Redes de computadores 2

Firewall um ponto entre duas ou mais redes, no qual circula todo o trfego (CHESWICK; BELLOVIN, 1994 apud NAKAMURA; GEUS, 2007, p. 221)
Firewall um componente ou um conjunto de componentes que restringe o acesso entre uma rede protegida e a Internet ou entre outros conjuntos de redes (CHAPMAN, 1995 apud NAKAMURA; GEUS, 2007, p.221)

Baseando-se nessas duas definies clssicas, pode-se dizer que: Firewall um ponto entre duas ou mais redes, que pode ser um componente ou um conjunto de componentes, por onde passa todo o trfego, permitindo que o controle, autenticao e os registros de todo o trfego sejam realizados

Proteger geralmente, uma rede confivel de uma rede pblica no-confivel Separar diferentes sub-redes, grupos de trabalho ou LANs dentro de uma organizao
Reforar a poltica de segurana no controle de acesso entre duas redes.

O Firewall um conjunto de componentes e funcionalidades que definem a arquitetura de segurana, utilizando uma ou mais tecnologias de filtragem:

Filtros: realizam o roteamento de pacotes de maneira seletiva Proxies: so sistemas que atuam como um gateway entre duas redes Bastion Hosts: so equipamentos em que so instalados os servios a serem oferecidos para a internet Zona desmilitarizada (DMZ): uma rede que fica entre uma rede interna, que deve ser protegida, e a rede externa.

Network address translation (NAT): responsvel pela converso de endereos IP invlidos e reservados, em grandes redes, para vlidos e roteveis quando a rede externa acessada. Rede Privada Virtual (VPN): utiliza conceitos de criptografia e o IP Security (IPSec) que garantem sigilo, integridade e autenticao dos dados. Autenticao/certificao: podem ser baseadas em endereos IP, senhas, certificados digitais, tokens, smartcards ou biometria que utilizam chaves publicas (PKI) e o Single-On (SSO).

Balanceamento de cargas: um mecanismo que visa a diviso do trfego entre dois firewalls que trabalham paralelamente na qual cada um recebe uma conexo de cada vez.
Alta disponibilidade: tem como objetivo o estabelecimento de mecanismos para manuteno dos servios, de modo que eles estejam sempre acessvel para os usurios.

O Firewall considerado uma tecnologia antiga na indstria de segurana, mas ainda no pode ser definido como estvel, pois continua em um constante processo de evoluo Os primeiros, foram implementados em roteadores na dcada de 80 Atualmente, existe uma tendencia de adicionar cada vez mais funcionalidades aos firewalls, que podem no estar relacionadas necessariamente segurana.

As principais tecnologias de firewalls e suas variaes so:

Filtro de pacotes Filtro de pacotes baseados em estados Proxy Firewalls hbridos Proxies adaptativos Firewalls reativos Firewalls individuais

Filtro de pacotes: funciona na camada de rede e de transporte e baseia a filtragem nas informaes do cabealhos dos pacotes.
Tem como vantagem:
Baixo overhead / alto desempenho da rede de baixo custo, simples e flexvel bom para o gerenciamento de trfego transparente para o usurio

Filtro de pacotes: desvantagem:

Permite a conexo direta para hosts internos de clientes externos difcil gerenciar em ambientes complexos vulnervel a ataques como o IP spoofing, salvo se for configurado. Dificuldade de filtrar servios que utilizam portas dinamicas como o RPC No oferece a autenticao do usurio Deixa brechas permanentes abertas no permetro da rede.

O netfilter um mdulo que fornece ao sistema operacional Linux as funes de firewall, NAT e log dos dados que trafegam por rede de computadores.
iptables o nome da ferramenta do espao do usurio que permite a criao de regras de firewall e NATs. Apesar de, tecnicamente, o iptables ser apenas uma ferramenta que controla o mdulo netfilter, o nome "iptables" frequentemente utilizado como referncia ao conjunto completo de funcionalidades do netfilter. O iptables parte de todas as distribuies modernas do Linux.

Os mecanismos do netfilter so selecionados atravs de trs tabelas: FILTER: utilizada para filtrar pacotes MANGLE: utilizada para aes de marcao e manipulao de pacotes NAT: utilizada para as aes de traduo de endereos (NAT e NAPT)

O iptables corresponde aos mecanismos utilizados para organizar as regras utilizadas pelo netfilter. O iptables utiliza o conceito de chains para indicar para quais pacotes uma determinada regra deve ser aplicada. As chains utilizadas pelo mecanismo de filtragem de pacotes so: INPUT: a regras se referem aos pacotes que entram por uma interface OUTPUT: as regras se referem ao que sai por uma interface FORWARD: as regras se aplicam aos pacotes que sero roteados, isto , ao pacotes que no so destinados ao prprio computador.

A sintaxe para manipulao das regras do iptables segue a estrutura. iptables AID CHAIN N -t TABLE MATCH -j TARGET Se a tabela no for especificada, assume-se a tabela FILTER. A opo A usada para acrescentar uma regra ao fim da chain. A opo I N utilizada para inserir uma regra na posio N. E a opo D N para apagar a regra da posio N.

Crie regras bloqueando o envio de mensagem ICMP Echo (ping) para o seu computador. a) Verifique as regras instaladas no iptables iptables -list b) Se houver alguma regra, remova (flush). Iptables -F [chain] c) Mude a poltica default de todas as chain para ACCEPT iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT d) Crie uma regra bloqueando o recebimento de ICMP iptables -A INPUT -p ICMP -j DROP e) Verifique o efeito de substituir a ao de DROP por REJECT iptables -A INPUT -p ICMP -j REJECT

Crie regras para acessar o DNS da UTFPR Procedimento: a) Verifique as regras instaladas no iptables iptables --list ou iptables -L b) Se houver alguma regra, remova (flush). Iptables -F [chain] c) Mude a poltica default de todas as chain para DROP iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP d) Crie uma regra permitindo que seu computador consulte servidores DNS iptables -A INPUT -p UDP -s ip_dns_server --sport 53 -j ACCEPT iptables -A OUTPUT -p UDP -d ip_dns_server --dport 53 -j ACCEPT

e) Verifique se consegue consultar o DNS da UNIVERSIDADE: Nslookup www.utfpr.edu.br

Crie as regras permitindo que seu computador consulte qualquer servidor HTTP na internet a) Verifique se consegue acessar o servidor www.utfpr.edu.br b) Verifique se consegue acessar outros servidores na INTERNET iptables --list ou iptables -L Iptables -F
iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -A INPUT -p UDP -s ip_dns_server --sport 80-j ACCEPT iptables -A OUTPUT -p UDP -d ip_dns_server --dport 80 -j ACCEPT

Obs: utilize o browser em modo texto w3m