CENTRO ESTADUAL DE EDUCAÇÃO TECNOLÓGICA PAULA SOUZA

Transcrição

1 CENTRO ESTADUAL DE EDUCAÇÃO TECNOLÓGICA PAULA SOUZA FACULDADE DE TECNOLOGIA DE LINS PROF. ANTONIO SEABRA CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES HUGO CALIANI NOHARA IMPLEMENTAÇÃO DE UM FIREWALL DE FILTRO DE CONTEÚDO COM IPTABLES LINS/SP 1º SEMESTRE/2014

2 CENTRO ESTADUAL DE EDUCAÇÃO TECNOLÓGICA PAULA SOUZA FACULDADE DE TECNOLOGIA DE LINS PROF. ANTONIO SEABRA CURSO SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES HUGO CALIANI NOHARA IMPLEMENTAÇÃO DE UM FIREWALL DE FILTRO DE CONTEÚDO COM IPTABLES Trabalho de Conclusão de Curso apresentado à Faculdade de Tecnologia de Lins para a obtenção do Título de Tecnólogo em Redes de Computadores. Orientador: Prof. Me. Julio Fernando Lieira LINS/SP 1º SEMESTRE/2014

3 HUGO CALIANI NOHARA IMPLEMENTAÇÃO DE UM FIREWALL DE FILTRO DE CONTEÚDO COM IPTABLES Trabalho de Conclusão de Curso apresentado à Faculdade de Tecnologia de Lins, como parte dos requisitos necessários para a obtenção do título de Tecnólogo em Redes de Computadores sob orientação do Prof. Me. Julio Fernando Lieira. Data da Aprovação: / / Orientador: Prof. Me. Julio Fernando Lieira. Examinador 1 Examinador 2

4 Dedico este trabalho ao meu pai Mario e a minha mãe Silvana, por terem me dado o seu tempo em vez de qualquer coisa material. Sendo, portanto os melhores pais que Deus poderia ter me concedido. Hugo Caliani Nohara

5 AGRADECIMENTO Agradeço primeiramente a Deus, pois sem ele não seria possível viver este momento tão especial. Agradeço também a minha mãe Silvana e meu pai Mario que sempre me deram todo o tipo de suporte necessário para que eu conseguisse seguir em frente nesta minha jornada. A minha Tia Paula que sempre se preocupou com a minha formação desde a época de criança. A minha namorada que soube compreender bem esta etapa da minha vida e perdoou minhas ausências em momentos que estava preso nos afazeres deste trabalho. Gostaria de deixar um agradecimento em especial também ao meu irmão Heitor que sempre serviu de exemplo para mim. Mas principalmente agradeço ao meu orientador Júlio que soube me guiar da melhor forma possível para chegar a este resultado, que soube sanar todas minhas dúvidas claramente, soube também trabalhar com muita paciência quando necessário. Resumindo não tenho palavras para expressar toda minha gratidão e admiração que sinto por este profissional que atuou de fato como um mestre para mim. Hugo Caliani Nohara

6 RESUMO A enorme expansão da internet ao longo dos anos possibilitou praticamente a interconexão do mundo todo por intermédio de tal tecnologia, trouxe muitos benefícios para pessoas e empresas. Porém, devido ao fato de todos estarem conectados a uma mesma rede surgiu e foi disseminadas com o tempo, inúmeras metodologias de ataques com o objetivo de burlar a segurança de uma determinada rede alvo. Outro fator negativo que se destaca é o considerável tempo que funcionários de empresas perdem com acesso a sites de entretenimento e redes sociais durante o horário de trabalho. Se por um lado a Internet trouxe agilidade e aumento de produtividade, se má utilizada esta tecnologia pode se transformar em uma fonte de problemas para a empresa. Fez-se necessário então a elaboração de ferramentas que dessem suporte e segurança a uma rede de computadores, além de permitir o controle do que os usuários podem ter acesso. Uma das principais ferramentas elaboradas foi o firewall, o qual serviu como base aos estudos realizados neste trabalho. O objetivo deste projeto foi realizar uma análise comparativa entre dois firewalls que a princípio atuam de formas distintas: o squid que trabalha com filtragem de conteúdos e o iptables que atua com filtragem de pacotes. Nesse caso a meta principal foi configurar o iptables para que ele atuasse também como filtro de conteúdos de tal forma a realizar uma comparação de suas funcionalidades com a do squid, a fim de verificar qual firewall seria mais vantajoso para ser empregado em uma rede. Para isso foi utilizado uma rede virtual onde ficou configurado um servidor com o sistema operacional Linux Debian versão 2.6, no qual teve a implementação dos dois firewalls que dispôs a realizar os mesmos serviços. Após a configuração do ambiente, foram realizados alguns testes com as duas tecnologias. Uma análise dos resultados mostra como se comportou cada tecnologia segundo os critérios definidos. Palavras-chave: Firewall, Squid, Iptables, Filtro de Conteúdo, Filtro de Pacotes.

7 ABSTRACT The enormous expansion of the internet over the years has enabled the interconnection of virtually everyone through such technology, bringing many benefits to people and businesses. However, due to the fact they are all connected to the same network emerged and was being disseminated over time, many attacks methodologies aiming to circumvent the security of a given target network. Another negative factor that stands out is the considerable time that employees of companies lose with access to entertainment and social networking sites during work hours. If on one hand the Internet has brought agility and increased productivity, if has a bad use this technology can become a source of problems for the company. Then it was necessary to the development of tools that give support and security to a network of computers, and allows control of which users can access. One of the main tools developed was the firewall, which served as the basis for the studies in this work. The objective of this project was to perform a comparative analysis between two firewalls that principle act in different ways: squid working with content filtering and iptables that works with packet filtering. In this case, the main target was set iptables so that it also acted as a content filter to perform such a comparison of their features with the squid, in order to determine which firewall would be advantageous to be employed in a network. For that, was utilizated a network where it was configured a server running Linux Debian version 2.6, which was a implementation of the two firewalls that decided to realize the same services. After setting up the environment, were performed some tests with both technologies. An analysis of the results shows how each technology behaved according to the criteria defined. Keywords: Firewall, Squid, Iptables, Content Filter, Packet Filter.

8 LISTA DE ILUSTRAÇÕES Figura Tipo de ataques passivos Figura Tipo de ataque Ativo Figura Ilustração de um TCP connect scan Figura Ilustração de um TCP FIN scan Figura Exemplo de um ataque DDoS Figura Registro em log de tentativas de acesso usando força bruta Figura Ilustração de um Firewall Figura Esquema da tabela Filter Figura Esquema da Tabela NAT Figura Mascaramento usando SNAT Figura Esquema compartilhamento de internet com o Proxy Figura Divisão dos protocolos em suas respectivas camadas Figura Script executável de redirecionamento e mascaramento Figura Configuração do squid para que ele atue de forma transparente. 55 Figura Configuração da ACL para liberar acesso total ao chefe Figura Arquivo texto que contem a lista de urls a serem bloqueadas Figura Configuração da ACL para bloquear sites pelo endereço da URL 58 Figura Página de erro do Squid Figura Configuração da ACL para liberação sites pelo endereço da URL 59 Figura Página liberada do site 60 Figura Página de erro do Squid Figura Topologia da Rede Figura Script para o compartilhamento da internet Figura Regra Iptables que Libera Acesso Total ao Chefe Figura Regra Iptables para Bloqueio de Sites pela URL Figura Página de Falha da tentativa de acesso ao site Figura Regra Iptables para Bloqueio de Palavras na URL Figura Página de Falha da tentativa de acesso ao site Figura Regra Para Liberar Palavras na URL... 68

9 Figura Página Liberada do Site 68 Figura Regra Iptables que Permite Acesso Total aos diretores com exceção aos sites previamente bloqueados Figura Software HOIC em funcionamento Figura Tráfego de Rede no Iptables Figura Tráfego de Rede no Squid Figura Carga do sistema no Iptables Figura Carga do sistema no Squid Figura Memória Alocada no Iptables Figura Memória Alocada no Squid... 75

10 LISTA DE QUADROS Quadro Tipos de Prioridade TOS Quadro Regra de bloqueio de acesso com seus devidos comentários Quadro Redirecionamento da porta TCP Quadro Bloqueio de Sites via url Quadro Configuração da ACL para liberar sites pelo endereço da url Quadro Instalação das dependências do Monitorix Quadro Download e instalação do Monitorix... 70

11 LISTA DE ABREVIATURAS E SIGLAS ACK Acknowledge ACL - Access Control List ARP - Address Resolution Protocol DDoS - Distributed Denial of Service DoS - Denial of Service FTP File Transfer Protocol HTTP - HyperText Transfer Protocol ICMP - Internet Control Message Protocol ICMP - Internet Control Message Protocol IDS Intrusion Detection System IP - Internet Protocol LAN Local Area Network MAC - Media Access Control OSI - Open Systems Interconnection QoS - Quality of Service RNP - Rede Nacional de Ensino e Pesquisa RST- Reset SSL - Security Socket Layer SYN Synchronize TCP - Transmission Control Protocol ToS - Type of service UDP - User Datagram Protocol URL - Uniform Resource Locator VPN - Virtual Private Networks

12 SUMÁRIO INTRODUÇÃO SEGURANÇA DE REDES CONECTADAS À INTERNET ATAQUES Ataques Passivos Ataques Ativos TÉCNICAS DE ATAQUES Trojan Horse Port Scanning TCP connect scan TCP SYN scan TCP FIN scan Ataques DoS e DDos Força Bruta FERRAMENTAS DE PROTEÇÃO Identificação Defesa contra Ameaças Criptografia FIREWALL Firewall de Filtro de Pacotes Firewall de Aplicação Firewall Baseado no Estado FIREWALL DE FILTRO DE PACOTES COM IPTABLES IPTABLES TABELAS Filter Atravessando as Chains Comandos e Ações da tabela Filter Nat Snat... 38

13 DNat Transparent Proxy Mangle TOS Tráfego de Entrada Tráfego de Saída EXTENSÕES IPTABLES Limit State Mac Multiport String Owner FIREWALL DE CONTEÚDO COM SQUID PROXY Características de um Proxy Cache de Páginas Lista de Controle de Acesso Autenticação Proxy Transparente Proxy Controlado Diferenças entre Filtro de Pacotes e Servidor Proxy CARACTERÍSTICAS DO SQUID Listas de Controle de Acesso do Squid Sintaxe Classes de Acesso SQUID NA PRÁTICA Permitir acesso total ao chefe Bloquear Sites pela Url Liberar Sites pela Url Permitir acesso total aos diretores exceto os sites previamente bloqueados Bloquear Palavras na Url... 61

14 4 IMPLEMENTANDO UM FIREWALL DE CONTEÚDO COM IPTABLES IMPLEMENTAÇÃO DAS REGRAS DO IPTABLES Permitir acesso total ao chefe Bloquear Sites pela Url Teste da Regra de Bloqueio de Sites por Url Bloquear Palavras na Url Teste da Regra de Bloqueio por Palavra na Url Liberar Sites Via Palavras na Url Teste da Regra de Liberação de Sites por Palavras na Url Liberando acesso aos diretores com exceção dos sites já bloqueados ANÁLISE DE DESEMPENHO DO SQUID E IPTABLES INSTALAÇÃO E CONFIGURAÇÃO DO MONITORIX METODOLOGIA DE TESTES ANÁLISES DO TRÁFEGO DE REDE ANÁLISE DA CARGA DO SISTEMA ANÁLISE DA ALOCAÇÃO DE MEMÓRIA COMPARAÇÕES DOS RESULTADOS ENTRE SQUID E IPTABLES Vantagens na utilização do Iptables em relação ao Squid Vantagens na utilização do Squid em relação ao Iptables CONCLUSÃO REFERÊNCIAS BIBLIOGRÁFICAS... 80

