Professional instalado, navegador Internet Explorer 7.0, o software WINSCP e software PUTTY. Winscp: cliente grfico para acesso remoto usa FTP, SFTP. Putty: cliente acesso remoto em modo texto.

Primeiramente faz-se o download dos softwares winscp e putty nos seguintes endereos, site oficial do winscp http://winscp.net/eng/index.php, endereo oficial do site putty http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html. Terminados os downloads, instala-se o software winscp, e cria-se um diretrio em c:\arquivos de programas\PuTTy e copia-se o software putty.exe para este diretrio. A instalao default do IPCOP j vem pr configurada e funcionando, podendo atender as necessidades, porm para melhorar algumas funes h a necessidade de instalar o servidor de addons (Addons Server). Com o servidor addons instalado melhora-se a segurana e desempenho do servidor. Addons so softwares que melhoram algumas ferramentas do sistema, ou inclui nova ferramenta. Existem vrios addons para o IPCOP na Internet, mas alguns so exclusivos para uma determinada verso do IPCOP. Sempre que encontrar um addon para o IPCOP procure saber se a fonte que disponibiliza confivel, nunca instale este addon no servidor principal sem fazer testes primeiro, pois se este addon for incompatvel para a verso do IPCOP, podem ocorrer problemas srios, at mesmo inviabilizar o sistema. Para a instalao do Addons Server, crie um diretrio em C:\IPCOP, logo aps faa o download do arquivo addons-2.3-CLI-b2.tar.tar no endereo http://firewalladdons.sourceorge.net/ e salve-o no diretrio criado. Para prosseguir com as configuraes necessrio habilitar a opo de acesso via SSH do IPCOP. Abra um navegador de internet e digite na barra de

60

endereo

do

navegador

https://

ip

da

interface

GREEN

:445

(https://192.168.0.5:445). Ser apresentado um erro de segurana que deve ser ignorado, este erro apresentado em qualquer navegador. Se estiver usando o navegador Internet Explorer ser apresentado a seguinte mensagem Erro do Certificado:Navegao Bloqueada, clica-se em Continuar neste site (no recomendado),conforme a figura 32. Aps aparecer a pgina principal do IPCOP clique em Connect, no campo Nome de usurio informe o nome admin e no campo Senha informe a senha que foi digitada na instalao. (obs. Somente o usurio admin tem permisso de acesso a interface web do ipcop). V at a opo SYSTEM procure por SSH Access marque a clique em Save. Feche o navegador, e execute o programa Winscp, (caso queria mudar o idioma do Winscp feche o programa, baixe o arquivo de traduo compactado no endereo http://winscp.net/translations/dll/pt.zip, descompacte este arquivo no diretrio c:\arquivos de programas\Winscp, depois execute o programa Winscp clique a opo Languages e escolha o idioma Portugueses Portugus (Brasil)). Execute novamente o Winscp, agora habilitado o idioma Portugus clique na opo Nome do Host, digite o IP da interface Green, em Nmero de porta digite a porta 222, em Usurio digite root e na opo senha digite a senha do usurio root, clique em Login, conforme mostra a figura 27.
Figura 27 WinSCP Login

61

Se quiser salvar esta configurao para no ter que ficar digitando as informaes toda vez que executar o Winscp basta clicar em Salvar, perguntado se realmente deseja salvar, clique OK, depois deve-se escolher com que nome deseja salvar a configurao. Se no for informado nenhum nome ser salvo como root@192.168.0.5, logo aps clique em Login, surgira a pergunta se deseja realmente prosseguir, clique OK, e ser aberta a sesso WinSCP, conforme mostra a figura 28.
Figura 28 Sesso WinSCP

A sesso Winscp apresenta a esquerda o diretrio C:\Documents and Settings\marcos\Meus documentos que computador com Windows XP professional, e a direita o diretrio /root que computador com o IPCOP. Agora necessrio posicionar o winscp para o diretrio onde foi feito o download do arquivo addons-2.3-CLI-b2.tar.tar. Para fazer isso d dois cliques com o mouse na tarja azul no lado esquerdo e ser aberta uma janela, clique na opo procurar, procure pelo diretrio onde foi salvo o arquivo, selecione o diretrio e clique OK e OK , o Winscp ficar posicionado no diretrio c:\ipcop. Agora posicione o mouse no lado direito e clique duas vezes na tarja azul, ser apresentada uma janela, mude de /root para / clique OK, o programa se posicionar na raiz do IPCOP. Cria-se um diretrio INSTALL na raiz do ICOP para enviar os addons que sero instalados. Para criar o diretrio, posicione o mouse no espao em branco da

62

raiz do IPCOP, clique na tecla direita do mouse e posicione o mouse em NEW depois em DIRECTORY e digite INSTALL e clique OK. Depois de criado o diretrio clica-se nele com mouse para entrar no diretrio, o winscp mostrar no lado esquerdo o diretrio C:\IPCOP e no lado direito /install, conforme figura 29. Veja que o diretrio c:\IPCOP esta com o arquivo addons-2.3CLI-b2.tar.tar que foi baixado, move-se este arquivo para /install. Para mover clique com a tecla esquerda do mouse no arquivo fique segurando, e arraste o arquivo para o lado direito e depois solte o boto, ser perguntado se deseja copiar o arquivo para o diretrio /install clique OK para que seja copiado.
Figura 29 Sesso winscp mostrando os diretrios c:\ipcop , /install

Depois que o arquivo foi copiado para /install deve-se descompact-lo para que possa ser instalado, para fazer a descompactao, clique com o boto direito do mouse no arquivo v at a opo Comandos personalizados selecione a opo UnTar/GZip e clique nela, ser perguntado se realmente deseja descompactar o arquivo, clique OK, e qual o caminho que o arquivo ser descompactado. Deixe como est e clique OK pois ele ser descompactado dentro do diretrio /install mesmo. Note que foi criado um diretrio addons com os arquivos descompactados dentro, para instalar o addon Server, no menu do winscp a uma opo chamada Abrir sesso no PuTTy clica-se na opo e winscp abrir o software PuTTY, conforme figura 30.

