Implementando segurança de redes com brazilfw firewall e router

9,059
-1

Published on

O artigo trata-se de uma solução barata e de facil implementação para pequenas empresas que não têm condições de fazer investimentos em segurança na área de TI. Em um caso de uso ,estão algumas ferramentas que estão disponibilizada dentro do software BrazilFW que é um software livre disponível em http://www.brazilfw.com.br/forum/. Aproveite e bons estudos!!!

Published in: Design
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
9,059
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
171
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Implementando segurança de redes com brazilfw firewall e router

  1. 1. IMPLEMENTANDO SEGURANÇA EM REDES DE COMPUTADORES COM BRAZILFW - FIREWALL E ROUTER. Anderson Pontes de Almeida1 Gustavo Lessa Meireles2 RESUMO A aquisição de softwares ou equipamentos para implementação de segurança da informação é um problema que atinge principalmente micros e pequenas empresas, que por muitas vezes não possuem recursos financeiros para esse tipo de investimento. Com objetivo de suprir essas necessidades, será demonstrado mediante cenário de rede de uma pequena empresa de engenharia civil e ambiental fictícia, que é possível adquirir uma segurança eficaz e de baixo custo através de implantação de serviços de rede, utilização de política de segurança, planejamento e gestão de rede e utilização de um software livre como o BrasilFW, além da aplicação de algumas medidas baseadas nas normas NBR ISO/IEC 27002 para gestão de segurança da informação. O BrazilFW é um mini Linux que faz os serviços de Firewall e Router, disponibilizado gratuitamente, possui interface amigável que facilita sua implementação, podendo ser instalados em computadores com poucos recursos de hardware, e integrado por diversas ferramentas para administração e monitoramento de redes, tornando-se assim uma ferramenta muito poderosa. PALAVRAS-CHAVE: Segurança de Rede. Rede de computadores. Baixo custo. Firewall. BrazilFW. 1 Concludente do curso Superior de Tecnologia em Redes de Computadores. Instituição: FAJESU – Faculdade Jesus Maria José. Taguatinga – Brasília – DF. 2 Professor orientador do curso Superior de Tecnologia em Redes de Computadores. Instituição: FAJESU – Faculdade Jesus Maria José. Taguatinga – Brasília – DF.
  2. 2. 2 ABSTRACT The purchase of equipment or software for implementing information security is a problem that affects mainly micro and small businesses, which often lack the financial resources for this type of investment. In order to meet these needs will be demonstrated through a network scenario of a small civil engineering firm and environmental fictional, it is possible to acquire effective safety and low cost through deployment of network services, use of security policy, planning and network management and use of free software such as BrasilFW, besides implementing some measures based on the standards ISO / IEC 27002 for information security management. The BrazilFW is a mini Linux which makes the services of Firewall and Router, available for free, has friendly interface that facilitates its implementation and can be installed on computers with limited hardware resources, and integrated several tools for managing and monitoring networks, making it is thus a very powerful tool. KEYWORDS: Network Security. Computer network. Low cost. Firewall. BrazilFW. 1 INTRODUÇÃO A tecnologia da informação faz-se presente e necessárias em todas as empresas. Muitas se adequaram e investiram pesado para usá-la de forma correta, outras impulsionadas pela necessidade não se precaveram para os perigos oferecidos por ela. A realização deste artigo foi baseada na necessidade de implementar segurança na rede de computadores em uma empresa de engenharia civil e ambiental de pequeno porte, denominada Router Engenharia Ltda., pois não faziam o uso de Firewall ou outros tipos de proteção em sua rede, ficando aberta a ataques, invasões e outros males trazidos pela internet. Mediante pesquisa de mercado, foi cotada a várias empresas uma solução para estes problemas, que retornavam com soluções de alto custo utilizando softwares proprietários e equipamentos como servidores de alta performance, no qual tornava inviável a empresa, pois não disponibilizavam de recursos financeiros para essa finalidade, necessitando assim de uma solução de baixo custo. A estrutura de rede de computadores da Router Engenharia é formada por vinte computadores para usuários, dois servidores (um para arquivo e outro para o sistema web da empresa) e cinco impressoras de rede. Os usuários tinham acesso livre à internet, não
