Você está na página 1de 20

Clareza e produtividade na gesto do Firewall Aker 6.

1
Hlvio Benedito Dias de Carvalho Jnior Curso de Especializao em Redes e Segurana de Sistemas Pontifcia Universidade Catlica do Paran
helvio_junior@hotmail.com

Curitiba, maro de 2010 Resumo Este estudo objetiva demonstrar o ganho de produtividade e clareza na gesto da segurana perifrica corporativa, utilizando o Aker Firewall. A motivao inicial deste estudo baseia-se na dificuldade de se encontrar um padro metodolgico de implementao dos recursos de segurana perifrica em produtos Linux e de se ter o nvel tcnico e o tempo necessrios para a gesto dessas atividades. 1. Conceitos relacionados 1.1. A segurana da informao Quando se fala em segurana de informao, imprescindvel entender, primeiramente, o que informao e qual a sua importncia para a empresa. A definio desse termo nem sempre a mesma nas diversas reas de trabalho, mas h semelhanas que so difundidas. Uma delas, a figura a seguir intitulada pirmide do conhecimento:

Figura1: Pirmide do conhecimento Nessa representao, baseada na pirmide de DUSSIN E FERRO (2009), dado seria como uma seqncia de smbolos quantificados ou quantificveis. Nesse sentido, um texto contendo letras, que so smbolos de um conjunto finito que o alfabeto, pode constituir-se de uma base numrica e portanto um dado. Tambm so dados, as fotos, as figuras, os sons gravados, pois todos podem ser quantificados. SETZER (2002, p.1) De acordo com CHIAVENATO (1999, p. 366), a informao um conjunto de dados com um significado, ou seja, que reduz a incerteza ou que aumenta o conhecimento a respeito de algo. J o conhecimento, como definido por DAVENPORT (1998, p.19), a informao mais valiosa. valiosa precisamente porque algum deu informao um contexto, um significado, uma interpretao. A partir dessa definio, CAMPOS (2006, p. 3) afirma ainda

que a informao possui significado e causa impacto em grau menor ou maior, tornando-a o elemento essencial da extrao e criao do conhecimento. Dessa forma, o conhecimento pode ser considerado como a informao processada pelos indivduos, ou seja, ele adquirido pela utilizao da informao na ao humana. Portanto, a informao de grande importncia para a gerao do conhecimento. Nesse vis, CAMPOS (2006, p.4) define a informao como um valor para o negcio devido a sua importncia nas tomada de decises, estando ligada diretamente gerao de lucro. Tornando-se, assim, um bem, um ativo da organizao, e como tal devendo ser protegido e preservado. Nesse escopo de proteo e preservao da informao, importante definir e entender qual o significado de um sistema de segurana (proteo) da informao e quais so seus pilares e princpios que norteiam a implementao dessa prtica. A norma NBR ISO/IEC 27002/2005 conceitua a segurana da informao como sendo a preservao da confidencialidade, da integridade e da disponibilidade da informao. Conforme ilustrado na figura 2, a segurana da informao est baseada em trs pilares: 1) confidencialidade, 2) integridade, 3) disponibilidade. Essa norma afirma ainda que adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estar envolvidas.

Figura 2: Pilares da segurana da informao Dessa forma, ao se quebrar um desses pilares, ocorre a quebra da segurana da informao ou, tambm chamada, incidente de segurana da informao. Para se obter um entendimento melhor desses pilares e as outras propriedades propostas pela NBR ISO/IEC 27002/2005, ser utilizada a definio de SMOLA (2003, p. 45), de NBR ISO/IEC 27002/2005 e de ISO/IEC 13335-1:2004.
Confidencialidade: toda informao deve ser protegida de acordo com o grau de sigilo de seu contedo, visando a limitao de seu acesso e uso apenas s pessoas para quem elas so destinadas. Integridade: toda informao deve ser mantida na mesma condio em que foi disponibilizada pelo seu proprietrio, visando proteg-las contra alteraes indevidas, intencionais ou acidentais.

Disponibilidade: toda informao gerada ou adquirida por um indivduo ou instituio deve estar disponvel aos seus usurios no momento em que os mesmos dela necessitarem para qualquer finalidade. Autenticidade: a garantia de que o usurio, objeto ou recurso quem diz ser. Responsabilidade: a capacidade de responsabilizao de um usurio pelos atos cometidos. No repdio: garantia de uma ao, evento ou informao no poder ser negada pelo seu autor. Confiabilidade: garantia de tolerncia a falhas de um sistema de informao.

