Planejamento e Implantação de Firewall

André Ruiz

Renato R. SantanaConectiva S.A. (http://www.conectiva.com.br)

Suporte à Rede Conectiva de Serviços

sup-rcs@conectiva.com.br

Índice

1. Objetivos da Solução............................................................................................................................................................5

2. Características Técnicas......................................................................................................................................................5

3. Clientes Potenciais...............................................................................................................................................................6

4. Cases e Cenários Típicos.....................................................................................................................................................7

5. Vantagens para o Cliente.....................................................................................................................................................8

6. Operação e Administração da Solução..............................................................................................................................8

7. Atualizações dos Sistemas...................................................................................................................................................8

8. Gerenciamento da Solução..................................................................................................................................................9

9. Treinamento..........................................................................................................................................................................9

10. Soluções Relacionadas.....................................................................................................................................................10

11. Metodologia de Implantação...........................................................................................................................................11

12. Requisitos de Tempo e Recursos Humanos...................................................................................................................12

13. Análise Técnica.................................................................................................................................................................12

14. Implantação......................................................................................................................................................................14

15. Documentação..................................................................................................................................................................20

16. ANEXO 1 - Guidelines para estudo das necessidades do cliente.................................................................................21

17. Referências........................................................................................................................................................................23

Bibliografia de Referência.....................................................................................................................................................24

3

4

Informações Gerais

Este documento descreve a soluçãoPlanejamento e Implantação de Firewall, apresentando seus conceitos básicos, objetivos,clientes potenciais, aspectos comerciais e aspectos técnicos de planejamento e/ou implantação.

Este documento teve base sobre uma variada fonte informações. Dentre as fontes destacam-se artigos e o livro FirewallDesign de D. Brent Chapman e Elizabeth D. Zwicky, além do HOWTO de filtragem de pacotes para o kernel 2.4. Veja aseção de bibliografia para outras referências detalhadas.

Este documento pode ser encontradoonlineno site da Diretoria de Serviços (http://dir-serv.conectiva)

Comentários sobre este documento devem ser enviados para a equipe de Suporte à RCS (mailto:sup-rcs@conectiva.com.br).

Este documento é de uso interno da Conectiva S.A. (http://www.conectiva.com.br) e da Rede Conectiva de Serviços (RCS).A equipe de Suporte à RCS é responsável pelas atualizações deste documento. As sugestões e críticas devem ser enviadasdiretamente para a equipe de Suporte à RCS (mailto:sup-rcs@conectiva.com.br).

1. Objetivos da Solução

O Planejamento e Implantação de Firewall tem como objetivo aumentar a segurança de uma dada instituição que tenhaconexões com redes consideradas inseguras, como por exemplo a Internet.

A solução de firewall é usada para se criar uma barreira entre uma rede insegura (por exemplo, a Internet) e a rede local daempresa. Desta forma, não deixando passar o tráfego indesejado de informações e garantindo que certos serviços ou dadosserão acessados somente a partir da rede privativa e/ou por pessoas autorizadas. Isto é feito com o estabelecimento de regras(filtros) colocados estrategicamente na máquina que será usada como porta de saída/entrada para a(s) rede(s) insergura(s).

Em casos onde é necessário oferecer serviços para o público em geral (por exemplo, www), a solução de firewall poderáseparar estes serviços em uma outra rede, uma área chamada de zona não militarizada (DMZ). Isto permitirá um controlefino sobre o acesso aos serviços públicos sem prejudicar a rede interna.

Além de proporcionar os filtros mencionados, a solução também tem a função de manter registro de eventuais tentativas deviolação das regras de segurança já existentes. Diariamente é enviado ao administrador do sistema um email contendo asestatísticas e registros de quaisquer violações das regras estabelecidas. A análise destas informações será de grande valiapara o administrador. É possível a detecção em ante-mão de possíveis tentativas de ataques em andamento e/ou eventuaisproblemas de tráfego que possam existir.

2. Características Técnicas

A solução de firewall proposta aqui utiliza os recursos da série 2.4 do kernel do linux, como filtro de pacotes,Stateful PacketFiltering (SPF)ou Connection Track, NAT e Mangle. Estes recursos permitem que se analise, altere e filtre cada pacote derede em trânsito pela máquina do firewall e observar as conexões respecitivas aos mesmos, segundo a política de segurança daempresa. São criadas regras que definem o que deve acontecer com este pacote ou conexão, se devem ser aceitos, rejeitadosou redirecionados para outra máquina. Os recursos permitem ainda a criação de regras de filtragem muito mais simples eseguras que os firewalls tradicionais, minimizando a possibilidade de erros ou falhas.

5

Aos pacotes que não se encaixarem em nenhuma das regras de filtro, será negada a passagem e um registro disso será feito. Oadministrador ou operador da solução receberá diariamente, via email, um relatório sobre as estatísticas e sobre os registrosfeitos pela solução nas últimas vinte e quatro horas. Além disto, estes registros podem ser sempre verificados em tempo realatravés dos logs do sistema se assim for desejado.

Em grande parte dos sistemas de fornecimento de acesso à Internet há a necessidade do uso de proxies com cache. Isso émais verdadeiro para dois serviços comumente conhecidos como HTTP e FTP. A solução de firewall integra-se perfeitamentecom o uso de proxies. A solução pode garantir ainda que determinados serviços só venham a ser utilizados através desse(s)proxy(ies) existente(s), por meio de redirecionamento forçado.

Quando a solução de firewall é utilizada em conjunto com a solução de proxy (vide solução 3.3. Planejamento e Implantaçãode Proxy WWW e FTP) cria-se um serviço transparente e seguro. O resultado é um poderoso sistema de acesso a Internet quesimultaneamente pode proporcionar segurança, controle, supervisão, além de economizar banda do link. Nesta nova versão,é possível que o proxy fique em outra maquina, mesmo transparente (usando Destination NAT).

Em casos onde exista a zona desmilitarizada (DMZ), a solução reduzirá ao mínimo necessário o fluxo de dados entre arede interna e as máquinas dessa zona considerada de risco. A DMZ normalmente contém serviços disponibilizados para aInternet, de onde vêem os riscos.

Os limites da solução em termos de número de usuários simultâneos estão diretamente ligados aos recursos de hardware edo sistema operacional utilizados. Utilizando o equipamento recomendado aqui, a solução suportará até 1500 estações detrabalho. Veja a seção de análise técnica para maiores detalhes sobre os requisitos da solução.

A figura abaixo ilustra um tipo arquitetura, que de uma forma genérica, supre todas as necessidades na maioria dos casos.

Resumo das características:

• SPF:Filtragem avançada de pacotes usando Stateful Packet Filtering, Isto se traduz em regras de filtragem mais simples emaior segurança.

• Relatórios:Relatórios diários com as violações das regras de filtragem e estatísticas de uso do dia anterior.

• NAT: Recurso de Network Address Translation completo, tanto para origem (source NAT) como para destino (destinationNAT), podendo ser usado para conectar uma rede inteira à Internet usando apenas um endereço IP, bem como proverredirecionamentos transparentes para serviços na DMZ e proxies.

