Você está na página 1de 32

DEPARTAMENTO DE COMPUTAO

DECOM

IFMG
CAMPUS FORMIGA
INSTITUTO FEDERAL MINAS GERAIS

Instituto Federal Minas Gerais


IFMG Campus Formiga
Departamento de Computao

SEGURANA EM REDES DE
COMPUTADORES:
implementao e implantao prtica de um sistema de
Firewall Linux.

Relatrio de estgio apresentado


ao IFMG Campus Formiga como
requisito parcial para a obteno do
diploma de Tcnico em Informtica.

Rafael Angelo Silva Oliveira


Orientador: Prof. Everthon Valado

Formiga MG
13 de dez. de 2012

Folha de Aprovao da Banca Examinadora

Segurana em Redes de Computadores: implementao e implantao


de um sistema de firewall
Rafael Angelo Silva Oliveira
Relatrio de estgio apresentado ao IFMG Campus Formiga como requisito parcial
para a obteno do diploma de Tcnico em Informtica, e aprovado pela Banca
Examinadora abaixo assinada:

_____________________________________
Prof. M.Sc. Everthon Valado
Mestrado em Cincia da Computao (Redes e Sistemas Distribudos)
pela Universidade Federal de Minas Gerais UFMG
Orientador
Departamento de Computao IFMG Campus Formiga

_____________________________________
Prof. M.Sc. Denise Ferreira Garcia Rezende
Mestrado em Cincia da Computao (Engenharia de Software)
pela Universidade Federal de Minas Gerais UFMG
Examinadora
Departamento de Computao IFMG Campus Formiga

_____________________________________
Prof. M.Sc. ??? a ser definido pela Denise ???
Mestrado em Cincia da Computao
Universidade Federal de XXXX
Examinador
Departamento de Computao IFMG Campus Formiga

Formiga - MG, 13 de dez. de 2012

Agradecimentos
Agradeo primeiramente ao Prof. M. Sc. Everthon Valado pela dedicao e
compromisso com tudo o que faz.
Agradeo tambm, aos colegas de trabalho da CTI do campus Formiga, aos
demais professores e funcionrios.
Por fim, agradeo especialmente minha noiva pela compreenso, ao meu sogro e
sogra e aos meus pais e outros familiares pelo apoio prestado.
Agradeo a Deus por tudo...

'O homem comum fala, o sbio escuta, o tolo discute.


'Para plantar h escolhas. Para colher, apenas o que se plantou.
Provrbios Orientais.

Resumo

Sumrio
Agradecimentos.....................................................................................................................7
Resumo................................................................................................................................11
1.Introduo.........................................................................................................................15
1.1.Objetivos....................................................................................................................16
1.2.Justificativa................................................................................................................16
2.Metodologia.......................................................................................................................17
2.1.Fase de Concepo...................................................................................................18
2.1.1Escolha da Plataforma Tecnolgica....................................................................18
2.1.2Elicitao de Requisitos do Sistema...................................................................18
2.2.Fase de Elaborao...................................................................................................20
2.2.1Diagrama de Classes..........................................................................................20
2.2.2Diagrama de Atividades......................................................................................20
2.2.3Modelo de Entidade-Relacionamento.................................................................20
2.3.Fase de Implementao............................................................................................20
2.3.1Prottipo da Interface Grfica.............................................................................21
2.3.2Codificao do Sistema.......................................................................................21
2.3.3Testes do Sistema...............................................................................................21
2.4.Fase de Transio.....................................................................................................21
2.4.1Implantao do Sistema......................................................................................21
2.4.2Capacitao dos Usurios..................................................................................21
2.4.3Satisfao do Cliente e Qualidade do Sistema...................................................21
3.Resultados........................................................................................................................22
4.Concluso.........................................................................................................................23
Referncias Bibliogrficas...................................................................................................24
ANEXO I Plano Para Estgio Supervisionado.................................................................26
ANEXO II Acompanhamento Dirio de Atividades...........................................................28

