Your SlideShare is downloading. ×
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Estudo do ip cop como firewall de aplicação
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Estudo do ip cop como firewall de aplicação

1,014

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,014
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
58
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. CENTRO UNIVERSITÁRIO DA FUNDAÇÃO EDUCACIONAL DE BARRETOS UNIFEB ESTUDO DO IPCOP COMO FIREWALL DE APLICAÇÃO DOUGLAS MARRA DA COSTA RAFAEL APARECIDO DE LIMA Orientador Prof. Fábio Fernando da Silva BARRETOS 2010
  • 2. TRABALHO DE CONCLUSÃO DE CURSO Estudo do IPCop como firewall de aplicação Douglas Marra da Costa Rafael Aparecido de Lima Trabalho de Conclusão de Curso apresentado à UNIFEB – Centro Universitário da Fundação Educacional de Barretos, sob a orientação do Prof. Fábio Fernando da Silva para obtenção do título de Bacharel em Sistemas de Informação. Barretos 2010
  • 3. Costa, Douglas Marra, Lima, Rafael AparecidoEstudo do IPCop como firewall de aplicação.Douglas Marra da Costa e Rafael Aparecido deLima. Barretos: UNIFEB, 2010.Número de páginas f. 63, 29,7 cmTrabalho de Conclusão de Curso de Sistemas deInformação – Centro Universitário da FundaçãoEducacional de Barretos, Barretos, 2010.Bibliografia: f. 611. IPCop 2. Firewall 3. Segurança
  • 4. Trabalho de Conclusão de Curso elaborado por: Douglas Marra da Costa Rafael Aparecido de LimaAprovado pela Banca Examinadora, aceito pela UNIFEB – Centro Universitário da FundaçãoEducacional de Barretos e homologado como requisito parcial à obtenção do título de Bacharel emSistemas de Informação.Nota atribuída pela Banca Examinadora:_________Data:_____/_____/_____Membros da Banca Examinadora:Nome:________________________________ Assinatura:____________________________Nome:________________________________ Assinatura:____________________________Nome:________________________________Assinatura: ____________________________
  • 5. DEDICATÓRIA Dedico esse trabalho a meu Pai, Adilson e minha mãe Gilcinei, por terem apoiado todasminhas decisões e escolhas, certas ou erradas. Obrigado por acreditarem nesse filho que os amatanto. Dedico à minha namorada Isadora pela compreensão, dedicação e apoio desde o início docurso de Sistemas de informação, foram muito importantes. Douglas Marra da Costa Dedico esse trabalho a minha mãe Ana meu Pai Paulo, meus irmãos e todos meus amigos,colegas e professores. Rafael Aparecido de Lima Dedicamos a todos os nossos amigos que nos acompanharam nessa jornada de quatro anos.Não esqueceremos de todos os momentos que passamos juntos. Douglas e Rafael
  • 6. AGRADECIMENTOS Nossos sinceros agradecimentos: Ao professores Fábio Fernando da Silva pela orientação e incentivo durante a realizaçãodeste trabalho, e ao professor Kleber Sartório pela coordenação geral dos Trabalhos de conclusão decurso da 5° turma de Sistemas de Informação da UNIFEB. E a todos os amigos do curso e professores em geral que contribuíram direta ou indiretamentepara a realização deste trabalho. 4
  • 7. RESUMOA globalização trouxe grandes inovações tecnológicas e o amadurecimento da informática fez comque computadores, antes ilhas isoladas, pudessem se comunicar através de redes mundiais. Muitosbenefícios e problemas vieram com essa evolução tecnológica, e a seguinte questão surgiu: Comomanter a segurança em uma rede privada, enquanto utilizamos a maior rede mundial decomputadores, a Internet? É uma questão complexa e para solucionar problemas complexos,devemos dividi-los em partes. Esse trabalho mostra como solucionar os desafios que as empresasencontram para controlar o tráfego desnecessário da rede, gerado por aplicações como MSNMessenger e outros comunicadores instantâneos, Emule e tantos outros softwares P2P (peer-to-peer).O IPCop será a ferramenta utilizada, no qual demonstraremos a instalação e configuração dosmódulos específicos para controle de tráfego das aplicações citadas.Palavras Chave: Comunicadores instantâneos, Firewall, IPCop. 5
  • 8. ABSTRACTThe globalization has brought significant technological innovations and the maturation of computinghas made computers before, isolated islands, could communicate through global networks. Manybenefits and problems that come with technological developments and the following question arose:How keep the security on a private network, while we use the world´s largest network of computers,the Internet? It‘s a complex question and to solve complex problems, we should divide it into parts.This work show how to solve the challenges that companies find to control the unnecessary networktraffic generated by applications like Msn messenger and others IM Client‘s, and many othersoftware Emule P2P (peer-to-peer). The IPCop will be the tool used, which we demonstrate theinstallation and configuration of specific addons for traffic control applications cited.Keywords: Firewall, Instantaneous Messenger ,IPCop. 6
  • 9. SUMÁRIOINTRODUCÃO .................................................................................................................................. 11CAPITULO 1 – OBJETIVOS DESTE TRABALHO .................................................................... 13 1.1 Objetivos .......................................................................................................................... 13 1.2 Metodologia do Trabalho ................................................................................................. 13CAPITULO 2 REFERENCIAL TEÓRICO ................................................................................... 14 2.1 Protocolos......................................................................................................................... 14 2.2 Modelo OSI ...................................................................................................................... 14 2.3 Modelo TCP/IP ................................................................................................................ 17 2.4 O TCP .............................................................................................................................. 20 2.5 O UDP .............................................................................................................................. 21 2.6 O IP .................................................................................................................................. 21 2.7 O ICMP ............................................................................................................................ 21 2.8 Firewall ............................................................................................................................ 22 2.9 Termos Utilizados ............................................................................................................ 24 2.10 Tipos de Firewall ............................................................................................................. 26 2.11 Arquiteturas de Firewall................................................................................................... 28 2.12 IPCop ............................................................................................................................... 30 2.13 IPCop: Interfaces de Rede................................................................................................ 31 2.13.1.1 Interface Verde................................................................................................... 31 2.13.1.2 Interface Vermelha............................................................................................. 32 2.13.1.3 Interface Laranja ................................................................................................ 32 2.13.1.4 Interface Azul..................................................................................................... 33CAPITULO 3 Desenvolvimento .................................................................................................... 34 3.1 Configuração básica do IPCop ......................................................................................... 34 3.2 Obtenção de pacotes e softwares adicionais .................................................................... 38 3.3 O que é URLfilter ? .......................................................................................................... 39 3.4 O que é P2PBlock ? ......................................................................................................... 39 3.5 O que é L7Block ? ........................................................................................................... 40 3.6 Acesso SSH com o Putty ................................................................................................. 40 3.7 Envio de arquivos com Winscp ....................................................................................... 42 3.8 Descompactar pacotes ...................................................................................................... 45 3.9 Instalação do Url filter ..................................................................................................... 46 3.10 Instalação do P2PBlock ................................................................................................... 46 3.11 Instalação do L7Blocker .................................................................................................. 47 3.12 Configuração do P2PBlock .............................................................................................. 47 3.13 Configuração do L7Blocker ............................................................................................. 50 3.14 Configuração do Urlfilter ................................................................................................. 55CONCLUSÃO .................................................................................................................................... 59REFERÊNCIAS BIBLIOGRAFICAS ................................................................................................ 60 7