3. Clientes Potenciais

A solução de firewall destina-se ao uso em qualquer instituição que tenha ligações de rede TCP/IP e que tenha a necessidadede estabelecer filtros de segurança nessas redes.

São candidatos à aquisição da solução:

• Uma empresa que tenha uma conexão com um distribuidor.Muitas empresas optam em ter um link direto com determinadofornecedor, visando maior agilidade e maior controle quanto a disponibilidade dos produtos. Na maioria desses casos, asempresas que fazem uso deste tipo de serviço são concorrentes entre si. Considerando que as empresas concorrentes estãoligadas a rede do mesmo fornecedor, então, essas conexões trazem riscos às empresas envolvidas. Será necessário umfirewall entre a rede do fornecedor e a rede da empresa que utiliza o serviço, visando filtrar o tráfego entre essas duas

6

pontas.

• Empresas concorrentes que estejam trabalhando num projeto em comum.Nesses casos, onde as empresas envolvidasprecisam ter algum tipo de interligação de redes, se faz necessário a existência de um mecanismo que proteção. A empresaprecisará se garantir de que não haverá nenhum fluxo de informação não relacionada com o dito projeto em comum.

• Universidades, faculdades e escolas.Neste tipo de ambiente, as máquinas de laboratórios, salas de aula e dormitóriossão consideradas máquinas inseguras. O fluxo de informações vindo ou indo para essas máquinas precisa ser filtrado econtrolado.

• Qualquer entidade que tenha uma conexão com a Internet. Onde houver um link com a Internet haverá o risco do fluxoindesejado de informações/conexões. Este perfil, embora de uma forma generalizada, abrange a maioria dos possíveisclientes. Ou seja, uma empresa de pequeno ou médio porte que possui um link dedicado com a Internet, para forneceracesso à seus funcionários e disponibilizar seu website. Este perfil de cliente cresce a cada dia e é o principal alvo para asolução.

• Empresa que utilize um firewall comercial cujo custo com licenças seja muito alto. É típico da licença de firewalls comer-ciais ser limitada por número de conexões simultâneas ou endereços IP. Este tipo de limitação é inexistente nesta soluçãode firewall. Também é bastante provável que esse firewall comercial utilize SPF, algo que agora podemos oferecer.

4. Cases e Cenários Típicos

De uma forma geral, qualquer ambiente dotado de uma única conexão com a Internet poderá ser cenário para instalação do asolução de firewall, como já dito. No entanto, vamos nos conter com uma configuração constituída de uma rede interna, umazona DMZ e uma conexão com a Internet.

Vamos supor uma empresa de pequeno/médio porte possuindo poucas estações de trabalho em sua rede interna. A empresatambém estará hospedando seu website na própria sede, o que vai exigir a presença de no mínimo um servidor web (WWW),um servidor de nomes (DNS), um servidor de correio eletrônico (SMTP/POP3). Ela possui instalado um link dedicado de64Kbps com a Internet. Via este link a empresa pretende disponibilizar o seu servidor web, receber/enviar e-mails e proveracesso à Internet para as máquinas da rede interna.

Uma vez que a disponibilização de serviços tais como servidor de nomes (DNS), web (WWW) e email (SMTP) trazemconsigo riscos à segurança da rede interna, esses serviços ficarão numa área denominada DMZ, quase isolada da rede interna.Como o fluxo de informações de todos esses serviços será pequeno (no caso desta empresa), tudo será colocado num únicoservidor. Então, até agora, temos as máquinas na rede interna e uma máquina servidora na zona DMZ.

Quando a suposta empresa contratou o link, foi instalado um roteador o qual está conectado a um modem, o qual faz o linkpara a Internet. Embora o roteador faça parte da rede e ele seja a porta de saída para Internet, ele não é incluído na área aser protegida, por razões óbvias. A única máquina que terá contato direto com ele será a máquina que hospedará o firewall.Então, para a rede interna e para a DMZ, o firewall será o ponto de saída para a Internet (ou o seu gateway).

Conforme a ilustração à seguir, podemos visualizar novamente as máquinas da rede interna, a máquina do firewall (no centro),a máquina da DMZ e o roteador externo. Note que cada um dos 3 segmentos estão conectados à máquina do firewall viaadaptadores físicos de rede distintos.

A Conectiva tem tido importante atuação no mercado corporativo, e uma lista decasessobre esta e outras soluções pode ser

7

encontrada no página decases(http://www.conectiva.com.br/cases/) da Conectiva. Seguindo a idéia da necessidade de existiruma relação de todos oscasesConectiva, é imprescindível que propostas comerciais e contratos contenham os termos de“Autorização para Divulgação doCase”, bem como o “Certificado de Qualidade na Prestação de Serviços”. Estes documentossão essenciais como argumentos de venda em negociações com clientes.

5. Vantagens para o Cliente

A solução que a Conectiva oferece é totalmente baseada em produtos free-software e de código aberto, sem abrir mão daexcelência em qualidade e segurança. A vantagem disso é o fato de que milhões de programadores e técnicos têem acesso aocódigo-fonte do produto. Isso tende a garantir que qualquer eventual problema de segurança com os softwares utilizados, sejadescoberto e resolvido muito rapidamente. Esse diferencial faz com que a empresa receba um produto amplamente utilizadoe atualizado.

Além de todas as vantagens acima, pode se dizer que a solução de firewall que a Conectiva oferece tem um custo mais baixoe ao mesmo tempo tende a ser mais eficiente e livre de bugs do que as soluções comerciais. O acréscimo da capacidade defazer filtragem de pacotes baseada em estado de conexões (SPF) é um grande ganho em termos de segurança e simplicidadede administração, e não há as limitações impostas pelas licenças dos produtos comerciais, ou seja, não haverá custo adicionalem termos de licenças para o cliente quando a sua rede crescer.

Uma solução de firewall baseada em linux é extremamente eficiente, pois é da natureza deste sistema ser modular. Ou seja,apenas é instalado na máquina o que é efetivamente utilizado, o que garante a máxima eficiência. Não é necessária a instalaçãode ambiente gráfico, a administração é remota por natureza e as regras podem ser criadas em outra máquina, com a ajuda declientes gráficos se desejado. A máquina do firewall possui apenas o que ela necessita para cumprir sua obrigação e ela sededica 100% do tempo a isso.

6. Operação e Administração da Solução

A operação da solução de firewall deve ser feita (até o momento) diretamente com a ferramentaiptables(substituto doipchains) e o auxílio de scripts. O programa de administração Linuxconf, na sua versão atual (1.25r3), ainda não trabalhacom os recursos mais avançados disponíveis no novo código de filtragem de pacotes do kernel 2.4 e portanto não deve (oupode) ser usado.

Esta solução fornece um script básico de filtragem de pacotes utilizando os recursos novos do kernel 2.4. O script em questãojá vem com as regras mais comuns para uma situação de uma firewall com três interfaces de rede, sendo uma interna, umaexterna e uma DMZ.

O técnico poderá recorrer como documentação deste novo formato, além deste documento, à página de manual do comandoiptables, que pode ser acessada com o comando "man iptables". Ela está em português e explica em detalhes cada opção docomando. Isto será de grande valia para o administrador, já que atualmente a solução deve ser operada diretamente atravésde modificações no script do firewall.