15 15 INTRODUÇÃO Com o mundo dominado pela era da tecnologia da informação, empresas não viram apenas uma oportunidade, mas sim uma necessidade de acompanhar esse desenvolvimento, tanto é que atualmente empresa alguma consegue se sustentar sem usufruir de tal segmento. Visto a complexidade desta tecnologia denominada internet, pode-se afirmar que ela é um recurso capaz de gerar outros inúmeros recursos, porém cabe às empresas e órgãos institucionais a complicada tarefa de extrair o que de melhor ela tem a oferecer. Atualmente este está sendo o grande diferencial para que uma empresa obtenha ou não sucesso. Explorada de forma correta a internet é capaz de gerar inúmeros benefícios para qualquer instituição organizacional, tais como atendimento a novos mercados, criação de novos meios de comércio, viabilizar novas arquiteturas de trabalho, aumentar o desempenho e eficácia, disseminar a comunicação, e o principal ponto, redução de custos. A maioria desses fatores sem o auxílio da internet seria algo impossível de se imaginar e de se atingir. Entretanto não é apenas de benefícios que vive a internet, é preciso enxergar as duas faces reais que envolvem tal tecnologia. Se por um lado todos tem acesso a essa imensa rede logo seria fácil de imaginar uma pessoa mal intencionada querer tirar proveito ou até mesmo querer prejudicar a alguma instituição. Os denominados hackers e crakers viram uma possibilidade de rápido ganho combinado com uma exposição quase nula de efetuar golpes. É necessário ter a consciência de que a internet nunca atingirá um nível de segurança de 100%, porém é necessário buscar um nível no mínimo aceitável perante a mesma. Segundo dados da Global State of Information Security Survey(2011), ficou comprovado que 60% das empresas precisam implementar tecnologias de segurança que suportem aplicações Web 2.0 como redes sociais, blogs ou wikis. Se comprovou também que 77% não estabeleceram se quer políticas e práticas de segurança específicas para o uso corporativo de redes sociais ou da tecnologia Web 2.0, uma medida crítica que custaria virtualmente muito pouco. Estudos relacionados às formas e aos meios utilizados pelos invasores comprovam que na maioria dos casos eles simplesmente exploram vulnerabilidades já existentes, sejam elas em dados, rede, sistema, aplicação e até mesmo em

16 16 dispositivos móveis. Uma grande quantidade de ferramentas tem sido elaborada com o intuito de fortificar a rede interna permitindo: detectar e reparar falhas, melhorar o monitoramento do sistema, elaborar testes de segurança, controlar o tráfego que entra e sai da rede, dentre outros inúmeros recursos ofertados por essa imensa gama de ferramentas. Ao usufruir desses meios o Administrador da Rede conseguiu com o tempo deixar a rede com um nível de segurança mais elevado, porém faz-se necessário o monitoramento constante da mesma, pois ao mesmo tempo em que foram surgindo tais ferramentas de auxílio à proteção, também foram sendo elaboradas novas formas de ataques, criando um ciclo continuo que jamais terá fim. Assim, é recomendado ficar sempre atento em tudo o que se passa em sua rede, sempre buscando o maior grau de segurança possível. Dentre os meios de segurança mais utilizados pelos administradores de redes, o que mais se destaca tanto em usabilidade quanto em desempenho e eficácia é o Firewall. Essa ferramenta não tem capacidade de corrigir falhas ou vulnerabilidades existentes na rede, porém sua funcionalidade se baseia em disponibilizar todo e qualquer tipo de serviço que se queira e limitar seu uso apenas a redes autorizadas ou a certos hosts confiáveis, assim somente terá acesso aos dados pessoas realmente autorizadas, atuando de fato como uma barreira entre a rede interna e a rede externa (internet). Entretanto, o desempenho de um firewall não se limita apenas a liberar acessos e serviços a redes autorizadas e bloquear para as demais, um firewall pode atuar, por exemplo, como um webproxy conforme será visto também nos próximos capítulos. Este trabalho aborda os dois tipos de firewalls mais utilizados atualmente: o iptables, que é um firewall de filtragem de pacotes (packet filtering) implementado dentro do próprio kernel do Linux e que tem como funcionalidade analisar cada pacote e decidir seu futuro baseado em regras preestabelecidas pelo administrador da rede; e o squid, que é um webproxy que segundo Ricci e Mendonça(2006) tem a capacidade de analisar pacotes provenientes da camada de aplicação, ofertando assim uma flexibilidade muito maior por permitir que o tráfego dentro de um serviço, como por exemplo tráfegos oriundos da porta 80 (http) possam ser filtrados. O objetivo principal deste trabalho foi de explorar as extensões do iptables para implementar algumas funcionalidades de filtragem de conteúdo a fim de equiparar com algumas das funcionalidades oferecidas pelo squid, na tentativa de obter um melhor resultado tanto em velocidade quanto em desempenho.

17 17 O primeiro capítulo dá ênfase maior na segurança de redes conectadas à internet, mostra os riscos de não se ter uma rede segura perante alguns dos principais tipos de ataques direcionados a rede. O segundo e o terceiro capítulos respectivamente demonstram as características e as funcionalidades do iptables e squid. No quarto capítulo foi implementado um protótipo de firewall de filtro de conteúdo baseado no iptables. Este trabalho finalizou com o quinto capítulo onde foi realizada uma análise comparativa de todos os resultados encontrados até então.

18 18 1 SEGURANÇA DE REDES CONECTADAS À INTERNET Atualmente é difícil imaginar o mundo sem a internet. Ela tomou conta de nosso dia-a-dia numa proporção gigantesca. Empresas e instituições implantam e investem cada vez mais em tal tecnologia, gerando recursos nos quais antigamente se considerava inatingíveis. Porém, seu uso deve se dar de forma correta sem ultrapassar certos limites. Um assunto que sempre tem espaço na mídia e que ultimamente vem aparecendo com mais frequência são os ataques efetuados com o uso da rede mundial de computadores direcionados a grandes instituições. Pode ser pego como exemplo o caso ocorrido no mês de março do ano de 2013 em que foi relatado o maior ataque cibernético da história, o qual deixou como consequência a internet mais lenta em toda parte do mundo. Nesse caso foi efetuado um ataque distribuído de negação de serviço, o qual será explicado logo a diante nesse trabalho. 1.1 ATAQUES Com a rápida difusão da internet pelo mundo, o surgimento de ataques derivado desse meio começou a aumentar na mesma proporção, mas afinal como são efetuados esses ataques que vemos no noticiário frequentemente? Para entender melhor devemos saber que existe basicamente dois tipos de ataques: passivos e ativos Ataques Passivos De acordo com Stallings (2007), ficam denominados ataques passivos aqueles que têm como fundamento principal a obtenção de informações, o invasor no caso realiza um constante monitoramento da rede a fim de captar alguma mensagem na qual possa tirar proveito sobre a mesma. A figura 1.1 ilustra bem um tipo de ataque passivo. Segundo Stallings (2007), um ataque passivo é considerado o mais difícil de ser detectado pelo fato de não estabelecer nenhuma modificação, ou seja, o invasor apenas observa e não altera nada. Entretanto, uma alternativa simples que pode

19 19 solucionar esse problema em grande proporção é adotar o uso da criptografia, com isso as informações terão um nível de segurança muito maior, pois a criptografia embaralha e troca os dados utilizando algoritmos e chaves, de maneira que somente as pessoas autorizadas conseguem entendê-las. Figura 1.1- Tipo de ataques passivos Fonte: Stallings, 2007, p Ataques Ativos Stallings (2007) define ataque passivo como aqueles que envolvem alguma modificação do fluxo de dados ou criação de um fluxo falso e que podem ser facilmente subdivididos em quatro categorias, entre elas: disfarce; repetição; modificação de mensagens; e negação de serviço. Segue abaixo na figura 1.2 um exemplo de cada tipo de categoria.

20 Figura Tipo de ataque Ativo Fonte: Stallings, 2007, p.7 e 8. 20

21 TÉCNICAS DE ATAQUES Há atualmente uma enorme gama de possibilidades no que se diz respeito a ataques sobre uma rede, um servidor ou um simples computador pessoal. Com o passar do tempo foram elaboradas técnicas cada vez mais eficazes e, como conseqüência, mais difíceis de serem detectadas. A seguir o trabalho aborda os meios mais utilizados pelos crackers para efetuar ataques utilizando como plataforma a rede mundial de computadores Trojan Horse Como o próprio nome diz, é um ataque que tem como base o mesmo método utilizado pelos gregos para invadir Tróia. Tecnicamente falando é um programa malicioso tipo malware que tem como trunfo fazer com que o próprio usuário o instale em seu computador ou servidor, para isso o atacante cria esse software malicioso e o disfarça, logo após disponibiliza o mesmo programa na internet para download ou até mesmo envia a suas vitimas por , mas dizendo que o programa realiza determinada tarefa. Caso o usuário ou o administrador da rede em questão não estiver preparado para esse tipo de ataque e incorporar o software em seu host ao tentar instalá-lo será anunciado uma mensagem de erro, é nesse momento que o trojan passa a ter acesso em seu host, secretamente pode infectar arquivos de seu computador, roubar informações sigilosas e até mesmo instalar no computador invadido programas denominados backdoors que possibilitam seu futuro acesso a esse mesmo host. Segundo Costa (2012), um ataque por trojan é considerado muito perigoso, pois se bem sucedido permite o controle total pelo atacante do host comprometido e, portanto, torna-se imprescindível se precaver contra esta ameaça. Para tanto, exigese o maior grau de atenção possível quando da instalação de softwares em um equipamento, principalmente quanto à procedência do mesmo. Além disso, alguns outros cuidados também são importantes, tais como evitar o uso da conta do administrador do sistema para tarefas corriqueiras e que não exigem tal privilégio; evitar abrir de desconhecidos; entre outras.