  3. 3. 3 utilizavam de autenticação, seu sistema de arquivo era acessado por todos da empresa, o sistema web fazia parte da mesma rede em que se encontravam todas as outras máquinas. O resultado disso era a perda e alterações indevidas de arquivos, manutenção constante de computadores, discursões sobre o acesso a redes sociais e sites impróprios feitos pelos funcionários, e a falta de proteção contra invasões de crackers ao seu sistema. Para resolução desses problemas, foi apresentado a Router Engenharia uma solução de baixo custo, que implicará em uma restruturação da rede, utilizando políticas de segurança baseadas nas normas da ABNT ISO/IEC 27002 implementadas com ativação de recursos que não estão sendo utilizados nos servidores e a instalação de um Firewall em software livre chamado BrazilFW que pode ser implementado com reaproveitamento de computadores antigo constituído de recursos como: DHCP, DNS, QOS, VPN , filtro de pacote, filtro de conteúdo entre outros. 2 DESENVOLVIMENTO 2.1 NECESSIDADE DE SEGURANÇA NA REDE Na atualidade, a tecnologia da informação se faz necessária, sendo utilizada por todos os usuários comuns e principalmente pelas empresas, ficando diretamente ligada a grande rede de computadores chamada Internet durante a maior parte do tempo, tornando-se vulneráveis a ataques nos sistemas computacionais, pois quanto mais tempo conectado, maiores as chance de ser invadido. Baixar um simples arquivo, acessar um e-mail, conta bancária, página da internet entre outros, é um problema para quem não dispõe de algum mecanismo de segurança eficaz. Confira na tabela de incidentes divulgadas pelo CERT.br.3 3 CERT.br – Uma organização dedicada a segurança, com o propósito de dar assistência e informações atuais de ataques ou invasões de redes. <http://www.cert.br/>
  4. 4. 4 Figura 1 – Incidentes Anual Fonte: http://www.cert.br/stats/incidentes/ Figura 2 – Tipos de ataques Fonte: http://www.cert.br/stats/incidentes/2012-oct-dec/tipos-ataque.html É possível proteger sistemas contra ataques e invasões, porém o mesmo nunca estará livre de tentativas de ataques ou invasões. A proteção correta deve ser feita por profissional capacitado, no qual irá respeitar e satisfazer todas as necessidades de um ambiente seguro. As vulnerabilidades existem, os ataques também existem e crescem a cada dia, tanto em quantidade quanto em qualidade. Uma infraestrutura de segurança não é só necessária como obrigatória, devendo existir, além de um investimento específico, um planejamento, uma gerência e uma metodologia bem definida. (NASCIMENTO, André, 2010. p. 11)
  5. 5. 5 2.2 SEGURANÇA DE REDES “Segurança de rede é o critério cuja finalidade é assegurar proteção de dados e das informações que trafegam na rede do acesso não autorizado”. (BEHROUZ, 2004, p. 38) Para implementar segurança em uma rede, deve ser consultado e respeitado às normas dispostas pelas normas ABNT NBR ISO/IEC da família 27000. A segurança da informação busca proteger os ativos de uma empresa ou indivíduo com base na preservação dos princípios básicos: Integridade, confiabilidade, disponibilidade, autenticidade e não-repúdio. Integridade – é a garantia que sua informação permanece integra, que não sofreu nenhuma alteração feita por terceiros. Confidencialidade – Proteger a informação para que não seja acessada por pessoas não autorizadas. Disponibilidade – É a garantia que a informação estará sempre disponível quando for acessada. Autenticidade – Assegura que a informação pertence a quem anunciou e que não foi alvo mutações. Não-repúdio - É serviço de segurança que consiste em técnicas e métodos para que o remetente não possa negar a mensagem caso necessite em um futuro. A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software 4 e hardware 5 . Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Isto pode ser feito em conjunto com outros processos de gestão do negócio. (ABNT NBR ISO/IEC 17799, 2005, p. 09). 2.2.1 Políticas de segurança As políticas de segurança são compostas por um conjunto de regras e padrões sobre o que deve assegurar que as informações e serviços importantes para uma determinada empresa recebam a proteção conveniente, de modo garantir a confidencialidade, integridade e disponibilidade. (FERREIRA & ARAÚJO, 2008, p. 36) 4 Software - é o conjunto dos programas e dos meios não materiais que possibilitam o funcionamento do computador, na execução das diversas tarefas. 5 Hardware – refere-se a todos os elementos que compõem o aspecto físico de um sistema computacional envolvidos na atividade de processamento de dados.