63

Figura 30 Abrir sesso no PuTTy

Este software emula um terminal de acesso remoto, ser apresentado um sinal de alerta, se deseja mesmo criar a sesso remota, clique SIM e ser apresentada a tela do terminal onde solicitada a senha do usurio root digita-se a senha e o terminal ser habilitado. Dentro do terminal digita-se cd /install para ir at o diretrio onde est o subdiretrio addons que contm os arquivos de instalao do addon Server, digitase cd /addons para entrar no diretrio, e o comando ls para listar os arquivos de instalao. Para instalar o addon Server digita-se o comando ./setup i e ser instalado o programa, conforme a figura 31.
Figura 31 Instalao addon server

Depois que instalado, o addon Server acrescentado pgina principal do ipcop, menu ADDONS este menu contm as seguintes opes: 1. ADDONS NEWS; 2. ADDONS; 3. ADDONS-UPDATE;

64

4. ADDONS-INFO. A opo ADDONS-NEWS traz informaes sobre addons novos, ou que foram modificados, s clicar na opo Refresh addons news que so mostradas as informaes. A opo ADDONS informa quais addons esto disponveis para o ipcop, para ver esses addons s clicar em Refresh addons list e ser mostrada uma lista com vrios addons. Para saber informaes sobre um addon, clica-se na opo informao que possui um link pro site do desenvolvedor, ou para um site que possui o arquivo para download. A opo ADDONS-UPDATE mostra quais addons precisam de atualizaes. A opo ADDONS-INFO mostra informaes detalhadas de um addon. Na opo ADDONS quando se clica em Refresh addons list aparecem vrios addons, caso queira instalar um ou mais addons tem que ter muito cuidado, pois h addons nesta lista que no funciona na verso 1.4.16, e pior ainda que no funcionar ele pode estragar a instalao toda do IPCOP, um exemplo o addon Copplus2.1-b1. Neste trabalho sero apresentados 3 addons importantes para segurana e monitoramento de usurios, que so: 1. BlockOutTraffic; 2. Ipcop-advproxy; 3. Ipcop-urlfilter. O objetivo do BlockOutTraffic criar uma poltica DROP ou REJECT para todo trfego que passar pelo IPCOP. Todo trfego que era permitido pela instalao default do IPCOP bloqueado pelo BlockOutTraffic. necessrio ento, criar regras para permitir trnsito de pacotes. Estas regras so criadas usando a interface Web do IPCOP, que estar disponvel depois da instalao do addon. Acessando o endereo http://blockouttraffic.de/files/BlockOutTraffic-2.3.2-GUIb3.tar.gz pode-se fazer o download dos arquivos para instalar o BlockOuTraffic, salve o arquivo em c:\ipcop, use o programa winscp para copiar o arquivo para o diretrio /install do ipcop.

65

Antes de descompactar o arquivo crie um diretrio com o nome Block e copie o arquivo BlockOutTraffic-2.3.2-GUI-b3.tar.gz para este diretrio, pois os arquivos de instalao foram compactados sem um diretrio, e na descompactao esses arquivos sero adicionados no diretrio /install, esse procedimento somente para que os arquivos compactados no fiquem juntos com arquivos de instalao. Descompacte o arquivo com o programa winscp, execute o PuTTY e digite o comando cd /install/Block, lembrando que tem que digitar os nomes dos diretrios igualmente como foi criado, se foi criado o diretrio Block com letra maiscula tem que se digitar o incio com letra maiscula, pois o IPCOP Linux e ele difere maisculas de minsculas. Estando no diretrio digite o seguinte comando para instalar o addon BlockOutTraffic, ./setup i, aps ter digitado o comando ser instalado o addon. Agora sero instalados os addons ipcop-advproxy, ipcop-urlfilter. Estes addons tem que ser instalados juntos, pois funcionam em conjunto, so eles que fazem os bloqueios de sites, palavras, e tambm monitora os usurios da rede interna quando navegam na Internet. Para fazer o download do ipcop-advproxy, ipcop-urlfilter acesse o site http://www.advproxy.net/ clique em Download Advanced Proxy, procure pela opo Download Advanced Proxy for IPCop 1.4.4 - 1.4.16 e clique em I agree with these terms, salve o arquivo no diretrio c:/ipcop. Para fazer o download do ipcop-urlfilter procure a opo URL filter add-on clique nela, procure a opo Download URL filter e clique nela, procura agora a opo Download URL filter for IPCop 1.4.8 - 1.4.15 e clique na opo I agree with these terms para fazer o download. Terminado o download dos dois addons copie-os com o winscp para o diretrio /install, descompacte-os usando o winscp. Sero criado dois diretrios, um chamado ipcop-advproxy, e outro ipcop-urlfilter. Usando o PuTTY acesse o diretrio ipcop-advproxy com o comando cd /install/ipcop-advproxy, e instale o addon com o comando ./install. Aps ter instalado o ipcop-advproxy, digite o comando cd /install/ipcop-urlfilter para entrar no diretrio de instalao do addon ipcop-urlfilter e digite o comando ./install. Depois de instalados os addons, a interface web do ipcop alterada da seguinte forma, no menu SERVIOS, a opo proxy alterada para PROXY

66

AVANADO, e acrescentado o item URL FILTER, no menu FIREWALL acrescentado as opes BLOCK OUTGOING TRAFFIC e ADVANCED BOT CONFIG, tambm foram acrescentados trs opes no menu LOGS, sendo elas LOGS DO PROXY e LOGS DE FILTROS URL. Para acessar a pgina de configuraes do IPCOP, inicializa-se o navegador IE e digita-se https:// o IP da interface Green seguido de :445, (https://192.168.0.5:445), ser apresentado a seguinte mensagem Erro do Certificado:Navegao Bloqueada, clica-se em Continuar neste site (no recomendado), para ter acesso a pgina do IPCOP, conforme a figura 32.
Figura 32 Acesso a pgina de configuraes do IPCOP

Aps aparecer a pgina principal do IPCOP clica-se em Connect, conforme a figura 33. Ser solicitada a senha de usurio administrador do IPCOP, este usurio tem poderes para fazer a administrao do IPCOP. Digita-se admin e a senha que foi digitada na instalao.

67

Figura 33 Connect

Para mudar o idioma do IPCOP para Portugus (Brasileiro), v com o mouse at o menu System na opo GUI SETTINGS, e procure pela opo Brazilian Portuguese (Portugus-Brasil), clique em Save para mudar o idioma.
Figura 34 Brazilian Portuguese (Portugus-Brasil)

8.1 PGINA PRINCIPAL

atravs da pgina principal que se tem acesso aos menus de configuraes e logs do sistema. Esses menus sos:

68

SISTEMA; SITUAO; REDE; SERVIOS; FIREWALL; VPNS; LOGS.

O menu Rede no ser abordado neste trabalho porque ele configurado somente quando se usa conexo discada, o que no o caso deste manual. E o menu Vpns serve para fazer tunelamento na Internet entre duas redes, ou um host e uma rede, no sendo este o objetivo deste manual.

8.2 MENU SISTEMA

O menu Sistema contm as seguintes opes, conforme mostra a figura 35: 1. Principal; 2. Atualizaes; 3. Senhas; 4. Acesso SSH; 5. Configuraes da GUI; 6. Cpia de Segurana; 7. Desligar; 8. Crditos. A opo 1 somente a pgina inicial da interface web do IPCOP FIREWALL. A opo 2 onde se faz atualizaes para uma nova verso do sistema, caso seja disponibilizado uma atualizao esta opo informa que preciso fazer a atualizao. Alm de informar que preciso fazer a atualizao apresentado o link para fazer o download das atualizaes, tambm a opo de limpeza de cache do Proxy (squid).

