Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança. Faculdade SENAC DF Pós-Graduação em Segurança da Informação

Transcrição

1 Faculdade SENAC DF Pós-Graduação em Segurança da Informação Autores Edson Cicero Balbino Edilberto Magalhães Silva Brasília-DF 2013 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança. RESUMO Considerada um ativo importantíssimo para a realização do negócio a informação deve ser protegida e gerenciada. Em uma infraestrutura de TI, a função dos ativos de rede é imprescindível para o correto funcionamento dos outros componentes. Desta forma, as organizações esbarram-se em como, de que forma e qual tecnologia usar nesses ativos, qual a ferramenta ideal para as organizações, com o foco principal em segurança e desempenho. Neste artigo será abordado todas estas configurações e suas ações voltadas à segurança, desempenho e diminuição da complexidade dos processos voltados à tecnologia da informação, buscando exemplificar e esclarecer o funcionamento de cada um desses ativos com o foco na segurança da rede que eles protegem. Palavras-Chave: Configuração de ativos; Segurança da informação; Ativos de rede. Trabalho de Conclusão de Curso apresentado a FACSENAC-DF Faculdade Senac do DF como requisito para a obtenção do título de Especialista em Segurança da Informação. Ficha Catalográfica Balbino, Edson Cicero. Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança. / Edson Cicero Balbino. Brasília: Faculdade Senac-DF, f.: il. Orientador: Edilberto Magalhães Silva Trabalho de Conclusão de Curso (Especialização em Segurança da Informação), Faculdade Senac-DF, configuração de ativos. 2. Segurança da informação 3. Ativos de rede. ABSTRACT Considered very important to create a business, the information must be protected and managed. In the IT infrastructure, the real function of a network asset is major for a right functioning of other components. This way organizations bump in how to, which way and what technology using on these assets, which tool fits for organizations, with the main focus on safety and performance. In this article will be discussed all the configurations and their results under the light of security, performance and decrease of complexity of the processes towards to informational technology. trying to illustrate and clarify the operation of each of these assets with a focus on network security that they protect. Keywords: Configuration of assets; Information Security, Network Assets.

2 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 2 1. INTRODUÇÃO Com a evolução e a necessidade tecnológica, um importante diferencial, que impactou a sociedade e impacta sob medida os negócios, são as redes de computadores e suas possíveis vulnerabilidades de segurança as informações. O que hoje é conhecido como globalização (um fenômeno de integração política, cultural, social e econômica que transpõe barreiras entre classes culturais, regionais, sociais e religiosas), foi impulsionado graças ao nivelamento conceitual da importância e do crescimento do fluxo de informações nas organizações. [13]. Assim, as redes de computadores, os equipamentos que as integram e consequentemente as informações, passaram a ser uma necessidade para o estágio atual de evolução da civilização. As redes de computadores deixaram de ser um luxo, para ser um importante marco estratégico de empresas e necessário para as vidas de cidadãos comuns. A tecnologia da informação teve seu avanço na década de 50 quando surgiu o primeiro sistema de computador, baseado em sistemas de informação e equipamentos complexos para armazenamento de informações, operados por pessoas altamente especializadas. [13]. Como tudo que envolve a informática teve um avanço muito acelerado, com as redes de computadores não foi diferente. Depois da fusão dos computadores com as comunicações, houve uma profunda mudança na forma como os sistemas computacionais eram organizados. O velho modelo de um computador atendendo a todas as necessidades computacionais de uma empresa foi substituído por um conjunto de computadores autônomos interconectados que podem trocar informações, conhecido como redes de computadores e por sua vez gerenciado por computadores de maiores portes que ditavam as regras, limitações, monitoramentos, melhoria de desempenho para os usuários finais. [13]. Na década de 80 os ativos de rede do tipo firewalls 1, praxes 2, controladores de domínios 3 e roteadores 4 ganharam importância, especialmente com a diminuição 1 Filtro de pacotes que atua protegendo redes. 2 Filtro de conteúdo que atua como cache de redes. 3 Atua gerenciando toda a rede quanto aos usuários, computadores, diretórios, compartilhamentos.

3 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 3 dos custos dos computadores, tornando cada vez mais atraente a distribuição do poder computacional em módulos com processadores localizados em diversos pontos de uma organização. Assim, o uso desses ativos de rede para compartilhamento de recursos passou a ser indispensável no cotidiano de uma empresa, e passaram a ser usados, também, em ambientes domésticos. Desta forma, em conjunto a todo esse crescimento, as organizações se depararam com o fato de terem poucos profissionais no mercado de trabalho com tais conhecimentos. Tinha-se ai um obstáculo. [13]. Diante do exposto este trabalho tem o objetivo de propor as formas de configurações de ativos de rede que proveem segurança de informações, entrada e saída de dados e suas ações, objetivos e resultados, incluindo firewall, objetivos das regras de Proxy nos controles internos de navegação, particularidades, funções dos perfis de controles de domínio, privilégios e segurança. Desenvolver uma política de segurança interna por meio do Squid versão 2.7 (Duane Wessels) onde se aplicam normas de segurança para tráfego de rede interna gerando logs 5 e verificando funcionalidade em laboratório de testes com intuito de mostrar os bloqueios e permissões assinaladas. Orientar e desenvolver configurações de usuários, diretórios, nomenclatura hierárquica de dados, perfis de usuários a partir do PDC DE REDE 6 ou controlador de domínio, testes de compartilhamentos de diretórios e perfis de acessos nas máquinas clientes. [5]. Propor configurações dos ativos de rede de modo a adequar-se a estrutura de segurança voltada para atingir nível de segurança em nível de aplicação na rede. 4 Interliga redes de computadores. 5 Registros de atividades gerados por programas de computador 6 Primary Domain Controler - É o servidor mais importante de uma rede, controle dados, perfis, compartilhamentos.