  6. 6. 6 As políticas de segurança são complexas, pois envolvem tanto o comportamento humano quanto o computacional. Antes de implementá-las, devem ser feita a definição do escopo e a identificação de ameaças. Como forma de orientação em uma gestão de segurança, servem de auxilio três blocos de ações: diretrizes, normas e procedimentos e instruções. Diretrizes - Expressam a importância da informação, devendo ser passado aos funcionários comprometimento em adotar a segurança no ambiente organizacional. Normas - Devem detalhar situações de ambientes, processos específicos e fornecer orientações de uso correto das informações. Sua aplicação deve ser feitas proporcionalmente as necessidades e ao porte da empresa. Procedimentos e instruções – Deve ser detalhada cada ação e atividade pertinente às situações de risco. A organização deve ter preocupações em todos os ativos que fornecem informações, ou seja, tanto na sua parte lógica quanto na sua parte física. Fazem parte de uma politica de segurança o uso de senhas complexas, autenticações de usuários, permissões de arquivos ou pastas, bloqueio de software, criptografia6 , backup7 , controle de entrada e saída e uso de mídias, manutenção preventiva de hardware e software etc. Para quem deseja se certificar, a ISO 27002 define os dez pilares da segurança da informação que devem ser regularmente seguidos pelas empresas que desejam ser certificadas. De acordo com os conceitos citados neste item, farão parte das políticas de segurança: o uso de senhas complexas, autenticações de usuários e permissões de arquivos ou pastas, solucionando assim alguns dos problemas expostos pela Router Engenharia. 2.3 FIREWALL O Firewall segundo (MIYGUSKU, 2008, p. 145) “pode ser descrito como uma barreira/muro de proteção que controla tráfego de dados entre computador (ou uma rede) e a internet. Sua principal função é a de permitir e autorizar a transmissão e a recepção de dados, além do acesso externo.” 6 Criptografia – Vem das palavras gregas que significam “escritas secretas”. 7 Backup – Cópia de segurança.