No contexto de segurana de informao, h vulnerabilidades, que so fraquezas presentes nos ativos1 de informao e que podem causar, intencionalmente ou no, a quebra de um ou mais dos trs princpios de segurana da informao. CAMPOS (2006, p. 9). Podem-se relacionar as vulnerabilidades aos seguintes ativos de informao2: 1. Tecnologias: a. Computadores sem proteo contra vrus, spywares e worms; b. Switches no protegidos com senha ou protegidos com a senha padro de fbrica; c. Rede local acessvel por senha padro ou pblica; d. Sistema de informao sem controle de acesso lgico; e. Acesso no controlado a recursos computacionais externos a rede corporativa (tendo como origem um equipamento interno). 2. Pessoas e processos: a. A ausncia de uma poltica institucional de segurana da informao dentro da organizao; b. A inexistncia de regulamentao para acesso informao da organizao por terceiros e prestadores de servio; c. A ausncia de procedimentos disciplinares para o tratamento das violaes da poltica de segurana da informao; d. A ausncia de regulamentao explcita quanto aos cuidados com a informao, do que permitido ou no, tais como os procedimentos de compra ou desenvolvimento de sistemas de informao, a gesto das cpias de segurana, controle de verso e software, proteo contra softwares maliciosos, gerenciamento da rede local de computadores, gesto das mdias de armazenamento, uso do correio eletrnico, acesso Internet, entre outros. Observa-se por essa breve relao que a segurana da informao no se limita no mbito de informtica, mas envolve toda a corporao.

A informao elemento essencial para todos os processos de negcio da organizao, sendo, portanto, um bem ou ativo de grande valor. CAMPOS (2006, p. 9) 2 Relao adaptada pelo autor, visando focar no objeto deste estudo, tendo como fonte CAMPOS (2006, p. 11 e 12)

1.2. Produtividade e clareza 1.2.1. Produtividade A produtividade tem se tornado fator diferencial entre o manter-se no mercado ou sucumbir. MACEDO (2002, p. 1) afirma que:
Atualmente, sem produtividade ou sem a eficincia do processo produtivo, dificilmente uma empresa vai ser bemsucedida ou at mesmo sobreviver no mercado. Dado o acirramento da concorrncia, a gesto da produtividade est se tornando um dos quesitos essenciais na formulao das estratgias de competitividade das empresas.

Um aumento de produtividade pode ser alcanado de vrias maneiras, PARKINSON (2004, p. 1) listou 5 abordagens que podem ser aplicadas para o incremento de produtividade: 1. Eliminar trabalho desnecessrio; 2. Eliminar retrabalho desnecessrio; 3. Reduzir a durao do esforo; 4. Automatizar tudo que for possvel; e 5. Gerenciar a demanda. A Tecnologia da informao (doravante, TI) tem se mostrado uma importante ferramenta para o aumento de produtividade, inclusive englobando as 5 abordagens apontadas por PARKINSON. 1.2.2. Clareza Segundo o dicionrio MICHAELIS (2009), clareza qualidade do que claro ou inteligvel, qualidade do que se percebe bem e ainda limpidez, transparncia. 1.3. Protocolo de comunicao O dicionrio MICHAELIS (2009) conceitua protocolo como sendo o conjunto de parmetros que define como a transferncia da informao vai ser controlada. No entanto, antes de adentrarmos em detalhamentos tcnicos dos protocolos de comunicao, observaremos a teoria bsica da comunicao, conforme definida por JAKOBSON (2001, p. 14):
A teoria da comunicao parece-me uma boa escola para a Lingstica estrutural, assim como a Lingstica estrutural uma escola til para os engenheiros de comunicaes. Penso que a realidade fundamental com que se tem de haver o lingista a interlocuo a troca de mensagens entre emissor e receptor, entre remetente e destinatrio, entre codificador e decodificador.

JAKOBSON (2001) sugere, ento, o seguinte esquema:

Figura 3: Teoria da comunicao Observa-se na figura que toda comunicao composta de uma fonte de dados que gera os dados de uma forma padro, ou seja, em uma codificao, o emissor envia a mensagem ao receptor, que encaminha ao alvo (destino), que consegue interpretar estes dados por conhecer a codificao. Esta teoria aplica-se de forma geral a todas as metodologias de comunicao existentes e na informtica isso no diferente. Para que haja comunicao entre dois ou mais computadores necessrio um cdigo de comunicao, aqui chamado protocolo de comunicao. O protocolo de comunicao mais utilizado em todo o mundo o TCP/IP (Transfer Control Protocol / Internet Protocol). 1.3.1. TCP/IP O conjunto de protocolos TCP/IP foi desenvolvido como parte da pesquisa feita pela Defense Advanced Research Projects Agency (DARPA). Ele foi originalmente desenvolvido para fornecer comunicao atravs da DARPA. Posteriormente, o TCP/IP foi includo com o Berkeley Software Distribution da UNIX. Agora, o TCP/IP de fato o padro das comunicaes de internetworks e serve como protocolo de transporte para a Internet, permitindo a comunicao de milhares de computadores no mundo todo (CISCO, 2000). A funo da pilha, ou conjunto, TCP/IP transferir informaes de um dispositivo em rede para outro. Ao fazer isso, ela mapeia cuidadosamente o modelo de referncia TCP/IP nas camadas inferiores e suporta todos os protocolos padro fsicos e de enlace de dados (CISCO, 2000). As camadas mais afetadas pelo conjunto TCP/IP so a camada 4 (aplicao), a camada 3 (transporte) e a camada 2 (rede). Outros tipos de protocolos, com vrias finalidades/funes, todas relativas transferncia de informaes, esto includos nessas camadas (CISCO, 2000).