1. Introduo
A disponibilizao de servios em redes corporativas ligadas a internet nos
dias atuais essencial para o bom funcionamento de qualquer corporao.
Um ponto crtico em servios de redes de computadores a segurana.
Manter a disponibilidade do servio, a integridade e a autenticidade das
informaes, bem como a proteo contra seu acesso

por

pessoas no

autorizadas, um trabalho contnuo, complexo e de extrema dedicao por parte do


administrador de redes.
Um recurso essencial para se proteger a rede a utilizao de um sistema de
Firewall. Um dos Firewall mais utilizados no mundo o Iptables encontrado
nativamente no Kernel de vrias distribuies do sistema operacional Linux.
Juntamente com o Iptables, servidores Proxy auxiliam na proteo da rede
realizando filtragem de pacotes e/ou autenticando usurios. Um dos mais famosos
servidores Proxy o Squid o qual tambm encontrado nas distribuies Linux.
A definio de regras de filtragem de pacotes, portas, protocolos e outros no
Iptables realizada atravs de Scripts de Firewall. Estes Scripts possuem uma srie
de comandos que combinados realizam a filtragem do trfego permitindo, negando
ou redirecionando o mesmo. J o Squid, possui um arquivo de configurao prprio
onde so escritas as regras de filtragem entre outras configuraes possveis.
Existem ainda aplicaes e mdulos complementares que se integram tanto
ao Iptables quanto ao Squid disponibilizando novos recursos.
Durante o perodo de estgio na CTI (Controladoria de Tecnologia da
Informao) do IFMG (Instituto Federal de Educao Minas Gerais) campus
Formiga, buscou-se o desenvolvimento de um sistema de Firewall utilizando-se um
servidor com base no sistema operacional Linux que atendesse s necessidades de
restrio de acesso alguns sites, prioridade de servios (QoS), controle de
usurios e monitoramento de rede.

Pgina 15

1.1.

Objetivos
Configurao de servidor com roteamento de rede, utilizando recursos de
restrio e monitoramento do trfego de rede para disponibilizao de internet para
os alunos do IFMG campus Formiga.
Democratizar os recursos de rede e internet no campus, minimizar a utilizao
indevida da rede e melhorar o desempenho da mesma atravs da utilizao de
cache web e DNS local.

1.2.

Justificativa
Aprimorar os conhecimentos adquiridos durante o curso de Tcnico em
Tecnologia da Informao principalmente no que diz respeito as reas de algortimo
e programao, redes de computadores, desenvolvimento de sistemas e sistemas
operacionais.
Possibilitar uma melhorara no desempenho e segurana da rede Acadmica
do IFMG campus formiga.

Pgina 16

2. Metodologia
Foi utilizado o ciclo de desenvolvimento PDCA (Plan, Do, Check, Act), de
maneira que o desenvolvimento do problema proposto seguisse as seguintes
etapas, a citar:

Planejamento (Plan): Composta por pesquisas em livros, sites


especializados e leitura de manuais para definio da distribuio Linux, bem
como as aplicaes e recursos necessrios a configurao dos servios da
rede.

Execuo (Do): Composta pela instalao e configurao do servidor Linux


em mquina de testes. Desenvolvimento de Script para controle de Firewall.
Desenvolvimento de Script para controle de QoS. Desenvolvimento de regras
e configuraes para restrio de acesso a pginas especficas da internet
utilizando o sistema proposto e suas aplicaes.

Verificao (Check): Testes de segurana e estabilidade do sistema. Testes


do sistema de controle de trfego. Testes do sistema de restrio de pginas
web.

Avaliao do Sistema (Act): Com base nos testes realizados, adequou-se


as regras de filtragem e servios de rede para se obter um melhor
desempenho e segurana, procurando solucionar o problema proposto.
Sendo assim, o desenvolvimento do sistema se apresentou de maneira

cclica, esperando-se a adequao e maximizao do desempenho e segurana da


rede Acadmica do IFMG campus Formiga. A seguir, nas subsees abaixo, h uma
descrio detalhada de cada fase de desenvolvimento sendo elas: concepo,
elaborao, implementao e implantao.

Pgina 17

2.1.