  7. 7. 7 Um sistema com firewall deve como obrigação garantir o nível elevado de segurança. Segundo (GONÇALVES, 2005, p.15) “um sistema de firewall pode ser definido como dispositivo que combina hardware e software para segmentar e controlar o acesso entre redes de computadores distintas.” Sua implementação pode ser dada com a junção de hardware e software, ou somente software. 2.3.1 Tipos de firewall “Os tipos de sistemas de firewall disponíveis no mercado estão baseados nos requisitos de segurança que os mesmos atendem funcionalidade e avanços tecnológicos agregados”. (GONÇALVES, 2005, p.15) Basicamente os Firewalls são divididos em três categorias: filtro de pacote, filtro de estado e gateway. Devido às mudanças constantes no mercado e as novas tecnologias, surgem novos classes de firewalls:  Filtro de Pacotes – Utiliza de regras estáticas para filtragem dos pacotes. São atualmente os mais utilizados de fácil aplicação, ótimo desempenho, baixo custo e bastantes flexíveis. Sua analise é baseada nas camadas de rede e de transporte da pilha TCP/IP.  Filtro de Pacotes Baseados em Estados – Uma evolução dos filtros de pacotes. Possui tabelas de regras associativas, que auxiliam na tomada de decisões de filtragem. Sua maior diferença comparada ao filtro de pacote é que suas conexões são monitoradas o tempo todo, ou seja, só podem passar pelo firewall se tiver sua sessão registrada na regra, caso contrário o pacote será descartado.  Proxy – Conhecido como filtro de conteúdo, não permite conexão direta de host interno ao servidor externo. Conectado por uma porta TCP no firewall abre uma conexão para que possa acessar o servidor externo. Sua análise é feita através da camada de sessão ou transporte. Possibilita a autenticação de usuários e análise de comandos de aplicação.  Firewalls Híbridos – É a junção de filtro de pacotes, filtro de pacotes com base em estado e o proxies. Sendo capaz de alternar os tipos de verificações.  Firewalls Reativos – É uma evolução dos firewalls, pois agregam tecnologia de outros dispositivos como sistema de detecção de intrusão e sistemas de alarmes.  Firewalls Pessoais – Diferente dos citados anteriormente, os firewalls pessoais fazem a proteção somente do equipamento onde está instalado o firewall, visando à proteção
  8. 8. 8 de hosts que não fazem parte de uma rede específica, mas que fazem a utilização da internet. 2.4 ROTEADOR Segundo (FOROUZAN, 2008, p.74) “roteador é um dispositivo de três camadas; ele opera nas camadas físicas, de enlace de dados e de redes.” Na camada física ele regenera o sinal recebido. Como enlace de dados verifica os endereços de destino e origem dos pacotes e como dispositivos da camada de rede, o roteador verifica os endereços da camada de redes, ou seja, número do IP. “Um roteador é um dispositivo de interligação em rede: ele interliga redes independentes para formar uma rede de redes.” (FOROUZAN, 2008, p.74). Os roteadores são particionados em duas categorias: roteamento estático e dinâmico. No roteamento estático as rotas são definidas manualmente e não mudam. Já nas roteamento dinâmico as rotas são feitas aleatoriamente pelo roteador, onde são atualizadas dinamicamente reconhecendo sempre o melhor caminho ou caminho disponível a serem trafegados os dados. 2.5 BRAZILFW Segundo (BRAZILFW, 2013) “BrazilFW é um mini Linux, distribuição projetada para ser usada como um Firewall e Roteador que roda facilmente em computadores mais antigos.” Tem como objetivo transformar máquinas com pouco recurso de hardware em um servidor de alta performance, assim se torna uma solução de baixo custo e que supre através de diversos serviços os aspectos necessários para aquisição dos processos de segurança para a rede da Router Engenharia O BrazilFW é o sucessor do Coyote Linux8 , que foi projetado por Joshua Jackson que foi descontinuada em 2005, sendo então adotada por Claudio e Marcelo – Brasil, continuando seu desenvolvimento como BrazilFW. Atualmente existem duas versões:  2.33.x É uma atualização da 2.32.2 e tem como base o Kernel 2.4x.  3.x Esta versão foi desenvolvida do zero pelo WoshMan e tem como base o Kernel 3.4.5. 8 Coyote Linux é uma pequena distribuição Linux desenvolvido pela Vortech Consulting contendo apenas os serviços necessários para transformar um computador em um roteador ou firewall.