8

7. Atualizações dos Sistemas

A solução, como já dito, é baseada no recurso de filtragem de pacotes o qual está embutido no kernel. O recurso de filtro depacotes é dependente de uma série de sub-módulos IP do kernel.

As atualizações irão certamente implicar em atualização do kernel e das ferramentas de administração da solução ou mesmoa completa reinstalação do sistema operacional.

Devido ao gênero da solução (segurança), qualquer atualização que eventualmente se faça necessária deve ser consideradaemergencial e precisará ser aplicada o mais rápido possível. Negligências nesse sentido poderão estar comprometendo oobjetivo da solução, que é o de garantir a segurança da empresa.

8. Gerenciamento da Solução

O processo de gerenciamento está diretamente ligado aos registros feitos pela própria solução no decorrer de seu uso. Combase nesses registros o administrador poderá ser advertido sobre tentativas de invasões e/ou eventual necessidade de quaisquermudanças na política de segurança da empresa.

Afim de facilitar o gerenciamento, a solução encaminha diariamente ao administrador do sistema um email com as advertên-cias e estatísticas do firewall. Isso evita a necessidade de filtragem manual dos logs.

A solução deve ser complementada com outra solução de monitoramento. A segurança e todos os outros serviços relacionadosà Internet estarão dependentes da máquina do firewall. Com base nisso, é de extrema importância um monitorimento completode todos os recursos desta máquina. Gatilhos emergenciais deverão ser instalados de forma a avisar um técnico de prontidãosobre qualquer problema com o sistema ou tentativas de invasões em andamento (solução de gerenciamento de redes, 5.2).Também é recomendada a instalação de uma solução de IDS (Sistema de Detecção de Intrusão) para acompanhar esta solução.

Considerando que os logs são o centro do gerenciamento da solução, é recomendado se fazer os registros em um servidorde log remoto. Isso dá um certo alívio à máquina do firewall e garante maior segurança ao serviço de log. Mais informaçõessobre isto podem ser obtidas no manual do syslog.

9. Treinamento

Um técnico de nível avançado é necessário para operar a solução. O técnico deverá ter, no mínimo, conhecimentos básicossobre roteamento no Linux, noções básicas sobre sockets e conhecimentos em segurança de redes, além de estar familiarizadocom a ferramenta iptables e a nova estrutura de filtragem de pacotes do kernel 2.4. Esta parte é muito, muito importante.Houveram mudanças drásticas na forma de filtragem de pacotes entre o kernel 2.2 e o kernel 2.4, e é necessário que o técnicoesteja familiarizado com este novo formato.

Para garantir a boa administração da solução, uso correto dos seus recursos e procedência adequada em eventuais casos deemergência, o técnico designado pelo cliente deverá ter também conhecimentos avançados de segurança.

Caso o técnico designado não tenha os conhecimentos em segurança de redes necessários, o mesmo deverá ser submetido aotreinamento Serviços de Rede e Segurança, dado pela Conectiva.

O objetivo geral é passar ao técnico designado conhecimentos avançados sobre segurança de redes. Além de dar a aptidão

9

necessária para a administração da solução, o curso irá prepará-lo quanto às técnicas de invasões mais utilizadas, quantoaos cuidados necessários com os servidores disponibilizados na Internet, quanto as ferramentas de segurança disponíveis enoções sobre criptografia e autenticação.

Veja o Treinamento em Segurança (http://treinamento.conectiva/profissional/seguranca/firewall/index.html) que a Conectivaoferece.

10. Soluções Relacionadas

Para um melhor aproveitamento do firewall e para aumentar ainda mais a sua eficiência, recomenda-se o uso de pelo menosduas outras soluções em conjunto com a mesma:

• RCS-SOL-1.1. Instalação do Servidor Conectiva Linux

Base do sistema operacional. A solução de firewall contempla apenas as modificações no sistema para que sirva comofirewall. É necessário que o sistema já esteja instalado, e esta solução cuida disso.

• RCS-SOL-5.2. Planejamento e Implantação de Gerenciamento de Redes

Planejamento e Implantação de Monitoramento de Redes. Conforme visto na seção de gerenciamento, a solução torna-semuito mais poderosa quando é adicionado a ela um sistema de monitoramento constante. A solução de monitoramento,além de manter o administrador informado sobre as condições da máquina que hospeda o firewall, poderá alertá-lo sobreeventuais tentativas de invasões e/ou falhas no sistema.

• RCS-SOL-1.4. Implantação do Serviço de Resolução de Nomes DNS

Esta solução é básica em quase todos os projetos e clientes. Ela não é necessária diretamente pelo firewall, mas se o firewallexiste é para proteger uma rede de computadores, que por sua vez precisa do DNS.

• RCS-SOL-5.4. Planejamento e Auditoria de Segurança em Sistemas de Computação (IDS)

A solução de IDS é importantíssima em conjunto com esta. A solução de firewall é ótima em realizar a segurança (fil-trar pacotes, etc.), mas na área de geração de relatórios não chega aos pés daquela. Sempre que possível o cliente deveconsiderar fortemente adquirir ambas (apesar de não ser abosultamente necessário).

• RCS-SOL-2.3. Planejamento e Implantação de VPN

VPNs servem para interligar intranets através de redes públicas ou consideradas inseguras e manter sua privacidade atravésde criptografia. Para maiores informações consulte a solução específica. As VPNs são em quase a sua totalidade instaladasna mesma máquina do firewall, para facilitar e centralizar a administração. Estas duas soluções casam perfeitamente.

• RCS-SOL-3.3. Planejamento e Implantação de Proxy WWW e FTP

Nos casos em que o cliente tenha um grau elevado de uso dos serviços WWW e/ou necessite de um controle rigorosoquanto ao acesso à esses serviços por parte da rede interna, então, ele também poderá fazer uso da solução de proxy comcache. Além de aumentar a perfomance de serviços WWW e FTP essa solução também garante segurança e controleminucioso sobre o uso desses serviços. No caso prático de que o cliente tenha mais do que 15 estações de trabalho na redeinterna e um link com a Internet igual ou inferior a 64Kbps, é bem possível que ele tenha a necessidade da solução deproxy.

10

• RCS-SOL-4.2. Planejamento e Implantação de Serviços com Alta Disponibilidade

A solução de firewall pode ter sua disponibilidade padrão melhorada com o auxílio da solução de Alta Disponibilidade daConectiva. Veja no capítulo específico as particularidades desta solução em relação à alta disponibilidade.

11. Metodologia de Implantação

Os seguintes passos são necessários para a implantação da solução:

1. Levantamento sobre o endereçamento de todas as máquinas que estarão envolvidades com a solução de uma ou outramaneira, a saber: o roteador externo, as máquinas da rede interna e a DMZ.

2. Análise sobre os serviços da DMZ. Neste ponto, você deverá saber do cliente se ele está hospedando ou irá hospedar opróprio domínio, website, servidor de email, DNS, etc. Identifique quais serão os IP’s e o mascaramento dessas máquinasda DMZ.

3. Levantamento do número de adaptadores de rede necessários e instalação dos mesmos. Este passo se refere à instalaçãofísica das placas de rede. Note que serão necessários três adaptadores. Lembre-se de instalar os adapatadores necessáriosantes da instalação do sistema operacional. Aquela ordem agilizará esta tarefa.

