1 FIREWALL PARÂMETROS DE SEGURANÇA

Transcrição

1

2 Sumário 1 FIREWALL PARÂMETROS DE SEGURANÇA [Proteção DoS] [Proteção PortScan] [Proteção Pacotes Inválidos] [Permite Ping] [Permite ICMP Redirect] [Ignorar ICMP Broadcast]... 6

3 1 FIREWALL PARÂMETROS DE SEGURANÇA O BLOCKBIT UTM possui no módulo de FIREWALL alguns parâmetros de segurança que ajudam na proteção do sistema e dos tráfegos passantes (Figura 1), e parâmetros do kernel referente as conexões ICMP, TCP e UDP (figuras 2 e 3). As modificações dos parâmetros devem ser feitas com extrema cautela, já que elas podem gerar impactos diretamente no funcionamento. As imagens abaixo apresentam todos os parâmetros disponíveis em Serviços >> Firewall:

4 Figura 1 BLOCKBIT UTM FIREWALL Parâmetros de Segurança. Figura 2 BLOCKBIT UTM FIREWALL Parâmetros de Segurança 2. Figura 3 BLOCKBIT UTM FIREWALL Parâmetros de Segurança 3. A seguir, apresentaremos um resumo de cada parâmetro.

5 1.1 [Proteção DoS] Evita ataques do tipo Flood, normalmente feito para indisponibilizar (negar) ou sobrecarregar um determinado serviço. Com base nas configurações padrões abaixo, os pacotes serão limitados quando o burst for atingido, ou seja, o limite de 2000 requisições por segundo será aplicado após atingir as primeiras 5000 requisições. Figura 4 BLOCKBIT UTM FIREWALL Parâmetros de Segurança Proteção DoS. No debug do firewall via console de comandos é identificado como SECURITY_DOS.

6 1.2 [Proteção PortScan] PortScan ou varredura de portas é utilizado para identificar portas abertas no sistema alvo, e não apenas isso, mas também é possível tentar identificar mais informações sobre o serviço que está escutando na porta, o sistema operacional e as possíveis fraquezas. No BLOCKBIT UTM essa proteção é tratada tanto no fluxo de entrada do pacote (no qual o destino é o próprio firewall) como também no encaminhamento. No debug do firewall via console de comandos é identificado como SECURITY_PSD. 1.3 [Proteção Pacotes Inválidos] São considerados pacotes inválidos os que não respeitam o padrão do diagrama de estado TCP (handshake). O serviço de firewall descarta os pacotes considerados inválidos. No debug do firewall via console de comandos é identificado como SECURITY_INVALID. 1.4 [Permite Ping] Permite efetuar o ping (protocolo ICMP) ao BLOCKBIT UTM, dos tipos echo request e echo reply. 1.5 [Permite ICMP Redirect] Este recurso é um tipo de mensagem utilizada por roteadores para notificar hosts do mesmo segmento de rede, que existe um caminho (rota) melhor para um determinado destino. 1.6 [Ignorar ICMP Broadcast] Esse recurso ignora o tráfego ICMP Broadcast, usado para fazer com que servidores participem involuntariamente de ataques DOS, enviando grande quantidade de pings aumentando exponencialmente o tráfego NETBIOS da rede e tornando os serviços reais indisponíveis.

7 Este recurso habilita a proteção de IP Spoofing na zona de rede desejada. Obs: Esta opção pode causar problemas com o serviço de multink. [Source routing] Este recurso permite aplicar testes de roteamento atrás do firewall, permitem ao emissor do pacote especificar o caminho de ida e volta do pacote.

8 Checksum Pacotes com checksums ruins ficam em estado inválido. Com esta opção ativada, tais pacotes não serão considerados para rastreamento de conexão. Log invalid: Habilita logs de pacotes com estado INVÁLIDO ICMP timeout Usada para definir em segundos o tempo limite para os pacotes ICMP que resultarão no tráfego de retorno. Isto deve, em outras palavras, incluir Echo request and reply, Timestamp request and reply, Information request and reply e Address mask request and reply. Uma vez que é feito um dos pedidos, deve haver um pacote de retorno, e é quando o tempo limite do ICMP é contabilizado. Normalmente uma resposta ICMP é bastante rápida, a menos que seja utilizada uma conexão muito lenta. O valor padrão é 30. Max Tamanho máximo da tablela de session tracking, ou seja, de conexões estabelecidas simultaneamente. O valor padrão é TCP loose Habilita/Desabilita o levantamento de novas entradas de conexões já estabelecidas na tabela session tracking. O valor padrão é 1 (habilitado), para desabilitar, definir o valor 0. TCP max retrans Define o número máximo de pacotes TCP que podem ser retransmitidos sem receber um ACK aceitável do destino. O valor padrão é 3. TCP timeout close Define o valor padrão de timeout em segundos para conexões TCP com stado CLOSE. O padrão é 10 segundos. TCP timeout close wait Define o valor padrão de timeout em segundos para conexões TCP com stado CLOSE-WAIT. O padrão é 30 segundos. TCP timeout established

9 Define o timeout em segundos para conexões TCP estabelecidas. O valor padrão é segundos. Timeout TCP FIN wait Define o timeout em segundos para conexões TCP com estado FIN-WAIT-1 e FIN-WAIT-2. O valor padrão é 30 segundos. TCP timeout last ACK Denite o timeout em segundos para conexões TCP com o estado LAST-ACK. O valor padrão é 30 segundos. TCP timeout max retrans Define o timeout em segundos para as conexões TCP que atingem o numero máximo retransmissões definido na opção "TCP max retrans" sem receber um ACK aceitável dos destinos. O valor padrão é 300 segundos. TCP timeout SYN recv Define o timeout em segundos para conexões TCP com o estado SYN RECV. O valor padrão é 60 segundos. TCP timeout SYN sent Define o timeout em segundos para conexões TCP com o estado SYN SENT. O valor padrão é 120 segundos. TCP timeout time wait Define o timeout em segundos para conexões TCP com o estado TIME WAIT. O valor padrão é 60 segundos. UDP timeout Esse recurso define o tempo máximo que uma conexão permanece ativa em estado ocioso, ou seja, sem nenhum tráfego. Uma vez atingido o tempo limite configurado, o sistema remove todas as conexões do protocolo UDP, que estão no estado ocioso com o tempo limite configurado excedido. Valor padrão: 30 segundos UDP timeout stream Define o timeout em segundos para conexões UDP STREAM (ASSURED).O valor padrão é 180 segundos.