22 Port Scanning Na realidade o Port Scanning não é considerado um tipo de ataque, e sim uma ferramenta muito utilizada pelos hackers e crackers para encontrar vulnerabilidades em hosts, principalmente em servidores. Inicialmente o port scanning foi elaborado para que os administrados enxergassem os serviços ativos em sua rede, porém se tornou a principal forma de espionagem por parte dos invasores. Essa ferramenta visa a varredura de toda a rede com o intuito de encontrar portas de serviços abertas ou em uso, principalmente nos servidores da rede, e dessa forma identificar possíveis vulnerabilidades (falhas de segurança) em tais serviços. Concluímos que é uma forma de coletar dados para a elaboração de futuros ataques ao alvo em questão. Há diversos tipos de port scanning, cada um contendo uma característica diferente. A seguir três dos mais utilizados: TCP connect scan De acordo com Lieira (2012), é o meio no qual é construído um handshake completo, onde o usuário estabelece uma conexão com cada porta do servidor por meio de pacotes SYN. Caso as portas estejam fechadas o servidor responderá com um RST, não permitindo a conexão. Porém, caso as portas nos servidores se encontrem com serviços TCP(Transmission Control Protocol) habilitados encaminhará ao cliente uma resposta de reconhecimento (acknowledgement) com pacote SYN/ACK. Finalizando o processo o cliente emite uma confirmação ao servidor com um ACK. É uma forma simples, porém pouco eficaz e indicada em caso de invasão por gerar logging (registro no sistema), sendo assim, de fácil detecção pelo administrador da rede. Tal método fica ilustrado na figura TCP SYN scan É um método no qual segundo Lieira (2012) não se estabelece uma conexão, ou seja, não concretiza um handshake completo. O cliente envia um pacote SYN às portas do servidor, e o mesmo responde com um SYN/ACK ou com RST/ACK, ao receber a resposta por parte do servidor, o cliente encerra de forma anormal a

23 23 conexão com um RST/ACK. Considerado uma forma mais complicada de se detectar, pois a mesma não gera logging, uma vez que a conexão não se concretizou. Figura Ilustração de um TCP connect scan Fonte: Escola Superior de Redes RNP, TCP FIN scan De acordo com Lieira (2012), é um método baseado no padrão de funcionamento do TCP, que tem o conceito de que ao receber um pacote FIN em qualquer porta fechada tem como resposta um pacote RST. As portas abertas apenas ignoram o pacote. Dessa forma então o cliente (atacante que está aplicando a varredura) envia ao servidor um pacote FIN, e o servidor então responde caso a porta estiver fechada com um pacote RST. Já se a porta estiver aberta, o servidor não responde absolutamente nada. Assim, o cliente sabe que como não obteve resposta a porta encontra-se aberta. Figura Ilustração de um TCP FIN scan Fonte: Escola Superior de Redes RNP, 2012

24 Ataques DoS e DDos Segundo Costa (2012), o ataque de negação de serviço denominado Denial of Service (DoS) é uma técnica que vem sendo muito utilizada pelos crackers ultimamente. Diferentemente dos meios vistos anteriormente, essa técnica não tem como objetivo invadir um sistema ou roubar informações, mas sim causar indisponibilidade do serviço ofertado pelo alvo. Stallings(2007) define um ataque de negação de serviço como uma tentativa de impedir que usuários legítimos de um serviço usem esse serviço. Quando esse ataque provém de um único host ou nó da rede, então ele é simplesmente chamado de DoS. Porém, existe outro tipo de ataque mais fatal que utiliza o mesmo conceito, os denominados ataques Distributed Denial of Service (DDoS), nessa técnica o atacante é capaz de recrutar diversos hosts pela Internet para desferirem simultaneamente, ou até mesmo de maneira coordenada, um ataque ao alvo. Segundo Costa (2012) existem diversas formas de se realizar um ataque de negação de serviços, entre elas se destacam: Causar indisponibilidade de um serviço, devido a geração de grande tráfego de dados, ocupando assim toda a banda disponível; Enviar uma grande quantidade de requisições a um único serviço, consumindo de tal forma todos os recursos necessário ao seu funcionamento, impedindo que as solicitações de usuários legítimos sejam atendidas; Explorar vulnerabilidade já existente em programas, que podem fazer com que um determinado serviço fique inacessível. Como visto para se obter sucesso em um ataque DDoS, faz-se necessário ter posse de várias máquinas criando assim um tipo de exército para implantar um ataque em massa sobre o alvo. Primeiramente então o cracker prepara o ambiente de ataque, ou seja, disponibiliza na internet uma enorme quantidade de malwares como vírus e cavalo-de-tróia, com a finalidade de tomar o comando do host para ele, deixando o computador de um usuário comum como um computador zumbi que obedecerá aos seus comandos. Essa forma de ataque está ilustrada na figura 1.5, onde pode se notar que o atacante possuindo acesso as máquinas zumbis, envia comandos para que todas enviem requisições simultaneamente para o web-site alvo

25 25 causando um enorme tráfego na rede, consequentemente derrubando o serviço por ela estabelecido. Figura Exemplo de um ataque DDoS Fonte: Yourpctips, Força Bruta Esse método diz respeito a uma técnica de invasão que quando se obtém sucesso em sua aplicação o invasor toma o comando de um usuário comum do sistema, tendo assim o mesmo nível de privilégio que seu dono original. Segundo Lieira (2012), um ataque de força bruta consiste em adivinhar, por tentativa e erro, um nome de usuário e senha e, assim, executar processos e acessar sites, computadores e serviços em nome e com os mesmos privilégios deste usuário. Utiliza na maioria das vezes um algoritmo que vai testando automaticamente todas as possíveis combinações de usuário e senha até conseguir acesso ou ser bloqueado pelo administrador da rede. Existem algumas ferramentas disponibilizadas na própria internet que fazem uso de wordlist (lista de palavras), na qual se encontram as principais palavras utilizadas como nome de usuário e senha.

26 26 Estas combinações direcionam os ataques fazendo com que nomes e senhas contidas nas listas de palavras sejam testadas e detectadas rapidamente. Figura Registro em log de tentativas de acesso sobre ataque de força bruta Fonte: Securityhacker, Na figura 1.6, pode-se ver uma tentativa de acesso ao nome de usuário utilizando o recurso de força bruta, porém o invasor não obteve sucesso, em todas as tentativas o sistema retornava a mensagem de usuário inválido. Note que se trata de um ataque muito perigoso, afinal ninguém quer que um invasor obtenha acesso em seu computador, servidor, e principalmente em sua rede de dados. Entretanto não é possível evitar ataques provenientes de força bruta, mas pode-se preparar o ambiente para que o invasor não obtenha sucesso em suas tentativas. Alguns pontos importantes que se deve levar em consideração a fim de preparar a rede para não se tornar um alvo fácil para invasores que utilizam força bruta: Não permitir que usuários do sistema possuam senhas fracas; Estabelecer um tamanho mínimo de caracteres nas senhas; Force o uso de combinação de diferentes tipos de caracteres (letra maiúscula, minúscula, números, e caracteres especiais); Bloquear a tentativa de acesso caso um usuário erre a senha seguidamente;

27 27 Ter uma constante monitoração de logs, a fim de identificar tentativas de força bruta. 1.3 FERRAMENTAS DE PROTEÇÃO É de vital importância que o responsável pela segurança da rede conheça e compreenda todo o tipo de ferramentas que possa o auxiliar em sua caminhada. Ferramenta de proteção é uma solução de segurança empregada para suportar os processos delineados. São elas que facilitam a devida aplicação das políticas de segurança e seu monitoramento. Incluem diversas funcionalidades, desde a identificação dos usuários, criptografia de dados, defesa contra ameaças, até a gestão da segurança. (PROMON BUSINESS & TECHNOLOGY REVIEW 2005, p.7). Com o elevado número de ataques relacionados à Internet, surgiu a necessidade de elaboração de novas e potentes ferramentas para auxiliar na defesa e segurança da rede, essas ferramentas podem ser descritas em três diferentes categorias: Identificação, Defesa contra ameaças e Criptografia Identificação Ferramentas nas quais segundo a Promon Business & Technology Review (2005), tem o objetivo de garantir uma correta identificação do usuário para que assim possa liberar o serviço de acordo com seu grau de permissão. Essa categoria tem como destaque os meios de: Identificação/Autenticação; Autorização/Controle de acesso; Public Key Infrastructure/Certification Authority Defesa contra Ameaças Esse tipo de ferramenta tem como fundamento a real proteção da rede em todos os quesitos, pode atuar tanto de forma preventiva quanto corretiva. Podem-se

28 28 destacar três ferramentas muito utilizadas nessa categoria: o Firewall que se destaca no quesito de proteção de perímetro; o Intrusion Detection Systems (IDS) que atua no conceito de detecção de anomalias e intrusão; e o mais utilizado por nós usuários, o antivírus que se trata de uma ferramenta de proteção contra infecção Criptografia A criptografia é um método de proteção muito difundido e utilizado pelos profissionais da área de redes de computadores. Segundo a Promon Business & Technology Review (2005), a criptografia pode ser definida como mecanismos que garantem a confidencialidade da informação em diversas camadas, através da aplicação de algoritmos de criptografia. Onde variam desde a criptografia das informações gravadas em dispositivos de memória (ex.: discos rígidos, storage) até criptografia das informações em trânsito visando à comunicação segura. Os equipamentos mais conhecidos para a comunicação segura são os chamados concentradores de VPN (Virtual Private Networks), que permitem a formação de redes virtuais seguras nas quais todo o tráfego trocado (entre dois nós de rede site-to-site ou entre uma estação remota e um nó de rede client-to-site) é criptografado utilizando algoritmos como o IPSec ou, mais recentemente, o SSL (Security Socket Layer). 1.4 FIREWALL De acordo com Stallings (2007), o firewall é inserido entre a rede local da empresa ou da instituição que for o caso e a própria Internet, a fim de estabelecer um enlace controlado e erguer uma parede ou um perímetro de segurança externo, como pode ser visualizado na figura 1.7 a seguir. O objetivo principal deste perímetro é proteger a rede local contra ataques baseados na Internet e oferecer um único ponto de controle onde a segurança e a auditoria podem ser impostas. O firewall também pode ser encontrado em forma de um único sistema de computador ou também em um conjunto de dois ou mais sistemas que cooperem para realizar tal função.

29 29 Figura Ilustração de um Firewall Fonte: Internetsegura, O Firewall é uma das ferramentas dominantes no quesito segurança, entre suas características destacam-se: Permitir e bloquear acessos de entrada/saída de determinados serviços pela Internet; Filtragem de pacotes baseados em endereços Ips (Internet Protocol), Macs (Media Access Control), número de portas, e até protocolos envolvidos; Pode realizar serviço de Proxy; Disponibiliza determinados serviços conforme o usuário que tenta acessá-lo, estabelecendo assim um nível de controle de usuários; Disponibiliza um ambiente para efetuar uma total monitoração de forma continua a eventos relacionados à segurança. Como visto o Firewall é uma excelente ferramenta que visa controlar ameaças externas, porém ele não tem nenhuma eficácia contra problemas internos, como por exemplo, funcionários insatisfeitos que buscam confrontar o administrador da rede, e também um firewall não tem nenhuma utilidade contra ataques de vírus já camuflado na rede interna.