4 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 4 2. FIREWALL IPFW O IPFIREWALL ou IPFW firewall 7 nativo do sistema operacional FREEBSD é um filtro de pacotes 8 nativo no kernel 9 de sistemas operacionais - entre eles, o Linux e o FREEBSD, sistemas abertos em firewall dedicados [6]. Suas configurações são definidas a partir do compilamento do Kernel e, por meio de um arquivo de configuração ipfw.rules, que é iniciado junto ao carregamento do kernel na entrada do sistema operacional. Suas regras criam controles desde pacotes, protocolos, portas, até controles internos de tráfego de redes e redirecionamentos de pacotes. O IPFW ler suas regras de cima para baixo à medida que aparecem, e além da performance tem como grande característica o pequeno consumo.de.hardware.[6]. Um administrador de redes pode elevar o nível de proteção de sua rede interna, bloquear todas suas portas e liberar apenas as necessárias para execução de serviços ou aplicativos dentro de uma rede através do IPFW [6]. No Linux muitos administradores que desconhecem as regras de administração de segurança de redes com firewalls, costumam deixá-los totalmente abertos, sem nenhum tipo de proteção, fazendo com que o sistema fique vulnerável a possíveis ataques [6]. 3. PROXY SQUID 2.7 O Squid é uma ferramenta utilizada como firewall de conteúdo 10 em nível de aplicação. Um dos seus principais papéis é trazer controles a rede interna e externa (internet), realizando a análise do conteúdo dos pacotes. Buscam restrições pacotes previamente especificadas nas regras de seu arquivo de configuração. Trata-se de uma ferramenta Free Open Source sendo licenciado nos termos da (GPL), como resultado da colaboração de diversas pessoas a nível mundial, contribuindo com o seu desenvolvimento [11]. 7 Dispositivo de redes de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de rede. 8 É um conjunto de regras que analisam e filtram pacotes enviados por redes distintas de comunicação. 9 Em computação, o núcleo ou cerne (em inglês: kernel) é o componente central do sistema operativo da maioria dos computadores. 10 Controla o tráfego de acessos na rede através de conteúdos.

5 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 5 O squid também oferece a possibilidade de restrição de acessos às páginas proibidas, para usuários ou grupos, podendo também limitar horários para os acessos. É possível ainda, liberar o acesso somente de determinadas categorias de domínios (.gov,.edu,.mil, e outros), e, proibir downloads de certos arquivos, seja por nome ou por extensões (arquivos executáveis.exe arquivos de execução em sistemas operacionais.bat,arquivos de músicas.mp3, e outros). As regras aplicadas ao Squid são bem flexíveis, podendo-se estabelecer vários tipos de bloqueios. Além disso, o squid acelera a navegação através da carga de consulta de seu cache. O usuário faz a navegação a uma página web, o squid por sua vez encaminha esta página para a consulta ao cache do squid, e caso o cache o tenha em arquivo atualizado, devolve para o usuário a página, caso não tenha ou não esteja atualizado a página, o squid armazena as informações, e atualiza para uso posterior, este processo acelera a navegação da página. [9], [11]. No Squid, é possível a criação de listas de controle de acessos (Access Control List ACL 11 ), que desempenham papel muito significativo no que tange a configuração dos acessos através do Proxy, pois agregam grande flexibilidade e eficiência no trabalho desta ferramenta. Através delas é possível criar regras de controle de acesso à internet, das mais diversas formas possíveis. É correto dizer que quase todo o processo de controle do Squid, é feito com o uso das ACLs [12], [13]. As ACLs por sua vez são atualizadas manualmente e definem quais usuários ou equipamentos tem permissão a determinados serviços web na rede interna. Basicamente são políticas de acessos, definindo os tipos de acessos para cada usuário, equipamento ou grupo. As ACLs devem ser tratadas como uma camada de complemento à segurança da rede [12]. Proxy 12 é um firewall em nível de aplicação. Trata-se de um aplicativo onde são armazenados em seu cache 13, objetos (páginas web, imagens, arquivos de áudio, programas, entre outros) da Internet para posterior distribuição. Funciona como um filtro de conteúdo entre os usuários e a internet, controlando e gerando informações dos acessos a internet, aos quais são feitas as requisições. O cliente 11 Lista de um conteúdo pré-definido para bloqueio ou acesso a conteúdo web no squid. 12 É um servidor intermediário que atende a requisições repassando os dados do cliente à frente 13 Dispositivo de acesso rápido interno a um sistema, que serve de intermediário entre um operador de um processo e o dispositivo de armazenamento ao qual esse operador acede.

6 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 6 faz a requisição ao Proxy, então este é quem na verdade, irá repassar a requisição do cliente ao servidor de destino. 4. SAMBA 4 O Samba é um software livre que está disponível sob a licença GNU (GNU's 14 ). Muitas distribuições Linux já o incluem. No FreeBSd junto com os pacotes de instalação que são nativos da instalação do sistema operacional, mas, caso precise instalá-lo em outra versão Linux, é possível baixá-lo de seu site oficial - Neste, é possível notar que há pacotes específicos para as distribuições mais famosas, como Fedora, Mandriva, SuSE, Debian, entre outros [5]. O Samba 4 é o servidor que permite compartilhar arquivos, gerenciar usuários, diretórios, informações, tráfego de dados entre redes Windows e Linux, ou seja, atua diretamente como PDC da REDE 15 ou Servidor de domínios. O controlador de domínio ou samba propriamente dito é o smbclient, o cliente que permite acessar compartilhamentos em outras máquinas por meio das configurações do seu servidor principal o smclient faz o papel único das configurações voltadas ao uso dos serviços do samba. Usando o Samba, o servidor Linux comporta-se exatamente da mesma forma que uma máquina Windows, compartilhando arquivos e impressoras e executando outras funções como: autenticação de usuários e controlador de domínios [5]. Um fato que agrada muitos administradores do Samba é que sua configuração é feita em um único arquivo: o smb.conf. Esse arquivo geralmente fica localizado no diretório de instalação do Samba. O arquivo smb.conf define e determina os parâmetros de configuração, que são agrupados em seções. Cada seção é identificada por um nome entre colchetes, que tem sua função específica em cada linha. Desta forma, determina cada parâmetro e a função que será exercida dentro dos processos de controles do domínio, sejam voltados a compartilhamentos ou segurança da rede. [5]. 14 GNU General Public License (Licença Pública Geral), GNU GPL ou simplesmente GPL, é a designação da licença para Linux. 15 Controlador Primário de domínio.

