Controlando o tráfego de saída no firewall Netdeep

1. Introdução

Firewall é um quesito de segurança com cada vez mais importância no mundo da computação. À medida que o uso de
informações e sistemas é cada vez maior, a proteção destes requer a aplicação de ferramentas e conceitos de segurança
eficientes. O firewall é uma opção praticamente imprescindível.

O Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a
Internet (ou entre a rede onde seu computador está instalado e a Internet). Seu objetivo é permitir somente a
transmissão e a recepção de dados autorizados. Existem firewalls baseados na combinação de hardware e software e
firewalls baseados somente em software.
Explicando de maneira mais precisa, o firewall é um mecanismo que atua como "defesa" de um computador ou de uma
rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados.

2. Como o firewall funciona

Há mais de uma forma de funcionamento de um firewall, que varia de acordo com o sistema, aplicação ou do
desenvolvedor do programa. No entanto, existem dois tipos básicos de conceitos de firewalls: o que é baseado em
filtragem de pacotes e o que é baseado em controle de aplicações. Ambos nã o devem ser comparados para se saber
qual o melhor, uma vez que cada um trabalha para um deter minado fim, fazendo que a comparação não seja aplicável.
O firewall Netdeep tem ambos tipos de filtros. Este manual mostrará como realizar a filtragem de pacotes no firewall
Netdeep, controlando o acesso a protocolos e serviços na Internet.

3. Filtragem de pacotes

Por meio de um conjunto de regras estabelecidas, esse tipo de firewall determina que endereços IPs e dados podem
estabelecer comunicação e/ou transmitir/receber dados. Alguns sistemas ou serviços podem ser liberados
completamente (por exemplo, o serviço de e-mail da rede), enquanto outros são bloqueados por padrão, por terem
riscos elevados (como softwares de mensagens instantâneas, tal como o MSN).
Este tipo, se restringe a trabalhar nas camadas TCP/IP, decidindo quais pacotes de dados podem passar e quais não. Tais
escolhas são regras baseadas nas informações endereço IP remoto, endereço IP do destinatário, além da s portas e
protocolos usados.

Quando devidamente configurado, esse tipo de firewall permite que somente "computadores conhecidos troquem
determinadas informações entre si e tenham acesso a deter minados recursos". Um firewall assim, também é capaz de
analisar informações sobre a conexão e notar alterações suspeitas, além de ter a capacidade de analisar o conteúdo dos
pacotes, o que permite um controle ainda maior do que pode ou não ser acessível.

4. Bloqueio de tráfego de saída

Por padrão, depois de instalado o firewall Netdeep não bloqueia o tráfego de saída, isto é, as estações da rede podem
acessar qualquer serviço na Internet, salvo se os filtros (URL, SMTP, POP3, FTP, HTTP_ estiverem habilitados. Entretanto,
os outros serviços como P2P, IMAP, Skype não serão bloqueados caso não realizemos o controle do tráfego de saída.
Para esta função o firewall Netdeep disponibiliza o módulo Firewall Avançado.

Obs: Pa ra segui r es te manual você pode ter instalado e rodando qualquer uma das versões do Netdeep Cop (freewa re ou
corpora ti va ).

Dessa forma regras podem ser criadas para bloquear/liberar portas, endereços de IP/MAC, e outros, através da
interface web ou mesmo via “linha de comando” (SSH).

Abaixo seguem as instruções com exemplos de configurações utilizando desde cadastros de serviços e ender eços até as
configurações avançadas.

Netdeep Tecnologia
 5. Habilitando o Bloqueio de tráfego de saída

Antes de tudo é necessário habilitar as regras do firewall avançado, bloqueando o tráfego de saída. Para fazer isto vá no
menu “Firewall”-> “Bloqueio de Tráfego de saída” (Firewall Avançado em algumas versões).
Clique em “Configurações”. No campo “MAC Address do administrador”, digite o Mac -address da sua placa de rede.

Obs: No Windows para conseguir isto, vá no “Iniciar” -> “Executar” e digite “cmd”. Nesta tela digite o comando
“ipconfig”. Aparecerá uma tela como esta, no qual você pode copiar o mac -address da sua placa de rede:

Este é o endereço MAC da

placa de rede.

Digite as informações solicitadas. Sua tela deve ficar parecida com a tela abaixo:

Habilite este item para criar um registro ou

Log para o tráfego que não combinar com
suas regras. Esta opção define como o firewall
avançado irá bloquear os pacotes.