69

A opo 3 usada para alterar a senha do administrador e do usurio de conexo de discagem. A opo 4 usada para habilitar o servidor de conexo SSH. A opo 5 usada para alterar o idioma da interface Web do sistema. A opo 6 usada para fazer backup, havendo a possibilidade de fazer backup do sistema em disquetes, HD, mdias removveis. A opo 7 serve para reinicializar, desligar ou programar o sistema para desligar ou reinicializar com hora e dia automaticamente. A opo 8 apresentao das pessoas que fazem parte do grupo que mantem o ipcop ativo.
Figura 35 Menu Sistema

8.3 MENU SITUAO

No menu Situao esto as opes mostradas na figura 36; 1. Situao do Sistema; 2. Situao da Rede; 3. Grfico do Sistema; 4. Grfico de Trafego; 5. Conexes. A opo 1 apresenta os servios que o sistema possui, e quais esto sendo executados e quais esto parados, exibe tambm o uso da memria, uso do disco,

70

os Inodes usage. Quais usurios esto logados no sistema e o tempo que eles esto logados, mostra os mdulos carregados e qual a verso do kernel do Linux usado pelo sistema. A opo 2 apresenta as interfaces do sistema detalhadamente tais como endereo IP, endereo MAC, a tabela de roteamento, a tabela de entrada ARP. A opo 3 mostra estatsticas de uso da CPU, da memria RAM, SWAP, e do HD, em modo grfico se clicar em uma dessas opes pode-se ter estatstica individual mostrando dia, ms e ano. A opo 4 mostra o trfego das interfaces Green e Red, clicando numa dessas opes so mostrados grficos por dia, ms e ano. A opo 5 rastreia as conexes entre o sistema e a rede interna.
Figura 36 Menu situao

8.4 MENU SERVIOS

Este menu contm as opes mostradas na figura 37: Proxy Avanado; Url filter; Servidor DHCP; DNS dinmico; Editar hosts;

71

Servidor de horrio; Controle de trfego; Deteco de intruso.

Figura 37 Menu Servios

8.4.1 Proxy Avanado

A opo Proxy Avanado um servidor Proxy que atua sobre as requisies dos usurios na rede interna, ele funciona da seguinte forma: quando um usurio da rede interna vai navegar na Internet ele abre o navegador e digita o endereo que quer acessar, na verdade o usurio est acessando o servidor Proxy. A solicitao do usurio vai at o servidor, o servidor quem realmente navega, ele vai ao endereo solicitado, armazena no cache e depois repassa as informaes para o usurio. Este endereo fica armazenado por um tempo no cache do Proxy, se algum outro usurio solicitar este endereo ele repassa automaticamente sem a necessidade de entrar de novo na Internet. Por isso um servidor Proxy muito importante, pois diminui bastante o trfego entre a Internet e a rede interna. O Proxy avanado instalado atravs do addon ipcop-advproxy, ele sobrepem o proxy da instalao original para que o firewall seja mais seguro e eficiente. Para configurar dividiremos em partes para melhor entendimento.

72

1. Configuraes comuns. 2. Proxy principal. 3. Configuraes de logs. 4. Gerenciamento de cache. 5. Portas de destino. 6. Controle de acesso base na rede. 7. Restries de tempo. 8. Limites de transferncia. 9. Limitao para download. 10. Filtro mime. 11. Web browser. 12. Privacidade. 13. Filtro url. 14. Mtodo de autenticao.

A. Configuraes comuns

Na opo 1 Configuraes Comuns habilita-se as seguintes opes: Habilitao ligada Green, esta opo diz ao Proxy que a rede Green pode trafegar pelo Proxy. Na opo Porta Proxy por default vem habilitada a porta 800, geralmente o Proxy trabalha nas 3128 ou 8080, mas se quiser colocar outro nmero de porta h esta possibilidade, mas lembre-se NUNCA USE UMA PORTA PARA O PROXY QUE ESTEJA SENDA USADO POR OUTRO SERVIO, pois certamente haver conflito de portas. Marque a opo Transparncia ligada, caso esta opo no seja habilitada cada computador que estiver conectado rede, ter que ser configurado o navegador manualmente. Em Hostname visvel para informar o nome do servidor Proxy. Na opo E-mail do administrador do cache informa-se o e-mail da pessoa que administra o servidor Proxy, nas opes Linguagem de mensagens de erro e Design de mensagens de erro deixe padro, porque elas s funcionam no idioma ingls. H bilite Suprimir informaes da verso, pois habilitando esta opo no apresentada verso do servidor Proxy esta sendo usada, conforme a figura 38.

73

Figura 38 Configuraes comuns

B. Proxy principal, configuraes do log

A opo Proxy principal no configurada, pois ela s configurada quando se tem um servidor Proxy principal. Habilite a opo Configuraes do Log para que o sistema gere informaes sobre a navegao pela Internet. A figura 39 mostra as opes Proxy principal e configuraes do log.
Figura 39 Proxy principal, configuraes do log

C. Gerenciamento de Cach

As opes disponveis em gerenciamento de cach so mostradas na figura 40.

74

Tamanho da memria cache em (NB): a quantia de memria RAM que usado para fazer cache de objetos. Este valor no deve exceder mais de 50% de RAM instalada. O mnimo para este valor 1MB, o default 2 MB. Este parmetro no especifica o tamanho do processo de mximo. S coloca um limite de memria RAM ADICIONAL que o Servidor Proxy usar para fazer cache de objetos.

Tamanho do cache em (MB): a quantia de espao do disco (MB) que ser usado para fazer cache. O default 50 MB. Mude esta opo para um cache maior, mas nunca coloque o tamanho total da unidade de disco, o uso mximo do disco 20%.

Tamanho mnimo do objeto em (KB): o tamanho mnimo de objetos que sero salvos em cache. O valor especificado em kilobytes, o tamanho mnimo padro 0 KB, que significa no existir tamanho mnimo.

Tamanho mximo do objeto em (KB): o tamanho mximo de objetos que sero salvos em cache. O valor especificado em kilobytes, o tamanho mximo padro 4096 KB.

Nmero de subdiretrios de nvel-1: O valor padro para o Nmero de subdiretrios de nvel-1 16. Cada nvel-1 contm 256 subdiretrios, ento um valor de 256 nveis-1 usa um total 65536 subdiretrios para cache, o valor recomendado 16. S se deve aumentar este valor somente quando for necessrio.

No faa cache desses domnios (um por linha): Esta opo para no fazer cache de determinados domnios. Substituio de regra de memria: O parmetro de poltica de substituio de regra de memria determina quais objetos sero substitudos

75

da memria, para criar espao para novos objetos, a poltica padro LRU. Substituio de regra de cache: O parmetro de poltica de substituio de cache decide que objetos permanecero em cache e quais objetos sero substitudos, para criar espao para novos objetos. A poltica default para substituio de cache LRU. Modo desligado habilitado: Esta opo desligar o gerenciamento de cache.
Figura 40 Gerenciamento de Cache

D. Portas de destino

Esta opo enumera as portas de destino permitido para os padres HTTP e SSL e codificaram pedidos HTTPS, as portas podem ser definidas como um nmero de porta nica ou varias portas. A figura 41 mostra um exemplo de portas de destino.