7 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 7 5. ROTEADORES Numa rede, é fundamental um dispositivo que permita interligar redes distintas como roteadores e nats 16. A Internet é composta por inúmeros roteadores interligados entre si. Ao acessar um site qualquer, a requisição trafega por vários roteadores, até chegar ao destinatário. [12]. Um roteador pode ser tanto um dispositivo dedicado (no caso dos roteadores de maior porte) quanto um PC com duas ou mais placas de rede rodando um sistema operacional com suporte a esta função. Um roteador também pode ser utilizado para unir duas redes que utilizem protocolos de rede distintos, já que estes aparelhos operam na camada três do modelo OSI 17, são capazes de entender os pacotes de dado e alterá-los caso necessário. Os roteadores podem endereçar os pacotes baseados no endereço IP 18 [12]. Os roteadores vão desde PCs comuns com duas ou mais placas de redes compartilhando a conexão com a Web através do ICS 19 do Windows ou outro Proxy qualquer até grandes (e caríssimos) roteadores dedicados, capazes de unir os backbones 20 da Internet e encaminhar milhões de pacotes de dados por segundo [12]. A conversão de endereços de rede NAT permite converter endereços IPv4 21 de computadores em uma rede em endereços IPv4 de computadores em outra rede. Um roteador IP com recurso de NAT instalado no ponto de conexão entre uma rede privada (como a rede de uma empresa) e uma rede pública (como a Internet), permite aos computadores da rede privada acessar os computadores da rede pública, graças ao serviço de conversão oferecido. A tecnologia NAT foi desenvolvida para oferecer uma solução temporária para a escassez de endereços IPv4. O número de endereços IPv4 únicos disponíveis globalmente (ou seja, públicos) é pequeno demais para acomodar o número crescente de computadores que precisa acessar a Internet. Embora já exista uma 16 Faz a conversão de rede distintas ou a ligação entre redes. 17 Organização Internacional para a Normalização 18 Protocolo de rede 19 Sistema de comunicação interna. 20 No contexto de redes de computadores, o backbone (backbone traduzindo para português, espinha dorsal, embora no contexto de redes, backbone signifique rede de transporte) designa o esquema de ligações centrais de um sistema mais amplo, tipicamente de elevado desempenho. 21 Versão 4 do protocolo ip

8 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 8 solução em longo prazo o desenvolvimento de endereços IPv6 22 IPv6 ainda não é amplamente adotado. A tecnologia NAT permite aos computadores de qualquer rede usar endereços privados reutilizáveis para conectar a computadores com endereços públicos na Internet. [12]. 6. ESTUDO DE CASO Nos tópicos a seguir serão apresentados os procedimentos de configuração e as respectivas funções de cada um desses ativos, tomando como base o sistema operacional Freebsd versão 8.2 tendo como principal foco a segurança das informações. 6.1 TOPOLOGIA DA REDE Figura 1 - Topologia da rede 22 Versão 6 do protocolo ip.

9 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, CONFIGURAÇÃO DO FIREWALL IPFW Partindo da ideia que o sistema operacional será instalado na máquina (servidor), a primeira preocupação é a compilação 23 deste sistema para que receba as regras IPFW, que é a primeira parte dos ativos que será descrita neste documento, esta compilação enxuga toda a parte de hardware 24 que não será utilizada na instalação do sistema operacional, melhorando o seu desempenho. Já nos aspectos de segurança, a compilação ativa o IPFW para agir como firewall, sendo assim, trata-se primeiro a segurança dos dados, pacotes, informações em nível de borda, e em seguida parte-se para as configurações: [1]. Navegue até o diretório: /usr/src/sys/i386/conf, da seguinte forma: Digite na console do servidor: # Cd /usr/src/sys/i386/conf Com isso navega-se até o diretório onde ficam as configurações do Kernel do sistema, feito isso, digita-se o comando: # ls O comando ls faz que sejam listados os diretórios e arquivos deste diretório. O objetivo é localizar o arquivo de configuração da compilação do Kernel do sistema de nome: GENERICO. Neste arquivo faz-se a compilação do sistema, que é necessariamente a garantia de que o sistema rodará com os hardwares necessários apenas para utilização do servidor, e também acrescenta-se as linhas de configurações do IPFIREWALL que devem ficar junto da compilação do sistema. Esse passo é fundamental para o funcionamento do firewall, pois permite a inserção e ativação para receber as regras. [1]. Por boa prática de configuração de servidores, será feita uma cópia do arquivo original de compilação do kernel através do comando: # cp GENERICO SERVIDOR_FIREWALL 23 Deixar o sistema mais enxuto com apenas as funções de hardwares necessárias às funções que serão utilizadas para instalação do sistema (Servidor). 24 Parte física dos computadores.