  • 10. LISTA DE FIGURASFigura 1 – Firewall .............................................................................................................................. 23Figura 2 - Arquitetura Screening router .............................................................................................. 28Figura 3 - Arquitetura Dual-homed Host ............................................................................................ 29Figura 4 - Arquitetura Screened Host ................................................................................................. 29Figura 5 - Arquitetura Screened Subnet .............................................................................................. 30Figura 6 - Topologia IPCop ................................................................................................................ 33Figura 7 - interface IPCop................................................................................................................... 34Figura 8 - Primeiro acesso .................................................................................................................. 35Figura 9 - Mudando de idioma............................................................................................................ 35Figura 10 - IPCop Updates ................................................................................................................. 36Figura 11 - IPCop Update Error.......................................................................................................... 37Figura 12 - Update .............................................................................................................................. 37Figura 13 - IPCop ssh ......................................................................................................................... 38Figura 14 - IPCop P2P Block.............................................................................................................. 40Figura 15 - Putty ................................................................................................................................. 41Figura 16 - Putty Securty Alert ........................................................................................................... 41Figura 17 - Putty Login ....................................................................................................................... 42Figura 18 – WinSCP Login ............................................................................................................... 43Figura 19 - WinSCP Transferência de arquivos ................................................................................. 43Figura 20 - WinSCP Arquivos transferidos ........................................................................................ 44Figura 21 - WinSCP L7-Protocolos .................................................................................................... 44Figura 22 – P2PBlocker ...................................................................................................................... 47Figura 23 - eMule conectado .............................................................................................................. 48Figura 24 – Bloqueio com P2PBlocker .............................................................................................. 48Figura 25 - P2PBlocker apply settings ................................................................................................ 49Figura 26 - Emule conexão bloqueada ................................................................................................ 49Figura 27 – Log de bloqueio (Layer7 edonkey) ................................................................................. 50Figura 28 - L7Blocker ......................................................................................................................... 50Figura 29 – MSN Messenger .............................................................................................................. 51Figura 30 - L7Blocker create group .................................................................................................... 51Figura 31 - L7Blocker create rules ..................................................................................................... 52Figura 32 - L7Blocker MSN-filetransfer ............................................................................................ 52Figura 33 - L7Blocker Bloqueio de MSN s ........................................................................................ 53Figura 34 - L7 is not running .............................................................................................................. 53Figura 35 - L7 Running....................................................................................................................... 54Figura 36 - Falha na conexão MSN .................................................................................................... 54Figura 37 - Log bloqueio MSN Messenger ........................................................................................ 54Figura 38 - URLFilter – fonte: Autores .............................................................................................. 55Figura 39 - URLFilter Block categories ............................................................................................. 55Figura 40 - URLFilter Blacklist update .............................................................................................. 56Figura 41 - URLFilter Categories ....................................................................................................... 56Figura 42 - URLFilter Categories ....................................................................................................... 57 8
  • 11. Figura 43 - URLFilter configurações .................................................................................................. 57Figura 44 - Urlfilter Expressão regular ............................................................................................... 58Figura 45 - bloqueio Orkut.com.......................................................................................................... 58 9
  • 12. LISTA DE TABELASTabela 1 - Modelo OSI – ................................................................................................................... 15Tabela 2 - Modelo TCP/IP – ............................................................................................................... 19Tabela 3 - Comparativo Modelo OSI e TCP/IP – ............................................................................... 20 10
  • 13. INTRODUCÃO A globalização ocorre em todos os aspectos do nosso cotidiano, não sendo diferente nomundo computacional. Tanenbaum (2003) apontou que apesar da indústria de informática ainda serjovem, foi simplesmente espetacular o progresso que os computadores conheceram em tão poucotempo. Todo esse progresso tecnológico nos deu a liberdade de buscar e compartilhar conhecimentodentro de uma rede mundial, de acessar informações em servidores espalhados pelo mundo, de ligarredes privadas a outras conforme nossas necessidades. Porém como o mundo, a Internet não ésegura. Com o surgimento de novos produtos e serviços de TI (Tecnologia da Informação), novosdesafios e riscos também surgiram. Políticas de segurança da informação tiveram que ser revistas emuitas empresas encontraram obstáculos para controlar a disseminação da informação através deseus colaboradores. Esses colaboradores devem ser orientados quanto ao bom uso de recursos darede e de políticas de acesso à internet para fins pessoais, emails, compartilhamento de arquivos eoutros recursos. Como diz Mitnick (2003), ―o elo mais fraco da segurança da informação são aspessoas‖. Laudon (2004) definiu a informação como um conjunto de dados representados de umaforma útil e significativa para as pessoas. A informação é poder, sendo necessário manter umaforma de controle sobre ela. O aumento do fluxo de informações entre empresas, organizações egovernos fez com que a percepção para o controle da informação, tornasse essencial para aexcelência do gerenciamento das mesmas. Podemos notar que muitos usuários são obcecados porrelacionamentos instantâneos com outras pessoas, internas ou externas a organização. Estes mesmosusuários, sempre estão em busca de burlar a segurança (mesmo inconscientemente) criada paraimpedir esse tipo de utilização da rede corporativa, fazendo com que o rendimento, a produtividade ea segurança dos dados do colaborador diminuam, e, por conseguinte a segurança da organizaçãocomo um todo. Por muitas vezes o usuário nem tem idéia do mal que pode estar fazendo. A divulgação de informações confidenciais de determinada empresa sobre seus clientes ounovos produtos em desenvolvimento podem causar prejuízos imensuráveis a mesma. A forma maiscorreta de proteger uma rede privada seria com o isolamento físico da estrutura, assim nenhumindivíduo externo conseguiria acesso sem ter contato com a estrutura física da organização. Porémcom o crescimento da rede mundial de computadores, e a necessidade de conexões entre pontosdistantes, esse isolamento tornou-se praticamente impossível. 11