Fase de Concepo

Nesta fase, utilizou-se da leitura de manuais, consulta sites especializados,


para se determinar qual a distribuio Linux a ser utilizada para a implementao do
servidor de roteamento de rede e sistema de Firewall.
Ainda, com base nos estudos realizados e em experincias vividas durante o
trabalho na CTI, levantou-se os requisitos necessrios ao sistema para que se
obtivesse uma melhor estabilidade e desempenho sem abrir mo da segurana.

2.1.1

Elicitao de Requisitos do Sistema

Com base na experincia e no cotidiano das funes desempenhadas na CTI


do IFMG campus Formiga, levantou-se os requisitos bsicos que o sistema deveria
atender, citados a seguir:

Filtragem por porta de servio: broqueio de portas que poderiam ser


utilizadas para invaso.

Filtragem de fluxo P2P: evitar a utilizao de programas de torrent por estes


consumirem a banda de rede provocando a interrupo de servios de
internet para os outros usurios da rede.

Filtragem por URL: bloqueio de sites indesejados ao ambiente acadmico


como pornografia, vrus;

Filtragem por MAC: bloquear utilizao da rede utilizando o endereo MAC


da placa de rede do usurio;

Filtragem por endereo IP: bloquear acesso servidores externos utilizando


o endereo IP como referncia;

Filtragem por expresses: bloqueio de sites e contedo com determinadas


expresses como 'xxx', 'sex', palavres, etc;

Filtragem por extenso de arquivo: bloqueio utilizando a extenso do


arquivo como '.avi', '.mov', '.exe';

Controle de trfego (Traffic Shaping): garantir que o trfego seja


igualmente distribudo entre os usurios e que servios especficos tenham
Pgina 18

prioridade de trfego na rede;

Servidor DHPC: para distribuio automtica de endereos IP.

Cache de pginas web: minimizar a utilizao do link de internet e melhorar


a sensao de velocidade da rede para os usurios.

Cache de atualizaes Windows e Ubuntu Linux: possibilitar uma


atualizao de softwares e do sistema operacional com maior rapidez.

Cache de arquivos PDF, DOC, ODT, XML, etc: minimizar a utilizao do link
de internet e melhorar a sensao de velocidade da rede para os usurios.

Log de acessos: permitir averiguao de tentativas de acessos indevidos


rede e ao servidor. Permitir averiguar o acesso a determinado site ou servidor
externo.

Sistema de monitoramento de rede: possibilitar averiguar a sade da rede,


congestionamento e sites com auto nveis de acesso. Averiguar as portas e IP
acessados pelos usurios.

Sistema

de

cadastramento

na

rede:

sistema

para

cadastrar

os

computadores na rede.
2.1.2

Leitura de manuais e tutoriais e pesquisa em fruns sobre solues para os


problemas propostos
Como soluo para os problemas propostos encontraram-se as seguintes
aplicaes descritas a seguir:
Iptables/Netfilter: Iptables o modulo de interface de comunicao entre o
usurio e o Netfilter. Nele so inseridas as regras de firewall de acordo com tabelas
pr-definidas. Netfilter o mdulo embutido no Kernel responsvel pela filtragem do
trfego (CENTOS, 2012).
Ipp2p: uma extenso do Netfilter para identificar o trfego de
compartilhamento de arquivos P2P. O projeto original foi descontinuado, sendo que
mantido dentro do pacote xtables (sucessor do patch-o-matic). Com ele, possvel
bloquear ou marcar o trfego P2P e posteriormente trat-lo com regras de QoS por
exemplo (IPP2P, 2012).
Squid: um proxy cache para a Web suportando HTTP, HTTPS, FTP e
outros. Funciona reduzindo a largura de banda e melhora os tempos de resposta
Pgina 19