10 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 10 Este comando cp copia o arquivo original de compilação do sistema e define um nome ao qual será trabalhado, neste caso SERVIDOR_FIREWALL. Feito isso, edita-se este arquivo comentando toda a parte de hardware que não será utilizada. Coloca-se um # à frente da linha de cada hardware, observando-se que para cada hardware serão utilizados critérios diferentes inclusive para cada tipo de servidor. Como se trata de um servidor que fará roteamentos, serão necessários duas placas de redes, um disco rígido, uma placa de vídeo, entradas de mouse, teclado. Desta forma, pode-se descartar o que for além desses hardwares citados e necessários para o bom funcionamento do sistema operacional, levando-se em contas a diminuição de processamento de periféricos 25 desnecessários ao funcionamento do sistema operacional. [1]. No final do arquivo acrescentam-se as seguintes linhas: Tabela 1 - Comandos para autorizar políticas de firewall na compilação de kernel: options options options options options options options options IPFIREWALL IPFIREWALL_VERBOSE IPFIREWALL_VERBOSE_LIMIT=100 IPFIREWALL_DEFAULT_TO_ACCEPT IPFIREWALL_FORWARD DUMMYNET IPFILTER IPFILTER_LOG Estas linhas habilitam a utilização do firewall por meio da compilação do Kernel do sistema, tem as funções de iniciar todos os serviços e regras que serão gravadas futuramente, sejam regras de negação ou aprovação. Uma atenção especial à linha: # options IPFIREWALL_VERBOSE_LIMIT=100 Esta linha, em especial, bloqueia os ataques ddos, ou seja, a linha diz que o máximo de pacotes ICMP26 enviados ao servidor através da identificação de um ip será de 100 pacotes por repetição, após isso o destinatário será bloqueado. Sabe-se 25 Componentes físicos de computadores. 26 ICMP: Protocolo de rede para ping de maquina teste de conexão de máquinas na mesma rede.

11 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 11 que um bom ataque de ddos 27 deve ser pelo menos cinquenta vezes mais que isso para iniciar o ataque.[1]. Outra linha importante que será adicionada à compilação do sistema é: # options SC_DISABLE_REBOOT Esta linha desabilita a reinicialização dos sistemas operacionais Linux por padrão com a combinação das teclas ALT+CTRL+DEL o que poderia acontecer até de forma acidental. [1]. Após adicionar as linhas necessárias ao arquivo de configuração fecha-se clicando na tecla esc. Será solicitado então que confirme as alterações feitas no arquivo. Digite Yes para confirmar que sim, e no segundo passo de compilação, Digita-se: # make install clean Este comando concluirá o processo de compilação do sistema operacional FREEBSD. Após a compilação, o servidor estará pronto para receber as regras de bloqueios, permissões de protocolos, portas, pacotes sejam de entrada ou saída de dados. Por boa prática coloca-se o arquivo de configuração do firewall para ser inicializado junto com sistema operacional FREEBSD. Isso é feito no arquivo /etc/rc.conf, o rc.conf no Freebsd é o responsável por inicializar todos os processos e serviços que estão citados nele. Para o caso do IPFIREWALL, acrescenta-se então a linha através do comando: [1]. # ee /etc/rc.conf A linha será a seguinte: Firewall_enable = YES, com isso tem-se a inicialização do firewall através do arquivo ipfw.rules que será criado com todas as regras de firewall: Cria-se agora o arquivo de configuração do firewall: Digita-se na console de comando: 27 Ataques de negação de serviços.

12 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 12 # ee /etc/ipfw.rules Com este comando cria-se o arquivo de configuração de todas as regras de firewall. Com o arquivo aberto localiza-se às regras e o comentário do que faz cada uma delas, pensando mais uma vez no objetivo principal que é a segurança das informações que serão trafegadas. Após cada linha, será feito um comentário explicando a funcionalidade de cada uma dessas linhas: [1]. #!/bin/bash Essa linha abre o arquivo de configuração do IPFIREWALL. A função dela é chamar o Bash 28, que é o interpretador de comandos, para reconhecer cada comando citado abaixo. # IPFW -f flush Esta linha limpa qualquer regra que possa estar vinculada na instalação do sistema operacional do servidor firewall. $IPFW add 1 deny ip from any to me 3128 via rl1 Esta regra, que é a primeira voltada à segurança da rede, bloqueia todos os acessos vindos através da placa de rede rl1 que é a placa ligada à rede wan 29. A função desta regra é de bloquear todos os acessos através de todas as portas para a rede interna. A partir dela, dão-se acessos à rede, de acordo com o que realmente será necessário utilizar. O importante também é saber que o sistema com firewall IPFIREWALL lê as regras de cima para baixo e vai interpretando à medida que aparecem. Com isso é fundamental que se analise bem a sequencia em que as regras aparecem para que não uma regra de acesso seja sobreposta por uma regra de liberação ou vice versa [1]. $IPFW add divert 8668 all from /16 to any out via rl1 A função desta regra é de encaminhar todo o tráfego da internet para a placa rl1 que é a rede servidor. Com ip /16, a rede servidor ( /16), que por sua vez enviará através de rotas o tráfego para a rede interna. 28 Interpretador de comandos padrão do Kernel nos sistemas operacionais Linux 29 Rede pública internet.

13 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 13 $IPFW add fwd ,3128 tcp from /16 to any 80 A função desta regra é tirar todos os acessos de internet da porta padrão 80 e encaminha-las para a porta 3128 (squid) que será falado mais a frente, (Bloqueio de pacotes). [1]. A partir do encaminhamento da porta 80 para a porta 3128, as regras de firewall do servidor estão prontas, lembrando que, neste caso, todas as estações da rede interna estariam totalmente bloqueadas, é exatamente este o objetivo, bloquear tudo e desbloquear à medida que aparecem, depois de uma análise do aplicativo ou serviço que será utilizado. É esta realmente a ideia da segurança aplicada ao firewall em questão. Teria como exemplo, caso queira-se que libere a utilização de s nesta rede, ter-se-ia que acrescentar a seguinte regra: [1]. $IPFW add allow tcp from any to any 25 A função desta regra é liberar todo o acesso através do protocolo de rede tcp de todas as redes para toda a rede interna pela porta 25 que é a porta smtp, que funciona como envio de s, assim, faz-se a mesma regra para o recebimento de s através da porta 110. Então tem-se a mesma regra com alteração da porta 25 para 110, ficaria assim: $IPFW add allow tcp from any to any 110 Com isso, tem-se todo o firewall pronto e configurado, e agora o próximo passo é partir para o Proxy, bloqueio de conteúdos da internet. Tabela 2 Portas mais comuns Porta Tipo Serviço 21 Tcp Serviço de FTP (Transferência de arquivos na rede) 22 Tcp Serviço de SSH (acesso remoto a computadores linux) 23 Tcp Serviço Telnet (Acesso remoto a serviços) 25 Tcp Serviço SMTP (Protocolo para envio de ) 53 Udp Serviço DNS (Converter nomes de domínios) 80 Tcp Http ( Protocolo para acesso a internet) 110 Tcp Serviço Pop3 (Protocolo para recebimento de s)