  9. 9. 9 Apesar das versões 2.33.x terem diversos complementos que o deixa mais completo, a versão 3.x foi desenvolvido a partir do zero, e os complementos já foram adaptados e migrados para a nova versão. O BrazilFW torna possível instalar serviços de rede rapidamente como compartilhamento de internet, firewalls, ou pontos de acesso sem fio. Agrega muitas funções extras, mas tenta manter a simplicidade na administração e nos requisitos de hardware. Tabela 1: Características Características Software/Serviços Nativos Formato de Texto: UTF – 8 Servidor DNS: Bind Suporte a memória RAM: até 64 GB Proxy: Squid 3.x Suporte a multiprocessador: até 8 processadores Relatórios: Free-SA / WebAlizer Drivers de rede nativo: Ethernet 10/100/1000 / Wireless - Wireless AP (Chipset Atheros) Webserver: Lighttpd/PHP5 Suporte a interfaces IDE / SATA / SCSI / USB Banco de Dados: MYSQL Suporte a placas-mãe mais recentes DNS Dinâmico: IpUpdate Suporte a PCI-e Suporte ilimitado à placa de rede (limitado pela quantidade de PCI/PCI-e/USB) Número de conexões limitado à quantidade de memória. Fonte: Autor O seu código fonte está disponível sob a licença GNU GPL para que qualquer pessoa possa utilizar, estudar, modificar e distribuir livremente de acordo com os termos da licença. Atualmente o suporte é feito através de fórum do projeto acessado pelo endereço http://www.brazilfw.com.br, conta com a ajuda em três idiomas: português, espanhol e inglês. Para adquirir o sistema, basta acessar o site do BrazilFW acima citado para fazer o download de suas versões. De modo simplificado a configuração do BrazilFW pode ser feita via browser com interface amigável que facilita a implementação e a configuração do sistema, ou se preferir pode ser feita via terminal. Seu acesso é dado através do navegador com a interface do painel WebAdmin9 com endereço padrão https://192.168.0.1.8181 a entrada de login e senhas pré-definidas root root , sua autenticação é feita por meio de chave SSL, que garante a autenticação segura de acordo com as normas de segurança. 9 O WebAmin é uma ferramenta de gerenciamento com interface gráfica para servidores Linux.
  10. 10. 10 Na tela inicial do sistema mostra algumas informações como:  O Nome da Máquina (Servidor)  O nome do Domínio  CPU (Processador do Servidor)  Memória (Memória RAM disponível para o Sistema)  Versão do Firewall (Versão do BrazilFW 3.x)  Versão do Kernel  Versão do Iptables  Data da Compilação da Versão do BrazilFW 3.x  O Tempo de Atividade  Disco Virtual (Percentual de utilização da 1ª Partição)  Unidade /partition (Percentual de utilização da 2ª Partição - Partition)  Gráfico de Consumo do Processador  Gráfico de Consumo da Memória RAM (Cache / Aplicativos) Figura 3: WebAdmin Fonte: Autor
  11. 11. 11 2.5.1 Configurações de rede Uma arquitetura de rede bastante segura e utilizada nas grandes redes de computadores é a DMZ10 “área que fica entre a rede interna (rede a ser protegida) e a rede (como por exemplo, a internet)”. (GONÇALVES, 2005, p.20). Arquitetura essa que será utilizada na Router Engenharia, do tipo Screened Subnet11 que dispõe de três interfaces de rede. Figura 4: DMZ Fonte: Autor 2.5.1.1 Conexões As configurações de rede no BrazilFW podem ser feita de modo simplificado através do seu painel WebAdmin, acessada pelo caminho: Configurações => Conexões. Nela encontram-se as configurações de rede: Física, Virtual, Lógica e Sub-rede. A configuração Física esta relacionada às interfaces de rede instaladas fisicamente, no qual é disponibilizado a opção adicionar. Por exemplo: Para uma rede DMZ ilustrada na figura 4 que são configuradas três placas de rede, uma para internet (rede externa) e uma para rede interna e outra para DMZ, deverão ser adicionadas as placas eth0, eth1 e eth2. 10 DMZ – Zona desmilitarizada. 11 Screened Subnet - Tipo de arquitetura DMZ.