Figura 4: Modelo TCP/IP

O modelo TCP/IP divido em camadas de forma a estar em conformidade com o modelo OSI. O Modelo em camadas um modelo que efetua a separao terico/prtica da funo e concorrncia dos diversos protocolos. Basicamente, protocolos contidos em mesma camada so concorrentes, ou seja, no podem aparecer concomitantemente no mesmo pacote de comunicao. J os protocolos de camadas distintas so complementares, devendo aparecer no mesmo pacote de comunicao. De forma simplificada e omitindo alguns campos para uma melhor compreenso, a figura 5 demonstra os campos de um pacote TCP/IP separado por camadas, bem como a ordem de empacotamento na pilha TCP/IP.

Figura 5: Sequenciamento de empacotamento TCP/IP Para um melhor entendimento, a tabela abaixo demonstra alguns exemplos de protocolos em cada uma das camadas.
Camada Aplicao Transporte Rede Fsica Protocolo DNS, POP3, SMTP, SNMP, HTTP, HTTPS, FTP, TELNET e MSN TCP e UDP IP, ICMP e ARP MAC Address, Ethernet e Frame Relay

Tabela 1: Exemplos de protocolos por camada TCP/IP 1.4. Firewall Segundo CHESWICK e BELLOVIN apud NAKAMURA e GEUS (2003, p. 206), firewall um ponto entre duas ou mais redes no qual circula todo o trfego. A partir desse nico ponto, possvel controlar e autenticar o trfego. J CHAPMAN apud NAKAMURA e GEUS (2003, p. 206) define firewall como sendo um componente ou conjunto de componentes que restringe o acesso entre uma rede protegida e a internet ou entre outros conjuntos de redes. Partindo dessas duas definies, observa-se que o firewall o principal equipamento de ligao e controle entre duas ou mais redes, por onde passa todo o trfego delas. Um sistema de firewall composto por vrios componentes sendo que cada qual desempenha uma funcionalidade, conforme listado e demonstrado por NAKAMURA e GEUS (2003, p. 208). As quatro primeiras funcionalidades seriam os filtros, proxies, bastion hosts e zonas desmilitarizadas. Porm, com a evoluo das necessidades de segurana, foram

inseridas ainda neste contexto o Network Address Translation - NAT, a Rede privada Virtual - VPN e a autenticao/certificao. Para se manter de acordo com o objetivo deste estudo, somente os itens filtros e proxies sero detalhados. 1.4.1 Filtros Os filtros so responsveis por efetuar o controle de pacotes que entram e saem do firewall, na maioria das vezes efetuando o roteamento dos mesmos. O filtro geralmente efetua a anlise atuando na camada de rede e de transporte do modelo TCP/IP comparando os dados do cabealho do pacote, tais como endereo de origem, endereo de destino, porta de origem, porta de destino, flags e protocolo, com um conjunto de regras estticas. Segundo NAKAMURA e GEUS (2003, p. 215), esse tipo de firewall conhecido como static packet filtering. Porm, esse tipo de filtragem vulnervel a diversos tipos de ataques e no se torna compatvel com alguns protocolos de camada de aplicao como FTP, RPC e H.323, pois esses utilizam dois ou mais canais de comunicao ou portas dinmicas (NAKAMURA e GEUS, 2003, p. 215). Visando solucionar esses e outros problemas e prover uma filtragem mais efetiva e dinmica, aumentando desta forma a segurana, a Check Point criou o conceito Stateful Inspection3. Stateful inspection (tambm conhecido como dynamic packet filtering) toma as decises de filtragem tendo como referncia os seguintes elementos: As informaes dos cabealhos dos pacotes, igual o static packet filtering; Informaes recuperadas, armazenadas e manipuladas de todas as camadas do modelo TCP/IP da comunicao corrente ou de outras comunicaes. Como por exemplo, o comando de porta de sada de uma sesso FTP; Informaes provenientes de outros aplicativos, como por exemplo, um usurio autenticado tendo acesso a servios autorizados; 1.4.2. Caching Antes de falar em proxies importante se falar em caching, pois muitos autores erroneamente definem Proxy como sendo igual cache que, no entanto, so servios distintos. Segundo WESSELS (2001, p. 1), o termo cache um termo francs que significa, literalmente, armazenar. Ao se tratar de tecnologia da informao, caching se refere ao armazenamento de informaes recentemente recuperadas para futura referncia e utilizao. As informaes podem ou no serem utilizadas novamente, fazendo com que o cache seja benfico somente quando o custo computacional de armazenar a informao for inferior ao custo de recuperar ou calcular as informaes novamente. Atualmente, o caching utilizado em vrias reas dentro da computao, como em processadores, sistemas operacionais e outros. J os servios para a internet que atualmente mais se utilizam de cache so o HTTP e DNS.

Este termo patenteado pela Check Point Software Technologies Ltda.

1.4.3. Proxies Proxies so aplicativos que realizam filtragens mais apuradas em camada de aplicao. Por trabalhar em camada de aplicao, exigido um cdigo (aplicativo) para cada servio a ser filtrado. Atualmente, h basicamente dois tipos de proxies, o ativo e o transparente. A principal distino entre eles que o ativo necessita de uma personalizao dos aplicativos clientes para que se efetue a solicitao do servio desejado ao proxy e o transparente no precisa da personalizao, pois o cliente efetua a solicitao de servio diretamente ao servidor final e o firewall que redireciona a solicitao do cliente para o proxy. Em ambos, porm, o servidor de proxy que efetua a requisio ao servidor final e retorna o resultado ao cliente. Alguns servios de proxy existentes no mercado implementam a funcionalidade de caching como o exemplo do Squid e o Microsoft Isa Server.