14 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 14 Tabela 3 Explicando a regra IPFW. Explicando a regra: $IPFW add allow tcp from any to any 25. $IPFW Define a regra de firewall add Sintaxe para adicionar a regra, pode-se colocar uma numeração allow Sintase de permissão da regra, pode ser deny negação dentre outros tcp Tipo de protocolo de rede citado na regra from de onde inicia a regra any todos de qualquer lugar to any "para qualquer lugar" 25 Porta tcp que está sendo liberada 6.3 CONFIGURAÇÃO DO PROXY SQUID. Em primeiro lugar instala-se o squid, na versão 2.7 que não é nativa do sistema operacional Freebsd, embora estejam nos pacotes de instalação do sistema operacional. Navega-se até o diretório onde contém todos os pacotes de instalação do sistema operacional. /usr/ports/net/www com o comando: # cd /usr/ports/net/www Navega-se até ao diretório squid 2.7 com o comando: # usr/ports/net/www/squid2.7 Feito isso, instalar o squid no servidor através do comando: # make install clean. Instalado o squid: Inicialmente criam-se os diretórios onde serão colocados todos os arquivos de configuração do squid, através do comando: # Cd /usr/local/etc/squid/regras Com este comando cria-se o diretório regras no diretório squid é nele colocado todos os arquivos de configuração do squid. Cria-se então agora o arquivo principal de configuração do squid, que será o squid.conf, por padrão, o sistema trás um arquivo default, remove-se então o arquivo padrão proveniente da instalação do squid e cria-se um novo com todos os parâmetros que definirão as regras da rede aqui proposta, digita-se então o comando: # rm rf /usr/local/etc/squid.conf

15 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 15 A função desta regra é remover o arquivo original do squid provenientes da instalação. Agora, cria-se com novos padrões e configurações. [1]. # ee /usr/local/etc/squid/squid.conf Com isso será criado o novo squid.conf, agora criam-se as suas configurações linha a linha e entende-se cada uma delas. Tabela 4 Explicando o arquivo de configuração squid.conf Explicando o squid.conf visible_hostname SERVIDOR_FIREWALL cache_mem 64 MB maximum_object_size KB cache_dir ufs /var/log/squid/cache cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log cache_store_log /var/log/squid/store.log pid_filename /var/log/squid/squid.pid Esta linha fornece o nome do servidor IPFIREWALL Esta linha define o tamanho do cashe de arquivos para 64 MB A função desta linha é definir o tamanho da máquina para os arquivos de cashe A função desta linha é definir o local onde ficará o arquivo de caches A função desta linha é definir o arquivo de configuração dos logs A função desta linha é definir o arquivo de configuração de logs A função desta linha é definir o local de armazenamento de logs Esta linha define onde ficarão todos os processos vinculados ao squid Agora as acces List 30 ou lista de acessos que são as regras de permissões e bloqueios de acesso à rede que irão funcionar da seguinte forma: Cada linha abaixo define o local de um arquivo onde tem-se as definições de acessos ou permissões para utilização do determinado pacote. Assim, após a configuração do squid, será necessária a criação de cada um desses arquivos e seus devidos conteúdos. # acl expediente time ASMTWHF "/usr/local/etc/squid/regras/expediente.txt" Esta ACL será responsável para determinar acessos ou não a internet por horários pré definidos pelo administrador, tem como objetivo definir a um grupo dentro da organização a liberação da internet em um horário determinado. # acl ip_proib_all src "/usr/local/etc/squid/regras/ip_proib_all.txt" 30 Lista de acessos para bloqueios ou permissões dentro do arquivo do squid.

16 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 16 Figura 2 IP s configurados no arquivo ip_proib_all.txt Esta linha define proibir todos os acessos à internet, ou seja, todos os ip s citados nela serão bloqueados na rede. # acl ip_liber_all src "/usr/local/etc/squid/regras/ip_liber_all.txt" Esta linha define permitir acesso total a internet com todos os privilégios # acl site_proib dstdomain "/usr/local/etc/squid/regras/site_proib.txt" Esta linha define todos os sites que serão proibidos e quem terá os acessos limitados. [5]. # acl site_liber dstdomain "/usr/local/etc/squid/regras/site_liber.txt Define acesso a sites organizacionais do tipo bancos, sites do governos. Esta linha define os sites que poderão ser acessados mesmo por quem terá bloqueios à internet. Isso é feito por muitas organizações para liberação a sites de bancos ou de instituições financeiras.

17 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 17 Figura 3 Sites que estão liberados aos grupos de IPs sem permissão de acessos. # acl palavra_proib url_regex -i "/usr/local/etc/squid/regras/palavra_proib.txt" Esta linha define todas as palavras proibidas nos navegadores da internet, sexo, nudez, prostituição. # acl palavra_liber url_regex -i "/usr/local/etc/squid/regras/palavra_liber.txt" Esta linha define liberação a todas as palavras de que tenham como origem palavras de nudez, sexo ou prostituição mas no seu final não as caracterizam. Exemplo: Sexolandia, contem a palavra sexo mas não é. Agora as diretivas das ACLs que são as definições de leitura pelo squid para interpretá-las como seu tipo, essas diretivas lê as regras de controle citadas e faz os filtros necessários de acordo com cada nomenclatura, passando ou bloqueando conteúdos de acordo com a linha criados nos txt de acesso ou negações. [5]. # >>>> Diretivas http_access <<<< # # http_access allow manager localhost # http_access deny manager # http_access deny!safe_ports