atravs da reutilizao de pginas web. Possui controles de acesso utilizando-se de


expresses regulares, endereo IP, MAC e URL e sistema de log de acessos
(SQUID-CACHE, 2012) .
SquidGuard: um redirecionador de URLs que se utiliza de listas negras ou
blacklist (que so listas em formato texto contendo o domnio, ULR e expresses do
site a ser redirecionado). Conta ainda com sistema de senha de acesso utilizando
LDAP ou MySQL para a autenticao (SQUIDGUARD, 2012). Este utilizado
juntamente com o Squid para o bloqueio de pginas.
Ntop: analisador de trfego de rede que mostra o uso da mesma. Possui a
capacidade de ordenar o trfego de rede de acordo com vrios protocolos, exibir
estatsticas de trfego, identificar o sistema operacional hospedeiro, realizar relatrio
de uso do protocolo IP classificado por tipo de protocolo, analisar o trfego IP e
classific-lo de acordo com a origem/destino entre outras funes (NTOP, 2012).
Iptraf: um utilitrio de estatsticas de redes que roda diretamente no
terminal linux. Com ele possvel monitorar, em tempo real, o estado da rede,
pacotes transmitidos, largura de banda utilizada entre outras funes.
tc: ou Traffic Control, o utilitrio do pacote iproute2 responsvel por
possibilitar modificar o controle do trfego de rede. Com este utilitrio, juntamente
com o Netfilter/Iptables, possvel realizar Traffic Shaping, QoS ou uma poltica de
prioridade de servio (MOTA FILHO, 2007).
Dnsmasq: um servidor DNS no recursivo e, opcionalmente, servidor
DHCP e TFTP para pequenas redes. Pode ser utilizado como cache DNS local.

2.1.3

Definio da Plataforma Adequada

De acordo com o site W3Thecs (2012), as distros mais utilizadas como


servidores Web so o Debian e o CentOS. Para o desenvolvimento do sistema de
Firewall se optou pela distribuio CentOS 6.3.
Esta escolha se deve ao timo suporte encontrado na internet, facilidades na
instalao e configurao dos aplicativos e por ser um sistema mais amigvel, se
comparado ao Debian.

Pgina 20

2.2.

Fase de Elaborao

A fase de elaborao contemplou a instalao de toda a plataforma


tecnolgica. Foram realizados a montagem da mquina de testes, instalao do
sistema operacional e configurao e instalao de servios de rede e internet.

2.2.1

Montagem da Mquina de Testes


Para o servidor utilizou-se uma mquina com as seguintes configuraes:

Placa me Asus P5Q Pro Turbo.

Processador Intel Core 2 Duo E7500 2.1GHz 2MB L2 cache.

6GB de memria DDR2 800Ghz Kingston.

Disco Rgido Sansung 1 TB 7200RPM.

Fonte de 500W Reais.

Placa de video offboard ATI Sapphire (obs.: devido a placa me no ter vdeo
integrado).

2.2.2

2 Placas de rede ethernet 10/100/1000 Dlink.

Gabinete tipo torre.

Instalao do Sistema Operacional

Utilizou-se a verso 6.3 do CentOS lanada em 09/07/2012. Foi instalado o


sistema com arquitetura 64 bits disponvel para download em:
http://isoredirect.centos.org/centos/6.3/isos/x86_64/.
A instalao se d de maneira grfica. Se optou pela instalao do modo
servidor web mnimo. Se escolheram os pacotes adicionais para instalao: squid,
dnsmasq e dhcpd-server disponveis no prprio DVD de instalao.
Aps terminada a instalao, se configurou as interfaces de rede para um
endereo de IP esttico. Adicionou-se o repositrio EPEL (Extra Packages for
Enterprise Linux) atravs dos comandos:
Pgina 21

$ rpm -Uvh http://fedora.uib.no/epel/6/x86_64/epel-release-6-7.noarch.rpm


$ yum clean all
$ yum update
Este repositrio disponibiliza o software Ntop 5.0 e algumas dependncias
para outros pacotes a serem instalados posteriormente.
Para a instalao do Ntop utilizou-se o comando:
$yum install ntop
Aps a instalao, modificou-se o arquivo /etc/ntop.conf na #### linha para
####. Esta modificao necessria para ser possvel o acesso a interface web do
mesmo em outros computadores da rede.
Colocou-se o Ntop para iniciar junto ao sistema e iniciou-se o servio com os
comandos:
$ chkconfig ntop on
$ service ntop start
Testou-se o funcionamento do mesmo acessando o endereo do servidor na
porta 3001 para acesso seguro. Configurou-se a interface web para utilizar senha
para acesso todas as pginas da mesma.
Para a instalao do pacote xtables-addons se procedeu utilizando o tutorial
disponvel em http://www.vivaolinux.com.br/topico/Squid-Iptables/Como-instalaripp2p-en-centos-62-how-to-install-ipp2p-in-centos-62.