  12. 12. 12 Na parte Lógica são definidos os IPs e Máscara de rede. Dispõe também de configuração para internet disponibilizando as configurações do pppoe, cliente dhcp, IP estático, informações da velocidade da conexão e balanceamento de carga. Como em nosso Firewall possui três interfaces fisícas, será necessário a ligação entre elas. Para fazer essa ligação o BrazilFW oferece três modos: ponte, VLAN e virtual.  A conexão ponte é o Bridge “que designa um dispositivo que liga duas ou mais redes usando protocolos distintos ou iguais ou dois segmentos da mesma rede que usam o mesmo protocolo.” (BRAZILFW, 2013).  Outra opção é fazer uma VLAN (Virtual Local Área Network) que agrupa um conjunto de máquinas (rede local) de maneira lógica, mas não física.  Para utilizar de dois links de internet, a conexão virtual é uma ótima opção que vincula mais de um Link de Internet a uma mesma Interface Física. A Sub-rede é uma das opções muito utilizadas em grandes redes. Com ela podemos dividir uma grande rede em redes menores que resulta num tráfego de rede reduzido, administração simplificada e melhor performance. Para personalizar essa opção, são dados os campos prefixo, faixa inicial e final. 2.5.1.2 DHCP O DHCP é um serviço utilizado para automatizar as configurações do protocolo TCP/IP nos dispositivos de rede (computadores, impressoras, hubs, switchs, ou seja, qualquer dispositivo conectado à rede e que esteja utilizando o protocolo TCP/IP). (JB LIVROS E CONCURSOS, 2013). O DHCP é indispensável em uma rede, pois economiza o trabalho de configuração a rede máquina por máquinas e que irá facilitar a implementação na rede da Router Engenharia. No BrazilFW por padrão é um serviço ativo, e é implementado pelas opções: configurações, reservas de IP, escopo e concessão. Os campos contidos neles são autoexplicativos. Em configurações encontram-se as configurações de ativação, tempo de concessão, DNS preferencial e DNS alternativo. A reserva de IP faz a função de não deixar que outro se utilize daquele endereço de IP na rede. Nela são configurados os IPs que serão reservados onde amarrados ao endereço MAC.
  13. 13. 13 Com a opção do escopo são definidas as faixas de IPs que irão ser disponibilizados pelo Servidor DHCP, são disponíveis ainda a visualização dos endereços concedidos, o MAC e nome do Host. 2.5.1.3 Restrição de MAC/IP Uma configuração que aumentará a proteção da rede na empresa citada neste artigo é a restrição de MAC/IP, que além de fazer a reservar de IP, também proíbe a intrusão de hosts que não estão cadastrados na rede. No BFW12 a restrição é o de Lista Branca, ou seja, só navega quem estiver na lista. Se a Restrição MAC/IP estiver ativa e o MAC não estiver cadastrado o host não conseguirá navegar. 2.5.1.4 DNS O DNS é um serviço primordial em qualquer rede de computadores onde facilita e torna o acesso entre computadores mais amigável, podendo ser acessado por nome dado a máquina (hostname) no lugar do IP. O DNS é o protocolo da camada de Aplicação destinado a auxiliar demais protocolos de aplicação no oferecimento de serviços de comunicação. Servindo como um tradutor entre endereços numéricos e nomes, o DNS permite que informações textuais, como www.dominio.com.br, seja memorizado em vez de endereço com 201.56.98.147. (GOLVEIA, 2007, p.13) O BrazilFW possui um servidor de DNS nativo, o “Bind”, que por padrão vem habilitado. Para configurar estão disponíveis os campos DNS preferencial e DNS alternativo. Outra opção bastante útil e disponível nas configurações é o Permitir acesso externo aos servidores de resolução de nomes, que habilita o usuário atrás do BrazilFW use qualquer servidor DNS. 2.5.1.5 Qualidade de serviço “QoS é definida como o efeito conjunto do desempenho do serviço que determina o grau de satisfação de um usuário desse serviço”. (TELECO, 2013). A maioria das empresas sofre com problemas de ocupação de banda da rede, onde os usuários na maioria das vezes 12 BFW é a nomenclatura simplificada de BrazilFW.