76

Figura 41 Portas de destino

E. Controle de acesso baseado na rede

Esta opo serve para controlar o acesso dos usurios da rede interna, ao Servidor Proxy. A figura 42 mostra as opes a serem configuradas. Subnets permitidas (uma por linha): Nesta opo so definidas quais redes tm permisso para acessar o Servidor Proxy, a rede GREEN e AZUL (se disponvel) devem ser includas aqui. Desabilite o acesso por Proxy interno a Green de outras subredes: Esta opo para desabilitar o Proxy para acessar outras subredes internas. Endereos IP sem restrio (um por linha) / Endereos MAC sem restrio (um por linha): Estas opes so para o caso de um computador ter acesso irrestrito ao servidor Proxy, insere-se o IP e endereo MAC da placa de rede do computador. (OBS: Estas funes tambm funcionam independentes, mas o correto inserir o IP e MAC para o caso de algum tentar burlar o servidor Proxy.) Endereos IP banidos (um por linha) / Endereos MAC banidos (um por linha): Estas opes so para o caso de um computador no ter

77

acesso ao servidor Proxy, insere-se o IP e o endereo MAC da placa de rede do computador. (OBS: Estas funes tambm funcionam independentes, mas o correto inserir o IP e MAC para o caso de algum tentar burlar o servidor Proxy.)
Figura 42 Controle de acesso baseado na rede

F. Restrio de tempo, Limites de transferncia, Limitao para Download

As opes disponveis em Restrio de tempo, limite de transferncia e limitao para download so mostradas na figura 43. Restrio de tempo A opo configurada quando se quer restringir o acesso a Internet em um determinado perodo, o padro permitir acesso em qualquer dia e horrio. Para negar acesso num determinado dia e horrio, selecionam-se os dias e o horrio e mude a opo Acesso para negar, depois clique em Salvar e reiniciar. Limites de transferncias Esta opo configurada quando se quer restringir o tamanho mximo de arquivos download e upload da Internet, sendo que o padro 0 para ambos. Se for definido o tamanho mximo do arquivo em 1MB, arquivos maiores no sero baixados ou enviados.

78

Limitao para Download Esta opo configurada quando se quer restringir a velocidade de downloads de arquivos, podendo restringir a velocidade de 64 kBit/s at 5120 KBit/s.
Figura 43 Restrio de tempo, Limites de transferncia, Limitao para Download

G. Filtro tipo MIME, Web browser

A opo Filtro tipo mime usada para bloquear MIMES, para habilitar esta opo clique em Habilitado, depois no campo Bloquear esses tipos de MIME (um por linha): digita-se os tipos de mimes que se quer bloquear, conforme mostra a figura 44. Exemplo: Caso queira bloquear acesso a arquivos com extenso PDF, digite no campo Bloquear esses tipos de MIME (um por linha):.pdf Web browser A opo Web browser permite que seja controlado o tipo de navegador que ter acesso a sites da Web, para habilitar marque a opo Habilitar check de browser:, e marque os tipos de navegadores que podero acessar a Web.

79

Figura 44 Filtro tipo MIME, Web browser

H. Privacidade, Filtro URL, Mtodo de autenticao

Esta opo Privacidade habilitada quando se quer ter privacidade durante a navegao na Internet, conforme mostrado na figura 45. No campo Falso Useragent para sites externos: informada uma string, e toda vez que um usurio da rede interna for navegar na Internet o servidor Proxy, muda o cabealho de navegao que submetido para sites externos. Exemplo: Ensira a string Mozilla/5.0 (Windows; U; Windows NT 5.1; En-os EUA; Rv:1.7.3) Gecko/20041002 Firefox/0.10, esta string far com que servidores Web externos acreditam que todos os usurios da rede interna estejam usando o Firefox Browser: Na opo Feferenciador falso submetido a sites externos:, quando se clica em um hyperlink, a URL de origem enviada para o site da web de destino. Inserindo, por exemplo a string Http://xxxxxxxxxxxxxxxxxxxxxxxxxxx, a URL de origem trocada por uma falsa, ficando o usurio da rede interna, anonimamente. A opo filtro URL, s funciona se o addon ipcop-urlfilter estiver instalado, ela habilitada para que o Servidor Proxy possa fazer filtros de URLS, domnios, expresses. O mtodo de autenticao, no configurado para Servidores Proxy transparentes.

80

Figura 45 Privacidade, Filtro URL, Mtodo de autenticao

8.4.2 URL Filter

O URL Filter um dos addons mais importantes do IPCOP, ele quem faz bloqueios de acesso a domnios, urls, palavras, arquivos indesejveis. possvel bloquear toda navegao Internet, ou liberar a navegao somente a sites autorizados pela empresa. Ele s funciona se o addon Proxy avanado estiver instalado. Sero mostradas a seguir as opes de configuraes desse addon.

A. Bloquear categorias e Blacklist personalizada

A opo Bloquear categorias um banco de dados que contm varias categorias de blacklist (lista negra), que representam ameaas segurana da navegao na Internet, para habilitar marque todas as opes. A figura 46 mostra todas as opes. A opo Blacklist personalizada bloqueia domnios e urls indesejveis, para habilit-la marque a opo Habilitar blacklist personalizada. Exemplo: Caso se queria bloquear o domnio cesumar.br adiciona-se o domno na opo Domnios bloqueados ( permitido um domnio por linha). Caso queira bloquear somente uma URL de um domnio em vez do domnio todo, adiciona-se a URL que ser bloqueada na opo, URLs bloqueadas.

81

Exemplo: Caso se queira bloquear a URL cesumar.br/moodle adiciona-se a URL na opo URLs bloqueadas, ( permitido uma URL por linha), com isso os usurios podero acessar o domno cesumar.br, mas no podero acessar a URL cesumar.br/moodle.
Figura 46 Bloquear categorias, Blacklist personalizada

B. Whitelist personalizada e Lista personalizada de expresses

A opo Whitelist habilitada quando se deseja especificar domnios e URLs para os usurios da rede interna acessarem. Para habilitar marque a opo Habilitar whitelist personalizada, conforme mostra a figura 47. A opo Lista personalizada de expresses habilitada quando se deseja bloquear acesso por expresses ou palavras. Para habilitar marque a opo Habilitar lista de expresses personalizadas. Exemplo: Caso queira bloquear as palavras sexo e nudez, adicione estas palavras no campo Expresses bloqueadas, se algum usurio tentar acessar um endereo da Internet que contenha uma dessas palavras, a navegao dele ser bloqueada.