30 30 Um firewall pode ser subdivido em três categorias, cujo funcionamento é explicado a seguir Firewall de Filtro de Pacotes Um firewall que utiliza o conceito de filtragem de pacotes trabalha da forma em que se examinam todos os pacotes de dados quando é efetuada alguma transferência da rede interna para a rede externa e vice e versa. Esse firewall atua na camada de Rede do modelo OSI. A filtragem tem como base o cabeçalho do pacote no qual contém campos como: IP origem/destino e Porta TCP/UDP origem/destino. Para Neto (2004), esta classe de Firewall é responsável por filtrar todo o tráfego direcionado ao próprio host Firewall ou a rede que o mesmo isola, tal como todos os pacotes emitidos por ele ou por sua rede. Ocorre mediante a análise de regras previamente inseridas pelo administrador do mesmo baseadas no cabeçalho do pacote trafegado na rede Firewall de Aplicação Segundo o Instituto Superior da Maia (2008) um Firewall do tipo aplicação se trata de um método de segurança, onde todo o tráfego que atravessa a fronteira entre a rede pública e a rede privada é encaminhado para o firewall, e neste caso para o Proxy, no qual funcionará a nível de aplicação, executando funções de autenticação, controle de acessos, e controle de estado das ligações, que é muito importante pois permite uma filtragem mais eficaz da informação. O firewall de aplicação, também denominado firewall Proxy, recebe os pedidos do exterior, analisa-os e, caso todas as condições de segurança para acesso à rede estejam reunidas, encaminha-os para o sistema adequado dentro da própria rede. Por outro lado, todos os pedidos provenientes do interior da rede, serão encaminhados para o Proxy que se irá incumbir da tarefa de contatar os respectivos sistemas de rede exteriores. Há uma informação importante a reter com os passos mencionados anteriormente, deixará de existir comunicação direta entre os sistemas de rede interiores e exteriores, mas para o utilizador, todo esse processo se dará de forma

31 31 transparente. Com este processo a segurança sai reforçada, pois deixa de existir acesso direto do sistema externo ao sistema interno, com exceção do sistema Proxy Firewall Baseado no Estado Para Monteiro (2000) este tipo de Firewall busca a completa análise de tráfego aos níveis de IP e TCP/UDP e constroem tabelas de estado das ligações, de modo a prevenir ataques por spoofing, replaying, entre outros. Este possibilita um funcionamento ao nível da aplicação de uma forma dinâmica. Os firewalls podem incluir hoje em dia, funcionalidades de encriptação, encapsulamento e balanceamento de carga, requerendo cada vez menos complexas operações de configuração e manutenção. A maior desvantagem desse tipo de firewall se dá devido ao seu elevado custo comparado aos demais tipos, pelo fato de que a tecnologia adotada nesse trabalho ser mais complexa do que as demais versões, um bom exemplo disso é que a intervenção por parte do utilizador nessa versão se tornou quase nula. Este Capítulo mostrou então os principais métodos de ataques utilizados pelos hackers e crackers, além de mostrar uma introdução sobre o firewall que é a ferramenta de proteção que será tomada como base para este trabalho. Nos próximos capítulos veremos detalhadamente os 2 principais firewalls utilizados pelos administradores de rede.

32 32 2 FIREWALL DE FILTRO DE PACOTES COM IPTABLES Segundo Russell (2001) criador principal do Iptables, um filtro de pacotes pode ser definido como um software no qual analisa os cabeçalhos (header) dos pacotes enquanto eles passam, e decide se o pacote será aceito (ACCEPT), ou se será rejeitado (DROP). Esse tipo de firewall é o mais utilizado e atua em 3 áreas extremamente importantes: Segurança, Controle e Vigilância, como descrito a seguir. Segurança, na ocasião em que a máquina física se torna o único ponto entre a rede interna (rede local) e a rede externa (internet), é de suma importância saber restringir determinados tráfegos oriundos do mundo externo, os quais podem originar algum tipo de ataque malicioso. É correto permitir então que pacotes da rede interna consigam acessar serviços da rede externa, porém deve-se barrar e restringir certos acessos de fora com o destino à rede interna, diminuindo assim a probabilidade da rede ser alvo de ataques, como por exemplo, o 'Ping of Death (Ping da morte)'; Controle, no momento em que se tem um servidor no qual se conecta a rede local a internet, é aconselhável efetuar o controle do que cada usuário dentro da rede possa acessar, e o firewall de filtragem de pacotes oferece esse tipo de serviço, ele proporciona ao administrador da rede a oportunidade de permitir certos tipos de tráfegos e negar outros que julgar necessário, como por exemplo, pode-se liberar o acesso para pesquisas e sites de s pessoais, entretanto pode constar da política de segurança da empresa restringir o acesso as redes sociais e sites de conteúdo pornográficos a todos os usuários da rede interna. Além de ter a possibilidade de definir o grau de acesso do que cada usuário dentro da rede poderá acessar; Vigilância, em determinada ocasião há a possibilidade de uma máquina dentro do ambiente interno se encontrar mal configurada e decidir por si própria enviar um elevado número de pacotes descontroladamente à rede externa. Para esses casos é muito aconselhável configurar o filtro de pacotes para que o mesmo gere alertas quando algo anormal como essa situação acontecer, dessa forma então o administrador da rede poderá resolver o problema bem mais rápido e evitar que gere um problema ainda maior, comprometendo de tal forma a rede em questão.

33 IPTABLES Para Urubatan Neto (2004), o Iptables se trata de uma ferramenta que permite a manipulação de tabelas do Netfilter, elaborado por Rusty Russell juntamente com Michel Neuling em meados do ano de 1999 e implementado no Linux como um módulo do Kernel 2.4. O Iptables surgiu afim de substituir o IPFWADM e IPCHAINS e compor de tal forma a quarta geração de sistema de firewall do Linux. Dentre suas principais características, destaca-se: a velocidade de realizar suas tarefas, a segurança, eficácia e economia tanto em aspectos financeiros quanto em requerimento de hardware. Em tal quesito necessita de apenas um computador rodando sobre a arquitetura 386 com 4 MegaBytes de memória. Devido a esses pontos o Iptables se tornou um dos firewalls favoritos dos administradores de rede. Essa ferramenta de segurança gerou uma enorme gama de recursos tais como a implementação de filtro de pacotes utilizando a tabela Filter, possibilitou um maior grau de controle como o desenvolvimento de Quality of Service (QoS) sobre o tráfego, suporte redirecionamento de endereços e portas de serviços, mascaramento de conexões, detecção de fragmentos, monitoramento de tráfegos, Type of Services (ToS), bloqueio de ataques Spoofing, Syn-Flood, DOS scanners ocultos, pings da morte entre outras inúmeras possibilidades. Além disso, o Iptables tem uma opção muito interessante na qual permite a utilização de módulos externos na composição de suas regras, de tal forma permite que o mesmo atue com mais funcionalidades ainda. 2.2 TABELAS O Iptables conta com 3 tipos diferentes de tabelas, a tabela Filter, Nat, e Mangle. A tabela padrão é a Filter, ou seja, se nenhuma tabela for especificado na composição de determinada regra, o Kernel entenderá então que se trata de uma regra estipulada para ter o seu funcionamento junto com a tabela filter, caso queira que a regra se aplique na tabela Nat ou Mangle, faz necessário então a especificação da mesma utilizando a flag t[table], onde table se refere ao nome da tabela que deseja utilizar, no caso Mangle ou Nat.

34 Filter Como abordado anteriormente a tabela filter é tratada como a tabela padrão do netfilter, fica concedida a ela então a responsabilidade de cuidar de todas as tarefas no que diz respeito a filtragem de pacotes. Como ela é uma tabela de uso geral é nela que se encontram praticamente todas as regras de filtragem, e é com o uso dela também que se consegue realizar diversos tipos de atividades como bloquear e negar acessos e ainda gerar logs. Segundo Lieira (2012), a tabela filter conta com três conjuntos de regras no qual se dá o nome de chains, são elas: Input, Forward e Output. A chain Input é responsável por analisar tudo que entra no host, ou seja, apenas pacotes cujo destino seja o ip da máquina propriamente dita será avaliado. A chain Forward analisa tudo que chega ao host, mas que, entretanto cabe a necessidade de ser redirecionado a um host secundário ou até a outra interface de rede, logo somente pacotes que serão repassados, ou seja, que não são para ela e muito menos são oriundos dela serão avaliados por essa chain. Já a chain Output fica responsável por realizar a análise de tudo o que sai do host, sendo assim apenas pacotes originários da rede interna serão avaliados por essa chain Atravessar as Chains Fica ilustrado na figura 2.1 o funcionamento da tabela filter juntamente com suas respectivas chains. No instante em que um pacote chega ao firewall (iptables), o kernel realiza uma decisão de roteamento (routing), ou seja, ele analisa o destino do pacote. Caso o mesmo esteja destinado a própria máquina, o pacote segue o diagrama rumo a chain Input, apenas se ele passar por essa chain a máquina receberá o pacote. Caso o pacote chegou por uma interface de rede (rede interna, por exemplo) e será destinada a outra interface de rede (rede externa, por exemplo), estando o suporte a forwarding do kernel habilitado, o pacote será analisado pelas regras da chain Forward. Para finalizar é importante frisar que um programa que esteja rodando em um host firewall pode também enviar pacotes, esses passam pela chain Output, se a política da chain aceitar o pacote ele continuará seu caminho, se não o pacote será descartado imediatamente.

35 35 Figura Esquema da tabela Filter Fonte: Eriberto, Comandos e Ações da tabela Filter O iptables possui várias opções que podem ser digitadas na linha de comandos. A seguir serão descritas as mais utilizadas de acordo com Neto (2004): -A Cabe a esse comando a função de adicionar uma nova entrada ao fim da lista de regras. O exemplo a seguir adiciona uma nova regra no final da lista referente a chain INPUT: iptables A INPUT -D Tem a função de deletar uma regra especificada da lista. O exemplo seguinte remove a regra número 1 da chain INPUT: iptables D INPUT 1 -L Comando que lista as regras já existentes; iptables L FORWARD

36 36 -P Modifica a política padrão das chains. O exemplo a seguir altera a política padrão da chain INPUT para DROP (bloqueia): iptables P INPUT DROP -F Remove todas as entradas adicionadas na lista de regras; iptables F O próximo exemplo remove apenas as regras da chain INPUT. iptables F INPUT -N Comando no qual nos dá a possibilidade de elaborar uma nova chain. No exemplo a seguir é criada uma nova chain chamada redes na tabela filter: iptables t filter N redes -X Remove uma chain criada pelo comando -N; iptables X redes -P Especifica o protocolo que será aplicado à regra, sendo que os protocolos mais utilizados são: TCP, UDP e ICMP. iptables A INPUT p tcp -i Dita a interface de entrada que será utilizada. O exemplo a seguir especifica a entrada de pacotes pela interface eth0: iptables A FORWARD i eth0 -o Dita a interface de saída que será utilizada. No exemplo abaixo é especificada a saída de pacotes pela interface eth1: iptables A OUTPUT o eth1 -s Dita a origem do pacote a qual a regra deverá ser aplicada; iptables A FORWARD s /24 Onde a regra se baseará em pacotes oriundos desse IP, nota-se que a subrede deve ser especificada logo após o IP. -d Dita o destino do pacote a qual a regra deverá ser aplicada;

37 37 iptables A FORWARD d Onde a regra se baseará em pacotes destinados a esse IP. -j Define o alvo (target) do pacote; iptables A FORWARD i eth0 j ACCEPT; Caso o pacote se encaixe a regra preestabelecida ele realizará suas ações, suas principais ações são: ACCEPT, DROP, REJECT e LOG. --sport Essa regra possibilita a aplicação de filtros com base na porta de origem do pacote; iptables A INPUT p udp --sport 80 Onde estabelece uma regra baseada no protocolo udp cuja origem é a porta dport - Essa regra possibilita a aplicação de filtros com base na porta de destino do pacote; iptables A INPUT p tcp --dport 25 Onde estabelece uma regra baseada no protocol tcp cujo destino é a porta NAT Network Address Translation (NAT) é um padrão da Internet, que possibilita as máquinas da rede local utilizar um conjunto de endereços IP para realizar a comunicação interna e outro conjunto de endereços IP para a comunicação externa. Qualquer rede local que utiliza NAT é denominado rede natted, sendo assim para se obter o funcionamento de NAT deve-se haver um gateway NAT em cada rede natted. Um firewall NAT conta com diversos recursos importantes nos quais se destacam o mascaramento (masquerading), o redirecionamento de portas (port fowarding ou PAT), redirecionamento de servidores (forwarding), proxy transparente (transparent proxy), e balanceamento de cargas (load balance). Para a elaboração de regras o NAT conta com 3 chains, PREROUTING a qual analisa pacotes entrantes no kernel para sofrerem NAT; POSTROUTING em que analisa os pacotes

38 38 que estão de saída do próprio kernel depois de sofrerem NAT; e por fim a chain OUTPUT na qual analisa-se pacotes oriundos da própria máquina firewall e que será necessário sofrer NAT. A figura 2.2 ilustra como os pacotes atravessam esse tipo de tabela. Figura Esquema da Tabela NAT Fonte: Eriberto, SNAT Segundo Urubatan Neto (2004) a função SNAT permite a alteração de endereços e portas de origem dos pacotes nas quais atravessam o host Firewall antes que haja algum roteamento por parte do seu destino final, essa função conta com apenas uma chain denominada POSTROUTING, sendo assim toda vez que se faz o uso de SNAT automaticamente faz-se necessário o uso da chain POSTROUTING. Um serviço que o SNAT oferta é o de mascaramento como se nota na figura 2.3.