  • 14. Nesse cenário, fez-se necessário algo que pudesse prover uma análise e controle sobre tudoque entrasse e saísse da rede. Ferramentas como essas são chamadas de firewalls, um conceito dedispositivo presente na borda da rede por onde todos os dados que entram e saem da mesma, deverãoser analisados, a fim de manter a rede interna segura de ameaças externas. Cada pacote é tratado deacordo com as regras do firewall, resultando em pacotes permitidos ou rejeitados. Um firewall é concebido por software, hardware ou ambos e sua maior função é o controlede tráfego indesejado em uma rede interna. No mercado há firewalls de todos os tipos e preços, mas quando uma empresa pretendecomprar um produto ou serviço, ela analisa vários aspectos como custo/benefício, manutenção etreinamentos para os colaboradores responsáveis para administrar o produto. Esse trabalho aborda o IPCop, uma distribuição Linux que possui ferramentas de um firewallmoderno, customizável e de fácil utilização. Ideal para empresas com estruturas de redes de pequenoe médio porte, além de ser gratuito. O objetivo principal é documentar os procedimentos de configurações do IPCop paracontrole e bloqueio de comunicadores instantâneos e softwares P2P (peer-to-peer), como: MSNMessenger, Skype, Bittorrent, Emule, Kazaa, Ares além de jogos e outros. Qualquer administrador de redes ou outra pessoa com um mínimo de treinamento poderáutilizar a ferramenta para criar filtros de controle de tráfego. 12
  • 15. CAPITULO 1 – OBJETIVOS DESTE TRABALHO1.1 Objetivos Este trabalho tem como objetivo aplicar e analisar o resultado da configuração de políticas debloqueio em um ambiente de teste, utilizando uma distribuição linux GNU GPL (General PublicLicense - Licença Pública Geral) com ferramentas específicas para firewall, conhecida como IPCop.1.2 Metodologia do Trabalho A metodologia utilizada neste trabalho foi a de pesquisa experimental, envolvendo instalaçãoe configuração de módulos (addons) na distribuição Linux IPCOP 1.4.21, objetivando prover umasolução customizada de um firewall SOHO (Small Office/HomeOffice). Conforme Gil (1999), esta modalidade de pesquisa tem a finalidade básica de desenvolver,esclarecer e modificar conceitos e idéias para a formulação de abordagens posteriores. Dessa formaesse trabalho visa dar aos pesquisadores e profissionais da área, maior suporte para que sejamelaboradas políticas de bloqueio realistas e consistentes em um ambiente organizacional. Durante o desenvolvimento do trabalho foram seguidas as seguintes etapas:  Escolha dos softwares a serem utilizados e testados.  Levantamento e análise da documentação dos softwares envolvidos.  Instalação, customização e configuração.  Testes das políticas de segurança.  Análise dos resultados obtidos. 13
  • 16. CAPITULO 2 REFERENCIAL TEÓRICO2.1 Protocolos2.2 Modelo OSI Para podermos abordar o tema firewall, há a necessidade de aprofundarmos melhor osconceitos básicos do funcionamento de uma rede de computadores, para isso iremos abordar deforma básica os conceitos dos modelos de referência OSI e TCP/IP, e depois protocolos decomunicação como TCP e de encapsulamento como o IP. Segundo afirma Gheorghe (2006) em 1984, a ISO (International Organization forStandardization) lançou o modelo de referência OSI (Interconexão de Sistemas Abertos) que é umconjunto bem definido de especificações que se tornaram o primeiro passo em direção apadronização internacional dos protocolos empregados nas diversas camadas. A criação do modeloOSI veio com o intuito de garantir que os mais diversos tipos de redes existentes no mundoseguissem um único padrão. O modelo seria a garantia de uma maior compatibilidade nacomunicação dessas redes. Durante a construção desse padrão, o conceito de comunicação dentro deuma rede foi dividido em sete camadas, cada camada presente no modelo oferece suporte à camadaacima dela, passando as informações necessárias para que haja uma continuação do processo decomunicação. Essas informações são passadas através de um processo chamado encapsulamento.Gheorghe (2006) afirma que as informações contidas em uma camada geralmente têm cabeçalhos erodapés e dados encapsulados de uma camada superior. Durante a transmissão de um dado de umacamada para outra, a camada emissora depositará suas informações nesse encapsulamento, e opassará à próxima camada, o processo continua até a real transmissão dos dados pela camada física.O processo é inverso no caso de recebimento de dados. 14
  • 17. A seguir temos a representação do Modelo OSI: Modelo OSI Aplicação Apresentação Sessão Transporte Rede Enlace de dados Física Tabela 1 - Modelo OSI – Fonte: Autores Como Tanembaum (2003) citou o modelo OSI não pode ser considerado uma arquitetura derede, pois o mesmo não especifica quais os protocolos e serviços exatos que devem ser usados emcada camada. A seguir uma breve explicação sobre cada camada do Modelo OSI:  Camada Física Conforme afirmação de Gheorge (2006) quando pensamos na camada física devemos pensarem ―cabos e conectores‖, é a camada física que controla toda a parte mecânica e elétrica dacomunicação.  Camada de Enlace de dados A camada de enlace é a responsável pelo controle de fluxo de bits entre os transmissores darede. Segundo Tanenbaum (2003) sua principal funcionalidade é a de criar um canal de comunicaçãolivre de erros entre os dispositivos da rede, orientando-se pelo número MAC (Media AccessControl); do mesmo. É aqui que a topologia da rede é descoberta.  Camada de rede Tanenbaum (2003) aponta que uma questão fundamental em um projeto de redes é definircomo os pacotes serão roteados da origem até o destino. É na camada de rede que as rotas e o 15
  • 18. controle do fluxo dos dados são estabelecidos. Gheorhe (2006) cita que quando pensamos na camadade redes devemos pensar em ―rotas‖.  Camada de transporte Os protocolos presentes na camada de transporte são responsáveis por prover um controle navelocidade da transmissão dos dados, esse controle é chamado de controle de fluxo. SegundoTanembaum (2003) todo esse controle deve ser dado de forma que as camadas superiores fiquemisoladas das inevitáveis mudanças de tecnologia de hardware.  Camada de Sessão De acordo com Tanembaum (2003), a camada de sessão permite que os usuários dediferentes máquinas estabeleçam sessões entre eles; ela é a camada responsável por iniciar, gerenciare terminar a conexão entre hospedeiros (hosts) de uma rede.  Camada de Apresentação Duas redes distintas podem se comunicar usando tipos de dados diferentes, nessacomunicação existe a necessidade de algo que traduza os protocolos e dados utilizados nacomunicação. Tanenbaum(2003) aponta que a camada de apresentação gerencia essas estruturas dedados abstratos e permite a definição e o intercâmbio de estruturas de dados de nível mais alto (porexemplo, registros bancários). Basicamente ela converte o dado recebido da camada de aplicação econverte esse dado em um formato comum para a transmissão do mesmo.  Camada de Aplicação Tanenbaum (2003) aponta que a camada de aplicação contém uma série de protocoloscomumente necessários para os usuários, o HTTP (Hyper Text Transfer Protocol), por exemplo, queconstitui a base para a World Wide Web. Essa é a camada mais ―próxima‖ do usuário, a camada deaplicação fornece serviços a ele na entrega dos dados, ela cria uma interface entre o protocolo de 16
  • 19. comunicação e o aplicativo que requisitou algum tipo de serviço. Basicamente, a camada deaplicação é a responsável por fazer a interação dos softwares usados e o usuário.2.3 Modelo TCP/IP No auge da guerra fria, fim da década de 50, o sistema de comunicação do Departamento dedefesa dos EUA passava todo pela rede pública de telefonia, considerada extremamente vulnerável.As centrais de comutação eram conectadas de forma hierárquica, e essa era sua grandevulnerabilidade, já que se alguma dessas centrais parasse isso fragmentaria o sistema em várias ilhasisoladas. Na década de 60 o departamento de defesa firmou contrato com a RAND corporation, a fimde encontrar uma solução. Um funcionário da RAND, Paul Baran criou um projeto onde apresentavauma nova topologia e a idéia do uso de comutação de pacotes em todo o sistema, onde odepartamento de defesa gostou do projeto, e pediu para a AT&T detentora do monopólio detelecomunicação na época para desenvolver um projeto baseado nas idéias de Baran. Porém a AT&Tdescartou o projeto, que segundo Tanenbaum (2003) a maior e mais rica corporação do mundo nãopodia permitir que um jovem pretensioso lhe ensinasse a criar um sistema telefônico. E assim osistema de Baran foi desacreditado. Em 1957, a então União soviética saiu na frente dos EUA na corrida espacial, lançando oprimeiro satélite artificial no espaço. Quando foi procurar um culpado o Presidente Eisenhowerdescobriu que havia uma disputa interna entre o Exército, a Marinha e a Força Aérea pelo orçamentode pesquisa do Pentágono. Sua atitude foi criar a ARPA, ou Advanced Research Projects Agency(Agencia de pesquisa de projetos avançados) que passou a custear projetos promissores. Em 1967 o diretor da ARPA Larry Roberts, voltou sua atenção para as redes decomputadores. Em contato com diversos pesquisadores Larry conheceu Wesly Clarck, que sugeriu acriação de uma sub-rede comutada por pacotes. Mesmo reticente Roberts comprou a idéia e aapresentou em um simpósio em Gatlinburg, Tennessee, no final de 1967. Para sua surpresa, Robertsencontrou outro documento na conferência que apresentava um sistema semelhante que já havia sidoimplantado sob a orientação de Donald Davies no Laboratório de física nacional da Inglaterra.Documento esse que havia sido baseado no trabalho descartado de Baran, e que mostrava que a 17