2.2.3

Configurao e Instalao de Servios de Rede e Internet

As interfaces de rede se configura editando o arquivo ifc-ethx, onde o x


corresponde ao nmero da placa (i.e, 0, 1, 2, 3...n) no sistema. Executando-se o
comando ifconfig pode-se conferir esta informao, endereo MAC entre outras.
O servio de internet prestado por um modem ADSL ligado a linha telefonica
da companhia OI. A velociade nominal do link de 2000Kbps para download e 450
Kbps para upload.

Pgina 22

2.2.4

2.3.

Testes de Desempenho da Plataforma Tecnolgica

Fase de Implementao

Na fase de implementao, comeou o desenvolvimento do Script de Firewall,


QoS e configurao do Proxy Squid. Foram realizados testes de estabilidade,
segurana e desempenho do sistema e aplicaes.

2.3.1

Desenvolvimento de Scripts de Firewall

2.3.2

Desenvolvimento de Scripts de QoS

2.3.3

Configurao de Servidor Proxy

2.3.4

Testes de Segurana e Desempenho

2.4.

Fase de Implantao
Na fase de implantao, ocorreu a entrega do software, realizado o plano de
implantao e entrega, acompanhamento e qualidade do software. O produto foi
entregue e obtida a satisfao do cliente. Nesta fase tambm foi realizada a
Pgina 23

capacitao dos usurios.


2.4.1

Implantao do Sistema
...bl bl bl

2.4.2

Capacitao dos Usurios


...bl bl bl

2.4.3

Satisfao do Cliente e Qualidade do Sistema


...bl bl bl

Pgina 24

3. Resultados
Na fase anterior foram descrito os caminhos pelos quais conseguiu-se atingir
os objetivos. J nesta seo de resultados devero ser apresentados os resultados
obtidos, por exemplo: apresentar o programa construdo, ou a rede planejada, ou os
softwares instalados, ou os documentos elaborados, etc.

Pgina 25

4. Concluso
Aqui sero colocadas as concluses, resumindo o que foi desenvolvido, qual
a importncia disso e o que voc aprendeu com o estgio. Tambm podero ser
colocados os planos para Trabalhos Futuros.

Durante o estgio, foi desenvolvido


Com este estgio, aprendi

Pgina 26

Referncias Bibliogrficas
CENTOS. IPTables. HowTos/Network/IPTables. Community Enterprise Operating
System. Disponvel em: http://wiki.centos.org/HowTos/Network/IPTables. Acesso em:
17 de nov. de 2012.
DIE.NET . Iptables(8) Linux man page. Disponvel em:
http://linux.die.net/man/8/iptables. Acesso em: 19 de nov. de 2012.
IPP2P. Ipp2p Documentation. Disponvel em: http://www.ipp2p.org/docu_en.html.
Acesso em: 16 de nov. de 2012.
MOTA FILHO, Joo Eriberto. Controle de trfego com TC, HTB e Iptables. Artigo
criado em 19 de setembro de 2007. Disponvel em:
http://eriberto.pro.br/wiki/index.php?title=Controle_de_tr
%C3%83%C2%A1fego_com_TC,_HTB_e_Iptables. Acesso em: 29 de no. de 2012.
NTOP. Ntop: traffic analysis with NetFlow and sFlow support. Disponvel em:
http://www.ntop.org/products/ntop/. Acesso em: 17 de nov. de 2012.
SQUID-CACHE. What is Squid?. Disponvel em: http://www.squid-cache.org/Intro/.
Acesso em: 17 de nov. de 2012.
SQUIDGUARD. Welcome to squidGuard. Disponvel em:
http://www.squidguard.org/. Acesso em: 18 de nov. de 2012.
STEINMACHER, Igor Fbio. Tcnicas de Web Caching e Prefetching com
Prioridades. Programa de Ps-Graduao em Computao. UFRGS, Porto Alegre,
fev. de 2004. Disponvel em: http://www.igor.pro.br/publica/papers/TI.pdf. Acesso: 19
de nov. de 2012.
W3TECHS. Usage statistics and market share of Linux for websites. Disponvel
em: http://w3techs.com/technologies/details/os-linux/all/all. Acesso em: 28 de nov. de
2012.