39 39 Figura Mascaramento usando SNAT Fonte: Eriberto, Segue abaixo uma regra de SNAT com suas devidas avaliações. iptables t Nat A POSTROUTING s o eth1 j SNAT -- to Primeiramente é anunciado a criação de uma nova regra (-A) na qual fará o uso da tabela Nat (-t Nat) sob a chain POSTROUTING. Por fim dizemos que todo pacote no qual contenha ip origem (-s ) e que saia pela eth1 (-o eth1) deve ter seu endereço de destino alterado (-j SNAT) para (-- to ) DNAT A função DNAT, mais conhecida como tradução de endereçamento de destino, é a qual se aplica quando se tem a necessidade de alterar o endereço de destino do pacote. Sua utilidade mais comum é permitir o acesso a serviços em servidores da rede interna que utilizam ip privado. Conta com as chains

40 40 PREROUTING e OUTPUT para a elaboração de suas regras. Com elas pode-se obter serviços como redirecionamento de portas, redirecionamento de servidor, load balance, e até mesmo proxy transparente. Segue abaixo uma regra de DNAT com suas devidas avaliações. iptables t Nat A PREROUTING d i eth1 j DNAT -- to Primeiramente é anunciado a criação de uma nova regra (-A) na qual fará o uso da tabela Nat (-t Nat) sob a chain PREROUTING. Por fim dizemos que todo pacote no destinado para o ip (um segundo IP do firewall, por exemplo), chegando pela interface eth1 (interface externa do firewall, por exemplo) deve ter seu endereço de destino alterado (-j DNAT) para (-- to ), o qual seria um servidor da rede interna usando ip privado Transparent Proxy Urubatã Neto (2004) defende que ao Proxy tansparente (transparent Proxy) é a forma que a tabela NAT encontrou para realizar um redirecionamento de portas em um mesmo host destino, e que esse método é extremamente utilizado pelo Squid, o qual sempre disponibiliza consultas WWW na porta 3128, quando os clientes realizam essas solicitações perante a porta 80. Conclui-se então que o Squid faz um redirecionamento de portas, da 80 para a Para essa finalidade deve-se fazer o uso das chains PREROUTING e OUTPUT, entretanto há a necessidade de incluir a target REDIRECT para diferenciar assim de ações DNAT. Abaixo encontra-se um bom exemplo de regra dessa ação. iptables t Nat A PREROUTING i eth1 p tcp -- dport 80 j REDIRECT -- to-port 3128 Primeiramente anunciamos a criação de uma nova regra (-A) na qual fará o uso da tabela Nat (-t Nat) sob a chain PREROUTING. Por fim dizemos que todo pacote que entra pela interface eth1(-i eth1) e que seja encaminhado a porta 80 (-- dport 80) deverá ser redirecionado (-j REDIRECT) à porta 3128 (--to-port 3128).

41 Mangle Essa tabela tem como fundamento principal a modificação de pacotes antes que os mesmos passem por outras chains. Ela trabalha com as chains PREROUTING e OUTPUT. O principal serviço ofertado por essa tabela é o de TOS, o qual possibilita o administrador da rede classificar e aumentar consideravelmente a velocidade de tráfego em tempo real. A seguir é detalhado o funcionamento desse serviço TOS O ToS é um campo no qual se analisa o cabeçalho do pacote a fim de obter informações sobre o tipo de serviço ao qual o pacote se destina, ele é dito como um alvo (target) no qual se direciona os pacotes em que se deseja realizar a filtragem referenciando os mesmos em uma determinada regra utilizando a tabela mangle. Seu uso principal se dá com o intuito de escolher a prioridade em que um pacote será processado. O uso de prioridade diante de uma rede relativamente grande com muitos computadores trabalhando em conjunto, claramente tornará sua conexão mais rápida em serviços considerados de maior importância e, consequentemente, deixará uma pequena quantia de banda para os serviços considerados secundários. Por padrão o valor TOS ajustado a cada pacote lhe atribui uma prioridade normal, a tabela 2.1 aborda os tipos de prioridade do TOS. Quadro Tipos de Prioridade TOS. Espera Mínima 0x10 ou 16 Máximo Processamento 0x08 ou 8 Máxima Confiança 0x04 ou 4 Custo Mínimo 0x02 ou 2 Prioridade Normal 0x00 ou 0 Fonte: Elaborado pelo Autor, As regras de TOS podem ser devidamente divididas entre regras de tráfegos de entrada, e regras de tráfego de saída, conforme se mostra a seguir.

42 Tráfego de Entrada De acordo com Neto (2004), tráfego de entrada é aquele no qual um conjunto de pacotes chega pela interface de rede, logo como se trata de tráfego de entrada deve-se fazer o uso da chain PREROUTING. Segue abaixo um exemplo desse tipo de regra. iptables t mangle A PREROUTING i eth1 p tcp sport 22 j TOS --set-tos 16 Primeiramente anunciamos a criação de uma nova regra (-A) na qual fará o uso da tabela Mangle (-t mangle) sob a chain PREROUTING. Por fim dizemos que todo pacote que entra pela interface eth1(-i eth1) que esteja sob o protocolo ssh (-- sport 22) deve ter prioridade máxima (-- set-tos 16) Tráfego de Saída Tráfego de saída incorpora somente pacotes cujo quais são emitidos por seu host/rede, e não pacotes vindos de fora, como se trata de saída deve-se utilizar a chain OUTPUT. Segue abaixo um exemplo de regra em que se aplica o tráfego de saída. iptables t mangle A OUTPUT o eth1 p tcp --dport 22 j TOS --set-tos 16 Primeiramente anunciamos a criação de uma nova regra (-A) na qual fará o uso da tabela Mangle (-t mangle) sob a chain OUTPUT. Por fim dizemos que todo pacote que sai pela interface eth1(-o eth1) que esteja sob o protocolo ssh (-- dport 22) deve ter prioridade máxima (-- set-tos 16). 2.3 EXTENSÕES IPTABLES Segundo Urubatã Neto (2004) as extensões são uma forma de se ampliar as funcionalidades do iptables. O Iptables conta com diversas extensões, também conhecido por módulos, que são acionados através do parâmetro m antes do nome do módulo que se deseja fazer o uso.

43 Limit Esse módulo é muito utilizado a fim de conter ataques mais elaborados. É baseado em especificar quantas vezes a regra deve ser executada em um intervalo de tempo específico. É constantemente usado para conter ataques que se dá via o Internet Control Message Protocol (ICMP), como por exemplo, o ataque DoS, no qual o atacante irá enviar ao alvo um enorme número de requisições ICMP em um curto intervalo de tempo a fim de sobrecarregar a rede e causar indisponibilidade de serviço. Logo, fazendo o uso do módulo limit esse problema é facilmente contornado, basta configurá-lo para que o mesmo permita, por exemplo, que o firewall aceite pacotes ICMP apenas se enviados numa sequência superior a um intervalo de tempo de 1 segundo, caso receba 2 ou mais pacotes ICMP em menos de 1 segundo o firewall deve automaticamente bloquear essas solicitações onde avita assim a sobrecarga da rede. A regra elaborada abaixo mostra como efetuar tal configuração. iptables A INPUT p ICMP -- icmp-type echo-request m limit 1/s j ACCEPT iptables A INPUT p icmp j DROP Primeiramente é anunciado a criação de uma nova regra (-A), como não foi especificado nenhuma tabela logo faremos o uso da tabela filter que é a padrão, sob a chain INPUT. Depois pode afirmar que pacotes de requisição ICMP (-p icmp -- icmp-type echo-request) serão aceitos somente se recebidos em um intervalo de tempo de 1 segundo (-m limit limit 1/s j ACCEPT). Caso ultrapasse esse limite o pacote deverá executar a regra a seguir que diz para bloquear (-DROP) qualquer pacote ICMP (-p ICMP) State Essa extensão permite atribuir regras perante a uma análise de estado em que a conexão de um pacote se encontra. Esses estados são: NEW no qual indica que o pacote está a criar uma nova conexão; ESTABLISHED indica que se trata de uma pacote de resposta, pois o pacote pertence a uma conexão existente;

44 44 RELATED a qual se refere a pacotes que se relacionam indiretamente com outros pacotes, esse tipo de estado é muito encontrado em mensagens de erros de conexão; e por fim o estado INVALID que é aquele onde os pacotes não são identificados por algum motivo desconhecido, logo esses pacotes devem ser descartados pelo firewall (DROP). Esse módulo permite a utilização de mais de um tipo de estado para efetuar uma regra, a seguir um exemplo de regra que utiliza o módulo state. iptables A INPUT m state --state INVALID i eth1 j DROP Primeiramente é anunciado a criação de uma nova regra (-A), como não foi especificado nenhuma tabela logo será feito o uso da tabela filter que é a padrão, sob a chain INPUT. Por fim pode-se afirmar que se fará o uso do módulo state (-m state) que deverá bloquear (-j DROP) qualquer pacote em que o estado de conexão seja considerado inválido (-- state INVALID) que entre pela interface de rede eth1 ( i eth1) MAC O endereço MAC (media access control) se trata da identificação de mais baixo nível que um computador possui, considerável inacessível por tratar de um endereço embutido no próprio hardware em si pelo próprio fabricante. O módulo Mac possibilita que a atuação do firewall chegue a esse nível, logo não teria a necessidade de especificar o endereço IP para a elaboração de uma determinada regra. Abaixo segue uma regra de exemplo explicando o funcionamento de tal módulo. iptables A INPUT m Mac --mac-source E5-3B-1A-21 j ACCEPT Primeiramente fica anunciado então a elaboração de uma nova regra ( -A ). Como nenhuma tabela em questão foi especificada, por padrão o iptables entende que será considerada a tabela filter, sobre a chain INPUT. Por fim ficou especificado o módulo mac (-m mac) no qual deverá aceitar ( -j ACCEPT ) qualquer pacote que seja oriundo do endereço Mac E5-3B-1A-21 (--mac-source E5-3B-1A- 21).