  • 20. comutação de pacotes era viável. Segundo Tanenbuam (2003) Roberts saiu da conferênciadeterminado a construir o que mais tarde ficou conhecido como ARPANET. O principio da ARPANET consistia em minicomputadores chamados IMPs (InterfaceMessage Processors — Processadores de Mensagens de Interface) conectados por linhas detransmissão de 56 kbps. Tanenbaum (2003) aponta que para garantir sua confiabilidade, a sub-redetinha de ser uma sub-rede de datagramas, de modo que, se algumas linhas e alguns IMPs fossemdestruídos, as mensagens pudessem ser roteadas automaticamente por caminhos alternativos. Em dezembro de 1969 entrou no ar uma rede experimental com quatro nós (UCLA, UCSB,SRI e University of Utah) que foram escolhidos por já terem um grande numero de IMPs ligados aARPANET e por serem redes diferentes e incompatíveis, o que aumentava o desafio. Em três anos aARPANET já se estendia por todo território norte americano. Tanenbaum (2003) afirma que essa experiência serviu para demonstrar que os protocolos daARPANET não eram adequados para execução em várias redes. O que levou a mais pesquisas sobreprotocolos, culminando com a invenção dos protocolos e do modelo TCP/IP. Para estimular o usodesses protocolos a ARPA ofereceu diversos contratos à Universidade da Califórnia, Berkeley, paraintegrá-los ao seu sistema UNIX. Segundo Tanenbaum (2003) durante esse período os pesquisadoresda Califórnia desenvolveram muitos programas e aplicativos para a interligação de redes. Durante a década de 80, muitas novas redes foram ligadas a ARPANET, esse crescimentotornou mais dispendioso a localização de computadores presentes na rede, o que deu origem ao DNS(Domain Naming System), que segundo Tanenbuam (2003) tinha o objetivo de organizar asmáquinas em domínios, e mapear nomes de hosts em endereços IP. Tanenbaum (2003) aponta que o número de redes, máquinas e usuários conectados àARPANET cresceu rapidamente depois que o TCP/IP se tornou o único protocolo oficial, em 1º dejaneiro de 1983. Conforme afirma Dempster e Eaton-lee (2006), o TCP/IP é um conjunto de protocolosoriginalmente desenvolvido em camadas para uso na ARPANET, juntamente com outras normassobre as quais o TCP/IP é implementado, como a 802.3 ou Ethernet. O modelo TCP/IP ganhou umarápida notoriedade devido também ao fato de ser uma arquitetura de rede aberta, e assim como omodelo OSI o modelo TCP/IP foi concebido em camadas. Era necessário uma arquitetura flexível,capaz de se adaptar a aplicações com requisitos divergentes como, por exemplo, a transferência dearquivos e a transmissão de dados de voz em tempo real (TANENBAUM, 2003). 18
  • 21. A seguir uma representação do Modelo TCP/IP: Modelo TCP/IP Aplicação Transporte Inter-redes Host Rede Tabela 2 - Modelo TCP/IP – Fonte: Autores  Camada Host Rede Os Protocolos da camada Host Rede mapeiam endereços IP para endereços de hardware eencapsulam pacotes IP em quadros (GHEORGHE, 2006). Sua principal tarefa é transformar osdatagramas IP em quadros de bits que serão enviados ao hospedeiro de destino.  A camada Inter-redes Como aponta Tanenbaum (2003) pode-se dizer que essa camada tem funções muito parecidascom a camada de redes do modelo OSI, aqui é feito o controle do fluxo, de erros, e o roteamentopara a entrega de pacotes.  A camada de Transporte Ela desempenha o papel fundamental de fornecer serviços de comunicação diretamente aosprocessos de aplicação que rodam em hospedeiros diferentes (KUROSE; ROSS, 2006). Tanenbaum(2003) aponta que a principal finalidade dessa camada, é manter uma conversação entre oshospedeiros de destino e origem, assim como no modelo OSI. 19
  • 22.  A camada de Aplicação É aqui que residem protocolos como HTTP (Hypertext Transfer Protocol), FTP (FileTransfer Protocol), SMTP (Simple Mail Transfer Protocol), SSH (Secure Shell), DNS (DomainName System), todos eles servem para tornar essa camada mais ―próxima‖ do usuário, é ela que faza primeira ligação entre o que o usuário deseja e o todo o resto do trabalho invisível a ele.A seguir um comparativo entre os modelos OSI e TCP/IP: Modelo OSI Modelo TCP/IP Aplicação Apresentação Aplicação Sessão Transporte Transporte Rede Inter-redes Enlace de dados Host Rede Física Tabela 3 - Comparativo Modelo OSI e TCP/IP – Fonte: Autores2.4 O TCP O TCP (Transmission Control Protocol) é um protocolo presente na camada de transporte domodelo OSI e do modelo TCP/IP, ele tem como principal função promover uma comunicação segurae de baixo custo entre os hospedeiros. Tanembaum (2003) afirma que o TCP foi projetadoespecificamente para oferecer um fluxo de bytes fim a fim confiável em uma inter-rede nãoconfiável. Ele é um protocolo orientado a conexão, o que lhe permite dar garantias de entrega dospacotes de comunicação, ele utiliza-se do protocolo IP para a entrega dos dados, e que segundo Stato(2009) as características do TCP são:  Comunicação Fim-a-Fim;  Multiplexação;  Controle de Fluxo;  Confiabilidade. 20
  • 23. 2.5 O UDP O protocolo UDP (User Datagram Protocol) é um protocolo presente na camada detransporte dos modelos OSI e TCP/IP, ele ao contrario do TCP não é orientado a conexão, os dadosnão carregam referências de reordenação ou recuperação, e nos soquetes (sockets) apenas o númerodo hospedeiro de destino é inserido. De acordo com Kurose e Ross (2006), socket é a interface entrea camada de aplicação e a de transporte dentro de uma máquina. Segundo afirma Stato (2009) caso haja necessidade de recuperação de dados, normalmente éimplementada na camada de aplicação. A falta de necessidade de confirmação para que haja acomunicação torna esse protocolo útil para aplicações de tempo real.2.6 O IP O protocolo IP (Internet Protocol – Procolo de Internet) se encontra na camada de redes,sendo um protocolo de comunicação sem garantia de entrega, ele é um dos protocolos maisimportantes da internet, elaborando o pacote de dados a ser transmitido mais conhecido comodatagrama. Conforme Tanenbaum (2003) aponta, na Internet, cada hospedeiro e cada roteador temum endereço IP que codifica seu número de rede e seu número de hospedeiro. A combinação éexclusiva: em princípio, duas máquinas na Internet nunca têm o mesmo endereço IP.2.7 O ICMP O Protcolo ICMP (Internet Control Message Protocol) é um protocolo que reside dentro deum datagrama IP, sua tarefa é ajudar o IP na administração e controle do fluxo do mesmo,auxilinado-o e gerando relatórios de erros e trocando informações de estado e controle. Kurose eRoss (2006) afirmam que o ICMP é usado por hospedeiros e roteadores para comunicar informaçõesde camada de rede entre sí. Segundo Tanenbaum (2003) quando um erro ou algo inesperado ocorre,é o ICMP quem tem a responsabilidade de informar isso aos envolvidos na comunicação. 21
  • 24. 2.8 Firewall Muitas empresas mantêm grandes quantidades de informações confidenciais guardadas emservidores pelo mundo, segredos comerciais, planos de desenvolvimento de produtos, estratégias demarketing, análises financeiras, entre outros. A divulgação dessas informações para um concorrentepoderia causar impactos negativos para a organização. Conforme McCumber, (1991 apud KUROSE, ROSS, 2006) a confidencialidade,autenticidade, integridade e não-repudiação de mensagem vêm sendo considerados componentesfundamentais da comunicação segura há bastante tempo. Para tentar alcançar a segurança destes três componentes citados acima, firewalls sãoutilizados nas estruturas das redes. Os firewalls tornaram-se componentes comuns em redes, desde pequenas redes residenciaisaté as pertencentes às maiores empresas do mundo (KUROSE, ROSS, 2006). Podem serimplementados através de um roteador, um PC (personal computer) com software especial, umsistema com esta capacidade ou um conjunto de hospedeiros, todos configurados especificamentepara proteger um site ou uma sub-rede de protocolos e serviços não confiáveis (SILVA,FRANKLIN, 1997). Atualmente o termo firewall é amplamente difundido na área de tecnologia da informação,porém o mesmo surgiu na construção civil, como paredes de proteção contra o fogo, projetados paraficarem entre casas e edifícios. Em segurança da informação, segundo Zwicky, Cooper e Chapman(2000), na prática, um firewall é mais parecido com um fosso de um castelo medieval do que umaparede em um edifício moderno. O firewall designa uma medida de segurança implementada com o objetivo de limitar ouimpedir o acesso de terceiros a uma determinada rede ligada à Internet (NUNES, 2007). De acordo com Kurose e Ross (2006) em uma rede de computadores, quando o tráfego entrae saí de uma rede e passa por inspeção de segurança, é registrado, descartado, ou transmitido, essedispositivo é denominado como firewall. Basicamente um firewall é usado para proteger e assegurarque o tráfego da rede está sendo transmitido e recebido por caminhos seguros, impedindo assim ainterceptação dos pacotes de dados por indivíduos sem autorização. 22
  • 25. É como um barreira que impõe limites e controla todo o tráfego de dados entre um ou maiscomputadores e uma rede externa, onde essa rede externa pode ser por exemplo a Internet, ou umarede vizinha dentro de um prédio. Conforme aponta Cheswick e Bellovin (1997) um Firewall é composto por uma coleção decomponentes localizados entre duas redes que coletivamente possuem as seguintes caracteristicas:  Todo tráfego de dentro para fora e de fora para dentro deve passar pelo Firewall;  Somente o tráfego autorizado, de acordo com alguma política de segurança local, poderá passar;  Supõe-se que o firewall propriamente dito é imune de invasões. Figura 1 – Firewall – Fonte: Autores Os Firewalls são componentes comuns em pequenas e grandes empresas nos dias atuais enormalmente são implementados no gateway, nas interconexões de rede, ou seja, onde o tráfego éconstante, isso garante que todo o tráfego da rede passará pelo firewall, como aponta Loanidis (2000 23