2. Estudo de caso: Aker Firewall x Ferramentas OpenSource (Linux) 2.1. Por que esses produtos? 2.1.1. Linux A escolha do Linux para este estudo se deve ao fato desse sistema se constituir em um dos sistemas operacionais mais utilizados para servidores em geral. A distribuio do Linux escolhida para este estudo foi a da Fedora em sua verso 8. A escolha dessa distribuio e verso se baseia na familiaridade do pesquisador. 2.1.2. Aker Firewall A escolha desse produto foi feita devido ao fato de ser um produto 100% nacional, com qualidade e robustez que o coloca na mesma categoria que os melhores produtos deste ramo no mercado, como Firewall 1 da Checkpoint. A verso escolhida para este estudo foi a 6.1, por ser a verso comercializada no perodo deste estudo. 2.2. Escopo deste estudo Este estudo limitar-se- em comparar as metodologias de implementao de algumas funcionalidades do Aker Firewall com produtos que implementam as mesmas funcionalidades no Linux, tendo como premissa a disponibilidade de somente um hardware para a implementao de cada produto, sem a utilizao de mquinas virtuais para aproveitamento do mesmo hardware. Este estudo no tem a pretenso de exaurir todos os recursos dos dois produtos. Neste, ser demonstrada a configurao passo-a-passo para implementao de cada funcionalidade nos produtos, demonstrando telas e arquivos de configurao quando necessrios. As funcionalidades comparadas neste estudo so: 1. Regras de filtragem na camada de transporte; 2. Implementao de QoS; 3. Criao de filtros personalizados em camada de aplicao.

2.3. Ambiente A figura 6 apresenta o detalhamento do ambiente montado para as comparaes tcnicas.

Figura 6: Ambiente tcnico de implementao 2.4. Comparao de funcionalidades 2.4.1. Regras de filtragem na camada de transporte Para esta comparao, sero criadas 3 regras em cada um dos firewalls: 1. Liberao da rede interna para acessar HTTP e HTTPS tendo como destino qualquer faixa de IP; 2. Liberao da rede interna para acessar DNS e MSN tendo como destino qualquer faixa de IP; 3. Bloqueia o restante dos pacotes.
Servio HTTP HTTPS DNS MSN Porta 80 443 53 1863 Protocolo TCP TCP UDP TCP

Tabela 2: Descrio de servios x porta e protocolo Aker Firewall O Aker um produto orientado a objetos, por isso para poder criar qualquer regra, se faz necessrio criar os objetos que fazem a representao do mundo real para o produto, os quais so chamados de entidade. A figura 7 mostra quais os tipos de entidades aceitas no produto.

Figura 7: Lista de tipos de entidade Para a criao das regras solicitadas, ser necessrio criar 6 entidades que sero demonstradas na figura 8. 1) Rede interna, 2) Internet, 3) HTTP, 4) HTTPS, 5) DNS, 6) MSN Messenger.

Figura 8: Entidades criadas para as regras desta comparao Aps a criao das entidades, basta criar as regras, conforme demonstrado na figura 9. Observa-se que o item 3 desta comparao, bloqueio do restante dos pacotes, no foi criado. Isso se deve ao fato de que, por padro, o firewall Aker descarta todos os pacotes, considerando apenas as regras criadas. Observa-se tambm que no h a necessidade de criar regras de retorno dos pacotes, pois o Aker stateful inspection.

Figura 9: Regras de filtragem aplicadas no Aker Firewall

Linux Para a criao das regras, foi utilizado o aplicativo IPTABLES que vem habilitado por padro na distribuio escolhida. Para facilitar a aplicao das regras, sero criadas todas em um arquivo Shell. Dessa forma, a primeira linha do arquivo em questo ser #!/bin/sh. Logo aps esta linha, sero colocados os comandos IPTABLES. O primeiro comando iptables a ser aplicado efetua a limpeza de todas as regras a fim de evitar que regras antigas ou aplicadas por outros scripts possam influenciar neste equipamento. O comando de limpeza iptables --flush. Aps a limpeza de todas as regras, faz-se necessrio definir a regra padro do IPTABLES, as quais sero definidas com os comandos iptables -P INPUT DROP, iptables -P OUTPUT DROP e iptables -P FORWARD DROP. As regras de bloqueio esto definidas, sendo necessrio comear, ento, a criar as regras de liberao. As primeiras regras de liberao que sero criadas so as que permitem os pacotes de conexes pr-estabelecidas. Em seguida, ser criada a regra que libera todos os pacotes em loopback. As regras so: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT, iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT, iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT e iptables -A INPUT -i lo -j ACCEPT. Antes de criar as regras especficas solicitadas pela atividade ser adicionado um comando para habilitar no kernel do Linux o encaminhamento de pacotes, para que este faa a funcionalidade de roteador echo 1 > /proc/sys/net/ipv4/ip_forward. A partir desse ponto, podem-se criar as regras de liberao especficas solicitadas pela atividade, conforme demonstrado abaixo: Liberao do HTTP: iptables -A FORWARD -i eth1 -s 172.31.2.0/24 -d 0.0.0.0/0 -o eth0 -p TCP --sport 1024:65535 --dport 80 -j ACCEPT Liberao do HTTPS: iptables -A FORWARD -i eth1 -s 172.31.2.0/24 -d 0.0.0.0/0 -o eth0 -p TCP --sport 1024:65535 --dport 443 -j ACCEPT Liberao do MSN: iptables -A FORWARD -i eth1 -s 172.31.2.0/24 -d 0.0.0.0/0 -o eth0 -p TCP --sport 1024:65535 --dport 1863 -j ACCEPT