18 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 18 # http_access deny CONNECT!SSL_ports Agora as definições de proibição ou acessos às regras criadas das ACLs # >>>> Regras das minhas ACL <<<< # # http_access deny expediente Define que o horário especificado no arquivo de configuração expediente será bloqueado para quem não estiver no arquivo que libera tudo. # http_access deny ip_proib_all define acesso negado a internet aos Ips que estiverem nele # http_access allow ip_liber_all Libera acesso a todos os Ips com todos os acessos a todos os sites # http_access deny site_proib Nega acessos a internet # http_access allow site_liber Libera os sites # http_access deny palavra_proib Proibe as palavras # http_access allow palavra_liber Libera as palavras # http_access allow rede Libera a rede interna para tráfego # http_access deny all Proíbe tudo que não estiver citado acima. [5]. Edita-se o arquivo principal do squid,cria-se todos os arquivos necessários e seus respectivos conteúdos, o objetivo inicial desta rede é deixá-la toda bloqueada. # ee /usr/local/etc/squid/regras/expediente.txt Comando para criar o arquivo de configuração de expediente.txt, o seu conteúdo será:

19 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 19 00:00-07:00, ou seja bloqueios entre zero hora de cada dia e sete hora da manhã. # ee /usr/local/etc/squid/regras/ip_proib.txt Neste arquivo colocam-se todos os IPs da rede interna, ou seja, /16, linha por linha, uma linha para cada ip. # ee /usr/local/etc/squid/regras/ip_liber_all.txt Neste arquivo colocam-se apenas os Ips que terão acesso total a internet. Neste caso de inicio deixa o arquivo em branco, ou seja, a principio ninguém terá acesso total. Digita-se então: # ee /usr/local/etc/squid/regras/site_proib.txt aqui ficará a lista linha por linha de todos os sites que serão bloqueados: Exemplos: facebook.com, Orkut.com, FM.com # ee /usr/local/etc/squid/regras/site_liber.txt Aqui estarão todos os sites que mesmo os IPs proibidos terão acesso, Exemplo: Google.com. # ee /usr/local/etc/squid/regras/palavra_proib.txt Aqui estarão todas as palavras proibidas, exemplo: sexo, pornografia, prostituição. # ee /usr/local/etc/squid/regras/palavra_liber.txt Aqui estarão todas as palavras liberadas, mas que tem origem em palavras proibidas, exemplo: Sexologia. [5]. Com isso finalizam-se as configurações dos arquivos do squid, e criam-se os seus serviços. Digita-se o comando: # squid z Este comando irá criar todos os arquivos de cahe do squid conforme citados no arquivo squid.conf, digita-se agora o comando:

20 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 20 # squid D Inicializará o serviço do squid e finalmente digita-se: # squid k reconfigure Este comando colocará todas as regras do squid em funcionamento. Com isso tem-se o squid pronto. Para que você precise dar acesso a algum usuário será necessário ir ao arquivo /usr/local/etc/squid/regras/ip_proib.txt e retirar o ip de quem você quer dar acesso e assim respectivamente para todas as regras criadas. 6.4 CONFIGURAÇÃO DO SAMBA CONTROLADOR DE DOMÍNIO Iniciando a instalação: navega-se ao Ports, que é o pacote de instalação de samba com o comando: # cd /usr/ports/net/samba Em seguida digite o comando: # make install clean Após a instalação do samba, iniciam-se as configurações. O arquivo único e principal de configuração do samba é o /usr/local/etc/smb.conf, conforme padrão exclui-se o arquivo original do samba e cria um novo com todas as configurações. # rm rf /usr/local/etc/smb.conf Cria-se o arquivo de configuração com o comando: # ee /usr/loca/etc/smb.conf Agora as suas configurações e detalhamento para cada linha e suas funções. # workgroup = SERVIDOR_DOMINIO Esta linha define o nome do domínio # domain logons = Yes Esta linha define que usuários da mesma rede poderão logar neste domínio # domain master = Yes Esta linha define que o servidor é um controlador de domínios

21 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 21 # vfs objects = recycle Com esta linha cria-se para cada compartilhamento de diretório, no controlador de domínio, um compartilhamento de recuperação de arquivos deletados acidentalmente ou não. Com isso, mesmo que, acidentalmente, um usuário exclua uma pasta ou arquivo, estes ainda vão para uma lixeira criada pelo servidor samba de uma forma organizada, com datas de exclusão, diretórios, podendo ser recuperada pelo administrador a qualquer momento. Todos os arquivos, diretórios que forem excluídos das dependências dos servidores samba, irão automaticamente cair num outro diretório, mesmo que deletados com a combinação de teclas Shift+ Del, que fazem os arquivos e/ou diretórios serem excluídos permanentemente. [5]. # veto files = /*.mp3/*.wav/*.tif/*.pif/*.mpg/*.mpeg/*.jpg/*.bmp Esta linha bloqueia a cópia de todos os arquivos com estas extensões de arquivos ao servidor samba, ou seja, com isso proibi-se a cópia de qualquer que seja o local para os compartilhamentos do samba das referidas extensões citadas. # wins support = Yes Com isso dão-se suporte ao Wins 31 Agora serão iniciados os compartilhamentos, ou seja, diretórios que estarão no servidor e seus respectivos controles. [Dados] # comment = dados Comentário sobre o compartilhamento # path = /usr/dados Local onde fica o diretório compartilhado # valid users = root 31 Serviço paralelo ao DNS funciona como se fosse um DNS na rede, é um serviço de nomes.