  • 26. apud KUROSE; ROSS, 2006) localizar o firewall em um único ponto de acesso à rede facilita aadministração e a imposição de uma política de segurança de acesso. Conforme aponta Stato (2006) podemos ter dois tipos de políticas de Firewall:  Default Permit (Permitir por padrão)  Default Deny (Negar por padrão) Na política Default permit (Permitir por padrão) é criado um conjunto de condições,especificando quais são os protocolos e hosts que deverão ser bloqueados pelo Firewall, o que nãose encaixar nessas regras terão o acesso à rede permitida. Já na Política Default deny (Negar por padrão) são definidas no Firewall regras para osprotocolos e hosts que devem ter acesso livre a rede, qualquer protocolo ou host que não estejadefinido será bloqueado. Essas políticas podem ser aplicadas sobre toda a rede ou somente sobre alguns protocolos ouserviços. Um exemplo são protocolos criptografados como o https. Usado em transmissões segurascomo páginas de e-mail ou serviços on-line, por ser um protocolo criptografado o firewall nãoconsegue analisar seus pacotes. Isso pode ser um problema, o eMule por exemplo software P2Pusado como exemplo nesse trabalho carrega em sí uma opção chamada ―Protocol Obfuscation‖ queusa https para criptografar o tráfego do mesmo. Nesse caso deve ser aplicada uma política de defaultdeny sobre esses protocolos criptografados e uma white list deve ser criada para as exceções, ou sejauma lista dos sites que segundo as políticas da empresa, os colaboradores podem ter acesso.2.9 Termos Utilizados Alguns termos são corriqueiros quando o assunto é firewall, alguns são bastante conhecidos eoutros são confundidos. As definições a seguir são para o contexto de firewalls em geral, de acordocom a obra de Zwicky, Cooper e Chapman (2000) são elas: ● Firewall: um componente ou conjunto de componentes que restringem o acesso entre uma rede protegida e a internet, ou entre outros conjuntos de redes. ● Host ou Hospedeiro: um sistema de computador conectado a uma rede. ● Bastion Host: um sistema de computador que deve ser altamente seguro, pois é vulnerável a ataques, geralmente porque é exposto à internet e é o ponto principal de contato para os usuários das redes internas. Segundo Ranum (1995 apud Zwicky et al. 2000),―bastions são 24
  • 27. àreas críticas de defesa, geralmente apresentando paredes fortes, salas para tropas extras, e o ocasional útil repositório de óleo quente para desencorajar os atacantes.‖● Dual-homed host: em geral, um sistema de computador que possuí duas interfaces de rede.● Network Address Translation (NAT): é um processo pelo qual um roteador pode realizar mudanças no campo endereço dos pacotes que passam por ele. Permitindo assim que os hospedeiros de uma rede interna fiquem ocultos e garantindo que vários hospedeiros com IP´s não válidos possam acessar a internet. Realmente não é uma técnica de segurança, embora possa fornecer uma pequena quantidade de segurança adicional e geralmente é executado no mesmo roteador que faz parte do firewall.● Pacotes (Packets): a unidade fundamental de comunicação entre hospedeiros e redes.● Proxy: De acordo com o dicionário Michaelis (http://michaelis.uol.com.br/), a palavra proxy em sua terceira definição significa substituto, representante. O proxy Recebe solicitações do cliente e faz as verificações a fim de conferir se o mesmo tem permissão de acesso a um determinado serviço, em caso de confirmação, o proxy então fará a conexão com o servidor real.● Filtro de pacotes (Packet Filtering): É a ação de um dispositivo necessário para controlar seletivamente o fluxo de dados de uma rede para outra. Os filtros de pacotes permitem bloquear pacotes utilizando um conjunto de regras através de determinado endereço ip, porta ou tipo de pacote. Essa filtragem de pacotes pode ocorrer em um roteador ou em algum hospedeiro individual. Às vezes, conhecidos como screening ou triagem de pacotes.● Rede de perimetro (Perimeter Network): Uma rede inserida entre uma rede protegida e uma rede externa, a fim de proporcionar uma camada adicional de segurança. Uma rede de perímetro é às vezes chamada de DMZ, que significa De-Militarized Zone (nomeado após a zona de separação da Coréia do Norte e Coréia do Sul).● Virtual Private Network (VPN): Uma rede que permite conectar duas redes através de uma rede pública, sem que isso seja óbvio para os hospedeiros das redes internas. Em geral, VPNs utilizam criptografia para proteger os pacotes que passam através da rede pública. Soluções de VPN são populares porque muitas vezes é mais barato para conectar duas redes através de rede públicas do que através de redes privadas (como as conexões tradicionais de linhas alugadas). 25
  • 28. 2.10 Tipos de Firewall Diferentes situações requerem diferentes tipos de abordagem, e trabalhar com firewalls não édiferente, pois diferentes tipos de ameaças requerem diferentes formas de defesa. Abaixo, citaremosalguns tipos de firewall como: filtro de pacotes, servidores proxy / gateways de aplicação egateways de circuito. Filtro de pacotes (Packet Filters): Uma organização normalmente irá precisar de um roteadorque a conecte com seu provedor ISP (Internet service provider – Provedor de acesso à Internet),assim seu provedor poderá lhe fornecer uma conexão com a Internet Pública. Segundo Kurose eRoss (2006) todo o tráfego que entra ou sai da rede interna passa por esse roteador, e é nesseroteador que ocorre a filtragem de pacotes. Um filtro de pacotes permite a um administrador deredes estabelecer regras que serão aplicadas sobre os pacotes. Assim é através da análise doscabeçalhos de pacotes IP/TCP/UDP, números de porta, bits de reconhecimento, que o firewall devedecidir se o pacote continuará seu caminho, ou será descartado. A Política de filtragem de pacotes pode seguir vários tipos de combinações, a fim de chegara uma melhor configuração de filtragem de acordo com o tipo de ameaça que se quer ter sobcontrole. Segundo Kurose e Ross (2006) as decisões de filtragem são normalmente baseadas em:endereço de origem, endereço de destino, portas TCP, UDP, de origem, de destino, tipo demensagem ICMP, datagramas de inicialização de conexão usando bits TCP SYN ou ACK. Segundo Frisch (1995), sistemas packet filtering devem apresentar as seguintescaracterísticas:  Filtragem baseada nos endereços fonte e destino, nas portas fonte e destino, no protocolo, nos flags e/ou no tipo de mensagem;  Filtragem realizada quando o pacote está chegando, quando o pacote está saindo ou ambos;  Habilidade de desabilitar reprogramação a partir da rede, ou qualquer outra localização que não o console. Servidor Proxy / Gateway de Aplicação: Como vimos a filtragem de pacotes permite umcontrole sobre os pacotes que entram em saem da rede fazendo uma análise sob os cabeçalhos depacotes IP/TCP/UDP, números de porta, bits de reconhecimento. Porém se houver a necessidade dacorporação atribuir acesso à rede baseado em identidades de usuários? Kurose e Ross (2006) 26
  • 29. apontam que informações sobre a identidade de usuários internos não estão incluídas nos cabeçalhosIP/TCP/UDP; elas estão nos dados da camada de aplicação. Gateways de camada de aplicação fazem mais que analisar cabeçalhos de datagramas elestomam decisões mediante dados presentes na camada de aplicação do Modelo OSI. Um Gateway deaplicação é um servidor especifico de aplicação através do qual todos os dados da aplicação (queentram e saem) devem passar (KUROSE; ROSS, 2006). Os Servidores proxy estão entre o usuárioda rede interna e os serviços de internet, criando assim uma camada entre a rede interna e a internet(STATON, 2009), eles recebem as solicitações dos usuários para o serviço da internet, verificam seestas solicitações são aceitas no conjunto de regras estabelecidas e em seguida passam ou não asolicitação ao serviço solicitado. Os Servidores proxy possuem dois componentes: Servidor Proxy eCliente Proxy no qual o servidor é executado no dispositivo firewall, enquanto o cliente poderá serum software que dará maior suporte ao servidor, como um browser, um software SSH (Secure shell– Shell seguro) entre outros que se comunicam com o proxy server e este por sua vez com o servidorreal. Gateway de circuitos: Esse tipo de firewall é similar a um Servidor proxy e atua na camadade transporte do modelo OSI ou podemos dizer na camada Transporte do modelo TCP/IP. Stato(2009) aponta que Circuit-Level Gateways cria um circuito entre o cliente e o servidor e nãointerpreta o protocolo de aplicação. Ele atua monitorando o handshaking (aperto de mão – processoonde duas máquinas se reconhecem e confirmam estarem prontas para iniciar uma comunicação)entre pacotes, objetivando determinar se a sessão é legitima. 27
  • 30. 2.11 Arquiteturas de Firewall A arquitetura de Firewall, nada mais é que a forma em que eles serão dispostos dentro darede que visam proteger. Citaremos aqui algumas das mais utilizadas. Screening Router : Essa arquitetura utiliza um roteador para proteger uma rede interna, suasfuncionalidades são descritas na seção Filtro de pacotes. É a arquitetura mais falha quando tratamosde firewall, uma falha no roteador comprometeria toda a rede, esse tipo de arquitetura geralmenteatua em conjunto com outra. Figura 2 - Arquitetura Screening router – Fonte: Autores Dual-Homed Host : Nesse tipo de arquitetura toda a segurança da rede depende de umúnico computador que atua como um roteador entre as duas redes, isso teoricamente, pois naverdade o computador em questão não oferece nenhum tipo de serviço de roteamento de pacotes.Segundo Stato (2009) uma arquitetura deste tipo é montada sobre um computador com duasinterfaces de rede, onde uma está conectada à internet e a outra à rede interna. Nesse tipo dearquitetura a rede interna consegue conexão com a rede externa (Internet) através do dual-homedhost porém a rede externa não terá comunicação com o sistema interno do firewall. É ideal parapequenas redes com tráfego baixo. 28
  • 31. Figura 3 - Arquitetura Dual-homed Host – Fonte: Autores Screened Host: Aqui temos a combinação de um Bastion Host (Hospedeiro bastião) atuandocomo Gateway de Aplicação e um roteador com Screening router. Segundo afirma Stato (2009) oScreening router só aceita conexões provindas do Bastion Host, e o mesmo por sua vez provê osserviços necessários para a rede interna. Ou seja, o único ponto de acesso à rede interna passa peloBastion Host que recebe apenas dados que já foram analisados pelo screening router. Este tipo dearquitetura provê duas camadas de segurança: uma a nível de rede através do screening router eoutra a nivel de aplicação através do Bastion Host, Stato (2009) afirma que em termos de segurança,ela é bem razoável. Figura 4 - Arquitetura Screened Host – Fonte: Autores 29