Liberao do DNS: iptables -A FORWARD -i eth1 -s 172.31.2.0/24 -d 0.0.0.0/0 -o eth0 -p UDP --sport 1024:65535 --dport 53 -j ACCEPT Segue abaixo o arquivo Shell agrupando todas as regras demonstradas acima em um nico arquivo nomeado fw.sh.
#!/bin/sh # Limpa as regras atuais iptables --flush # Regra padro (Bloqueia tudo) iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # Libera iptables iptables iptables os -A -A -A retornos de stados e pacotes de saida INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Liberando tudo da Loopback iptables -A INPUT -i lo -j ACCEPT # Libera forward e adiciona as rotas echo 1 > /proc/sys/net/ipv4/ip_forward # Regra 1 Libera o acesso HTTP e HTTPS iptables -A FORWARD -i eth1 -s 172.31.2.0/24 -d 0.0.0.0/0 -o eth0 -p TCP --sport 1024:65535 --dport 80 -j ACCEPT iptables -A FORWARD -i eth1 -s 172.31.2.0/24 -d 0.0.0.0/0 -o eth0 -p TCP --sport 1024:65535 --dport 443 -j ACCEPT # Regra 2 Libera o acesso DNS e MSN iptables -A FORWARD -i eth1 -s 172.31.2.0/24 -d 0.0.0.0/0 -o eth0 -p TCP --sport 1024:65535 --dport 1863 -j ACCEPT iptables -A FORWARD -i eth1 -s 172.31.2.0/24 -d 0.0.0.0/0 -o eth0 -p UDP --sport 1024:65535 --dport 53 -j ACCEPT

Aker Firewall x Linux Pode-se observar nessa comparao que devido utilizao de uma interface grfica, a configurao no Aker fica mais intuitiva ao administrador, dando-lhe a clareza das configuraes por se aproximar com o desenho de seu ambiente. Dessa forma, o administrador tem um ganho de produtividade com a reduo do tempo de implementao e gesto das regras de filtragem. 2.4.2. Implementao de QoS Para esta comparao, dever ser implementado um QoS de 2 Mbps simtrico, ou seja, de download e upload, para os protocolos HTTP e HTTPS. Aker Firewall Para a implementao do QoS no Aker, ser criada uma entidade do tipo Canal, conforme a figura 10. Aps a criao da entidade, sero aproveitadas as mesmas regras de filtragem criadas na comparao anterior e ser inserido o canal na regra necessria, conforme mostrado na figura 11.

Figura 10: Entidade do tipo canal

Figura 11: Regras de filtragem aplicadas no Aker Firewall com QoS Linux Para a criao do QoS foi utilizado o aplicativo tc, que tambm est instalado por padro na distribuio escolhida. O tc aplica as polticas de QoS com base nos pacotes de sada da placa fsica da mquina. Dessa forma, faz-se necessria a criao de duas polticas distintas, uma para upload de pacotes e outra para download. Para uma melhor compreenso dos comandos, a figura 12, criada por BALLIACHE, ilustra a sequncia de ligao entre os elementos do tc.

Figura 12: Elementos do TC

Os elementos definidos pelo tc so os seguintes: 1. Queuing Disciplines = qdisc Algoritmos que controlam o enfileiramento e envio de pacotes. 2. Classes Representam entidades de classificao de pacotes. 3. Filters Utilizados para policiar e classificar os pacotes e atribu-los as classes. 4. Policers Utilizados para evitar que o trfego associado a cada filtro ultrapasse limites pr-definidos. Poltica de upload: Excluso da qdisc principal e todos os objetos vinculados: tc qdisc del dev eth0 root Criao da qdisc principal: tc qdisc add dev eth0 handle 1:0 root htb Criao da classe: tc class add dev eth0 parent 1:0 classid 1:1 htb rate 128kbps Criao da qdisc da classe: tc qdisc add dev eth0 parent 1:1 handle 10:0 pfifo limit 10 Aplicao dos filtros: tc filter add dev eth0 parent 1:0 protocol ip prio 2 u32 match ip dport 80 0xfff flowid 1:1 tc filter add dev eth0 parent 1:0 protocol ip prio 2 u32 match ip dport 443 0xfff flowid 1:1 Poltica de download: Excluso da qdisc principal e todos os objetos vinculados: tc qdisc del dev eth1 root Criao da qdisc principal: tc qdisc add dev eth1 handle 2:0 root htb Criao da classe: tc class add dev eth1 parent 2:0 classid 2:1 htb rate 2048kbps Criao da qdisc da classe: tc qdisc add dev eth1 parent 2:1 handle 30:0 pfifo limit 10 Aplicao dos filtros: tc filter add dev eth1 parent 2:0 protocol ip u32 match ip dst 0.0.0.0/0 match ip sport 80 0xfff flowid 2:1 tc filter add dev eth1 parent 2:0 protocol ip u32 match ip dst 0.0.0.0/0 match ip sport 443 0xfff flowid 2:1 Segue abaixo o arquivo Shell agrupando todas as regras demonstradas acima. Este foi nomeado como qos.sh
#!/bin/bash # POLITICA DE UPLOAD (eth0) tc qdisc del dev eth0 root tc qdisc add dev eth0 handle 1:0 root htb tc class add dev eth0 parent 1:0 classid 1:1 htb rate 128kbps tc qdisc add dev eth0 parent 1:1 handle 10:0 pfifo limit 10 tc filter add dev eth0 parent 1:0 protocol ip prio 2 u32 match ip dport 80 0xfff flowid 1:1