4. Instalação do sistema operacional. Esse passo se refere ao serviço RCS-SOL-1.1 Instalação do Servidor Conectiva Linux.Contudo, pelo fato de que a máquina será utilizada para hospedar a solução, somente deverão ser instalados os pacotesbásicos, utilizando-se de um perfil que melhor se encaixe com firewall.Somente instale os pacotes que serão realmenteutilizados!Por exemplo,nadade compilador C, pacotes de documentação, HOWTOs, daemons desnecessários, etc.

5. Configuração dos parâmetros da rede. Nesta etapa, faz-se a configuração lógica das interfaces de rede, designando-asendereços IP, de acordo com as subredes com as quais elas estarão diretamente conectadas.

6. Segurança do próprio firewall. Logo após a instalação do sistema operacional, eantes de conectar a máquina à algumarede, inicia-se o processo de segurança da própria máquina do firewall. Aqui se fazem as tarefas tais como garantir queo super usuário só fará logons via console, desabilitar conexões remotas no X (/root/.Xauthority), desabilitar os serviçosnão utilizados do inetd e desabilitar scripts init de serviços não requeridos. Também deverá ser feita uma checagem detodosos pacotes instalados, um por um, para ver se serão realmente necessários e remover os supérfluos.

7. Instalação dos pacotes adicionais. Aqui verificamos e instalamos os pacotes necessários para a solução. Veja a listade requisitos de software. Também é neste momento que devemos verificar se há alguma atualização de segurançadisponível para algum dos pacotes que for utilizado nesta solução.

8. Levantamento dos serviços que terão passagem pelo firewall. Listar todos os serviços que poderão passar livremente pelofirewall considerando-se a origem e destino dos pacotes, onde origem ou destino poderá ser a rede interna, a Internet oua DMZ. Fazer um planejamento das regras necessárias segundo a política de segurança desejada pelo cliente.

9. Inserção das regras. Inserir as regras julgadas necessárias no item anterior, via ferramenta adequada.

10.Testes. Após a implantação das regras, faz-se testes de acesso do maior número possível de pontas envolvidas nas regras.Através do uso de log é possível identificar-se quaisquer ajustes necessários que não estejam bem visíveis na prática.É muito importante que também sejam feitos testes a partir de endereços externos, ou seja, não pertencentes à rede do

11

cliente. Apenas esta é a verdadeira visão externa dessa rede, assim como o mundo externo a enxerga.

11.Documentação da Implantação. Após a conclusão dos passos anteriores, é necessário que tudo seja documentado. Naseção de documentação você encontra um formulário específico, o qual abrange a maioria dos itens que precisam serdocumentados. Com estes registros em mãos, as coisas serão mais fáceis para o próprio técnico, quando em visitasfuturas ao cliente.

12. Requisitos de Tempo e Recursos Humanos

Tabela 1. Cronograma de Implementação da solução

Tarefa Tempo Recursos Humanos

Levantamentos de endereços/máscaras das redes envolvidas30 minutos Consultor junior

Análise sobre os serviços da DMZ. 20 minutos Consultor junior

Levantamento do número e instalação dos adaptadores derede

30 minutos Técnico pleno

Instalação do sistema operacional 1 hora Técnico médio

Configuração dos parâmetros da rede 40 minutos Técnico pleno

Verificação/instalação de pacotes 30 minutos Técnico médio

Levantamento dos serviços que terão passagem pelo firewal1 hora Consultor junior

Inserção das regras 2 horas Técnico médio

13. Análise Técnica

Nesta seção vamos levantar as questões técnicas que precisam ficar claras antes da implantação. Veremos quais os requisitosda solução e o que precisa ser analisado. Esta análise irá facilitar e fazer o próximo passo muito mais eficiente.

13.1. Levantamento de Pré-Requisitos

À seguir temos uma lista dos itens necessários para a instalação da solução. Antes de dar o primeiro passo no início dainstalação verifique bem cada um desses itens:

12

• Hardware.As características da máquina a ser usada para hospedar o firewall poderão variar de acordo com o volume detráfego que terá passagem pelo firewall. Uma forma de prever-se o hardware necessário é levantar o número de usuáriosda rede interna e qual a frequência de uso dos serviços da DMZ. O mínimo recomendado é um Pentium 200Mhz, 64MbRAM, 4 Gb de HD. Lembre-se que é bom utilizar um hardware com recursos além do necessário, prevendo-se possíveisexpansões no uso da solução.

• Adaptadores de rede.Embora os adaptadores estejam dentro dos requisitos de hardware, eles dependem de outro fatorque é a arquitetura a ser usada. Basicamente, a existência ou não da zona desmilitarizada. Com a DMZ, teremos trêsbarramentos, logo três adaptadores. E sem a DMZ só iremos utilizar dois. Escolha prioritariamente adaptadores de redeque tenham alto desempenho no linux. Algumas sugestões estão na tabela de requisitos de hardware.

• Cabos e conexões de rede.Verifique cada um dos pontos que farão conexão com o firewall. Verifique se para cada segmentode rede os cabos estão de acordo. Por exemplo, se o cabo que ligará o firewall ao roteador externo deverá ser do tipocrossover. O mesmo poderá ser diferente para a rede interna e para a DMZ.

• Aterramento e no-break.A máquina que hospedará o firewall será constantemente utilizada e provavelmente ficará no ar24 horas por dia. Com o uso de aterramento e no-break nesta máquina, as chances de indisponibilidades serão menores ealém disso poderão aumentar a vida do equipamento. É recomendado que a autonomia do no-break seja de pelo menos 4horas. O aterramento precisa ser feito por um eletricista capacitado, seguindo-se os padrões elétricos adequados.

• Software.Os seguintes são os requisitos de software:

• CD’s do Conectiva Linux 7.0 ou superior

• O pacote iptables.Esta é a ferramenta backend utilizada para operação do firewall.

• Pacote cftk.Este pacote é constituído por um script init, um script analisador de logs e um script shell com regras pré-definidas. Ele agiliza bastante a construção das regras necessárias pelo fato de já trazer prontas aquelas que são maisutilizadas. O pacote é encontrado como anexo da solução. Veja a seção de referências, no final deste documento.

• Pacote nmap.O nmap será uma ferramenta de teste importante. Ela poderá ajudar tanto no levantamento de serviçosexistentes quanto na procura devulnerabilidadesapós a instalação.

• Recursos humanos.É necessário no mínimo uma pessoa bem capacitada para fazer a implantação da solução. O perfil dapessoa a ser designada deverá ser no mínimo a de um técnico pleno. Este técnico deverá conhecer na teoria e na práticao funcionamento de redes TCP/IP. Deverá conhecer os protocolos básicos, ter familiaridade com os conceitos de socket,portas TCP, fluxo dos pacotes de rede no kernel 2.4 e endereçamento IP. O técnico ou consultor deverá ter um bom nívelde conhecimento sobre segurança de redes; técnicas de ataque, IP spoofing, etc.