  14. 14. 14 fazem o mau uso com downloads, programas online e etc., o resultado disso é a navegação lenta no qual prejudica o desempenho da rede como um todo. Para solucionar esse problema na Router Engenharia será utilizado a Qualidade de Serviço (QoS13 ) que garantirá a largura de banda controlado por IP, rede ou sub-rede. Este serviço é contido no BFW más que por padrão vem desabilitado. De modo bem prático o serviço cria limite de banda tanto para usuários específicos ou para uma faixa de IP/grupo, ou seja, pode ser feito um escopo para disponibilizar a quem mais necessita deixando a banda com a disponibilidade na rede. As opções para configurações do QoS é a criação de perfil, no qual possui IP/grupo, máscara, disponibilidade de download, upload e cache de memória. 2.5.2 Firewall iptables Um importante serviço que será utilizado na rede da Router Engenharia entre outros disponíveis, destaca-se o redirecionamento e bloqueio de portas dado pelo filtro de pacotes utilizando iptables, que tem a função de filtrar todo o tráfego direcionado ao próprio Firewall ou rede, onde isola todos os pacotes emitidos por ele ou por sua rede. O Firewall iptables em toda distribuição Linux são agregados à própria arquitetura do Kernel14 via Netfilter15 , no BrazilFW não seria diferente, pois ele é um mini Linux e por isso possui o iptbles agregado em seu sistema. O iptables segundo (URUBATAN, 2004, p.25) “trata-se, na verdade, de uma ferramenta de Front-End para lhe permitir manipular as tabelas do Netfilter”. Tem como principais características a eficácia, veloz, econômico, dando ainda a possibilidade de implementação desde filtros de pacotes utilizando tabela Filter a NAT via tabela NAT, controles avançados com o de QoS sobre tráfego, suporte a SNAT e DNAT, redirecionamento de portas, mascaramento de conexões, monitoramento de tráfego, bloqueios e ataques Spoofing, pings da morte entre outros. O BrazilFW disponibiliza algumas regras como redirecionamento de portas no seu modo gráfico dado pelo painel WebAdmin. As regras adicionais deverão ser salva 13 QoS é a nomenclatura reduzida da qualidade de serviço. 14 Kernel é o núcleo do sistema e faz função de conectar o software ao hardware, estabelecendo uma comunicação eficaz entre os recursos do sistema. 15 Netfilter – software que faz a função de controle de fluxo interno.
  15. 15. 15 obrigatoriamente no arquivo dentro do sistema que faz essa função, o arquivo fica contido no diretório /etc/brazilfw/custom/rc.local. 2.5.3 Servidor proxy Para solucionar o problema de controle de acesso a internet na Router Engenharia é imprescindível o uso do proxy, também conhecido como filtro de conteúdo, que fica encarregado de filtra os tráfegos http e ftp da rede, agindo na camada 7, sendo personalizado bloqueios e acessos a sites autorizados pela empresa. Segundo (RICCI; MENDONÇA, 2006, p.1) “proxy refere-se a um software que atua como gateway de aplicação entre cliente o serviço a ser acessado, interpretando as requisições e repassando-as ao servidor de destino”. 2.5.3.1 Cache em disco A configuração do proxy no BrazilFW é feita pela configuração de cache em disco, e o serviço disponibilizado é o Squid que até o momento o único modo disponível é o transparente16 . Para habilitar e configurar o Squid no BFW é disponibilizado pelas alternativas: Configurações, Regras personalizadas, Domínios não cacheados, Informações e Registro de eventos. Em Configurações estão contidos os diretórios do cache, dos logs, dos relatórios, tamanhos dos caches na memória e no disco, tamanhos máximos do objeto na memória e no disco, detalhes do cache, filtro de conteúdo, repasse transparente, ocultar proxy e relatório. As regras podem ser feitas também de forma personalizadas, ou seja, criar um arquivo com as ACLs e regras como no arquivo original do Squid o squid.conf. Uma ótima ferramenta que também vem nativo no BrazilFW é o Dansguardian. “O Dansguardian é um filtro de conteúdo que se integra ao Squid para a filtragem de "material impróprio", segundo configuração padrão existente” (BRAZILFW, 2013), seus recursos são diversos como comparação de palavras, expressões regulares e substituição de palavras. O Dansguardian associado ao Squid faz com que o controle se torne de alto nível. Para habilitá-lo deve-se marcar filtro de pacotes contidos em cache em disco => configurações. 16 Modo transparente – recebe o nome de transparente por não necessitar ser configurado o proxy no browser do cliente.