DROP = Ignora conexão.

REJECT = enviar retorno de fim de
conexão

Clique em “Salvar” e depois clique em “Habilitar Firewall Avançado”.

Atenção: habilitando o firewall avançado todos
as portas de saída serão bloqueadas.

6. Cadastro de Serviços

Vamos iniciar o cadastro de serviços e endereços. Identificamos serviços e endereços como objetos que guardam
informações globais sobre “números de portas/protocolos” e “endereços de hosts”, respectivamente. Tais objetos
podem ser manipulados em regras ou ainda serem agrupados, representando assim uma categoria específica. Para
iniciar o gerenciamento de serviços e endereços, vá no menu "Firewall > Configurações avançadas de Firewall ".

Netdeep Tecnologia
 7. Configur ações de Serviço

Em primeiro lugar, aprenderemos a definir alguns serviços não disponíveis na opção “Bloqueio de tráfego de saída”. O
cadastro desses serviços será de grande utilidade quando você for adicionar as regras do seu Netdeep Cop Firewall.

Na seção "Serviços Padrões" que exibimos na figura a seguir, estão listados os serviços cadastrados por padrão no
Firewall Avançado.

Como observamos na figura anterior, há dois serviços em “Serviços Personalizados”. Estes

serviços estão relacionados às portas SSH e HTTPS, de acesso ao NetdeepCop. Para liberar o acesso ao Firewall a outros
computadores, além daquele especificado na Página "Configurações de bloqueio de trafego de saída", precisamos
cadastrar as portas SSH e HTTPS. Uma vez feito o cadastro, as mesmas estarão disponíveis na página de cadastro de
regras. Os serviços acima citados foram adicionados através da seção "Adicionar Serviço", através dos campos “Nome
do Serviço”, “Portas” e “Protocolos”. Os detalhes sobre cada serviço são descritos a seguir:

 Netdeep cop: porta ssh do Netdeep Cop (222/TCP), necessária para administrar seu Netdeep Cop via conexão
ssh.
 Netdeepcopweb (445/TCP): acesso SSL à página administrativa do Netdeep Cop .

Além do cadastro você também pode agrupar serviços em um único objeto, ou criar outros objetos como endereços (IP
ou MAC) e interfaces. Estes recursos são descritos a seguir:
 Criar grupos de serviços (Agrupamento de Serviços): agrupar os serviços cadastrados.
 Cadastro de hosts (Opções de Endereço): através do endereço (IP ou MAC)
 Criar grupos de endereço (Grupo de endereços): agrupar os objetos de endereço.
 Adicionar uma nova interface (Configurações das Interfaces): cadastrar uma nova interface (p. ex VPN).

Estas opções podem ser acessadas no meu dropdown visualizado na figura a seguir:

Netdeep Tecnologia
Para agrupar serviços, selecione a opção “Agrupamento de serviços”, a página a seguir será exibida:

Crie os grupos conforme achar necessário. De uma maneira que facilite o entendimento das regras no futuro. Com os
grupos criados, com apenas uma regra, você pode liberar os acessos em comum (serviços usados pela maioria dos
computadores da sua rede).
Observe a imagem abaixo:

Netdeep Tecnologia
Na figura anterior foram definidos os seguintes grupos:

 Serviços Padrão: contêm serviços que os hosts da sua rede podem quer er acessar na Internet (neste ex emplo
relacionados a correio eletrônico).
 NetdeepCop admin: contêm serviços (ou portas) relacionados a administração do Netdeep Cop. Este grupo
pode ser usado convenientemente para permitir acesso à página de administração do Netdeep Cop a outros
hosts além daquele definido no campo "Admin MAC" da seção "Configurações de bloqueio de tráfego de saída.
 Netdeep Cop: contêm serviços do tipo DNS, Proxy, NTP e DHCP. Este grupo pode ser usado para criar uma
regra cujo objetivo seria permitir aos computadores da rede o acesso aos serviços do Netdeep Cop.

Depois de definir serviços e grupos de serviços, nós já podemos cadastrar nossa primeira regra no bloqueio de tráfego
de saída. Em primeiro lugar, qual será a política de acesso para a nossa rede? Quais serviços queremos permitir aos
hosts da rede interna (Green)?