45 Multiport Multiport é um modulo que traz consigo a possibilidade de se especificar múltiplas portas (limite máximo de 15) para a composição de uma regra. Pode ser utilizado para especificar tanto porta de origem (--sport) quanto para portas de destino (--dport), e até as duas (origem e destino) simultaneamente com o parâmetro -- port. A seguir um exemplo de regra que utiliza tal procedimento. iptables A INPUT p tcp i eth1 m multiport --dport 80, 25, 53, 110 j DROP Primeiramente é anunciado a criação de uma nova regra (-A), como não foi especificado nenhuma tabela logo foi feito o uso da tabela filter que é a padrão, sob a chain INPUT. Por fim é utilizado o módulo multiport (-m multiport) para bloquear (-j DROP) qualquer pacote tcp (-p tcp) que entre pela interface de rede (eth1) destinada às portas 80, 25, 53 e 110 ( --dport 80, 25, 53, 110) String Segundo Urubatan Neto (2004) string se trata de um módulo extremamente útil quando surge a necessidade de realizar um controle de tráfego baseado no conteúdo real de um pacote. Antes da elaboração desse módulo, somente era possível obter tal gerenciamento de pacotes por via de um Proxy, que por sua vez conseguia controlar um tráfego mediante a análise do conteúdo propriamente dito de um pacote. Com a implementação do módulo string sob o iptables o mesmo foi capaz de realizar tal controle de pacotes de 5 a 10 vezes mais rápido do que qualquer Proxy já elaborado. A seguir uma regra de controle de tráfego onde é utilizado o módulo string. iptables A INPUT m string --string pornô j DROP Primeiramente anunciamos a criação de uma nova regra (-A), como não especificamos nenhuma tabela logo faremos o uso da tabela filter que é a padrão, sob a chain INPUT. Por fim é utilizado o módulo string (-m string) para bloquear (-j DROP) a entrada de qualquer pacote que contem a palavra pornô (--string pornô ).

46 Owner O módulo Owner se trata de um módulo pouco difundido, entretanto sua funcionalidade é muito interessante, com ele o administrador da rede é capaz de identificar o verdadeiro processo ou usuário emissor do pacote e elaborar regras com esse conhecimento. Esse módulo trabalha em combinação apenas com a chain OUTPUT. Segue abaixo um exemplo de regra em que se aplica tal módulo. iptables A OUTPUT m owner --gid-owner 81 p udp j DROP Primeiramente é anunciado a criação de uma nova regra (-A), como não foi especificado nenhuma tabela logo foi feito o uso da tabela filter que é a padrão, sob a chain OUTPUT. Por fim é utilizado o módulo owner (-m owner) para bloquear (-j DROP) a saída de qualquer pacote udp (-p udp) oriundo de um usuário do grupo sob o identificador de grupo 81(--gid-owner 81). Este capítulo então abordou os principais conceitos do firewall Iptables, o próximo capítulo se baseará em expor os principais conceitos do outro firewall estudado neste trabalho, o Squid.

47 47 3 FIREWALL DE CONTEÚDO COM SQUID O squid é atualmente o Proxy mais utilizado quando o assunto se trata de controle de conteúdo, o mesmo oferta também todas as funcionalidades de um Proxy comum e fica disponibilizado para a maioria das distribuições Linux. 3.1 PROXY Segundo Ricci e Mendonça (2006) Proxy se trata de um software no qual se estabelece a função de gateway de aplicação entre o cliente e o serviço a ser acessado, interpretando as requisições e repassando-as ao servidor de destino. O Proxy na maioria das vezes se dá como um intermediário entre a rede local e a internet, onde todas as requisições de todos os hosts da rede terão que primeiramente se conectar ao servidor Proxy para que ele repasse o conteúdo ao verdadeiro destino tornando possível a conexão com a internet. Abaixo na figura 3.1 fica ilustrado um exemplo de compartilhamento de internet em que se utiliza um servidor Proxy. Figura Esquema compartilhamento de internet com o Proxy Fonte: Marques, 2013.

48 Características de um Proxy Um servidor Proxy pode ter seu funcionamento dividido em cinco principais características, entre elas: cache de páginas; lista de controle de acesso; autenticação; Proxy transparente; e Proxy controlado Cache de Páginas Com o crescimento abundante da utilização da internet pela população mundial, assim como o surgimento constante de novas aplicações web, cresce com isso na mesma velocidade a quantidade de dados a serem trafegados pela rede, deixando os meios de comunicação disponíveis cada vez mais saturados. Sabendo que grande parte deste tráfego se trata de resultado da passagem de diversas cópias da mesma informação, foi elaborado então dentro do servidor proxy um método denominado cache dita a Rede Nacional de Ensino e Pesquisa (RNP) (1997). Como o servidor Proxy fica localizado entre a rede interna e a internet, de tal modo que todas as solicitações de acesso às páginas web passem por ele antes de ser direcionadas ao destino real da requisição de acesso, logo o método cache grava em sua memória uma cópia real página web no qual foi feita alguma requisição de acesso por parte do usuário antes de repassar para o servidor de destino da requisição, para que em futuras solicitações a essa mesma página o servidor proxy já a encontre localmente não sendo necessário o redirecionamento a outros servidores Lista de Controle de Acesso A Access Control List (ACL) teve seu desenvolvimento a fim de deixar a rede interna com um nível de segurança mais elevado. Segundo Pedroso (2006) uma ACL se trata de uma sequência de instruções nas quais se da à possibilidade de permitir ou negar o acesso a determinadas redes ou recursos disponíveis em outras redes. Refere-se então ao método que o Proxy utiliza para realizar a segurança do controle de acesso, nela que se dá a elaboração de regras de liberação, bloqueio, entre outras.

49 Autenticação De acordo com Ricci e Mendonça (2006), autenticação é uma característica do Proxy voltada para a parte de segurança, pois ela permite autenticar cliente via login, onde fica necessário dispor de informações como usuário e senha. O Proxy autenticado então se torna mais indicado quando se necessita obter um controle maior sobre os usuários da rede, um ponto positivo desse tipo de Proxy é que ele permite realizar liberações específicas para cada usuário e ainda gerar relatório sobre a utilização da internet de cada usuário. Isso em uma empresa seria bem útil para saber se um funcionário está de fato desempenhando seu trabalho ou se está disperso em outros sites que não deveriam fazer parte do ambiente de trabalho. Outra característica do Proxy autenticado é que toda vez em que se abrir o navegador terá que realizar o login, mesmo que já tenha realizado-o antes e fechou o navegador sem querer terá que realiza-lo novamente, e isso muitas vezes não se torna de grande agrado por parte do usuário Proxy Transparente Um Proxy transparente como o próprio nome já diz é um Proxy que fica oculto, ou seja, ele está realizando o seu trabalho normalmente, porém o cliente não consegue enxergá-lo, o mesmo acha que está conectado diretamente com o serviço destino, no entanto quem está realizando todo este trabalho no caso é o Proxy transparente. A principal vantagem de se adotar esse método é que dessa forma não se faz necessário a configuração de um Proxy nos navegadores dos usuários. Nesse método também se pode fazer a obrigatoriedade de todo o acesso da rede interna destinada a internet se submeta ao Proxy, sendo assim o cliente é forçado a sempre fazer o uso do Proxy Proxy Controlado Segundo Ricci e Mendonça (2006), o Proxy controlado se trata de um serviço mais elaborado e seguro, ele conta com grande variedade de recursos principalmente quando o assunto é controle de conteúdo. Uma das vantagens em se utilizar esse método é a possibilidade da utilização das ACL s (lista de controle de

50 50 acesso) para realizar a liberação ou o bloqueio de quem pode ou não fazer o uso do Proxy, outro ponto bastante interessante é que este método trabalha também com cache deixando o desempenho da rede muito superior. O principal ponto negativo deste Proxy é a falta de estabilidade da conexão, pois o usuário da rede interna tem a possibilidade de remover as configurações impostas, mesmo que isso impossibilite sua navegação Diferenças entre Filtro de Pacotes e Servidor Proxy Filtro de pacotes e Servidor Proxy são serviços que tem basicamente a mesma finalidade, ou seja, atuar como um intermédio entre a rede local e a internet, fazendo o controle de todo o tráfego oriundo da rede interna destinada a rede externa através de regras preestabelecidas. Para Ricci e Mendonça (2006) a principal diferença entre os dois serviços é que o filtro de pacotes não penetra tão afundo no pacote filtrado como o servidor Proxy. O filtro de pacotes faz a análise do tráfego nas camadas de rede (camada 3) e de transporte (camada 4) do modelo OSI. Já o servidor Proxy é capaz de realizar a análise do pacote na camada de aplicação (camada 7) dessa forma oferece um nível de flexibilidade muito maior permitindo a análise do tráfego HTTP ou FTP determinando se devem passar ou não, e ainda caso existir alguma regra que impeça a passagem de qualquer endereço WEB que contenha por exemplo a palavra pornô, então qualquer pedido de URL HTTP que possuir pornô será descartado. A figura 3.2 mostra a divisão dos protocolos em suas respectivas camadas, vale ressaltar que o filtro de pacotes atua na camada 3 e 4, enquanto o filtro de conteúdo atua na camada CARACTERÍSTICAS DO SQUID A característica principal do squid que se difere dos demais tipos de Proxy é o excelente nível de controle de acesso que ele proporciona para o administrador da rede, outro recurso interessante que o squid possui é o cache de páginas, no qual ficam armazenadas as páginas web no qual obtiveram alguma solicitação pela rede local, para que em futuros acessos a essas mesmas páginas o Proxy já a encontre

51 51 localmente, não tendo a necessidade então de estabelecer uma nova busca no servidor alvo, economizando assim recursos de banda e rede. Figura Divisão dos protocolos em suas respectivas camadas. Fonte: Marques, Listas de Controle de Acesso do Squid As listas de controle de acesso do squid surgiram da necessidade de obtenção de um maior nível de segurança para a rede local, junto a ela veio à possibilidade de controlar todas as requisições realizadas por parte dos usuários clientes da rede interna. Segundo Ricci e Mendonça (2006) as regras das ACL basicamente permitem bloquear, retardar, registrar e autorizar os acessos de acordo com diversos parâmetros como: Origem da requisição, Destino da requisição, Horário da requisição, Endereço Mac, Disponibilidade de banda, Filtros personalizados baseados em string ou expressões regulares entre outros Sintaxe Primeiramente antes da elaboração de qualquer regra de controle de acesso no squid faz-se necessário o entendimento de dois importantes conceitos para que seu funcionamento se dê de forma segura e completa. Primeiro as diretivas do squid.conf assim como no iptables são interpretadas de cima para baixo, ou seja, na

52 52 ordem em que são expostas no arquivo de configuração. Segundo conceito que deve ser bastante frisado é a importância de definir a última diretiva do arquivo squid.conf com uma regra que bloqueie todas as solicitações de acesso. Segue no quadro 3.1 um exemplo de regra em que se faz o bloqueio de uma lista de acesso. Quadro 3.1 Regra de bloqueio de acesso com seus devidos comentários. # acl rede_ex src /24 # http_access deny rede_ex - A Primeira linha elabora uma lista de acesso denominada rede_ex do tipo origem (src) e define a rede como origem da requisição. - A Segunda linha bloqueia (deny) todos os elementos contidos na lista de acesso rede_ex. Fonte: Elaborado pelo Autor, Classes de Acesso SCR Classe de acesso no qual se baseia pelo endereço ip da origem da requisição. DST Classe de acesso no qual se baseia pelo endereço destino da requisição. SCRDOMAIN Classe de acesso no qual se baseia pelo domínio dns do host do cliente que realiza a requisição de acesso. DSTDOMAIN Classe de acesso no qual se baseia pelo domínio dns do servidor de destino da requisição realizada pelo cliente. SRCDOM_Regex Classe de acesso no qual fica permitido o uso de expressões regulares afim de classificar o domínio da origem de qualquer requisição. DSTDOM_Regex Classe de acesso no qual fica permitido a utilização de expressões regulares afim de possuir uma classificação sobre o domínio do destino da requisição.