22 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 22 Usuários que terão permissão a este diretório (compartilhamento) # read only = No Define se os arquivos deste diretório são apenas de leitura # browseable = No Define se o diretório será visto por meio da navegação de diretórios, ou seja, se ao navegar na rede os usuários poderão ou não ver esses diretórios. Com isso o arquivo de configuração do samba esta pronto, agora a parte final que é iniciar o serviço, coloca-se a linha do samba no arquivo rc.conf para que ele seja iniciado automaticamente ao ligar o servidor. # ee /etc/rc.conf E adicione a linha samba_enable = YES saia do arquivo de configuração e salve as alterações, agora inicia-se o servidor com o comando: # /usr/local/etc/rc.d/samba start. Pronto, tem-se um controlador de domínio da rede. Agora cria-se um usuário inicial e uma maquina para que possam ser controladas pelo servidor de domínios. [5]. Com o comando: # smbpasswd a root Cria-se o usuário root para controlador de domínio e em seguida com o comando: # smbpasswd a maq-001$ Cria-se o computador que poderá já ser inserida ao domínio, nota-se que há uma diferença entre a criação da maquina e do usuário, para criação da máquina coloca-se $ ao final do nome da máquina. Desta forma o controlador de domínios esta pronto. [6].

23 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, CONFIGURAÇÃO DO ROTEADOR CISCO 1841 Roteador é um dispositivo que encaminha pacotes de dados entre redes de computadores, criando um conjunto de redes de sobreposição 32. Um roteador é conectado a duas ou mais linhas de dados de redes diferentes. Quando um pacote de dados chega, em uma das linhas, o roteador lê a informação de endereço no pacote para determinar o seu destino final. Em seguida, usando a informação na sua política tabela de roteamento ou encaminhamento, ele direciona o pacote para a rede próxima em sua viagem. Um pacote de dados é normalmente encaminhado de um roteador para outro através das redes que constituem a internetwork até atingir o nó destino. [8]. Antes de tudo, é preciso se conectar em modo privilegiado 33 e, depois, em modo de configuração global para efetuar esta manipulação: # Router> enable # Router # configure terminal # Router (config) # Quando estiver em modo de configuração global, basta digitar um único comando para aplicar uma senha: # Router (config) # enable secret encriptor Configuração das interfaces Ethernet do roteador Agora, tem-se que comunicar as duas redes conectadas ao roteador. A interface ligada ao roteador é fa0/0 e a do ligado ao firewall, Fa0/1 e, que esta no modo de configuração global. Veja os comandos a serem digitados: # Interface fa0/0: # Router (config) # interface fa0/0 32 Conexão de duas redes através de um roteador 33 Modo onde têm-se privilégios de administrador

24 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 24 # Router (config-if) # ip address Aqui configura-se o ip da rede servidor. # Router (config-if) # copy running-config startup-config Esta linha salva as configurações # Router (config-if) # exit Esta linha define a saída da console # Interface fa0/1: Esta linha define entrada na interface de configuração da rede Wan # Router (config) # interface fa0/1 # Router (config-if) # ip address Configura-se então o ip de configuração da rede wan # Router (config-if) no shutdown Salva-se as configurações feitas. # Router (config-if) Reinicia-se o servidor através do comando no shutdown para salvar todas as configurações feitas no roteador. 7. AVALIAÇÃO DAS CONFIGURAÇÕES DO ESTUDO DE CASO 7.1 Squid Proxy Com os parâmetros de configuração do Squid,define-se a nova política de acesso à Internet na instituição. É importante comentar que, desta forma antes de enviar a requisição pelo roteador, os usuários internos passam pelo Proxy, as Acces Lists por sua vez permitem ou bloqueiam os endereços por meio de grupos de regras do site em questão, observando o fator segurança. Baseando-se em uma configuração do Squid com as regras de bloqueio definidas no arquivo de configuração do squid que inicialmente deixa-se toda a rede bloqueada, a figura 1

25 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 25 demonstra a tentativa de acesso de usuário do proxy, baseando-se na primeira regra estabelecida. Figura 2 Tela de conteúdo negado Acesso negado à página Figura 4 Tela de conteúdo negado Acesso negado à página Figura 5 Tela de liberado Acesso liberado à página As figuras 3 e 4 mostram respectivamente os acessos proibido e liberado ao site IPFIREWALL Tendo em vista o fato de que antes da adoção da ferramenta ipfirewall, os computadores da rede interna poderiam ser vistos pela Internet, em razão da vulnerabilidade exposta pela falta de uma regra de controle a rede, o que possibilitaria um suposto ataque. Além do fato de que qualquer máquina configurada para acessar a rede, poderia também acessar a Internet sem problemas de

26 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 26 negação. Com a adoção de um servidor com o ipfirewall na instituição, foram solucionados. [5]. As figuras 5 e 6 demonstram respectivamente as tentativas de obtenção de resposta do comando ping (icmp-echo-request), com a finalidade de demonstrar o bloqueio realizado. As tentativas foram realizadas antes e depois da adoção das políticas, baseando-se na primeira regra estabelecida que bloqueia toda a rede com seus protocolos e portas. Figura 6 Tela do prompt de comando Resposta positiva à solicitação do comando ping a internet

27 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 27 Figura 7 Tela do prompt de comando Resposta à solicitação do comando ping a internet. Figura 8 Tela do prompt de comando Resposta à solicitação do comando ping a ip rede servidor, permitindo acesso.

28 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 28 Figura 9 Tela do prompt de comando Resposta à solicitação do comando ping a ip rede interna, negando acesso. Figura 10 Tela do prompt de comando Resposta à solicitação do comando ping a ip rede interna, permitindo acesso.