82

Figura 47 Whitelist personalizada, Lista personalizada de expresses

C. Bloqueamento por exteno de arquivo, Redirecionar arquivo local e Controle de tempo de acesso

A opo Bloqueamento por exteno habilitada quando se quer bloquear download de arquivos executveis, compactados, vdeo ou udio. A opo Redirecionamento arquivo local ativa o redirecionamento de pedidos de download de arquivo para o repositrio local. Com isso aumenta a velocidade e a largura de banda da rede. A opo Controle de acesso rede tem duas opes, a opo Endereos IP no filtrados (um por linha) para dar privilgio a um usurio para navegar na Internet sem restries, ou seja, todas as regras contidas no URL Filter no sero aplicadas para este usurio. J na opo Endereos IP descartados (um por linha) para bloquear o acesso de um usurio a Internet, ou seja, o URL Filter ignorar todas as regras e bloqueia de imediato o usurio. As opes Controle de tempo de Acesso e Definir cota do usurio so para definir dias, horas, minutos de acesso a Internet para usurios individualmente. Todas opes descritas neste item so mostradas na figura 48.

83

Figura 48 Bloqueamento por exteno de arquivo, Redirecionar arquivo local e Controle de tempo de acesso

D. Configurao de pginas bloqueadas

Nesta opo onde so configuradas as mensagens que iro aparecer para os usurios que tenham restrio de acesso a Internet. A figura 49 mostra todas as opes desta tela. Mostrar categoria de pgina bloqueada: deveria mostrar o nome da categoria a qual esta pgina foi adicionada para bloqueio. (Bug). Mostrar URL de pgina bloqueada; mostra a URL da pgina que tentaram acessar na mensagem. Mostrar IP de pgina bloqueada; mostra o IP do usurio que tentou acessar a pgina bloqueada na mensagem. Use DNS Error para bloquear URLs: se habilitada mostra uma mensagem no navegador de pgina no encontrada. Habilitar imagem de background: se habilitada deveria mostrar uma imagem personalizada de background para a pgina bloqueada. (Bug). Linha de mensagem 1; insira aqui a 1 mensagem que ser mostrada para o usurio que tentar acessar algum contedo proibido. Linha de mensagem 2: insira aqui a 2 mensagem que ser mostrada para o usurio que tentar acessar algum contedo proibido.

84

Linha de mensagem 3; insira aqui a 3 mensagem que ser mostrada para o usurio que tentar acessar algum contedo proibido.

Exemplo de mensagem: ACESSO NEGADO" Acesso a pgina solicitada foi negada Por favor, contacte o Administrador da rede caso exista Algum erro".
Figura 49 Configurao de pginas bloqueadas

E. Configuraes avanadas

Estas opes ativam os seguintes servios: Habilitar listas de expresses: ativa a lista de expresso personalizada. Habilitar SafeSearch: verificao de palavras-chave, frases, url. Bloquear ads com janelas em branco: bloqueia anncios e banners indesejados. Bloquear sites acessados por esses endereos IP: bloqueia sites acessados por endereo IP. O mesmo site estar disponvel se acessado pelo nome de domnio, se no estiver bloqueado por outra regra. Bloquear todas as URLs no explicitamente permitidas: bloqueia acesso a todos os sites, somente os site que estiverem na opo Whitelist personalizada podero ser acessados. Habilitar Log: Ativa logs do URL Filter. Log nome de usurio: inclui o nome do usurio no log.

85

Repartir log por categorias: divide o log por categoria de Blacklist. Nmero de processos filtrador: quantidade de processos filtrados que esto ativos, o valor default 5. Allow custom whitelist for banned clients: todas as solicitaes de navegao a Internet, de clientes proibidos sero bloqueadas a revelia. Os clientes proibidos somente podero acessar sites que estiverem indicados na opo Whitelist personalizada. A opo Habilitar whitelist personalizada deve estar habilitada.

Salvar: salva todas as configuraes habilitadas no URL Filter. Salvar e reinicializar: salva todas as configuraes habilitadas no URL Filter e reiniciar, o servio para ativar as regras.

Todos os servios descritos acima so mostrados na figura 50.

Figura 50 Configuraes avanadas

F. Manuteno de filtro URLs

As opes de manuteno de filtro URL so mostradas na figura 51. Atualizao de blacklist: faz atualizao de uma blacklist existente no sistema. Atualizao automtica da blacklist: habilitando esta opo o sistema procura na Internet uma blacklist atualizada e baixa automaticamente a lista, depois de baixada a lista atualizada, clica-se em Salvar configuraes atualizadas. Tem-se a opo de escolher a baixa automtica diariamente, semanalmente ou mensalmente, e tambm

86

possui quatro fontes para downloads. Caso queira indicar uma fonte para download s indicar na opo Fonte URL customizada.
Figura 51 Manuteno de filtro URL

G. Editor blacklist, configurao de backup de filtro URL e Restaurar filtro de configurao URL

Editor blacklist: serve para incluir uma nova categoria de filtro, editar uma categoria existente. Configurao de backup de filtro Url: faz backup de toda blacklist, incluindo as opes Blacklist personalizada, Whitelist personalizada. Restaurar filtro de configurao URL: restaura o backup blacklist

Todas essas opes so mostradas na figura 52.

Figura 52 Editor blacklist, Configurao de backup de filtro URL, Restaurar filtro de configurao URL

87

8.4.3 DHCP

Este menu usado para fazer manutenes no servidor DHCP, tais como, mudar a faixa de IPs que o servidor DHCP distribui aleatoriamente, atribuir IP fixo a uma determinada mquina, verificar quais mquinas esto conectadas rede com IPs distribuidos pelo servidor DHPC.

8.4.4 DNS Dinmico

Esta opo somente configurada para conexes que possuem IPs dinmicos. A Internet possui um nmero limitado de endereos de IP. Quando se conecta a um provedor de Internet, o provedor atribui um endereo de IP dinmico para o computador utilizar enquanto estiver conectado. Se o computador tiver a necessidade de hospedar um servidor web, ou outro servio qualquer, que exija que outros computadores o achem na Internet, eles precisam saber qual o seu endereo IP. Como o IP dinmico muda constantemente fica impossvel que outros computadores localizem o servidor web, ou outro servio hospedado no computador que usa IP dinmico. O servio dns dinmico oferecido por provedores externos, sendo que alguns desses provedores cobram pelo servio, e outros no. O dns dinmico um software que atribui um hostname esttico a um endereo de IP dinmico. Assim quando o provedor de acesso muda o ip dinmico do computador este software avisa ao provedor de dns dinmico IP novo. Para configurar esta opo siga os passos abaixo. A SETTINGS Para habilitar Dns dinmico marque as opes Consiga o IP pblico real com a ajuda de um servidor externo, Minimiza atualizaes: antes de uma atualizao,

88

o IP no DNS para [host.]domnio com o IP Vermelho depois clique em salvar. Conforme mostra a figura 53.
Figura 53 Settings

B ADICIONAR UM HOST

Para adicionar um host tem-se que acessar uns dos servidores externos cadastrados no IPCOP e abrir uma conta de usurio, depois preencha os campos Hostname, domnio, Nome do usurio e senha, clique em Adicionar, que so mostrado na figura 54.
Figura 54 Adicionar um host

89

8.4.5 Editar Hosts

Esta opo adiciona nome aos hosts da rede. Para isso, preencha os campos Endereo IP do Host, Hostname, Nome do domnio e marque a opo Habilitado, clique em Adicionar, conforme mostra a figura 55.
Figura 55 Editar hosts

8.4.6 Servidor de Horrio

O servidor de horrio configurado quando se quer que os relgios dos computadores da rede interna sejam atualizados por um servidor de horas externo. Esta tarefa pode ser executada automaticamente ou manualmente. As opes de habilitao do servidor de horrio so mostradas na figura 56. Marque as seguintes opes, Obtenha a hora de um Servidor de Tempo da Rede, Fornece hora para a rede local e escolha a forma de execuo Manualmente ou automtica. Para habilitar a forma de atualizao manualmente marque somente a opo Manualmente. Para habilitar a forma de atualizao automtica marque a opo Cada, informando que a atualizao ser em horas, dias, semanas ou meses.