Supondo que desejamos que nossa rede tenha acesso aos serviços do Netdeep Cop e da Internet, podemos usar a
seguinte política de acesso:

 Enviar e receber e-mails;

 Surfar na Web via o Proxy do Netdeep Cop;
 Usar serviços DNS, DHCP e NTP no Netdeep Cop;

E mais tarde, para finalizar o trabalho, queremos permitir que dois hosts de nossa equipe de suporte acessem o
Netdeep Cop via página Web de administração (445) e conexão SSH(222).

Obs: lembre-se que par a o BTS (Bloqueio de tráfe go de saída) é DROP (p.ex.: da Rede GREEN par a a RED), para tanto,
você deverá criar regras que permitirão o tráfego citado acim a.

8. Criando regras

Nós já definimos alguns serviços e grupos de serviços. Também definimos uma política básica de acesso, tanto de nossa
rede à Internet quanto ao próprio firewall. Assim, podemos cadastrar nossa primeira regra de BTS: disponibilizar os
serviços do Netdeep Cop aos hosts de nossa rede. Volte a seção Bloqueio de tráfego de saída (Firewall -> Bloqueio de
tráfego de saída) e clique na opção “Nova Regra”.

A página “Nova Regra” está dividida em quatro seções:

 Origem: identifica a origem do pacote com as opções.

 Interfaces padrões
 “Formato do ender eço” (IP ou Mac) e “Endereço de Origem” (MAC/IP/REDE)
 “Redes Padrões”: Rede de origem, padrão da rede Green.
 Grupos de ender eços: Grupos de ender eços (hosts) criados pelo usuário.
 Inverter (exclusão): altera o sentido da regra em relação ao endereço digitado, ou seja, serve para excluir o
argumento da regra. No caso do endereço, refere-se a qualquer endereço de entrada, exceto o endereço ou grupo
identificado.

 Destino: identifica o destino do pacote com as opções:

 Acesso ao servidor: o destino é o Firewall NetdeepCop
 Outras Redes/Fora: outra rede, cujo padrão é Any (qualquer destino). Endereço personalizado (um host
especifico), Grupo de Endereços (um grupo específico de hosts). IP ou Rede de Destino (o campo pode ser p reenchido
com um ender eço de um host ou rede).

Netdeep Tecnologia
 Invert (exclusão): indêntico a opção Origem. No caso de destino, refere-se a qualquer endereço de destino,
exceto o endereço, rede ou grupo identificado.
 Serviço Específico: pode conter a opção “Grupo de servi ços” (quando o usuário cadastra grupo de serviços),
“Serviços Personalizados” para serviços cadastrados) e “Serviços Padrões” (para serviços cadastrados por padrão no
Netdeep Cop).

 Adicional (opções adicionais):

 Regra habilitada: você pode apenas cadastra r a regra, sem no entanto, habilitá-la. Se marcar esta opção, a
regra ficará ativa automaticamente após o cadastro.
 Fazer log: marque esta opção se desejar registrar em Log o tráfego da regra.
 Ação da regra: Ação a ser aplicada à regra (ACEITAR, IGNORAR, REJEITAR, FAZER APENAS LOG).
 Observação: comentário sobre a regra .
 Marca de Tempo: habilitando a opção “adicionar marca de tempo” você pode escolher o intervalo de dias do
mês, o dia, a semana, ou intervalo de hora em que a regra estará ativa.

Obs: os campos seguidos por uma marca de bola azul são opcionais.

Assim para permitir que a rede GREEN use os serviços do NetdeepCop selecione:

Origem:
 Interfaces Padrões: Green
 Redes Padrões: Green Network

Destino:
 Acesso ao Servidor
 Marque a opção “serviço especifico”, e em “grupo de serviços” escolha a opção netdeepcop (o grupo definido
anteriormente para os serviços relacionados ao netdeepcop).
No Campo “observação” digite um comentário sobre a regra.

Netdeep Tecnologia
 A partir desse ponto, existem duas maneiras de finalizar o processo de criação da regra: clicar em (Próximo) ou
(Salvar). A opção “Salvar” grava e adiciona a regra no final da lista do Bloqueio de trafego de saída. A opção “Próximo”
exibirá uma prévia das opções da regra (origem, destino, serviço, ação, etc), possibilitando ainda selecionar em qual
posição na lista a regra será inserida, veja a seguir:

Caso precise alterar alguma opção antes de salvar a regra, clique em (Voltar) para mudar a opção. Uma vez ter minado o
cadastro, clique em (Salvar) para salvar a regra em uma posição específica. A princípio, a posição não é o que interessa,
mas posteriormente, quando existirem muitas regras, você pode quer er inserir uma regra em um ponto específico da
lista.