  • 32. Screened Subnet Firewall: Também conhecida como DMZ (DeMilitarized Zone) adicionamais uma camada de segurança, implementando uma sub-rede entre a rede interna e a Internet.Nesse tipo de arquitetura teremos dois roteadores atuando como screening router, um na saída para arede externa e outro na entrada da rede interna, entre eles teremos um Bastion Host (Gateway deaplicação), ou seja, para se chegar a rede interna há a necessidade de se passar pelo roteador externo,pelo Bastion Host e pelo roteador interno. Stato (2009) aponta que essa arquitetura é mais complexade implementar, pois necessita da configuração dos firewall tanto interno como externo, do BastionHost e ainda a comunicação entre eles. Figura 5 - Arquitetura Screened Subnet – Fonte: Autores2.12 IPCop O slogan do IPCop é ―The bad packets stop here!‖ o que significa: Os pacotes ruins parampor aqui! Essa é a principal proposta do IPCop, impedir que arquivos não autorizados, (sob o pontode vista da organização), entrem em sua rede. O IPCop é um firewall desenvolvido para redes SOHO(Small Office/Home Office) e fornece as mesmas características de um firewall moderno, mas comuma diferença, é um software livre, ou seja, temos a permissão de alterá-lo conforme nossasnecessidades, seguindo sempre as especificações GNU GPL. 30
  • 33. O livro dos autores Dempster e Eaton-Lee (2006), aborda com detalhes todo ofuncionamento do IPCop, instalação do sistema operacional e alguns módulos, este trabalho baseia-se no conteúdo do livro para aplicar módulos. Abordaremos a aplicação dos módulos Urlfilter,Layer7 e P2PBlocker nos quais não são citados no livro. A escolha do IPCop em nosso projeto levou em consideração suas características como afacilidade de uso, sua intuitiva interface web e também a característica de centralizar em um únicoponto 4 redes. No IPCop a rede é separada em 4 cores: verde, vermelha, azul e laranja. A interfaceverde representa a rede interna, a interface vermelha faz conexão com a rede externa (Internet), ainterface azul é designada para enlace wireless, e por último, a interface laranja conhecida tambémpor DMZ (DeMiliatized Zone). O IPcop possui duas formas de acesso remoto: ssh e https, sem contar o acesso direto aosistema operacional. Conseguimos fazer quase todas as instalações e configurações dos módulospela interface web (https), mas alguns módulos possuem peculiaridades, e necessitam ser instaladose configurados utilizando a linha de comando do IPCop. Um exemplo é o Layer7 que iremosabordar.2.13 IPCop: Interfaces de Rede2.13.1.1 Interface Verde A interface Verde representa a rede interna ao Firewall, segundo Dempster e Eaton-Lee(2006) um firewall IPCop irá automaticamente permitir que todas as conexões sejam realizadas apartir da interface Verde para todos os outros segmentos da rede. Essa interface verde poderá serligada desde um pequeno HUB até vários swicthes ou até mesmo um roteador. A interface verdedeve possuir um endereço de rede privado, assim o IPCop por padrão exibe apenas um únicoendereço IP realizando NAT. O uso de endereços públicos na interface verde seria inútil já que porpadrão o IPCop iria tratá-lo como se fosse um endereço privado. Conforme afirma Dempster eEaton-Lee (2006) usar o IPCop como roteamento firewall (ao invés de um firewall realizando NAT,que é o configuração padrão) requer configurações mais avançadas e não pode ser realizado atravésdo GUI (Graphical User Interfaces – Interface gráfica do usuário). 31
  • 34. 2.13.1.2 Interface Vermelha Assim como a interface verde a interface vermelha estará sempre presente na topologia darede, segundo Dempster e Eaton-Lee (2006) a interface de rede vermelha representa a Internet ou umsegmento de rede não confiável. O princípio básico do firewall IPCOP é proteger todas as outras interfaces, verde, azul elaranja de todo o tráfego ocorrido na interface vermelha, essa interface geralmente usará umendereçamento público que deverá estar de acordo com o seu ISP. Conforme afirmação de Dempster e Eaton-Lee (2006) a interface vermelha é o únicosegmento de rede em que o IPCop tem apoio para outro hardware de uma rede Ethernet InterfaceCard. Esse segmento pode ser uma interface de rede Ethernet atribuída estaticamente ou com uso deDHCP, pode ser um cabo USB, um modem ADSL ou mesmo uma conexão dial-up com um modemanalógico.2.13.1.3 Interface Laranja A interface laranja é totalmente opcional na arquitetura do IPCop, ela é concebida comouma rede DMZ (DeMiliatized Zone), o termo DMZ é aplicado na área militar quando há a existênciade um território onde a atividade militar não é permitida. Segundo Dempster e Eaton-Lee (2006) naterminologia firewall, a DMZ assume um significado semelhante, como um segmento de rede entre arede interna de uma organização e uma rede externa tal como a Internet. Aqui a DMZ é protegida dainternet pelo firewall, ela tem exposição direta à internet, assim sendo há a necessidade de separá-lada interface verde que está em uma zona mais protegida da rede. Segundo Dempster e Eaton-Lee(2006) é nessa interface de rede não confiável que a organização coloca serviços destinados aomundo lá fora. Sendo assim, geralmente é onde ficarão os servidores Web ou de email, por exemplo.Os clientes residentes na interface laranja não terão acesso a interface verde ou a interface azul, anão ser que seja configurado um DMZ pinholes. Pinholes podem ser descritos como um canal decomunicação seguro entre dois clientes presentes em diferentes interfaces da rede, a comunicação dainterface laranja com a vermelha é feita através de redirecionamento de portas 32
  • 35. 2.13.1.4 Interface Azul Assim como a interface de rede Laranja a interface Azul é totalmente opcional, ela foiadicionada a versão 1.4 do IPCop. Segundo Dempster e Eaton-Lee (2006) esta rede foi projetadaespecificamente para ser um segmento de rede wireless. Clientes na interface Azul não alcançam ainterface Verde, isso apenas seria possível através de uma canal direto assim como é feito com ainterface laranja, ou através de uma VPN permitindo assim total acesso aos recursos presentes nainterface verde. A figura 6 (seis) mostra um exemplo da Topologia IPCop. Figura 6 - Topologia IPCop – Fonte: AutoresNo próximo capítulo abordaremos a instalação e configuração dos módulos no IPCop. 33
  • 36. CAPITULO 3 Desenvolvimento Abordaremos nesse capítulo o desenvolvimento para chegarmos aos resultados esperados.O bloqueio e controle do tráfego de aplicações como MSN Messenger, transferência de arquivospelo mesmo (MSN file transfer), o bloqueio de endereços URL (Uniforme Resource Locator –Localizador Uniforme de Recursos) e aplicações P2P (Peer-to-perr – Ponto a ponto). Será demonstrado a facilidade de configuração e utilização da distribuição e seusrespectivos módulos adicionais. Afinal, empresários que adquirem esse tipo de solução, esperam quea ferramenta seja útil, eficiente, barata e que o colaborador responsável por administrar a ferramentanão tenha grandes dificuldades.3.1 Configuração básica do IPCop Nesse ponto do trabalho, abordaremos apenas a configuração do IPCop após a instalação,caso tenha interesse, no livro dos autores Dempster e Eaton-Lee(2006) o assunto é abordado comconceitos novos da ferramenta, instalação e configuração da distribuição e vários módulos, comexceção do l7blocker e p2pblock que estaremos abordando em nosso trabalho. O endereço utilizado em nosso desenvolvimento para acessar a interface web é ohttps://192.168.0.1:445, lembrando que este endereço é usado em nossa interface verde por ser arede interna. Podemos destacar no primeiro acesso, a interface web, uma interface intuitiva esimples. Vejamos a página principal na figura 7 (sete) abaixo. Figura 7 - interface IPCop – Fonte: Autores 34
  • 37. Note que a interface nos mostra algumas informações, como o tempo de conexão doservidor, o endereço ip usado na interface vermelha e um aviso ―There are updates available for yoursystem. Please go to the "Updates" section for more information‖, (Há atualizações disponíveis paraseu sistema. Por favor, vá para o "Atualizações" para obter mais informações). Essas atualizaçõesserão realizadas conforme avançarmos no trabalho. No primeiro acesso, o IPCop pedirá a senha devalidação do usuário Admin, como mostra a figura 8 (oito). Figura 8 - Primeiro acesso - Fonte: Autores Após o acesso realizado, devemos citar que o IPCop dá suporte a vários idiomas, nessetrabalho o idioma escolhido foi o português. Temos oito abas na parte superior da página, nas quais conforme avançarmos no trabalhoiremos explicar pelo que cada uma é responsável. Para mudar o idioma clique na aba System, emseguida em GUI Settings, depois selecione o idioma que deseja que o IPCop exiba, clique no botão―Save‖ para que o IPCop possa atribuir as mudanças. Figura 9 - Mudando de idioma - Fonte: Autores 35
  • 38. Agora com o menus em português estamos prontos para iniciar a atualização do IPCop ehabilitar o acesso via ssh. Clique na recém traduzida aba, Sistema, em seguida clique na opção ―Actualizações‖,estaremos acessando a seguinte página referenciada pela figura 10 (dez) a seguir. Figura 10 - IPCop Updates – Fonte: Autores Há duas formas de atualizar o IPCop, baixando o arquivo diretamente com o auxilio dainterface, ou baixando o arquivo de atualização do seguinte endereçohttp://sourceforge.net/projects/ipcop/files/ e posteriormente fazendo o envio do arquivo clicando nobotão ―Selecionar arquivo‖ evidenciado na figura 10 (dez). Em nosso procedimento de atualizar para a versão 1.4.21, nos deparamos com umasituação peculiar. Ao tentar atualizar o IPCop, o seguinte erro era reportado: ―Esta não é umaatualização autorizada‖, como na figura 11 a seguir. A Causa desse problema é o fato do horário não estar atualizado, sendo necessário acessar oIPCop através da linha de comando (veremos em 3.4) e alterá-lo com o seguinte comando: root@ipcop:~ # date mmddhhmmyyyy Onde a sequência após o comando date representa mês, dia, horas, minutos e ano,respectivamente. 36