• Acesso às informações necessárias.Devido ao fato de que o firewall envolverá mudanças nos parâmetros de toda a rede, seo cliente já tiver sua rede em funcionamento, possivelmente será necessário que implementação seja feita fora do horáriode expediente da empresa. Garanta que no momento da implementação você terá em mãos as informações sobre a políticade segurança da empresa, ou seja, quais serviços a rede interna pode utilizar da Internet ou da DMZ, quais serviços daDMZ estarão disponíveis à Internet, etc. Você precisa ter uma lista de todas as máquinas da(s) rede(s) do cliente que farãouso ou que estarão num dos barramentos do firewall. Obtenha também as senhas de cada máquina que você precisaráefetuar logins (servidores, roteadores, etc). Informações incompletas poderão fazer com que você tenha que interromper otrabalho e voltar outro dia.

13

13.2. Atividades de Planejamento

Antes de iniciar a implantação propriaments dita, é necessária a análise sobre sobre alguns ítens importantes. São eles:

• Política de segurança desejada.Umas das coisas que você deve ter em mãos, é a política de segurança do cliente, de umaforma clara e completa. A política será formada pela lista de serviços que a empresa vai conceder mais a lista de serviçosque deverão ser bloqueados. Naturalmente, o ideal a se fazer, é assumir que todos os serviços serão bloqueados, somenteserão liberados aqueles que o cliente desejar como tal.

Infelizemente é comum que essa política ainda não exista e que seja criada exatamente no momento da instalação dofirewall. Se esse for o caso, esta política de segurança "recém-criada" deve ser anexada ao relatório de pós-instalação quetambém será assinado pelo cliente.

• Serviços de risco.Alguns tipos de serviços apresentam mais riscos para todo o sistema do que outros. Desse modo, emalguns casos será necessária alguma mudança na utilização de certos serviços. O serviço de DNS merece destaque, sendoque hoje em dia ele é o mais explorado para invasões. Procure saber se o servidor DNS que existe ou será instalado estáde acordo com os padrões de segurança recomendados. Veja as recomendações da solução 1.4. - Implantação do Serviçode Resolução de Nomes DNS.

• Redes/máquinas existentes.Faça um levantamento dos dados de todas as subredes e seus dados que existam no sistema docliente. Levante dados como os endereços IP’s, máscaras, DNS e rota padrão. Faça um desenho da topologia existente. Outilitário nmappoderá se de grande ajuda quando verificando as maquinas/serviços existentes. Por exemplo, umnmap -sP192.168.0.0/24poderá levantar em segundos as máquinas que estão ligadas na rede.

Também é bastante provável que sejam encontrados serviços desnecessários nesta etapa rodando em outra máquinas daDMZ ou mesmo da rede interna. Deve-se tomar o cuidado de não se desviar muito do trabalho que se tem pela frente, queé instalar o firewall, mas pode ser necessário desativar serviços em outras máquinas para completar a segurança da rede.

Também é bastante comum se encontrar redes "bagunçadas", que só funcionaram até o momento por pura sorte. Este podeser o momento de oferecer mais um serviço para o cliente.

• Máquinas especiais.Procure saber se haverá qualquer máquina com menos restrições de acesso do que outras. Liste osserviços que estas máquinas poderão acessar e que não serão cobertos pelas regras destinadas as redes as quais esta(s)máquina(s) pertencem.

14. Implantação

Aqui inicia-se o processo de instalação da solução. Esse processo começa com uma preparação do ambiente seguido dainserção das regras propriamente ditas.

A preparação consiste na instalação física das das placas de rede, instalação do Conectiva Linux, configuração e certificaçãode segurança da própria máquina do firewall.

Para inserir as regras podemos utilizar o scriptcftk, que por sua vez faz uso da ferramenta iptables. O cftk é um conjuntode regras pré-fabricadas que são inseridas através de parâmetros variáveis. Note porém que não basta simplesmente rodar oscript, eleprecisaser adaptado para cada situação particular!

As regras de firewall que irão compor a política de segurança sendo implantada dependerão bastante da configuração que o

14

cliente possui. Por este motivo, quaisquer regras sugeridas aqui terão que ser modificadas de modo a se encaixarem com osistema do cliente. O pacotecftk já traz regras pré-definidas que se adaptam a sistemas que utilizam ou não a DMZ, mas otécnico instalador é que possui a palavra final.

14.1. Procedimentos de Instalação e Configuração.

• Instalação física das placas de rede. Antes de iniciar o procedimento de instalação do sistema operacional é recomendadoinstalar-se fisicamente as placas de rede. Isso poderá facilitar as coisas para os próximos passos.

• Instalação do sistema operacional. Instale o Conectiva Linux 7.0 escolhendo o perfil Roteador/Firewall ou Servidor básicoe optando por um kernel da série 2.4 ao invés da versão 2.2. Veja a documentação da solução1.1. Instalação do ServidorConectiva Linuxpara mais informações. Após a instalação certifique-se de que não fique instalada nenhuma ferramen-ta de desenvolvimento e nem pacotes de serviços desnecessários como WWW, FTP, documentação, etc. A máquina dofirewall servirá exclusivamente como um roteador interno e filtro de pacotes, nem devendo ter ambiente gráfico instala-do. Recomenda-se que sejam listados todos os pacotes instalados (rpm -qa) para verificar se são realmente necessários.Lembre-se que a instalação do sistema operacional constitui uma solução independente, e deve ser considerada como tal. Oato de instalar o sistema operacional, aqui solicitado, na verdade sugere que o cliente antes compre a solução de instalaçãodo sistema operacional (1.1) e depois a de firewall.

• Instalação dos pacotes requeridos. Aqui instalamos todos os pacotes que poderão ser utilizados como ferramentas deoperação/implantação da solução.

Primeiro instale o pacote iptables:

[root@firewall RPMS]# rpm -ivh iptables*.i386.rpm

iptables ##################################################

[root@firewall RPMS]#

Agora o pacote cftk. Note que este pacote não se encontra nas versões 7.0 ou anteriores do Conectiva Linux. O pacotepoderá ser obtido como anexo da solução. Veja a seção de referências, no final deste documento.

[root@firewall RPMS]# rpm -ivh cftk-*.noarch.rpm

cftk ##################################################

[root@firewall RPMS]#

Por favor, tenha certeza de que lerá o arquivo LEIAME contido no diretório de documentos, em/usr/share/doc/cftk* .Ele contém informações importantes sobre o pacote e seus utilitários.

Nmap. Para levantamento de informações sobre máquinas da rede, serviços e testes pós-implantação.

[root@firewall RPMS]# rpm -ivh nmap-*.i386.rpm

15

nmap ##################################################

[root@firewall RPMS]#

No Conectiva Linux 7.0 em diante, a instalação dos pacotes também pode ser feita por meio do utilitário apt-get. Veja:

Para fazer uma atualização da lista de pacotes disponíveis faça um:

[root@firewall RPMS]# apt-get update

Para instalar o pacoteiptables:

[root@firewall RPMS]# apt-get install iptables

• Procedimentos para garantir a segurança da máquina do firewall. Sigas os passos abaixo:

Verifique o conteúdo do arquivo /etc/securetty. Este arquivo deverá conter somente os teminais de console (tty1, tty2, ...).Por padrão, as versões recentes do CL já vêem configurados dessa forma.