Na seção “Regras atuais”, você verá um resumo do que foi cadastrado, como exibido a seguir:

Netdeep Tecnologia
Como podemos observar na regra 1 da pagina acima, a política define que os serviços do NetdeepCop estarão
disponíveis para os hosts se sua LAN (rede Green).

Nossa tarefa agora é criar uma regra para permitir o acesso a serviços da internet.

Origem:
 Interfaces Padrões: Green (interface da rede interna)
 Redes Padrões: Green Network (origem Rede Interna)

Destino:
 Outras redes/fora: outras redes/exterior
 Redes padrões: any (qualquer destino)
 Marque “Serviço Específico”: habilitar a regra por serviço, ou seja, qualquer destino (any) para uma porta (ou
portas/protocolos) específica.
 Selecione em Grupo de serviços: Netdeepcopweb (o segundo grupo de serviços definido em
“Grupo de Serviços” no menu Conf. Avançadas de firewall).

Habilite a regra em “Regra habilitada”. Clique em (Salvar) ou (Próximo)+(Salvar) e assim você gravará sua segunda regra
no Bloqueio de tráfego de saída.

Desta forma, os computadores da rede interna terão permissão para acessar serviços na internet (no caso SSH – você
pode adicionar outros serviços como DNS, DHCP, NTP, Proxy e outros).

Sua lista “Regras Atuais” exibirá as duas regras a seguir:

IMPORTANTE: Todo o tráfego que não é permitido por suas regras atuais é então bloqueado.

Se voc ê deseja permitir a algum outro host o acesso para administrar o Firewall Netdeep pela interface gráfica ou SSH,
veja o próximo capítulo “Configurações Avançadas”.

Netdeep Tecnologia
 9. Configur ações Avançadas

As primeiras regras de BTS foram definidas e agora podemos dar um passo adiante em nossa configuração. Assim,
definiremos uma regra de BTS que permita aos outros hosts da rede interna acesso à página do firewall Netdeep.

Inicialmente, precisamos cadastrar os endereços MAC das maquinas que farão parte desta regra. Vá na página conf.
Avançadas de Firewall e escolha “Opções de Endereço”:

Acima, observamos que foram cadastrados dois hosts que farão parte da administração (Admin 1 e Admin 2). Como
podemos observar, os mesmos serão identificados pelo MAC Address, como uma for ma de evitar a falsificação de
acesso através de IP spoffing. Semelhante ao cadastro de serviços, endereços ou hosts também estarão presentes no
momento de criação da regra. Agrupá-los em um único objeto que represente os hosts, é uma ótima opção para poupar
trabalho no cadastro da regra.

Para criar um grupo de endereços (usando IP’s ou MAC Adress), vá no menu “Firewall” em “Conf. Avançadas Firewall” e
escolha no menu drop-down “Grupo de ender eços” (visto na figura a seguir).

Clique na opção (Nome do Grupo de Endereços” e preencha o campo ao lado com o nome do grupo que deseja criar.
Para este exemplo criamos o grupo denominado “Admins.” Observe que os ender eços MAC cad astrados na seção
anterior são exibidos no menu ao lado da opção “Endereço Personalizado”, clique nesta opção, escolha o objeto
Admin1, em seguida, clique em “Add”. Repita esta operação para o objeto Admin2.

Se você procedeu conforme explicado, o BTS exibirá uma tela semelhante a figura a seguir:

Netdeep Tecnologia
Agora já podemos criar a regra para o grupo Admins. Volte a pagina de BTS e clique em “Nova Regra”.

Entre com as opções necessárias para a regra.

Origem:
 Interfaces Padrões: Green
 Grupo de endereços: Admins

Destino:
 Acesso ao Servidor: o destino será o próprio Firewall
 Clique em “Regra habilitada”.
 Selecione “Grupo de Serviço”: Netdeep Cop (o segundo grupo definido em conf avançadas firewall)
Isso é tudo! Sua lista de regras agora deve estar semelhante à figura a seguir:

10. Mais informações:

http://www.netdeep.com.br/netdeepcop/
suporte@netdeep.com.br

© - Netdeep é uma marca registrad a de N ETDEEP TECN OLOGIA LTDA.

Contribuições: Cíc ero Teix ei ra e Antonio Ediv aldo de O. Gaspar.

Netdeep Tecnologia