tc filter add dev eth0 parent 1:0 protocol ip prio 2 u32 match ip dport 443 0xfff flowid 1:1 # POLITICA DE DOWNLOAD (eth1) tc qdisc del dev eth1 root tc qdisc add dev eth1 handle 2:0 root htb tc class add dev eth1 parent 2:0 classid 2:1 tc qdisc add dev eth1 parent 2:1 handle 30:0 tc filter add dev eth1 parent 2:0 protocol sport 80 0xfff flowid 2:1 tc filter add dev eth1 parent 2:0 protocol sport 443 0xfff flowid 2:1

htb rate 2048kbps pfifo limit 10 ip u32 match ip dst 0.0.0.0/0 match ip ip u32 match ip dst 0.0.0.0/0 match ip

Aker Firewall x Linux Tendo como foco a clareza no entendimento da aplicao das funcionalidades, o tc se mostrou pouco favorvel, demandando um tempo maior do administrador no entendimento dos comandos, aplicao e gesto dessa regra de QoS. Em contrapartida, o Aker aproveitou um ambiente j montado e de fcil compreenso ao administrador para implementar a regra de QoS. 2.4.3. Criao de filtros personalizados em camada de aplicao. O objetivo deste teste comparar a capacidade dos dois produtos em realizar filtro especfico (criado pelo administrador) em camada de aplicao, para liberao ou bloqueio de uma conexo. Aker firewall Para a implementao de um filtro em camada de aplicao, necessrio criar um filtro com um texto personalizado que se deseja buscar nos pacotes, conforme demonstrado na figura 13, e posteriormente aplic-lo em uma regra de filtragem de aplicaes, conforme demonstrado na figura 14.

Figura 13: Criao do filtro de aplicaes

Figura 14: Criao da regra de filtragem de aplicaes Linux Para a criao deste tipo de filtragem no Linux, necessrio recompilar o Kernel e o iptables com o mdulo Layer74. Para a compilao do kernel e iptables foi utilizado o artigo de ROBERTO (2007), conforme segue abaixo: Passo 1 Download dos pacotes5: linux-2.6.23.tar.bz2 iptables-1.3.8.tar.bz2 l7-protocols-2007-11-22.tar.gz netfilter-layer7-v2.14.tar.gz Passo 2 remoo do Iptables # yum remove iptables Passo 3 Descompactar os pacotes em /usr/src # cd /usr/src # tar xjvf linux-2.6.23.tar.bz2 # tar xjvf iptables-1.3.8.tar.bz2 # tar xzvf netfilter-layer7-v2.14.tar.gz # tar xzvf l7-protocols-2007-11-22.tar.gz # mkdir /etc/l7-protocols # cp -a /usr/src/l7-protocols-2007-11-22/protocols/ /etc/l7-protocols/ Passo 4 Criar links simblicos # ln -s /usr/src/linux-2.6.23 /usr/src/Linux # ln -s /usr/src/iptables-1.3.8 /usr/src/iptables Passo 5 Aplicar os patchs no kernel e no iptables e configurar o layer7 # cd /usr/src/linux # patch -p1 < /usr/src/netfilter-layer7-v2.14/kernel-2.6.22-layer7-2.14.patch # cd /usr/src/iptables # patch -p1 < /usr/src/netfilter-layer7-v2.14/iptables-for-kernel-2.6.20forward-layer72.14.patch # cd /usr/src/linux # make menuconfig Neste ponto, necessrio selecionar o Layer7 para posterior compilao junto com o kernel. Ento, navegue com o teclado at a opo: Networking
http://l7-filter.sourceforge.net Segue o link para download dos pacotes, Acesso em: 13 mar 2010: http://www.kernel.org/pub/linux/kernel/v2.6/linux-2.6.23.tar.bz2 http://www.netfilter.org/projects/iptables/files/iptables-1.3.8.tar.bz2 http://ufpr.dl.sourceforge.net/sourceforge/l7-filter/l7-protocols-2007-11-22.tar.gz http://ufpr.dl.sourceforge.net/project/l7-filter/l7-filter%20kernel%20version/2.14/netfilter-layer7v2.14.tar.gz
5 4