  16. 16. 16 Os acessos de todo o tráfego da internet podem ser facilmente visualizados através de relatórios. O relatório é uma forma de controle e de certa forma serve como análise de acessos. Sua visualização é dada na ativação de relatório, contidos nas configurações de cache, tendo disponíveis dois módulos já instalados no sistema o FREE-AS e o Webalizer. 3 CONCLUSÃO Com a elaboração desse artigo pôde-se chegar à conclusão que através de um Firewall bem executado, acompanhado de várias medidas como politicas de segurança e outras mais contidas nas normas da segurança da informação, é possível ter uma rede segura. Após a aplicação dos estudos dos problemas de segurança expostos pela Router Engenharia foram observadas as mudanças que supriram com eficácia todas as necessidades com implementações de bloqueio de sites, autenticação de usuários, permissões de pastas ou arquivos, bloqueio de portas, criação de sub-rede, qualidade de serviços entre outros. Para o cumprimento a missão de uma solução de baixo custo, o BrazilFW demonstrou ser uma ferramenta muito poderosa, atendendo com eficácia os problemas aqui citados em redes de computadores de pequeno porte, disponibilizando diversos serviços e recursos indispensáveis para a segurança da informação, além dos aqui mostrados. Possui uma interface bastante amigável que facilita o seu suporte e implementação. Destaca-se ainda por ser um software livre totalmente gratuito e que pode ser instalado em computadores com pouco recurso de hardware.
  17. 17. 17 REFERÊNCIAS ASSOCIAÇÃO BRASILEIRAS DE NOSRMAS TÉCNICAS NBR 27002. Tecnologia da informação - Técnicas de segurança - Código de pratica para a gestão da segurança da informação. RJ; 2005. BRAZILFW. Disponível em: <http://www.brazilfw.com.br/forum/portal.php>. Acesso em: 24 Abr. 2013, 16:30:30. CARMONA, Tadeu. Universidade VBA. São Paulo; Digerati Books, 2006. CERT.BR. Disponível em: <http://www.cert.br/stats/>. Acesso em: 14 Mar. 2013, 12:20:30. COMER, Douglas E. Redes de computadores e internet. 4ª ed. SP: Bookman Companhia. 2007. FOROUZAN, Behrouz A. FEGAN, Sophia Chung. Protocolo TCP/IP. 3ª ed. Porto Alegre: Mcgraw-hill Interamericana. 2008. GOLVEIA, Daniel Costa. DNS - Um Guia para Administradores de Redes. RJ: Brasport. 2006. GONÇALVES, Luciano de Carvalho. Segurança de Redes. RJ: Ciência Moderna, 2005. JB LIVROS E CONCURSOS. Disponível em: <http://www.juliobattisti.com.br/artigos/windows/tcpip_p9.asp>. Acesso em: 17 Mai. 2013, 2:19:10. MARCELO, Antônio. Squid – Configurando o Proxy para Linux. 5ª Ed. RJ: Brasport. 2006. MIYAGUSKU, Renata. Informática para concursos públicos. SP: Universo dos livros, 2008. NASCIMENTO, André. A importância de um plano bem sucedido de continuidade de negócios. Universidade Candido Mendes, RJ. 2010. RICCI, Bruno; MENDONÇA, Nelson. SQUID solução definitiva. RJ: Ciência Moderna. 2006. TELECO. Disponível em:<http://www.teleco.com.br/tutoriais/tutorialQoS/pagina_1.asp>. Acesso em: 21 Mai. 2013, 2:36:40. URUBATAN, Neto. Dominando Linux Firewall Iptables. RJ: Ciência Moderna. 2004.

×