[root@firewall /root]# cat /etc/securetty

tty1

tty2

tty3

tty4

tty5

tty6

Desabilite a possibilidade de conexões remotas no X. Remova o arquivo /root/.Xauthority. Em realidade, o X WindowSystem não deverá ser instalado na máquina do firewall. Ele não será necessário.

[root@firewall /root]# rm /root/.Xauthority

Execute o ntsysv e desabilite a iniciliazação de todos os serviços exceto: syslogd, random, network, linuxconf-setup, crond,cftk e keytable.

Parâmetros de segurança do kernel. As versões mais novas do kernel possuem parâmetros de segurança que merecemespecial atenção. No Conectiva Linux 7.0 elas podem ser editadas/visualizadas no arquivo /etc/sysctl.conf. O arquivo já

16

traz as variáveis de forma a otimizar a segurança. Os parâmetros são inseridos no kernel automaticamente durante o iníciodo sistema. Se você fizer alguma alteração, use a seguinte linha de comando para reinserir os parâmetros no kernel:

[root@firewall /root]# sysctl -p /etc/sysctl.conf

Os itens importantes do arquivo estão a seguir. Não é necessário apagar tudo o que já está lá, apenas confira se as variáveislistadas aqui tem os valores corretos, caso contrário faça os ajustes.

net.ipv4.ip_forward = 1

net.ipv4.conf.all.rp_filter = 1

net.ipv4.ip_always_defrag = 0

net.ipv4.conf.all.log_martians = 1

net.ipv4.ip_dynaddr = 1

net.ipv4.icmp_echo_ignore_broadcasts = 1

net.ipv4.conf.all.accept_source_route = 0

net.ipv4.icmp_echo_ignore_all = 0

net.ipv4.icmp_echoreply_rate = 200

net.ipv4.icmp_paramprob_rate = 200

net.ipv4.icmp_timeexceed_rate = 200

net.ipv4.icmp_destunreach_rate = 200

net.ipv4.tcp_syncookies = 1

net.ipv4.conf.all.accept_redirects = 0

• Configure as interfaces de rede. Usando o Linuxconf, configure os parâmetros de rede necessários para cada uma dasinterfaces:

[root@fierewall /root] netconf

Evite ao máximo conectar esta máquina à internet enquanto as regras de filtragem não estiverem prontas ou pelo menosrazoavelmente seguras. A internet é muito grande e está cheia de gente de férias sem nada mais importante para fazer,portanto todo cuidado é pouco.

Vá em "nome da máquina e dispositivos de rede". Selecione como ativo o número de interfaces necessárias, preenchendoos campos como endereço IP e máscara de acordo com os dados levantados na seção de análise técnica. Não esqueça demencionar o módulo do kernel correto para cada interface. Saia do Linuxconf aplicando as mudanças.

Com o comando ifconfig verifique se as interfaces estão ativas. Faça um ping em pelo menos um IP de cada um dosbarramentos de rede envolvidos.

17

[root@firewall /root]# ping 192.168.0.2

PING 192.168.0.2 (192.168.0.2): 56 data bytes

64 bytes from 192.168.0.2: icmp_seq=0 ttl=255 time=0.3 ms

64 bytes from 192.168.0.2: icmp_seq=1 ttl=255 time=0.2 ms

64 bytes from 192.168.0.2: icmp_seq=2 ttl=255 time=0.3 ms

-- 192.168.0.2 ping statistics --

3 packets transmitted, 3 packets received, 0% packet loss

round-trip min/avg/max = 0.2/0.2/0.3 ms

Nota: se a máquina alvo do ping for um CL, é normal que passe a ignorar os pings recebidos a partir de um certo número.Este é um dos parâmetros configurados no arquivo /etc/sysctl.conf.

Se algo sair errado, verifique novamente os módulos necessários foram detectados e ativados, se a placa de rede é suportada,se não há um conflito nos recursos de hardware, etc.

• Inserção/edição das regras. Uma vez que a rede já esteja no ar e a máquina do firewall já esteja sendo utilizada como rotapadrão na DMZ e na rede interna, então já é hora de inserirmos as regras.

Usando o ipchains/cftk.Edite o script /usr/bin/cftk e modifique as variáveis que estão logo no início:

(...)

IP_int=’192.168.0.1’

IP_ext=’192.168.0.1’

IP_dmz=’192.168.1.6’

NET_int=’192.168.0.0/24’

NET_dmz=’192.168.5.0/24’

IF_int=’eth0’

IF_ext=’eth2’

IF_dmz=’eth1’

(...)

Essas variáveis serão substituídas ao longo do script de forma a facilitar a administração das regras. Faça uso destasvariáveis quando inserindo novas regras. Não use "/32" quando for apenas um IP. Veja a função de cada uma delas:

1. As variáveisIP_int, IP_ext e IP_dmzdeverão conter os endereços IP usados nas interfaces que conectam a máquinaàs redes interna, externa e dmz, respectivamente.

2. NET_inteNET_dmzse referem aos endereços/máscaras das redes interna e dmz, respectivamente.

O próximo passo é remover do script as referências aos serviços que não serão disponibilizados na DMZ e os que a redeinterna não poderá acessar. Verifique mais de uma vez se as regras que restaram no script corresponde àquelas da políticade segurança levantada anteriormente. Também será necessário acrescentar regras no script, já que ele não pode prever

18

todas as situações possíveis.

Após todas modificações serem feitas no script, use o script init do cftk para inserir/reinserir as regras no sistema:

[root@firewall root]# service cftk start

Configurando regras do firewall: [ OK ]

Note que isto não precisa ser feito cada inicialização, o script init automaticamente ativa o serviço na ordem adequada.

Edite o scriptcftkwatchere edite as duas variáveis que estão logo no começo, conforme mostrado à seguir:

(...)

sysadmin_mail="root@localhost"

CC=”

(...)

sysadmin_mailDeverá conter o email do administrador do sistema, para onde serão enviados as advertências e as estatís-ticas dos logs do firewall.

CC Esta variável poderá, opcionalmente, conter um email secundário para onde será enviada uma cópia carbono do con-teúdo enviado ao email acima.

O cftkwatcherserá executado pelo cron todas as noites, analisando os logs sempre do dia anterior.

14.2. Testes Pós-Instalação

Após a implantação, precisamos seguir alguns procedimentos para garantir que tudo esteja de acordo com o desejado inici-almente.

• Portas abertas na máquina do firewall. Um fator que se deve ter sempre em mente é a segurança da própria máquina dofirewall. É recomendado que não se tenha nenhum serviço emescutana interface da DMZ ou da rede externa. Por meio docomandonetstat -lnverifique se algum serviço está emescuta, atentando para qual(ais) interface(s) o serviço está anexado.Note que se um serviço estiver em escuta no endereço 0.0.0.0 isto significa que uma conexão poderia ser estabelecida apartir de qualquer uma das redes as quais a máquina está conectada fisicamente. Não deixe nenhum serviço desnecessárioem escuta na máquina do firewall.

• Alguns serviços, como por exemplo ssh, podem ser configurados para só escutar em uma certa interface de rede. Useeste recurso. Continuando no exemplo do ssh, a configuração é dada pela diretivaListendo arquivo de configuração doservidor. O padrão é "0.0.0.0", o que indica que ele deve escutar em todas as interfaces. Basta colocar ali o endereço IP dainterface interna para que ele passe a escutar somente nesta interface.