90

Figura 56 Servidor de horrio

8.4.7 Controle de Trfego

Esta opo para controlar o trfego entre a Internet e a rede interna, ou seja, ele prioriza trfego de alguns servios melhorando o desempenho da rede. O trfego configurado em categorias de prioridades Alta, Mdia e Baixa. Para habilitar marque a opo Controle de trafego, informe as velocidades de download e Uplink, escolha qual ser a prioridade da conexo, Alta, Mdia, Baixa, a porta usada pelo servio e o tipo de protocolo usado por ela, marque a opo habilitada, e clique em adicionar, conforme mostrado na figura 57.

Figura 57 Controle de Trfego

91

8.4.8 Deteco de Intruso

Um sistema de deteco de intruso, analisa o contedo dos pacotes recebidos pelo Firewall e procura por cdigos maliciosos conhecidos que possam prejudicar os computadores da rede interna. O IPCOP usa o Snort para fazer a deteco de intruso. Para habilitar esta opo, faa o cadastro no site www.snort.org depois do cadastro gere o Oink Code, copie e cole o cdigo gerado no campo Oink Code, como mostra a figura 58. Marque as opes GREEN Snort e RED Snort e Regras Sourcefire VRT para usurios registrados, depois clicar em Salvar. Para manter o snort atualizado o administrador do IPCOP recebe frequentemente e-mail sobre novas regras que esto disponveis para atualizao, e tambm necessrio entrar na opo Deteco de Intruso e fazer a atualizao manual de novas regras, clicando em Baixar novo conjunto de regras e finalmente em Aplicar agora.
Figura 58 Deteco de intruso

8.5 FIREWALL

O menu Firewall importantssimo, pois nele esto servios essencias para a segurana do sistema e de toda a rede. Atravs dele pode-se adicionar regras

92

ipatbles, fazer bloqueios de portas, servios e redirecionamentos de portas, permitir acesso de usurios externos rede interna. A figura 59 apresenta as opes do menu firewall, sendo elas: FORWARDING DE PORTA; ACESSO EXTERNO; OPES DO FIREWALL; BLOCK OUTGOING TRAFFIC; ADVANCED BOOT CONFIG.
Figura 59 Menu Firewall

8.5.1 Forwarding de Porta

Nesta opo onde so feitos os redirecionamentos de portas. Se h um servio na rede interna e algum tem que acessar este servio atravs da Internet este servio s ser acessvel se for feito o redirecionamento da porta para o computador que estiver instalado o servio. Por exemplo, tem-se um Servidor Windows 2003 na rede interna e este servidor est rodando o servio Terminal Server, para que usurios acessem este servio da Internet, preciso redirecionar a porta para o IP do Servidor Windows 2003. O Terminal Server usa a porta 3389 TCP e UDP para redirecionar faz-se o seguinte: No campo Porta de Origem digite o numero da porta 3389, no campo IP

93

de destino informa-se o endereo IP do Servidor Windows 2003. Em Porta de destino informe a porta 3389, em Observao digite o nome do servio que esta sendo feito o redirecionamento Terminal Server, marque a opo Habilitado, depois s clicar em Adicionar, repita o procedimento s mudando a opo Protocolo para UDP. A figura 60 mostra todas essas opes.
Figura 60 Forwarding de porta

8.5.2 Acesso Externo

Esta opo libera a entrada de um servio da Internet para a rede interna, no captulo 8.5.1 foi configurado o redirecionamento de portas do servio de Terminal Server, no adianta nada configurar o redirecionamento de porta se esta opo no for configurada. Para liberar o acesso externo digite na opo Porta de destino o nmero da porta que est sendo liberada, no caso a porta 3389, marque a opo Habilitado, no campo Observao digite o nome do servio Terminal Server e clique em adicionar, repita o procedimento mudando somente a opo TCP, para UDP, conforme mostra a figura 61.

94

Figura 61 Acesso externo

8.5.3 Opes do Firewall

Esta opo bloqueia a entrada do comando ping da Internet para interface Red (IPCOP), e da interface Green (rede interna) para a interface Red (IPCOP). Para habilitar esta opo marque a opo desejada, e depois clique em Salvar, como mostra a figura 62.
Figura 62 Opes do Firewall

8.5.4 Block Outgoing Traffic

Esta opo controla o trfego entre as interfaces GREEN e RED (origem, destino, servios, etc) ela controla quais servios da Internet podem ser utilizados pelos computadores da rede interna. As regras so criadas usando uma interface WEB

95

bastante intuitiva e, claro, disponvel atravs da pgina de administrao do IPCOP. Segundo Gaspar (2006) as principais caractersticas do Block Outgoing Traffic so: Fcil interao com as regras atravs de uma pgina WEB; Controle do trfego que vai ou passa atravs do IPCOP; Possibilidade de criar restries de Trfego por endereos MAC, IP e interfaces; Cadastro de objetos (p. ex: endereos, servios e interfaces); Cadastro de grupos de endereos e de servios; Regras com restries de tempo (p. ex: intervalo de hora ou dia da semana para ser aplicada); Controle de acesso para rede BLUE (Wireless); Controle e monitorao do trfego das regras atravs de Logs do Firewall. Para configurar clique na opo Editar, ir aparecer a tela de configurao, preencha os seguintes campos, Admin MAC, com o endereo MAC do computador que ir administrar o IPCOP, o campo HTTPS Port (Default is 445) com o nmero de porta 445, que porta de acesso pgina de administrao do IPCOP. Se a rede interna tiver algum tipo de servio que acessado pela Internet, marque a opo Connection state:, pois ela permitir o trfego de uma conexo j existente. Marque a opo Logging:, para criar registros ou logs do trfego que no coincidir com as regras configuradas no Block Outgoing Traffic, no campo Default Deny action:, escolha qual ser a poltica que o Block Outgoing Traffic ir trabalhar, lembrando que a poltica DROP bloqueia os pacotes tanto de entrada quanto de sada sem enviar um aviso. A poltica REJECT tambm bloqueia os pacotes de entra ou sada, mas envia uma mensagem ICMP informando que o destino foi unreachable (Inalcanvel). A opo Advanced Mode: para acrescentar regras avanadas para customizar as necessidades da rede, s habilite esta opo se o administrador do IPCOP tiver bastante conhecimento sobre firewalls, pois esta opo abre o firewall.