Networking Options Network packet filtering framework (Netfilter) Core Netfilter Configuration Ao encontrar a opo < > layer7" match support, marque-a com um M, e a que vem logo abaixo dela, com um asterisco, ficando assim: <M> layer7" match support [*] Layer 7 debugging output Salve e saia do menuconfig. Passo 5 Compilar o kernel # make dep # make clean # make bzImage # make modules # make modules_install # make install Aps a compilao, reinicie a mquina e selecione o kernel novo compilado, pois o kernel antigo e o padro de boot. Passo 6 Definir permisses e compilar o iptables. # chmod 755 extensions/.layer7-test # make KERNELDIR=/usr/src/linux # make KERNELDIR=/usr/src/linux install Passo 7 Se necessrio, habilitar o mdulo no kernel. # modprobe ipt_layer7 Agora basta efetuar a criao do Pattern de consulta e aplicar a regra no iptables. Contedo do arquivo /etc/l7-protocols/protocols/terra.pat
terra terra.com*

Regra do iptables
iptables -I FORWARD -m layer7 --l7proto terra -s any/0 -p TCP --sport 1024:65535 -dport 80 -j DROP

Aker Firewall x Linux O kernel do Linux e o iptables no implementam em modo nativo a funcionalidade de filtragem em camada de aplicao.Dessa forma, h a necessidade de utilizar um mdulo de terceiros anexo ao iptables e ao kernel do Linux para habilitar essa funcionalidade, alm de haver a necessidade de efetuar a recompilao do kernel. No entanto, como afirma KROAHHARTMAN (2007, p. ix), esse pocesso de recompilao um processo incompreensvel para a maioria das pessoas. O Aker implementa de forma nativa a filtragem de aplicao de forma intuitiva e de rpida aplicao, bastando apenas criar o filtro e a regra de filtragem de aplicao desejada. Indo alm dessa configurao trivial, possvel com o Aker configurar nessa mesma regra de filtragem de aplicao que essa conexo seja policiada com QoS.

3. Concluso Observou-se neste estudo que a informao um bem valioso para a empresa, assim como seus ativos fsicos, merecendo uma ateno no tocante a segurana dessa informao. Aprofundando-se no ambiente da segurana de informao, este estudo demonstra que a segurana da informao est baseada em 3 pilares bases: confidencialidade, integridade e disponibilidade, sendo que quando se retira um desses pilares, acontece o que se conceitua como incidente de segurana da informao. Quando se fala de incidente de segurana, logo se imagina um ataque hacker. Porm, h outros incidentes que tambm so prejudiciais ao ambiente corporativo, como o acesso indevido de colaboradores a recursos computacionais, sendo eles internos ou externos, e de colaboradores tentando burlar o sistema de proteo e filtragem HTTP, MSN, e-mail e outros. Essas e outras atividades que caracterizam uma tentativa de ataque podem evoluir para um incidente e precisam ser tratadas, atravs de uma poltica de segurana que utilizar ferramentas para evitar um incidente de segurana. Nesse escopo, h algumas ferramentas importantes para controlar esses acessos, como os firewalls e proxies. Hoje, h no mercado, uma grande variedade de softwares de firewall e proxy, sendo que alguns deles se integram em um nico produto e outros trabalham de forma independente. Neste cenrio, um dos sistemas mais utilizados para esses fins o Linux, por ser, aparentemente, um recurso mais acessvel, j que no h o custo de licenas. Porm, recentemente, um estudo dirigido pela Microsoft mostrou que o custo de licenciamento corresponde a 5% do custo efetivo total de um servidor (FOLHA, 2002) e que h custos, muitas vezes no contabilizados, como o valor da hora de trabalho do profissional que administra esses equipamentos na empresa. A administrao de um sistema de proteo de segurana de informao como um firewall e proxy baseado em Linux, demanda do profissional no s um conhecimento na tecnologia, mas tambm um profundo conhecimento do sistema operacional Linux. Outra desvantagem desse tipo de sistema, a falta de padronizao, pois cada distribuio Linux tem uma metodologia de implementao e cada profissional tem sua prpria metodologia de implementao. importante ressaltar que os sistemas Linux so tecnicamente timos produtos e utilizados em larga escala, porm, geralmente, no h uma preocupao em se ter uma boa produtividade e clareza das configuraes no momento de sua gesto. Objetivando ilustrar o ganho de clareza, ou seja, o entendimento da metodologia de implementao e funcionalidade dos recursos de um firewall e Proxy, bem como o ganho de produtividade em suas 5 abordagens definidas por PARKINSON, este estudo efetuou a comparao da metodologia de implementao de 3 atividades distintas entre o Firewall Aker e sistemas baseado em Linux. Porm, sugere-se uma continuidade deste estudo com algumas outras comparaes, todas elas possveis de serem implementadas de forma simples e objetiva no firewall Aker: 1. Regras de liberao e bloqueios de site com autenticao aplicando perfil de navegao distinto para grupos de usurios; 2. Aplicao de quota de navegao por tempo e/ou trfego HTTP e MSN; 3. Aplicao de QoS por categorias/lista de sites; 4. Regras de firewall e Proxy com habilitao automtica tendo como base dias e horrios da semana; 5. Bloqueios por tipo de navegador; 6. Reescrita de URL; 7. Aplicao de Proxy MSN com filtragem por domnios, e-mails, aplicativos liberados e transferncia de arquivos;