• Testes de acesso. A partir de uma ou mais máquinas da rede interna, faça acesso aos serviços que deveriam estar acessíveisdesta rede. Teste também serviços que não deveriam estar acessíveis. Na maioria dos casos, os testes envolverão o acesso

19

à Internet e aos serviços da DMZ. Verifique também se alguma mensagem aparece no log durante estas tentativas.

• Testes de serviços disponibilizados. Com o uso da arquitetura proposta, os serviços disponibilizados para a Internet estarãona rede DMZ. À partir de pontos que estejam além do roteador externo, faça testes de acesso aos serviços disponíveis naDMZ. Se possível, por meio donmapverifique quais portas estão abertas nestas máquinas, criando uma relação com osserviços que se deseja disponibilizar. Evite deixar serviços desnecessários nesta rede.

• Teste de logs. Tente fazer acessos os quais não deveriam passar pelos filtros do firewall. Logo após, verifique se estastentativas foram registradas nos logs. Note que o formato padrão do scriptcftk não faz o registro de todas os pacotes queforam negados.

Lembre-se que o firewall tem por objetivo aumentar a segurança dentro do possível, mas não é a prova de falhas. Aeficiência na detecção de intrusos ou tentativas de intrusão é tão importante quanto os filtros que o firewall em si propor-ciona. Então, a eficiência do firewall só será mais completa se as tentativas falhas de acesso estiverem sendo registradas emonitoradas corretamente.

14.3. Backup de Configurações

Em caso de eventual problema com a máquina do firewall, por exemplo, um problema com o disco rígido, precisaremosrecorrer a cópias de segurança dos arquivo de configurações.

Nas situações em que for confirmada uma invasão a esta máquina, então, nada do seu conteúdo poderá ser consideradoíntegro e quase tudo deverá ser descartado. Deve-se tentar descobrir qual foi a falha e em seguida reinstalar todo o sistema.Novamente, o backup será de grande ajuda para a reconstrução da solução. Prestar muita atenção, após descobrir o problemaque possibilitou a invasão, se os backups também estão contaminados. Se o cliente demorou para descobrir o ataque éprovável que os últimos backups estejam.

Providencie backup do seguinte:

• Script cftk (/usr/bin/cftk). Você precisará fazer um backup do próprio script, pelo motivo óbvio de que as regras se encon-tram nele mesmo.

• Configurações das interfaces (ifconfig > /etc/ifconfig.txt). Salve o arquivo /etc/ifconfig.txt. Isso resumirá rapidamenta todasas configurações das interfaces existentes.

• Configuração das rotas. Execute "route > /etc/route.txt" e salve este arquivo.

Lembre-se de manter este backup em domínio da Conectiva, incentivando, desta forma, que o cliente faça uso de eventuaiscontratos de manutenção que foram ou serão oferecidos ao cliente, considerando que a restauração da solução será rápidaquando em poder destes arquivos.

15. Documentação

Preecha o formulário pós-instalaçao da solução Planejamento e Implantação de Firewall que se encontra no arquivo sob nome

20

form-posinst.txtcomo anexo desta documentação. Este formulário deverá ser preechido pelo técnico instalador da solução.O objetivo deste formulário é o de manter um registro das informações básicas sobre as configurações feitas, as quais serãoúteis ao cliente e ao próprio técnico em visitas posteriores.

O formulário deverá ser assinado pelo técnico instalador e pelo cliente, sendo que ambos ficarão com uma cópia do mesmo.

Além do formulário citado nos parágrafos acima, deverá existir uma documentação contratual que fale sobre as garantias dasolução. O cliente precisa estar ciente de que a solução de firewall não garante a segurança abosoluta de seu sistema. Deixarclaro que o objetivo da solução é o de proteger, sendo que isto siginifica minimizar ao máximo possível os riscos de invasõese registar quaisquer tentativas. Veja a seção de objetivos da solução para maiores detalhes sobre este assunto.

É importante também, deixar claro em documento formal que, se o cliente fizer alterações na solução por sua própria conta,e a solução tenha que ser reinstalada/reconfigurada, o próprio cliente terá que arcar com os encargos provenientes destesserviços.

16. ANEXO 1 - Guidelines para estudo das necessidades docliente

Esta solução contempla a instalação da solução de firewall em si, e não exatamente o ambiente onde ela será instalada. Comoestes ambientes tendem a ser bastante heterogêneos, seria complicado contemplar os casos possíveis, ou mesmo os maiscomuns. Portanto, fica na incumbência do cliente dizer exatamente o que ele quer que seja protegido, e do técnico que fizera instalação de arrancar esta informação dele. Como sabemos que o mundo não é perfeito, e muito menos os clientes sabemdizer o que querem, aqui vão algumasguidelinesque poderão ajudar na aquisição destas informações, e na estruturação dofirewall como um todo.

É importante lembrar que esta tarefa é bastante subjetiva, e não é a intenção nem obrigação deste documento levar o assuntoà exaustão. Portanto, use as informações contidas aqui, mas obtenha outras fontes de pesquisa você mesmo, principalmenteporque a área de segurança muda com frequência mais alta do que conseguimos atualizar este documento.

Isto posto, tente seguir estes passos:

• Desenhe a rede do cliente. Defina as redes que serão usadas, os IPs que estarão nas interfaces do firewall, as netmasks, asrotas entre as redes. Cada interface do firewall deve estar conectada a uma única rede. Nunca, nunca coloque duas redesno mesmo barramento ou uma mesma rede em dois barramentos (por falta de IPs?). Talvez seja preciso criar subnets darede original, para que parte dela fique entre o firewall e o roteador externo, e a outra parte fique na DMZ (sim, a DMZprecisa de uma rede válida se você espera que máquinas da internet consigam alcançá-la). Se o cliente tiver apenas 1 IPválido (o do próprio firewall), ou uma rede tão pequena que não dê para fazer subnets, ou que depois de criadas as subnetsnão existirão IPs suficientes na DMZ, então o cliente precisa adquirir mais IPs válidos junto ao seu fornecedor de acesso(backbone). Não existe milagre, apesar de os clientes acharem que sim. Prepare-se para argumentar sobre isto.

• Qual é a conectividade atual do cliente com a internet?

• Já está conectado à internet, diretamente, sem nenhum firewall.

Esta é uma situação complicada. O cliente já está conectado, portanto já usa os serviços da rede e já tem costumes evícios quanto à estrutura. Além disso é bastante provável que ele tenha distribuído IPs válidos entre as estações queacessam a Internet, que estão em um barramento diretamente conectado no roteador que as liga com o backbone. Semdiscutir o risco que estas máquinas já estavam correndo numa situação destas, você ainda vai ter o trabalho de ter

21

que inserir um firewall no meio de uma rede já existente, modificando a estrutura geral, necessariamente. Os usuáriosdeverão ser avisados do tempo que isso levará, pois não será possível fazer tudo em poucas horas, ou mesmo em um dia.Estes usuários também deverão ser alertados do que passará a ser proibido deste momento em diante (antes eles tinhamacesso livre). Tome cuidado com o TTL do DNS do cliente. Provavelmente os IPs irão mudar, e se o TTL era alto, elepode ficar inacessível por até uma semana ou mais até que os caches externos expirem. Diminua o TLL para menos de24h antes de começar a fazer a mudança, de preferência até uma semana antes. Depois volte ao normal.