  • 39. Figura 11 - IPCop Update Error – Fonte: Autores Após a modificação do horário e data de nosso IPCop, conseguimos atualizar para a versão1.4.21 como evidenciado na figura 12 abaixo. Figura 12 - Update – Fonte: Autores Outra opção importantíssima para a configuração da ferramenta, é o suporte ao protocoloSSH. Sem essa opção habilitada, dificilmente teremos a facilidade de acessar o IPCop para transferiros arquivos necessários aos outros passos a seguir. Para habilitar o ssh, acesse o menu Sistema eclique na opção SSH Access. Surgirá a página de configuração que proverá a opção do SSH Accesscomo na figura 13. 37
  • 40. Figura 13 - IPCop ssh – Fonte: Autores Nosso ambiente está atualizado e pronto para receber os pacotes necessários paraprosseguimento da configuração do IPCop.3.2 Obtenção de pacotes e softwares adicionais Nesta etapa do trabalho reunimos sete arquivos que são indispensáveis para prosseguir àpróxima etapa. Os nomes dos softwares ou pacotes e a referente URL para download estão abaixo: 1. Putty (Cliente SSH) http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html 2. Winscp (Cliente Ftp e Scp) http://winscp.net/eng/download.php 3. Ipcop-1.4.21-Kernel 2.4.36 (Kernel do Ipcop com suporte ao layer 7) http://embcop.org/node/7 4. URLfilter (Módulo para IPCop) http://www.urlfilter.net/ 5. P2pblock 1.4.21 (Módulo para IPCop) http://mh-lantech.css-hamburg.de/ipcop/download.php?view.206 6. L7-Blocker 1.4.21 (Módulo para IPCop) http://mh-lantech.css-hamburg.de/ipcop/download.php?view.207 38
  • 41. 7. L7-protocols (Definições de protocolos. Necessários na configuração do L7) http://sourceforge.net/projects/l7-filter/files/Protocol%20definitions/2009-05-28/l7- protocols-2009-05-28.tar.gz/download3.3 O que é URLfilter ? O URLfilter é um módulo desenvolvido para o IPCop na intenção de estender sua capacidadede bloquear domínios indesejados, URL´s e até mesmo arquivos. O Pacote é baseado noredirecionador SquidGuard (http://www.squidguard.org), e a interface gráfica do URL filter permiteo acesso a todas as configurações necessárias.3.4 O que é P2PBlock ? O P2PBlock é um módulo desenvolvido para o IPCop para controlar a utilização desoftwares P2P como: Kazaa, Emule, WinMX, Bittorrent, Ares, Edonkey, Gnutella, WarezClient,AppleJuice e alguns outros. A interface desse módulo no IPCop, consiste em três colunas contendo respectivamentenome da aplicação ou protocolo, colunas Block e Log. As duas colunas possuem somente caixas demarcação (check box), veja figura 14 a seguir. 39
  • 42. Figura 14 - IPCop P2P Block – Fonte: Autores3.5 O que é L7Block ? O módulo L7Blocker como o P2PBlock foram desenvolvidos por Markus Hoffman,aumentando a qualidade do controle de tráfego com o IPCop. Desenvolvido para acabar com a ineficiência dos firewalls ao controlar o tráfego deaplicações como Skype, Msn messenger, Jabber, World of War craft, Telnet, Doom, Counter Strike,Battlefield e muitos outros. O L7Blocker tem um leque de opções desde os mais simples protocolos como telnet atéjogos mundialmente conhecidos. O L7blocker utiliza expressões regulares para identificar edistinguir os protocolos das aplicações3.6 Acesso SSH com o Putty Com o suporte ao SSH habilitado, devemos testar se nossa conexão está funcionandocorretamente. Para isso execute o Putty, responsável por disponibilizar o acesso remoto a sistemas 40
  • 43. Linux através de sistemas Windows. Preencha as informações como na figura 15 a seguir,lembrando que a porta utilizada será a 222. Figura 15 - Putty – Fonte: Autores O primeiro acesso com o Putty exigirá uma confirmação como na figura 16. Figura 16 - Putty Securty Alert – Fonte: Autores 41
  • 44. Na figura 17 temos a confirmação de que obtivemos sucesso em nossa conexão, no exatomomento que é solicitado ao usuário, a inserção de login e senha. Figura 17 - Putty Login – Fonte: Autores Siga para o diretório raiz do sistema e crie uma pasta com o nome addons. Será nessa pastaonde iremos realizar o upload dos pacotes, posteriormente ela poderá ser apagada. Verifique com ocomando pwd para saber em qual diretório do sistema você está, provavelmente estará no diretório/root. Na linha de comando digite os seguintes comandos, após a cerquilha (#) como abaixo: root@ipcop:~ # cd / root@ipcop:~ # mkdir addons root@ipcop:~ # ls / Os comandos acima significam respectivamente mudança do diretório atual para o diretórioraiz do sistema, criação de um novo diretório e a listagem do diretório raiz do sistema para verificarse o diretório addons foi criado corretamente.3.7 Envio de arquivos com Winscp Com o funcionamento da conexão remota através de ssh, precisamos instalar o WinSCP quenos ajudará a enviar os pacotes para o IPCop. Após sua instalação, execute-o e preencha as informações como na figura 18. Um detalhe aser notado é a utilização da porta 222 como utilizamos no Putty. 42
  • 45. Figura 18 – WinSCP Login – Fonte: Autores Na figura 19 temos o Winscp conectado no IPCop, ao lado esquerdo estão os arquivoslocais em nossa máquina Windows. Ao lado direito da figura, os arquivos contidos no IPCop. Figura 19 - WinSCP Transferência de arquivos – Fonte: Autores Selecione os seguintes arquivos que estão em nossa máquina Windows local:  Ipcop-1.4.21-kernel-2.4.36.tar.bz2  Ipcop-urlfilter-1.9.3.tar.gz  L7blocker_ipcop_1.4.21.tar.gz  P2pblock_ipcop_1.4.21.tar.gz 43
  • 46. Arraste-os para dentro do diretório addons, criado anteriormente no IPCop. O Resultadopode ser visto na figura 20 a seguir. Figura 20 - WinSCP Arquivos transferidos – Fonte: Autores O pacote l7-protocols-2009-05-28.tar.gz, contêm os protocolos que serão usados pelol7blocker. São escritos com expressões regulares e se não estiverem no diretório /etc/l7-protocols oL7blocker não irá funcionar corretamente. Para corrigir essa falha, descompacte o arquivo em sua própria máquina Windows, acesse oIPCop com o Putty e crie o diretório l7-protocols dentro do diretório /etc. Envie todos os arquivoscontidos dentro da pasta l7-protocols-2009-05-28 que estão em sua máquina local para dentro dodiretório l7-protocols no IPCop. Veja o resultado como na figura 21 a seguir. Figura 21 - WinSCP L7-Protocolos – Fonte: Autores 44
  • 47. 3.8 Descompactar pacotes Nesta etapa, descompactaremos os pacotes que estão compactados nos formatos tar.gz etar.bz2. Para isso acesse o IPCop remotamente através do Putty e digite os comandos a seguir. root@ipcop:~ # cd / root@ipcop:~ # ls root@ipcop:~ # cd addons root@ipcop:~ # ls O comando ls lista os arquivos presentes no diretório, nesse momento temos 4 (quatro)arquivos:  Ipcop-1.4.21-kernel-2.4.36.tar.bz2  Ipcop-urlfilter-1.9.3.tar.gz  L7blocker_ipcop_1.4.21.tar.gz  P2pblock_ipcop_1.4.21.tar.gz O pacote mais importante nesse momento é o ipcop-1.4.21-kernel-2.4.36.tar.bz2, pois é okernel Linux com suporte ao l7-filter. Sem esse Kernel, não obteríamos sucesso na implementaçãodos módulos l7blocker e p2pblock. Para descompactá-lo corretamente insira a seguinte linha decomando: root@ipcop:~ # tar xvfj ipcop-1.4.21-kernel-2.4.36.tar.bz2 –C / A criação de um arquivo dentro do diretório /var/run/ deve ser realizada para que asalterações tenham efeito no IPCop. As linhas de comando a seguir criam o arquivo need-depmod-`uname –r`, onde uname –r será substituído pela versão do kernel. O comando reboot realizará areinicialização da máquina. root@ipcop:~ # touch /var/run/need-depmod-‗uname – r‘ root@ipcop:~ # reboot 45
  • 48. Após a reinicialização, confira com o comando ―uname –ar‖ a versão atual do kernel. Como novo kernel 2.4.36, podemos terminar de descompactar os 3 pacotes restantes. Recomeçaremoscom o Url filter, acesse o diretório addons no diretório raiz e digite a seguinte linha de comando: root@ipcop:/addons # tar xvfz ipcop-urlfilter-1.9.3.tar.gz O pacote referente ao P2pblock, contém somente dois arquivos e para a extração dosmesmos o comando a seguir será utilizado: root@ipcop:/addons # tar xvfz p2pblock_ipcop_1.4.21.tar.gz Como foi realizado com os módulos anteriores, a extração dos arquivos contidos nol7blocker_ipcop_1.4.21.tar.gz ocorre da mesma forma. Veja na linha de comando. root@ipcop:/addons # tar xvfz l7blocker_ipcop_1.4.21.tar.gz3.9 Instalação do Url filter Os comandos a seguir deverão ser inseridos na linha de comando na ordem em que sãomostrados. Dentro do diretório addons digite: root@ipcop:/addons # cd ipcop-urfilter root@ipcop:/addons # ./install O Url filter foi instalado com sucesso no IPCop.3.10 Instalação do P2PBlock O P2P Block também é instalado em poucos passos como o Url filter. Dentro do diretórioaddons digite: root@ipcop:/addons # cd p2pblock root@ipcop:/addons # ./install O P2Pblock foi instalado com sucesso no IPCop. 46
  • 49. 3.11 Instalação do L7Blocker Todos os módulos usados como podem notar, são fáceis de instalar. A única diferença parainstalar o L7Blocker é a adição do parâmetro –i no último comando da lista a seguir. Dentro dodiretório addons digite: root@ipcop:/addons # cd l7blocker root@ipcop:/addons # ./install -i O L7blocker foi instalado com sucesso no IPCop.3.12 Configuração do P2PBlock Conforme ressaltamos anteriormente sobre a facilidade do uso dos módulos instalados,iremos começar pelo mais fácil de configurar, o P2PBlock. Na aba Serviços haverá três novasopções: Url Filter, Layer7 Blocker e P2PBlock, sendo assim clique na opção P2PBlock. Por padrão oP2PBlock vem com todas as caixas de verificação desmarcadas, como na figura 22. Figura 22 – P2PBlocker – Fonte: Autores 47
  • 50. Na figura 23 podemos notar o eMule conectado com os servidores de transferência. Figura 23 - eMule conectado - Fonte:Autores Para alcançar o resultado que obtivemos no bloqueio da aplicação Emule, nós marcaremosas seguintes opções nas colunas Block e Log: Emule, Layer7 Edonkey, ipp2p Edonkey/Emuleexatamente como na figura 24. Figura 24 – Bloqueio com P2PBlocker – Fonte: Autores 48