8. Implementao em modo cluster com replicao automtica das configuraes entre os ns do cluster. Em termos de clareza no entendimento da funo de uma determinada regra, o firewall Aker tem uma vantagem considervel, pois sua console de gerenciamento uma console grfica podendo trabalhar em dois idiomas (portugus e ingls), no necessitando o conhecimento profundo em comandos e estrutura do sistema operacional base. Nas trs comparaes efetuadas, pode-se observar que em cada uma delas foi utilizado um aplicativo diferente. Dessa forma, configuraes distintas puderam ser aplicadas de forma distinta, dependendo do administrador desse sistema. Na terceira comparao, houve a necessidade de efetuar a compilao do Kernel do Linux a qual nem sempre um processo intuitivo. como afirma KROAH-HARTMAN (2007, p. ix):
A compilao do Kernel Linux parece simples para quem est familiarizado, porm incompreensvel para a maioria das pessoas, pois no h um local onde toda a informao necessria para este processo encontrada de forma clara e objetiva.

Neste estudo, pode-se, ento, implementar todas as funcionalidades propostas nos dois produtos estudados, porm no firewall Aker houve um ganho de produtividade e clareza da aplicabilidade das regras e filtros propostos. Referencias Bibliogrficas AKER, Security Solutions, Manual de treinamento: Aker Firewall 6.1. Disponvel em: < http://www1.aker.com.br/005/00502001.asp?ttCD_CHAVE=22239>. Acesso em: 13 mar. 2010. ABNT NBR ISO/IEC 27002:2005, Cdigo de prtica para a gesto da segurana da informao BALLIACHE, Leonardo, Linux Queuing Disciplines. <http://www.opalsoft.net/qos/DS.htm>. Acesso em: 13 mar. 2010 Disponvel em:

CAMPOS, Andr L. N., Sistema de Segurana da Informao: Controlando os Riscos. ed. Florianpolis: Campus, 2006. CARVALHO, Gustavo, Qualidade de Servios para Gateways Linux (QoS). Disponvel em: <http://www.vivaolinux.com.br/artigo/Qualidade-de-Servicos-paraGateways-Linux-(QoS)>. Acesso em: 13 mar. 2010 CHIAVENATO, I., Gesto de Pessoas: o novo papel dos recursos humanos nas organizaes. ed. Rio de Janeiro: Campus, 1999. CISCO, Networking Academy Semestre 2 do CCNA v.2.1. 2000. DAVENPORT, T. H. Ecologia da informao: por que s a tecnologia no basta para o sucesso na era da informao. ed. So Paulo : Futura, 1998

DUSSIN, Marco e FERRO, Nicola, The Role of the DIKW Hierarchy in the Design of a Digital Library System for the Scientific Data of Large-Scale Evaluation Campaigns. Disponvel em: <http://www.ieee-tcdl.org/Bulletin/v5n1/Dussin/dussin2.html>. Acesso em: 13 mar. 2010. FOLHA, Microsoft diz que o Windows mais barato do que o Linux. Disponvel em: < http://www1.folha.uol.com.br/folha/informatica/ult124u11484.shtml>. Acesso em: 13 mar. 2010. ISO/IEC 13335-1:2004, Information technology Security techniques Management of information and communications technology security Part 1: Concepts and models for information and communications technology security management JAKOBSON, Roman, Linguistica e Comunicao. ed. So Paulo: Cultrix, 2001. KROAH-HARTMAN, Greg, Linux Kernel in a Nutshell, ed. Estados Unidos: OReilly, 2007. MACEDO, Mariano de Matos, Gesto da produtividade nas empresas, ed. Curitiba: revista FAE Bussines n. 3 set, 2002. MICHAELIS, Dicionrio, Moderno Dicionrio da Lngua Portuguesa. Disponvel em: <http://michaelis.uol.com.br/ >. Acesso em: 11 mar. 2010. MOTA, J. E., Firewall com IPTABLES: <http://www.eriberto.pro.br/iptables/3.html>. Acesso em: 13 mar. 2010. Disponvel em:

NAKAMURA, Emilio Tissato e GEUS, Paulo Licio, Segurana de redes em ambientes cooperativos, ed. So Paulo: Futura, 2003. PARKINSON, John, The Pursuit of Productivity, CIOInsight 01 abril, 2004. ROBERTO, Gustavo, Implementando Iptables Layer 7 no Fedora Core 7 e 8. Disponvel em: < http://www.gustavoroberto.blog.br/2007/12/09/implementando-iptableslayer-7-no-fedora-core-7-e-8/>. Acesso em: 13 mar. 2010. SMOLA, Marcos, Gesto da Segurana da Informao: uma viso executiva. ed. Rio de Janeiro: Campus, 2003. SETZER, Valdemar W., Dado, Informao, Conhecimento e Competncia. Disponvel em: < http://www.ime.usp.br/~vwsetzer/dado-info.html >. Acesso em: 13 mar. 2010. WESSELS, Duane, Web Caching, ed. Estados Unidos: OReilly, 2001.

Você também pode gostar