96

Marque a opo Check for BlockOutTraffic updates, para o sistema avisar caso seja disponibilizado uma nova verso, ou atualizao deste servio. Para continuar a configurao do BlockOutTraffic, necessrio fazer a configurao do captulo 8.5.5 e depois voltar a este captulo. Terminadas as configuraes do captulo 8.5.5 clica-se no menu FIREWALL na opo BLOCKOUTGOINGTRAFFIC para abrir a pgina onde so adicionadas as regras para o BlockOutTraffic. Segundo Gaspar (2006) a pgina New Rule divida sees: 1. Origem: identifica a origem do pacote com as opes:

Default Interface; Adress Format (IP ou MAC) e Source Address (Endereo de origem IP/MAC); Redes Padres: Rede de origem, padro rede GREEN; Custom Address: Endereos (hosts) cadastrados pelo usurio; Address Group: Grupos de endereos (hosts) criados pelo usurio; Invert (excluso): altera o sentido da regra em relao ao endereo digitado, ou seja, serve para excluir o argumento da regra. No caso do endereo, refere-se a qualquer endereo de entrada, exceto o endereo ou grupo identificado.

2. Destino: identifica o destino do pacote com as opes: IPCop Access: acesso ao Firewall IPCop; Other Network/Outside: outra rede, cujo padro Any(qualquer destino), Custom address (um host especfico), Address Group (um grupo especfico de hosts), Destination IP or Network (o campo pode ser preenchido com um endereo de um host ou rede); Invert (excluso): idntico a opo Source. No caso do destino, referese a qualquer endereo de destino, exceto o endereo, rede ou grupo identificado; Use Service: pode conter a opo Service Groups (quando o usurio cadastra grupos de servios), Custom Services (para servios cadas-

97

trados) e Default Services (para servios cadastrados por padro no IPCop).

3. Additional: Rule enable (habilitar a regra): voc pode apenas cadastrar a regra, sem no entanto, habilit-la. Se marcar esta opo, a regra ficar ativa automaticamente aps o cadastro; Log rule (Log da regra): marque esta opo se desejar registrar em Log o trfego da regra; Rule Action: Ao a ser aplicada regra (ACCEPT ou DROP); Remark: Comentrio sobre a regra.

4. Timeframe: habilitando a opo Add Timeframe voc pode escolher o intervalo de dias do ms, o dia a semana, ou intervalo de hora em que a regra estar ativa. Obs. os campos seguidos por uma bola azul ( ) so opcionais. Para permitir que a rede GREEN use os servios do IPCOP selecione: Origem (source): Default interface: Green Redes Padres: Green Network Destino (destination): IPCop access Marque a opo "use Service", e em "Service Group", escolha a opo "IPCOP_ADMIN" ( grupo que foi definido anteriormente para os servios relacionados ao IPCop), clique em Salvar para adicionar a regra. Para habilitar o BlockOutTraffic clique em Settings, depois em Enable BOT.

Figura 63 Block Outgoing Traffic

98

8.5.5 Advanced Bot Config

Atravs do Advanced Bot Config pode-se criar um cadastro de servios e endereos (servios e endereos so objetos que guardam informaes globais sobre nmeros de portas/protocolos e endereos de hosts) que no sejam padro do programa. A seo Default services settings contm um cadastro padro de 250 servios, caso haja necessidade de adicionar um servio pode-se faz-lo atravs da opo Services settings. Para terminar a configurao do captulo 8.5.4 tem que ser adicionado os servios ssh, https e proxy. Estes servios so para administrar o IPCOP quando o Block OuttTraffic for ativado. Caso as configuraes do captulo 8.5.4 sejam ativadas sem que sejam adicionados os servios ssh, https e proxy, a administrao via Web do IPCOP no sera acessada pelo navegador, causando grandes transtornos, pois para restaurar as configuraes padres tero que ser feitas pela interface texto do IPCOP, e por uma pessoa que tenha conhecimentos avanados. Adicionando os servios ssh, https e proxy. No campo Servio de Nome digite o primeiro servio a ser adicionado, no campo Portas digite a porta usada pelo servio e no campo Protocolo, assinale que tipo de protocolo o servio usa, clique em Adicionar para salvar a configurao, repita o processo para os outros dois servios.

99

Exemplo: Nome do Servio Ipcop_https Ipcop_proxy Ipcop_ssh Porta 445 3128 222 Protocolo TCP TCP TCP

Alm de cadastrar servios, pode-se agrupar os servios em um nico objeto. A seguir so descritos os servios que podem acrescentados: Criar grupos de servios (Service Grouping): agrupar os servios cadastrados; Cadastro de hosts (Address Settings) atravs do endereo (IP ou MAC); Criar grupos de Endereos (Address Grouping): agrupar os objetos de endereo; Adicionar uma nova interface: cadastrar uma nova interface (p. ex VPN). Para agrupar os servios adicionados selecione a opo Service Grouping no menu dropdown, clique na opo Show Firewall Config, ir aparecer a pgina onde se faz o agrupamento dos servios. Selecione a opo Service Group name: e informe um nome para o agrupamento. Exemplo, IPCOP_ADMIN. Selecione a opo Servios personalizados:, clique em Adicionar. Este procedimento cria o agrupamento IPCOP_ADMIN, e j inclui o servio Ipcop_https dentro grupo IPCOP_ADMIN, agora adicione os servios, Ipcop_proxy, Ipcop_ssh no grupo IPCOP_ADMIN, selecione o marque o grupo no menu dropdown Service Group name, no menu dropdown Servios personalizados selecione um dos servios que falta adicionar ao grupo, e clique em Adicionar, repita este procedimento para o outro servio. Terminada esta etapa, volta-se ao captulo 8.5.4, para adicionar a regra que permite administrar o IPCOP e a regra que permite aos usurios da rede interna acessarem a Internet, depois que o BlockOutTraffic for habilitado.

100

Figura 64 Advanced Bot Config

8.6 LOGS

Este menu na instalao padro contm 6 tipos de logs, que so, Configurao do Log, Resumo do Log, Logs do Proxy, Logs do Firewall, Logs do IDS e Logs do sistema. A quantidade de logs deste menu aumenta quando instalado um addon no sistema, e ele possui Log ser acrescentado a este menu, exemplo disso o Logs de filtros URL, que foi acrescentado ao menu quando foi instalado o addon ipcop-urlfilter-1.9. Os logs so essenciais ao sistema, pois atravs deles que o administrador do sistema pode saber se o sistema est funcionando normalmente, e vigiar o trfego entre a rede interna e a Internet e tambm saber o que os usurios da rede interna andam fazendo na Internet. A seguir ser mostrado para que serve cada um dos logs.