  • 51. Para que as alterações funcionem, clique no botão ―apply settings‖. Outra página surgiráconfirmando as alterações. Figura 25 - P2PBlocker apply settings – Fonte: Autores A seguir a figura 26 mostra a falha na tentativa de conexão do Emule com seus servidorespadrão. Figura 26 - Emule conexão bloqueada - Fonte:Autores 49
  • 52. Na próxima figura temos o log do bloqueio das redes do eMule: Figura 27 – Log de bloqueio (Layer7 edonkey) - Fonte:Autores3.13 Configuração do L7Blocker O L7Blocker requer um pouco mais de atenção, pois devemos criar grupos e regras e juntá-los depois. Na figura 28 abaixo temos dois botões: create group e create rule, onde a primeira ação écriar um grupo. Nessa página principal do L7blocker, a quantidade de informações aumentaráconforme os passos deste tópico. Figura 28 - L7Blocker – Fonte: Autores 50
  • 53. Antes de iniciarmos a configuração do L7blocker, visualize na figura 29 que a aplicaçãoWindows Live Messenger está funcionando corretamente. Figura 29 – MSN Messenger – Fonte: Autores Voltando o foco para a criação do grupo, clique no botão create group e preencha asinformações solicitadas como o exemplo da figura 30. Em nosso exemplo usamos Colaboradorespara o nome do grupo e os 4 respectivos endereços IP da figura 30 para serem membros do Grupo. Para adicionar o grupo, clique em add group. Figura 30 - L7Blocker create group – Fonte: Autores Como já temos um grupo criado, devemos criar regras para controlar o tráfego da rede. Napágina onde havia o botão create group, há um botão chamado create rule. Clicando nele a página deconfiguração da figura 31 irá ser mostrada. 51
  • 54. Figura 31 - L7Blocker create rules – Fonte: Autores Da mesma forma que criamos o grupo Colaboradores, iremos criar duas regras: bloqueio deacesso ao aplicativo MSN Messenger e o bloqueio para transferência de arquivos pelo mesmoaplicativo. Apesar que existe a opção de criar uma regra com mais de um protocolo, não iremosdemonstrar assim. No campo Rulename, colocamos MsnBlocker por questões da facilidade de identificaçãopara sabermos o que a regra faz. No Campo Rulemember podemos selecionar um ou mais protocolosa serem bloqueados, mas em nosso caso optamos por escolher apenas o protocolo msnmessenger. Na segunda regra que criamos chamada de Block-MSN-FT, estaremos bloqueando atransferência de arquivos que utiliza o protocolo MSN-filetransfer. Veja o exemplo na figura 32 àseguir. Figura 32 - L7Blocker MSN-filetransfer – Fonte: Autores O passo seguinte é juntar o grupo com a regra, mas também existe a opção de atribuir todasas regras para toda sua rede interna, ou, somente para esse grupo. Novamente na página principal do L7blocker, clique no botão merge rule(s) and groups(s),perceba que antes ele não existia. Preencha o nome desse agrupamento com algo sugestivo, porexemplo BlockMsn. 52
  • 55. No campo Groups podemos selecionar o grupo ou simplesmente deixar sem selecionarnenhuma, dessa forma a abrangência de nossas regras será valida para toda a rede interna. Como ditoanteriormente sobre escolher mais de um tipo de protocolo para criar as regras, também podemosfazer isso com a junção de grupos e regras. O campo Rules deverá conter as duas regras que criamos anteriormente, MsnBloqueio eBlock-MSN-FT. Selecionamos para demonstrar a regra MsnBlocker e clicamos no botão Save paraque nosso IPCop passe a bloquear esse tipo de tráfego. Figura 33 - L7Blocker Bloqueio de MSN – Fonte: Autores A próxima figura mostra que o IPCop já mostra as políticas existentes no momento, porémnão estão em funcionamento real, como aponta a mensagem em vermelho ―L7Blocker is notrunning‖ Figura 34 - L7 is not running – Fonte: Autores Clique em Start para iniciar o L7Blocker, a confirmação pode ser vista na figura 35. 53
  • 56. Figura 35 - L7 Running – Fonte: Autores A figura 36 mostra a falha na tentativa de conexão do Msn Messenger após a inicialização doL7blocker. Porém se o usuário estiver conectado ao MSN messenger no momento que aplicarmos asnovas regras, ele não será desconectado. As alterações terão efeito somente no próximo acesso aoMsn Messenger. Figura 36 - Falha na conexão MSN - Fonte: Autores Na figura 37 mostramos o log do IPCop onde está evidenciado a tentativa de conexão doMSN Messenger. Figura 37 - Log bloqueio MSN Messenger - Fonte: Autores 54
  • 57. 3.14 Configuração do Urlfilter A configuração do urlfilter começa na aba Serviços na opção Proxy, como na figura 35 aseguir. Por padrão as opções Enabled on, Transparent on Green e Url Filter enabled estarãodesmarcadas. Marque-as como na figura 38 e salve as alterações, clicando no botão ―guardar‖. Figura 38 - URLFilter – Fonte: Autores O modulo do urlfilter é acessado na aba serviços através da opção urlfilter. A página dourlfilter possui diversas configurações, nas quais, abordaremos apenas as que utilizamos parademonstrar seu uso eficaz. Na figura 39, temos onze categorias padrões, mas iremos atualizar o urlfilter com a Shalla´s Blacklists (lista negra contendo diversos sites). Figura 39 - URLFilter Block categories – Fonte: Autores Blacklists basicamente são listas de domínios e URLs que de alguma forma são prejudiciaisquando acessados por colaboradores mal informados. Quando um domínio ou url estiver em umablacklist não quer dizer que todos devem evitar acessar, mas para determinadas políticas deseguranças nas empresas o acesso deve ser proibido. 55
  • 58. Obtenha o pacote do Shalla´s Blacklist no seguinte endereço,http://www.shallalist.de/Downloads/shallalist.tar.gz , em seguida procure na página de configuraçãodo url filter o Url filter maintenance como na figura 40. Figura 40 - URLFilter Blacklist update – Fonte: Autores Selecione o arquivo shallalist.tar.gz e atualize a blacklist do seu url filter, clicando no botão―Upload blacklist‖. Após a atualização, note que houve um aumento nas categorias, passando deonze para setenta e sete categorias de bloqueio como mostra a figura 41 a seguir. Figura 41 - URLFilter Categories – Fonte: Autores 56
  • 59. Marque algumas categorias de sua escolha, caso queira seguir o exemplo da figura 42, noqual o nosso IPCop está bloqueando corretamente as categorias marcadas. Figura 42 - URLFilter Categories – Fonte: Autores Há opções para configurar as páginas de bloqueio e dentre elas podemos direcionar ousuário para outra página, exibir o ip do usuário, a URL bloqueada além de alterar a imagem defundo das páginas de bloqueio. Veja a figura 43. Figura 43 - URLFilter configurações – Fonte: Autores 57
  • 60. A seguir mostraremos um exemplo de bloqueio por expressão regular no urlfilter. A figura 44mostra a caixa de texto ―Custon expression List‖ onde devem ser inseridas as expressões que serãobloqueadas. No nosso exemplo usamos o nome do site de relacionamento ―Orkut‖. Note que a caixade opção ―enable custom expression list‖ deve estar selecionada. Figura 44 - Urlfilter Expressão regular - Fonte: Autores Ao tentar, acessar a página oficial do orkut, http://www.orkut.com.br/ o IPCop irá bloquear apágina e exibir seu aviso, o mesmo ocorrerá caso o usuário tente pesquisar o nome ―Orkut‖ em sitesde busca. Figura 45 - bloqueio Orkut.com - Fonte: Autores O urlfilter possui outras funcionalidades como whitelists, editor de blacklists, e outrasconfigurações, que deverão ser abordadas em um artigo futuramente. 58
  • 61. CONCLUSÃO Os resultados obtidos atingiram os objetivos iniciais de aplicar e analisar os resultados dasconfigurações de políticas de bloqueio em um ambiente de teste com a utilização da distribuiçãolinux IPCop. A utilização dos módulos adicionais: L7blocker, P2pBlock e Urlfilter foram eficientese cumpriram suas funções especificas como: controlar o acesso aos serviços do MSN messenger,compartilhamento e download de arquivos através do Emule e por fim o acesso à sites que não erampermitidos de acordo com as categorias listadas do Urlfilter. Esse controle ocorreu de forma simplese direta sem intervenção de técnicas complicadas como foi proposto desde o início do trabalho. Ostrabalhos posteriores devem abordar outros serviços e módulos, e até mesmo o desenvolvimento deuma distribuição linux IPCop embarcada em um appliance (dispositivo). Sugestões: Embarcar o IPCop dentro de um appliance. 59
  • 62. REFERÊNCIAS BIBLIOGRAFICAS CHESWICK, W.R., BELLOVIN, S.M. Firewalls and Internet Security. Addison- Wesley Publishing Company, 1997. 306p. DEMPSTER, Barrie; EATON-LEE, James. Configuring IPCop Firewalls Closing Borders with Open Source. 1ª Ed., Packt Publishing, 2006. FRISCH, Æ. Essential System Administration. OReilly & Associates, 1995. 758p. GHEORGHE, Lucian. Designing and Implementing Linux Firewalls and QoS using netfilter, iproute2, NAT, and L7-filter. 1ª Ed., Packt Publishing, 2006. GIL, A.C. Métodos e técnicas de pesquisa social. São Paulo: Atlas, 1999. 305 p. GIL, Antonio Carlos. Como Elaborar Projetos de Pesquisa. 4ª Ed. São Paulo: Atlas, 2002. KUROSE, James F.; ROSS, Keith W. Redes de Computadores e a Internet: Uma Abordagem top-down. 3ª Ed. São Paulo: Pearson Makron Books, 2006. MACMILLAN, Dictionary. Http://www.macmillandictionary.com/. Acessado em 14 de Novembro de 2010. MICHAELIS, Dicionário. Http://michaelis.uol.com.br/. Acessado em 14 de Novembro de 2010. MITNICK, Kevin D. A Arte de Enganar. 1ª Ed. São Paulo: Pearson, 2003. NUNES, Paulo. Conceito de Firewall. http://www.knoow.net/ciencinformtelec/informatica/firewall.htm. Acessado em 17 de Maio de 2010. RASH, Michael. Linux Firewalls : Attack detection and response with Iptables, PSAD, and FWSNORT. 1ª Ed., No Starch Press, 2007. SILVA, F.Q., FRANKLIN, D. Segurança de Informações e Acesso Seguro à Internet. DI - UFPE, 1997. STATO FILHO, André, Linux: Controle de Redes. Visual Books 2009. TANENBAUM, Andrew. Redes de Computadores e a Internet. 4ª Ed. São Paulo: Campus, 2003. ZWICKY, Elizabeth D.; COOPER, Simon; CHAPMAN, D. Brent. Building Internet Firewalls. 2ª Ed., O´reilly Media, Junho de 2000. 60

×