53 53 TIME Classe de acesso em que se tem a possibilidade de determinar o dia da semana, e horário da requisição, e então baseado nessa informação pode-se liberar ou não o acesso. URL_Regex Classe de acesso em que se tem a possibilidade de utilização de expressões regulares em contraste a url solicitada pelo cliente para liberar ou não seu acesso. PORT Classe de acesso na qual se permite realizar o controle das solicitações de acesso baseado na porta de destino do servidor alvo. Proto Classe de acesso no qual se obtém a possibilidade de especificar o protocolo utilizado na conexão. METHOD Classe de acesso na qual é possível especificar o tipo de método de requisição web (Get ou Post). BROWSER Classe de acesso na qual é possível determinar através de expressões regulares o navegador web do qual partirá qualquer solicitação de acesso web. IDENT Classe de acesso no qual possibilita classificar o acesso de acordo com o usuário logado no host cliente. Entretanto para a utilização desta classe faz-se necessário um servidor Ident sendo executado no host cliente. IDENT_Regex Classe de acesso que contém a mesma função do tipo ident, porém permite a utilização de expressões regulares. Proxy_Auth Classe de acesso na usuários através de nome de usuário e senha. qual possibilita utilizar a autenticação de ARP Classe de acesso responsável por realizar o bloqueio ou a liberação de acessos baseando-se no endereço Mac do host cliente no qual foi realizada a requisição.

54 54 MYIP Classe de acesso em que se faz referência ao endereço ip local do servidor webproxy que recebeu a conexão. Myport Classe de acesso em que se faz referência à porta tcp/ip local do servidor webproxy que recebeu a conexão. Maxconn Refere-se ao limite máximo de conexões a partir de um único endereço IP. 3.3 SQUID NA PRÁTICA Inicialmente para o real funcionamento do squid, faz-se necessário a introdução de alguns comandos para efetuar o redirecionamento da porta 80 à porta 3128, que no caso é a porta em que atua o Squid. Tal feito fica ilustrado no quadro 3.2 logo abaixo. Quadro 3.2 Redirecionamento da porta TCP. # echo 1 > /proc/sys/net/ipv4/ip_forward # iptables t nat A PREROUTING i eth1 p tcp dport 80 j REDIRECT to-port 3128 Fonte: Elaborado pelo Autor, Para não trabalhar sempre com a necessidade de empregar os comandos acima em todas as ocasiões em que ligar ou que for preciso reiniciar o servidor, foi elaborado então um script executável para realizar esse trabalho sempre quando haver essa necessidade. Nesse script foi empregada também uma regra que dá a possibilidade de realizar o mascaramento da rede. Segue na figura 3.3 o script executável que realiza esta função. Vale ressaltar que para as regras tanto de mascaramento da rede quanto para o redirecionamento da porta 80 (HTTP) para a porta 3128 que é a porta utilizada pelo squid foi necessário então a utilização do firewall iptables.

55 55 Figura Script executável de redirecionamento e mascaramento. Fonte: Elaborado pelo autor, Vale ressaltar a importância de utilizar a configuração transparent na diretiva http_port como fica ilustrado na figura 3.4, para que o squid atue de forma transparente sem a necessidade de realizar uma configuração manual em todos os navegadores da rede interna. Figura Configuração do squid para que ele atue de forma transparente. Fonte: Elaborado pelo autor, Uma forma disseminada que a maioria das empresas adota para obter um maior rendimento por parte de seus funcionários é exatamente realizar o bloqueio de

56 56 sites que não condiz em nada com a política de tal instituição. O squid então possibilita de forma simples e segura a aplicação desse método. Para demonstrar a praticidade deste firewall serão abordadas algumas funcionalidades do mesmo. Tais como dar permissão de acesso total ao chefe, realizar o bloqueio de páginas via url, assim como sua liberação, permitir acesso total aos diretores com exceção dos sites previamente bloqueados de tal forma a estabelecer um controle do que cada grupo de usuários terá acesso, e por fim efetuar o bloqueio de palavras chave na url Permitir acesso total ao chefe Primeiro passo: Ir ao arquivo de cofiguração do Squid(squid.conf). cd /etc/squid3 vi squid.conf Segundo passo: Criar no squid.conf uma acl especificando o ip do chefe e em seguida libere a acl. Vale lembrar que é de vital importância que essa regra seja a primeira, pois como explicado anteriormente neste trabalho, o squid respeita a ordem em que as acls são especificadas em seu arquivo de configuração. acl ip_chefe src http_access allow ip_chefe Figura Configuração da ACL para liberar acesso total ao chefe. Fonte: Elaborado pelo autor, 2013.

57 Bloquear Sites pela URL Primeiro passo: Criar um arquivo.txt que contenha uma lista com as urls em que se deseja efetuar os bloqueios. Obs: Nesse caso foi adicionado na lista o site do facebook para realização dos testes. cd /etc/squid3 vi bloq_sites.txt Figura Arquivo texto que contem a lista de URLs a serem bloqueadas. Fonte: Elaborado pelo autor, Segundo passo: Ir ao arquivo de configuração do Squid(squid.conf), criar uma acl do tipo url_regex especificando o caminho da lista de bloqueios previamente criado, conforme ilustrado no quadro 3.3. Quadro 3.3 Bloqueio de Sites via url. # cd /etc/squid3 # vi squid.conf # acl bloq_sites url_regex i /etc/squid3/bloq_sites.txt # http_access deny bloq_sites Fonte: Elaborado pelo Autor, 2013.

58 58 Figura Configuração da ACL para bloquear sites pelo endereço da URL. Fonte: Elaborado pelo autor, Terceiro passo: Entrar em um host da rede interna que não seja o do chefe e realizar o teste. Conforme verificado na figura 3.8, ao tentar estabelecer conexão com site bloqueado o acesso foi negado pelo Squid, o qual retorna uma página de erro. Figura Página de erro do Squid Fonte: Elaborado pelo autor, 2013.

59 Liberar Sites pela URL Um dos métodos mais utilizados no Squid é efetuar a liberação de sites antes que os mesmos possam ser bloqueados por futuras regras. Para tal meio seguem os passos: Primeiro passo: Criar um arquivo txt que contenha uma lista com as urls em que se deseja efetuar a liberação. Obs: Nesse caso foi adicionado na lista, o site para realização dos testes, esse método só faz sentido, pois em uma futura regra será efetuado o bloqueio da palavra jogos. Segundo passo: Ir ao arquivo de configuração do Squid(squid.conf), criar uma acl do tipo url_regex especificando o caminho da lista de liberação previamente criado, e em seguida realizar sua liberação. O quadro 3.4 ilustra os comandos necessários. Quadro Configuração da ACL para liberar sites pelo endereço da url. # cd /etc/squid3 # vi squid.conf # acl lib_sites url_regex i /etc/squid3/lib_sites.txt # http_access allow lib_sites Fonte: Elaborado pelo Autor, Figura Configuração da ACL para liberação sites pelo endereço da url. Fonte: Elaborado pelo autor, 2013.

60 60 Terceiro passo: Entrar em um host da rede interna que não seja da chefia e realizar o teste. Conforme verificado na figura 3.10, o site foi liberado mesmo o squid contendo uma acl que bloqueia a palavra jogos, tal fato se tornou possível porque o squid respeita a ordem em que as regras são impostas no seu arquivo de configuração, logo, como a regra de liberação veio antes da regra de bloqueio o site em questão foi liberado. Figura Página liberada do site Fonte: Elaborado pelo autor, Permitir acesso total aos diretores exceto os sites previamente bloqueados Para permitir acesso total aos diretores exceto os sites previamente bloqueados, basta seguir os passos da primeira acl substituindo o ip do chefe pelos ips dos diretores.

61 Bloquear Palavras na URL Para realizar o bloqueio de palavras na URL, são utilizados os mesmos passos do bloqueio de url comum, só que no arquivo de bloqueio em vez de se empregar o nome da url são colocadas às palavras chaves a serem bloqueadas. Obs: Nesse caso a palavra jogos foi escolhida para efetuar os testes. Conforme ilustrado na Figura 3.11, a página teve seu bloqueio efetuado devido à acl que emprega a função de bloquear todas as urls em que contém a palavra jogos. Figura Página de erro do Squid. Fonte: Elaborado pelo Autor, Como foi visto o squid atua de fato com filtragem de conteúdo, no próximo capítulo será implementado um firewall iptables que terá que realizar as mesma funcionalidades de filtro de conteúdo que o squid realizou neste capítulo.

62 62 4 IMPLEMENTAÇÃO DE UM FIREWALL DE CONTEÚDO COM IPTABLES Este capítulo tem como fundamento principal efetuar a implementação de algumas funcionalidades de um firewall de conteúdo através do iptables, e realizar uma comparação com o firewall de conteúdo squid mostrado no capítulo anterior. A figura 4.1 mostra a topologia utilizada na implementação e testes. Onde toda a comunicação entre a rede interna e a rede externa passa primeiramente pelo firewall antes de chegar ao seu destino final. Figura Topologia da Rede. Fonte: Elaborado pelo Autor, Para a implementação dessa rede foi utilizado o software virtual box, onde foi criado um servidor virtual com duas placas de rede eth0 e eth1, na qual a primeira se comunica com a rede externa (internet) e a segunda se comunica com a rede interna. 4.1 IMPLEMENTAÇÃO DAS REGRAS DO IPTABLES As regras do iptables para implementação do firewall de filtro de conteúdo foram colocadas em um arquivo de script (script_iptables.sh), o qual foi utilizado para iniciar (carregar) ou parar (descarregar) as regras. Inicialmente, a máquina que atua como firewall deve compartilhar a internet com a rede interna, para tal deve-se carregar o módulo Nat (modprobe

63 63 iptable_nat), habilitar o roteamento de pacotes (echo 1 > /proc/sys/net/ipv4/ip_forward) e configurar o iptables para realizar o Nat dos pacotes que irão para a Internet (Iptables t nat A POSTROUTING s / o eth1 j MASQUERADE). Estes comandos, já dispostos no script, são mostrados na figura 4.2. Figura Script para o compartilhamento da internet. Fonte: Elaborado pelo Autor, Vale ressaltar as funcionalidades de filtragem de conteúdos que serão implementadas com o iptables a fim de permitir a comparação com o squid. Entre elas constam dar permissão de acesso total ao chefe; bloquear sites via url; bloquear sites via palavra chave na url; liberar urls; dar permissão de acesso total aos diretores exceto para os sites previamente bloqueados; e bloquear palavras chave na url Permitir acesso total ao chefe Para dar permissão de acesso total ao chefe basta empregar a regra ilustrada na figura 4.3, onde é inserida uma nova regra sob a chain Forward ao início da lista de regras (iptables I FORWARD), especificando que qualquer pacote que saia pelo ip do chefe (-s ) seja liberado (-j ACCEPT). Vale ressaltar que como o objetivo da criação desta regra é a liberação de acesso total ao chefe, é de