29 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 29 Figura 11 Tela do prompt de comando Resposta à solicitação do comando ping a ip rede interna, negando acesso. As figuras 12 e 13 demonstram tentativas de obtenção de acesso SSH 34 ao servidor (ip ), com e sem sucesso respectivamente. A finalidade é demonstrar o bloqueio realizado, sendo que, as tentativas foram realizadas antes e depois da adoção das políticas, baseando-se na sétima regra estabelecida pelo IPFW no arquivo de configuração ipfw.rules. 34 Acesso remoto a servidores Linux

30 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 30 Figura 12 Tela do WinSCP 35 Tentativa de acesso com sucesso Figura 13 Tela do SSH Tentativa de acesso negado ao serviço SSH 35 Software que habilita copiar arquivos de computadores Windows a computadores Linux através de sua interface

31 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 31 Figura 14 Negação na tentativa de acesso ao copiar arquivo ao diretório do samba. 7.3 SAMBA CONTROLADOR DE DOMÍNIOS A partir do controlador de domínio através do Samba, a rede através de seus novos recursos pode gerenciar melhor o tráfego de arquivos nos aspectos de segurança, conforme configurado no seu arquivo principal smb.conf. Desta forma usa-se bloquear arquivos com extensões maliciosas, identificar os acessos a esses arquivos através dos arquivos de controles a acessos feitos ou logs do samba e gerenciar o acesso a eles através da política de acessos aos compartilhamentos. Figura 15 Mostra a linha de configuração aos arquivos por extensões

32 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 32 Figura 16 Mostra os logs de eventos de acesso ao servidor, o comando last faz esta tradução conforme mostrado na figura. 8. CONCLUSÃO Diante do estudo de caso desenvolvido, conclui-se que a adoção de uma política de controle de acesso à Internet e filtro de pacotes no ambiente corporativo é de fundamental importância para o ambiente de segurança das informações e dos negócios das organizações. Sugere-se que a política para a filtragem de pacotes seja restritiva, amenizando, assim, os riscos existentes quando do acesso à internet, sendo esta política apenas um subsistema de um sistema de segurança da informação no ambiente corporativo, agregando valores à complexidade corporativa e suas necessidades. Baseando-se no que foi apresentado neste artigo, é possível concluir que a adoção de mecanismos de configurações de ativos de rede voltados aos controles de acesso à Internet, em conjunto com a filtragem de pacotes, controlador de domínio, Proxy de redes e roteadores de internet em um ambiente corporativo é, sem dúvidas, de fundamental importância para o bom andamento de alguns requisitos nas atividades da organização como: Segurança das informações, facilidades nos processos de tecnologia da informação, controle de usuários, segurança nos diretórios, controles de acessos à internet, controle de tráfego de informações na rede.

33 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 33 Vale lembrar, que os firewalls, proxyes, controladores de domínios e roteadores, apenas fazem parte de um sistema de controles e segurança da informação e, não representam o sistema de segurança e controles de informações em sua totalidade, mas são partes relevantes deles. Com a proposta de configuração do Firewall IPFW como ativo de rede no ambiente da organização, tem-se nitidamente a melhoria nos processos de controles do tráfego de informações, controles de entradas e saídas de informações de pacotes, bloqueios de portas e protocolos de redes que trazem vulnerabilidades as organizações, levando-se em contas a ideia de que a proposta desse ativo foi a de que toda a organização estaria protegida através das regras previamente definidas nos seus arquivos de configurações, após a implantação do mesmo tem-se um cenário de alto nível de controle dessas entradas e saídas de dados, com a garantia de que essas informações possam ser ajustadas a qualquer momento, à medida que novas ameaças possam surgir. A segurança da informação é o alvo principal, porém, a adoção de um firewall na porta de entrada e saída de dados, não se torna o ponto principal a ser contemplado. De acordo com o que se verificou por ocasião deste artigo, a conscientização e a capacitação dos recursos humanos sobre a importância da segurança e o respeito aos riscos e ameaças, deve ser enfatizada cada vez mais no decorrer dos afazeres das instituições. Vale ressaltar que, nenhum sistema de informação está livre de ameaças, o que causa a necessidade de que todos os envolvidos nos processos de tecnologia da informação estejam comprometidos com as práticas de comportamento seguro e com a constante atualização de seus conhecimentos relativos às técnicas de segurança da informação. A utilização do Proxy na rede trouxe ao ambiente a garantia de que todas essas informações de navegações dos usuários possam esta monitorada para futuras tomadas de decisões de controles de acessos, do que foi-se acessado, do que foi-se navegado. Trazem o acumulo de informações nos cache do squid para otimização e melhoria no processamento de informações nas navegações de páginas web, desta forma a consulta às páginas acessadas tem-se uma nítida melhoria nas respostas dos tempos de navegações. A implantação do controlador de domínio traz-se ao ambiente computacional da organização as garantias de que as informações acessadas podiam estar

34 Configuração de ativos de rede: Configurando ativos padrão de rede com foco em segurança, 34 vinculadas as devidas permissões de acessos previamente configuradas, limites e controles para os acessos a determinados diretórios, políticas de controles de tráfego de informações, de cópias de arquivos por seu tipo de extensões, além de uma completa lista de logs destas informações. Com o roteador configurado, pode-se então converter as informações de ip s cedidos pelo provedor de internet para as configurações de ip s privados da organização, com isso traz-se a garantia de que as informações sejam tratadas no universo da organização com parâmetros definidos nas configurações dos ativos de rede configurados internamente. Sendo assim a proposta principal foi alcançada, na tentativa de deixar claro todas as configurações de cada um desses ativos, levando-se em contas as grandes dificuldades de implantações de ferramentas Free nas organizações devido a grande ausência de conhecimento de profissionais que atuem na área. Com artigo apresentado buscou-se deixar claro cada uma dessas configurações, para cada um desses ativos, suas relevâncias nos controles das informações que são tratados por cada um deles, e o impacto positivo nas melhorias encontradas no tráfego de segurança e controles das informações da organização. Para trabalhos futuros sugiro a integração do samba com o proxy em nível de autenticação e implantação das novas tecnologias nas versões mais atualizadas do samba com squid. Configurar toda parte visual de respostas a erros de acessos a conteúdos do squid para uma resposta mais visual e de melhor entendimento por parte do usuário ao navegar em algum site bloqueado. 9. ERRATA Onde se lê na folha de aprovação o título: "Configuração de ativos de rede: Como configurar ativos padrão de rede para prover segurança, Proxy, roteador, firewall, pdc de redes com samba." Leia-se: "Configurações de ativos de rede: Configurando ativos padrão de rede com foco em segurança"