101

8.6.1 Configurao do Log

A Configurao do Log possui 3 nveis de configuraes sendo, opes de visualizao do log, Resumos do Log, Registro remoto. A figura 65 mostra a tela de configurao do log. Opes de visualizao do log: Ordenado em ordem cronolgica inversa: ordenar a ordem de apresentao do log. Linhas por pgina: a quantidade de linhas que sero apresentadas no resumo do Log. Resumos do Log: Manter sumrios por quantidade de dias que os logs sero mantidos no sistema. Nvel de detalhe: Qual nvel de detalhe se baixo, mdio ou alto. Habilitado: habilita o envio do log para um servidor de log remoto. Servidor Syslog: endereo do servidor remoto.
Figura 65 Configurao do Log

Registro remoto:

102

8.6.2 Resumo do Log

O Resumo do Log mostra para o administrador do sistema a quantidade de pacotes (TCP, UDP, ICMP) que transitou na rede, de onde se originou o pacote e qual o seu destino, informa tambm as portas usadas, a interface de origem e o endereo IP de destino.
Figura 66 Resumo do Log

8.6.3 Logs do Proxy

O Logs Proxy mostra a hora, o endereo IP da mquina do usurio da rede interna e o endereo do Website que ele acessou ou tentou acessar.
Figura 67 Logs de Proxy

103

8.6.4 Logs do Firewall

A opo Logs do Firewall mostra detalhadamente o trfego no firewall. E mostrada a hora, a poltica adotada pelo firewall, qual a interface que originou o trfego, qual o protocolo usado, qual IP que originou o trfego, qual a porta de origem. Se o trfego foi originado por uma mquina da rede interna, mostrado o endereo MAC da mquina que originou o trfego, o endereo IP de destino, a porta e o servio de destino. Conforme a figura 68.
Figura 68 Logs do Firewall

8.6.5 Logs do IDS A opo Logs do IDS mostra as tentativas de invaso rede interna. Este log mostra os endereos IPs e porta que originaram a tentativa de invaso, mostra o endereo IP e a porta da mquina que sofreu a tentativa de invaso.
Figura 69 Logs do IDS

104

8.6.6 Logs do Filtro URL

O Logs do Filtro URL mostra os sites acessados na Internet, pelos usurios da rede interna. Ele mostra a hora que o usurio acessou o site, a categoria que este site pertence, o endereo IP da mquina que tentou acessar o site e o endereo URL do site.
Figura 70 Logs do Filtro URL

8.6.7 Logs do Sistema

O Logs do Sistema mostra a hora que um servio teve erro de funcionabilidade, ou se o servio foi desativado, ou ativado.
Figura 71 Logs do sistema

9 CONCLUSES

A segurana das informaes vital para a sobrevivncia de qualquer organizao. Ainda mais nos dias de hoje, quando as empresas se lanam na Internet fazendo com que suas informaes trafeguem neste meio, sem nenhum tipo de segurana. Proteger-se de hackers, vrus e outras ameaas um ponto que dever ser lembrado e que a segurana deve ser encarada como um processo contnuo. Muitas empresas erram gravemente adotando o software proprietrio, como a nica forma de soluo de segurana aumentando seus custos. Em muitos casos empresas simplesmente ignoram essa segurana, por causa do alto custo de implantao atravs de software proprietrio e migram para a pirataria. Estas empresas tm pensamentos errneos a respeito de software livre, pois a grande discusso sobre software livre no ambiente corporativo tem sido qual sua vantagem (ou desvantagens) de custo, difcil implantao. O objeto desse trabalho foi mostrar que IPCOP FIREWALL uma ferramenta poderosa, intuitiva, de fcil implantao, podendo ajudar na segurana de micros e pequenas empresas contra os perigos que Internet propicia nos dias atuais A contribuio deste trabalho foi mostrar que IPCOP Firewall evita e diminui os perigos que a Internet oferece. Como trabalhos futuros, pretende-se estender este manual, mostrando a implementao de outros addons.

REFERNCIAS

BRASIL. Lei n. 9.609 de 19 de fevereiro de 1998. Dispe sobre a proteo da propriedade intelectual de programa de computador, sua comercializao no Pas, e d outras providncias. Braslia, DF19 fev. 1998. Disponvel em <http://www.planalto.gov.br/ccivil/Leis/L9609.htm>. Acesso em: 01 maio 2007. FREE SOFTWARE FOUNDATION, The Free Software Definition. Boston. 2007. Disponvel em: <http://www.gnu.org/philosophy/free-sw.html>. Acesso em: 01 maio 2007. GOLDCHLEGER, Andrei. Open source Vs Cdigo fechado. Disponvel em <http://www.ime.usp.br/~is/ddt/mac339/projetos/2001/demais/andrei/>. Acesso em: 27 maio 2007. TANENBAUM, Andrew S. Sistemas Operacionais Modernos. Traduo de Ronaldo A. L. Gonalves, Luis A. Consularo. So Paulo: Prentice Hall, 2003. 707 TIBET, Chuck V. Linux Administrao e Suporte. So Paulo: Novatec Editora Ltda., 2001. 379 p. FERRETTO, Luiz Filipe Fagundes, et al. Implementaes bsicas de segurana para ambientes com processamentos crticos. Braslia: UNEB. 2002. Disponvel em<http:www.eln.gov.br/Conhecimento/GestaodoConhecimento/monografia_Rute.d oc>. Acesso em: 01 de Ago. 2007. COLLE,Andrew Del, et al. Prejuzos causados as organizaes por acessos a contedos indevidos. Curitiba: SPEI. 2006. Disponvel em <http://www.assespropr.org.br/uploadAddress/Prejuizos_Causados_pelo_acesso_a_ conteudos_indevidos.pdf>. Acesso em: 17 de Ago. 2007.

GASPAR, Antonio Edivaldo de O, Iniciando a configurao do Boot. 2006. Disponvel em <http://blockouttraffic.de/files/GettingStarted_ptBr.pdf>. Acesso em: 25 set. 2007. IPCop Mission Statement <http://www.ipcop.org/index.php?module=pnWikka&tag=IPCopMissionStatement>. Acesso em: 02 out. 2007. IPCop 1.4.x Features <http://www.ipcop.org/index.php?module=pnWikka&tag=IPCop14xFeatures>. Acesso em: 02 out. 2007. Administrative Guide Copyright 2002-2004 Chris Clancey, Harry Goldschmitt, John Kastner, Eric Oberlander, Peter Walker <http://www.ipcop.org/1.4.0/en/admin/html/ >. Acesso em : 02 out. 2007. IPCOP_BANNER_HALF_SIZE. GIF. Altura: 234 pixels. Largura: 60 pixels., 96 dpi 8 BIT CMYK. 3.741 Bytes. Formato GIF. Disponivel em: <http://www.ipcop.org/index.php?module=pnWikka&tag=IPCopArt>. Acesso em: 02 out. 2007.