64 64 vital importância que a regra se encontre no topo da lista de regras do firewall em questão, por isso se emprega o parâmetro I do comando. Figura Regra Iptables que Libera Acesso Total ao Chefe Fonte: Elaborado pelo Autor, Bloquear Sites pela URL Para bloquear sites baseados na sua URL, devem ser utilizados os comandos ilustrados na figura 4.4, onde é inserida uma regra no final da lista de regras sobre a chain FORWARD ( iptables A FORWARD ), no qual especifica que todo pacote que tenha como destino o site (-d cuja sua origem seja a rede local ( s /24) seja bloqueado (-j DROP). É importante ressaltar que o bloqueio de sites pela URL, da forma realizada, utilizando-se o nome qualificado completo do site, pode não funcionar para sites que tenham vários servidores com IPs diferentes, uma vez que quando a regra iptables for executada, ela solicita a tradução do nome do site para o endereço IP, o qual retorna somente um dos vários IPs dos servidores do site, onde bloqueia apenas aquele IP específico. Assim, acessos feitos à URL que forem traduzidos para os outros IPs são permitidos. Este problema pode ser resolvido utilizando-se o bloqueio por palavra chave na url.

65 65 Figura Regra Iptables para Bloqueio de Sites pela Url. Fonte: Elaborado pelo Autor, Teste da Regra de Bloqueio de Sites por URL Para comprovar que a regra funcionou de forma efetiva, basta entrar em qualquer host da rede interna que não esteja sob o ip do chefe e tentar acessar os sites previamente bloqueados. O host do diretor foi escolhido para a efetuação deste teste, como ilustrado na figura 4.5. Figura Página de Falha da tentativa de acesso ao site Fonte: Elaborado pelo Autor, 2014.

66 Bloquear Palavras na URL Para realizar o bloqueio de palavras chaves na url, basta inserir o comando ilustrado na figura 4.6, onde é acrescentada uma regra no final da lista de regras sob a chain Forward (iptables A FORWARD) que emprega o módulo string para realizar o controle de tráfego baseado no conteúdo do pacote (-m string --algo bm) e especificar a seguir o nome da string em que deverá ser aplicada a regra (--string jogos ) e por fim realiza seu bloqueio (-j DROP). Figura Regra Iptables para Bloqueio de Palavras na URL. Fonte: Elaborado pelo Autor, Teste da Regra de Bloqueio por Palavra na URL Para efetuar tal teste, deve-se tentar acessar qualquer site que contenha a palavra jogos, lembrando-se de não realizar este teste com um ip que já tenha permissão total ou parcial, pois assim essa regra não terá efeito, logo neste caso deve-se utilizar um ip de usuário comum. Como fica ilustrado na figura 4.7.

67 67 Figura Página de Falha da tentativa de acesso ao site. Fonte: Elaborado pelo Autor, Liberar Sites Via Palavras na URL Para efetuar a liberação de sites via palavras empregadas em sua url basta acrescentar o comando empregado na figura 4.8, onde é acrescentada uma regra no final da lista de regras sobre a chain Forward (iptables A FORWARD) que emprega o módulo string para realizar o controle de tráfego baseado no conteúdo especifico do pacote (-m string --algo bm) e especificar a seguir o nome da string que a regra deve ser aplicada (--string meusjogosonline ) e por fim realiza sua liberação (-j ACCEPT) Teste da Regra de Liberação de Sites por Palavras na Url Para efetuar o teste desta regra, faz-se necessário entrar em um host que esteja com ip de usuário comum e tentar acessar o site que contenha na URL a palavra meusjogosonline. Como fica ilustrada a figura 4.9.

68 68 Figura Regra Para Liberar Palavras na Url. Fonte: Elaborado pelo Autor, Figura Página Liberada do Site Fonte: Elaborado pelo Autor, Vale ressaltar que esta regra só tem fundamento lógico porque há configurada uma regra que bloqueie todas as URLs que contenham a palavra jogos.

69 Liberar acesso aos diretores com exceção dos sites já bloqueados Para tal feito basta empregar a mesma regra que permite acesso total ao chefe, porém deve ser substituído o ip do chefe pelo ip dos diretores, além de substituir o comando I que insere a regra no início da lista de regras pelo comando A que insere a regra no final da lista de regras do firewall em questão. Como mostra a figura 4.10 abaixo: Figura Regra Iptables que Permite Acesso Total aos diretores com exceção aos sites previamente bloqueados. Fonte: Elaborado pelo Autor, Esta regra é muito utilizada para controlar o que cada membro de determinada empresa pode acessar, como lógica hierárquica quem possuir maior grau de poder dentro da instituição terá uma menor restrição de acesso. Foi mostrado neste capítulo que o iptables é capaz de atuar por si próprio também com filtragem de conteúdo, surge agora a necessidade de realizar uma análise comparativa entre os dois firewalls estudados neste trabalho, a fim de verificar qual possui um melhor desempenho, tal análise será empregada no próximo capítulo.

70 70 5 ANÁLISE DE DESEMPENHO DO SQUID E IPTABLES O foco principal deste trabalho é realizar uma análise comparativa entre os dois firewalls abordados, para tal feito foram configurados diversos testes a fim de coletar dados para chegar a uma conclusão. Para efetuar esta coleta de informações referente aos testes dos dois firewalls foi necessária a utilização do software Monitorix cuja instalação e configuração será demonstrada a seguir. 5.1 INSTALAÇÃO E CONFIGURAÇÃO DO MONITORIX O Monitorix se trata de uma ferramenta de código fonte aberto para o sistema Linux que permite o monitoramento do sistema, projetado para gerar gráfico de consumo de vários tipos de serviços e recursos do sistema. Primeiramente é necessário instalar suas dependências, conforme ilustrado no quadro 5.1. Quadro 5.1 Instalação das dependências do Monitorix. # apt-get update # apt-get install rrdtool perl libwww-perl libmailtools-perl libmime-lite-perl librrds-perl libdbi-perl libxml-simple-perl libhttp-server-simple-perl libconfig-general-perl Fonte: Elaborado pelo Autor, Passando esta etapa basta baixar e instalar o pacote do Monitorix, conforme ilustrado no quadro 5.2. Quadro Download e instalação do Monitorix. # wget # dpkg -i monitorix_3.2.0-izzy1_all.deb Fonte: Elaborado pelo Autor, É importante após a instalação do Monitorix, editar o arquivo de configuração vi /etc/monitorix.conf e alterar a o parâmetro apache=n para apache=y, além de trocar outras diretivas como $TITLE, HOSTNAME, e

71 71 $REFRESH_RATE, onde respectivamente se especificará o nome da página web, nome do servidor, e o tempo de recarregamento da página em segundos. Outro evento importante é reiniciar o apache, para isso utilize o comando service apache2 reload. Depois de concluída a parte de configuração, basta iniciar o Monitorix através do comando service monitorix start. Para acessar os resultados basta abrir um browser da rede interna e digitar no campo da url da máquina>/monitorix/. 5.2 METODOLOGIA DE TESTES Para tornar a coleta de dados possível foi necessário o estudo de outro software que automatizasse requisições de páginas web, neste caso a ferramenta HOIC foi a escolhida para realizar esse serviço. A mesma foi configurada para realizar requisições de 15 páginas web durante uma hora, das quais 10 deveria ser bloqueada e 5 deveria ser liberada. Este teste foi empregado duas vezes de forma idêntica, a primeira com base o serviço do squid e a outra com o iptables. A figura 5.1 demonstra o funcionamento do HOIC em execução sobre uma máquina com sistema operacional Windows da rede interna. Figura 5.1 Software HOIC em funcionamento. Fonte: Elaborado pelo Autor, 2014.

72 ANÁLISES DO TRÁFEGO DE REDE A figura 5.2 ilustra o resultado obtido no teste sobre a utilização do tráfego de rede com base no iptables. A figura 5.3 demonstra o mesmo teste, porém com base no serviço do squid. A seguir é efetuada uma análise dos resultados obtidos, onde o eixo y diz respeito ao tráfego em KBytes por segundo, e o eixo x mostra o horário que foi realizado tal tráfego. Figura Tráfego de Rede no Iptables. Fonte: Elaborado pelo Autor, Figura Tráfego de Rede no Squid. Fonte: Elaborado pelo Autor, 2014.

73 73 É claramente notável nos resultados obtidos perante os gráficos uma enorme diferença entre os dois serviços. Primeiramente o iptables obteve um pico de 13KBytes/s, porém logo se manteve fiel a escala de 1 KBytes/s. Já o seu concorrente squid chegou a atingir pico de 110 KBytes/s, e se manteve na grande maioria do tempo entre 70 e 100 KBytes/s. Pode-se concluir então pelos resustados obtidos nos dois gráficos acima que a utilização do iptables diminui consideravelmente o tráfego de rede em comparação com o squid. 5.4 ANÁLISE DA CARGA DO SISTEMA A figura 5.4 demonstra o resultado gráfico obtido no teste sobre a utilização de carga do sistema com base no firewall iptables. A figura 5.5 demonstra o mesmo teste, porém com base no serviço ofertado do squid. A carga do sistema é bastante difundida como carga do CPU, porém o termo correto é justamente carga do sistema. Logo após a exposição desses gráficos é efetuada uma análise dos resultados obtidos. Onde o eixo y mostra a porcentagem da carga do sistema utilizado, e o eixo x mostra o horário em que foi realizado o teste. Figura Carga do sistema no Iptables. Fonte: Elaborado pelo Autor, 2014.

74 74 Figura Carga do sistema no Squid. Fonte: Elaborado pelo Autor, Primeiramente o iptables manteve a carga do sistema constantemente muito baixa, atingiu em um momento único pico de 10%, porém trabalhou na maioria do tempo abaixo da casa de 5%. Já o squid em contrapartida se manteve bastante instável, com variação na maioria do tempo, onde atingiu picos de 45% e 20%. Ao analisar os resultados obtidos nesses dois gráficos acima é sensato concluir que o iptables por trabalhar sempre de forma mais estável e evita picos muito elevados e se torna um firewall realmente mais seguro para o sistema, pois atua de forma a manter sua carga sempre baixa corre menos risco de sobrecarregar o próprio sistema. 5.5 ANÁLISE DA ALOCAÇÃO DE MEMÓRIA A figura 5.6 ilustra a quantidade de memória alocada no sistema durante a utilização do iptables. A Figura 5.7 se refere ao mesmo teste, porém com base nos serviços ofertados pelo firewall squid, onde o eixo y especifica a quantidade de MBytes utilizado na memória e o eixo x especifica o horário em que foi empregado o teste. Logo adiante será abordada uma análise sobre os resultados obtidos perante aos gráficos gerados a partir dos testes.