Pgina 27

WIKPEDIA. CentOS. Disponvel em: http://pt.wikipedia.org/wiki/CentOS. Acesso em:


28 de nov. de 2012.

Aqui voc ir listar os materiais bibliogrficos consultados, como livros,


artigos, dissertaes e teses, apostilas, manuais de software, etc.
Elabore esta seo de acordo com as norma ABNT para referenciao
bibliogrfica, resumidas nos links a seguir:
http://www.cdcc.usp.br/cda/sessao-astronomia/sessao-astronomia-padrao/referencia-bibliografica-ufrgs.htm
http://www.leffa.pro.br/textos/abnt.htm

//Exemplo de como referenciar um livro


SOBRENOME, Prenome. Ttulo: subttulo. Nota de traduo.* Edio.** Local:
Editora, ano de publicao. n de pg. (opcional) (Srie) (opcional)
//Exemplo de como referenciar um artigo
TTULO DA PUBLICAO. Local: editor, ano do primeiro volume e do ltimo, se a
publicao terminou. Periodicidade (opcional). Notas especiais (ttulos anteriores,
ISSN etc.) (opcional).
//Exemplo de como referenciar uma dissertao ou tese
SOBRENOME, Prenome. Ttulo: subttulo. Local: Instituio, ano. n de pg. ou vol.
Indicao de Dissertao ou tese, nome do curso ou programa da faculdade e
universidade, local e ano da defesa.
//Exemplo de como referenciar uma entrevista
ENTREVISTADO. Ttulo. Local: data. Nota da Entrevista.

//Exemplo de como referenciar um documento eletrnico (site visitado)


SOBRENOME, Prenome. Ttulo. Edio. Local: ano. N de pg. ou vol. (Srie) (se
houver) Disponvel em: <http://...> Acesso em: dia ms(abreviado) ano.

Pgina 28

ANEXO I Plano Para Estgio Supervisionado


Dados do estagirio
Nome:

Matrcula:

Curso:

E-mail:

Dados da empresa
Razo Social:
CNPJ:

Ramo de atividade:

Endereo:
Supervisor do estgio:

Funo:
Telefone:

rea: Suporte ao Usurio

E-mail:

Dados do orientador
Nome: Everthon Valado
E-mail: everthon.valadao@ifmg.edu.br
Objetivos do estgio

rea(s) do conhecimento envolvida(s) no estgio

Atividades a serem desenvolvidas (incluindo a metodologia empregada)

Cronograma de Atividades (em quantidade de horas)

Pgina 29

Resultados esperados

Perodo do estgio supervisionado


Perodo:
de

Qtde. de horas/estgio supervisionado:

/
TOTAL: 210 horas

Pgina 30

ANEXO II Acompanhamento Dirio de


Atividades

ACOMPANHAMENTO DO ESTGIO

ESTAGIRIO(A):

TURMA: Tcnico em Informtica

EMPRESA:

FONE:

ENDEREO:

CEP:

35570-000

MATRCULA:
CIDADE:

Formiga/MG

DATA

ENTRADA

SADA

TOTAL/
HORAS

ATIVIDADES DESENVOLVIDAS

ASSINATURA SUPERVISOR
E/OU ORIENTADOR

Pgina 31

Rua Pe. Alberico, 440 Bairro So Luiz Formiga MG CEP 35570-000


Telefone: (37) 3321-4094

Pgina 32