• Não está conectado à internet ainda (nenhum tipo de conexão, completamente isolado).

Esta é a situação mais fácil de se lidar! Planeje tudo do zero, e faça um bom trabalho!

• Já possui um firewall e está migrando para o novo.

Esta situação deveria ser, a princípio, simples de se lidar. O sucesso irá estar relacionado ao estudo das habilidades atuaisdo firewall, para que elas possam ser mantidas após a migração. Qualquer tipo de impacto na mudança provavelmentevirá de diferenças nos serviços existente anteriormente e nos novos. Tome cuidado com isso.

• Determine, com a ajuda do cliente, os protocolos que irão circular através firewall, e em que direções as conexões poderãoser iniciadas. Os usuários da rede também devem ser consultados. Leve em conta todas as possibilidades. Considere queestamos preocupados (a princípio) apenas com a direção que as conexões são iniciadas. Se uma regra permitiu que umacerta conexão fosse inciada, parece sem sentido impedir os próximos pacotes desta mesma conexào de passar pelo firewall.

• Da rede interna para a externa (internet): Normalmente passa tudo, mas verifique se o cliente realmente quer que passetudo. Ele pode querer que os funcionários não consigam usar alguns protocolos como o donapsterpor exemplo. Numasituação bastante paranóica, a rede interna também é insegura e também deve ficar isolada da rede externa. Hoje emdia, os vírus conseguem entrar na rede interna através de emails, e uma vez numa estação Windows da intranet, elepode atacar máquinas aleatórias da internet, e você (ou o cliente) vai levar a culpa pois o ataque partiu dos seus IPs.Nesse caso, libere apenas HTTP, FTP, SMTP, POP, e outros. Ainda assim, use proxys desses protocolos na DMZ aoinvés de instalá-los no firewall. O firewall pode possivelmente ter um server de DNS que aceite consultas recursivas, ea rede interna tem um server de DNS que faz forward para o do firewall. Esse server de DNS do firewall deve atenderrequisições apenas na interface interna.

• Da rede externa (internet) para a interna: Normalmente não passa nada. Ninguém quer conexões externas entrando narede interna, onde tudo é considerado seguro por definição. E não há um motivo que justifique a quebra desta regra. Seo cliente quiser permitir conexões na rede interna, convença-o do contrário. Isto acaba com toda a teoria de firewalls.Se ele tem algo que o mundo externo precisa acessar, coloque este serviço na DMZ, é pra isso que ela serve. Além domais, normalmente as redes internas têm IPs reservados, e não teriam rota mesmo que quisessem. Mesmo assim, aindaé possível fazer NAT reverso do servidor pra dentro. Contenha-se e não faça isso. Mesmo que exista um banco de dadosna rede interna que um server de WWW lá da DMZ precise acessar, arrume outra solução, como por exemplo replicaro banco lá pra fora (máquina interna se replica num server na DMZ) e o server de WWW usa a base externa replicada.

• Da rede interna para a DMZ: Normalmente passa tudo, e sem NAT (rota direta). Esta é a configuração padrão. A redeinterna é segura por definição e pode ir até a DMZ fazer o que bem entender. Novamente, no modo paranóia, apenas osprotocolos que realmente precisam passar devem ser permitidos. Caso a rede interna seja comprometida (por qualquerque seja o método), a DMZ será entregue de bandeija se tudo estiver aberto. A princípio o protocolo POP será necessário,para a rede interna poder buscar emails no servidor de emails que está na DMZ.

• Da DMZ para a rede interna: Aqui é o inverso, normalmente não se deixa passar nada. Nada mesmo. Cabe a mesma

22

teoria de que nada entra na rede interna, não interessa de onde venha. A DMZ, apesar de protegida pelo firewall, estápassível de ser comprometida pois está provendo serviços para o mundo externo, e caso aconteça, a rede interna seráa próxima. Sempre, sempre, as máquinas de rede interna devem acessar a DMZ e nunca o contrário. Naquele caso dobanco de dados se replicar lá fora, a máquina interna é que deve iniciar a conexão com a da DMZ. Sob hipótese alguma,por mais que o cliente insista (e acredite, ele vai insistir), permita que conexòes entrem da DMZ para a rede interna.

• Da rede externa (internet) para a DMZ: Esta é a configuração mais crítica do firewall. Abra aos poucos apenas onecessário. Se não tiver certeza do que será necessário, comece com tudo fechado e vá abrindo conforme os logsmostrem que pacotes importantes estão sendo descartados. Deve passar o estritamente necessário. Normalmente sedeixa passar HTTP, HTTPS, SMTP, FTP, e outros serviços particulares do cliente.

• Da DMZ para a rede externa (internet): Nada deve passar além de SMTP e algum outro protocolo que o cliente necessiteem particular. A DMZ cai no mesmo problema da rede interna: caso seja comprometida, não deve servir de base doinvasor para ataques externos a terceiros.

• Esta solução tem como requisito básico o uso de IPs reservados na rede interna. Isto na verdade deveria ser apenas umarecomendação, que foi imposta como regra nesta solução em específico. Mesmo que o cliente possua IPs reais aos montes,não os use para a rede interna. Isto vai, além de aumentar a segurança, fazer com que as mudanças de estrutura na redeinterna nunca afetem o firewall nem as regras existentes.

• Eduque os usuários. Eles devem saber o que está acontecendo, e porque. Devem entender que eles estarão mais segurosdesta forma, e que eles devem fazer parte da solução de segurança, e não parte do problema. Usuários podem se tornaruma dor de cabeça se não forem convencidos de que isto é importante. Acompanhe pelos logs quem está fazendo o que, eadvirta-os sempre que necessário.

A maior parte das regras acima não são exatamente para o instalador do firewall, mas sim para o administrador. O técnicoinstalador deve expor estes pontos ao administrador da rede, e deixá-lo ciente da sua importância.

17. Referências

17.1. Links e Documentos

Filtragem de pacotes com o kernel 2.4 (em inglês) (http://netfilter.gnumonks.org/unreliable-guides/packet-filtering-HOWTO.txt)

Firewall HOW TO (em inglês) (http://ldp.conectiva.com.br/HOWTO/Firewall-HOWTO.html)

NAT HOWTO, incluindo o caso particular de masquerade, com o kernel 2.4 (em inglês) (http://netfilter.gnumonks.org/unreliable-guides/NAT-HOWTO.txt)

Treinamento em Segurança (em português) (http://treinamento.conectiva/profissional/cert-1-5/index.html)

23

17.2. Arquivos Anexos da Solução

Pacote cftk (../arquivos/cftk-1.0-3cl.noarch.rpm)

Formulário pós-instalação. (../arquivos/form-posinst.txt)

Bibliografia de Referência

D. B. Chapman e Elizabeth D. Zwicky,Building Internet Firewalls, 2a. Edicao, O’Reilly & Associates, 1995, ISBN 1-56592-124-0.

24