Roteiro com a filtragem de pacotes; Configuração de um roteador de filtragem de pacotes; O que o roteador faz com os pacotes; Dicas para a filtragem de pacotes; Convenções para regras de filtragem de pacotes; Filtragem por endereço e por serviço; A escolha de um roteador de filtragem de pacotes; Onde realizar a filtragem de pacotes; Quais regras utilizar; Ferramenta extremamente poderosa, pois toda informação que passa na Internet, em um dado momento precisará entrar em um pacote; Em um único ponto, pode-se proteger uma rede inteira; Exemplo: Telnet desabilitado no servidor X bloqueio realizado na filtragem; Detectar pacotes inválidos; 1
Detectar ataques específicos, como: spoofing; Filtragem básica de pacotes; Permite ativar ou desativar a transferência de dados de acordo com: Endereços de origem e destino; Portas de origem e destino; Exemplo possível: Permita que todos utilizem a porta do SMTP; Exemplo que não seria possível: Pode-se transferir estes arquivos, mas não aqueles arquivos Filtragem básica de pacotes; A Filtragem básica examina apenas o endereço e a porta que está sendo utilizada. Não tem como verificar se os dados são de boa qualidade Verificam apenas cabeçalhos de protocolos mais baixos; Não podem reconhecer estruturas de dados utilizadas por protocolos de nível mais alto; 2
Filtragem dinâmica de pacotes (Com informações de estado); Mais avançados, permitindo criar regras como: Permita pacotes de entrada apenas se forem respostas a solicitações; O filtro de pacotes tem como controlar o estado das transações; Cuidados: Controlar o estado aumenta a carga sobre o roteador; Equipamentos redundantes precisam ter as informações sobre estados das conexões constantemente atualizadas; - O que é possível fazer Filtragem dinâmica Exemplo: Verificação de protocolos; Sistemas de filtragem mais avançados, possuem conhecimento profundo da camada de aplicação, podendo criar regras como: Desfazer conexões FTP, que estejam utilizando o usuário anonymous ; Permitir entrada de pacotes DNS na porta específica deste serviço apenas se os mesmos possuírem o formato correto dos pacotes DNS; 3
Configuração de um roteador de filtragem de pacotes Primeiro passo é definir quais serviços permitir ou negar; Depois traduzir as decisões em regras sobre pacotes; Conceitos genéricos que deve-se ter em mente: Cuidado com a semântica das expressões de entrada e de saída ; Há diferenças entre pacotes e serviços de entrada e de saída. Exemplo: O serviço de Telnet (Saída) requer pacotes de saída (teclas digitadas por você) e entrada (respostas que serão devolvidas) Configuração de um roteador de filtragem de pacotes Conceitos genéricos que deve-se ter em mente: Permissão padrão X Negação padrão; Permissão padrão: O que não é expressamente proibido é permitido; Negação padrão: O que não é expressamente permitido é proibido; A postura proibitiva é muito mais segura e eficiente; O que o roteador faz com os pacotes O pacote pode ser descartado (caso não passe pelos critérios do filtro) ou passado adiante; Registro das ações no log; Especialmente importante, pois permite detectar tentativas de ataques e configurações realizadas incorretamente; Importante a utilização de um Syslog, pois se o equipamento que realiza a filtragem for comprometido e o log estiver nele... O ideal é ter um servidor Syslog com bastante espaço em disco 4
Dicas para a filtragem de pacotes Editar as regras de filtragem off-line; Mais seguro; Importante para documentação, pois alguns filtros de pacotes removem os comentários dos arquivos; Recarregar as regras desde o início quando realizar uma alteração; Sempre utilizar endereços IP s, nunca utilizar nomes de hosts dependentes do seu DNS Utilizar listas de acessos nomeadas Útil para depuração e documentação Convenções para regras de filtragem de pacotes Filtragem por endereço Permite impedir, por exemplo, que um atacante injete pacotes falsificados simulando como endereço de origem o seu endereço interno: Convenções para regras de filtragem de pacotes Filtragem por serviço A maioria das filtragens envolve a utilização de filtragens por serviço, pois sua eficiência é muito maior; Na prática a filtragem por endereço seria utilizada apenas nos casos de bloqueios de endereços de entrada forjados; Vamos analisar a seguir duas situações envolvendo filtragem de pacotes Permitir acesso Telnet de entrada e de saída Permitir acesso Telnet apenas de saída 5
Convenções para regras de filtragem de pacotes Filtragem por serviço Permitir acesso Telnet de entrada e de saída Convenções para regras de filtragem de pacotes Filtragem por serviço Permitir acesso Telnet apenas de saída A escolha de um roteador de filtragem de pacotes Características importantes a considerar Desempenho de filtragem bom o suficiente para atender as suas necessidades; Normalmente roteadores internos necessitam de maior poder de processamento do que roteadores externos Ex.: Links de 512 Kbps x Links Gigabit 6
A escolha de um roteador de filtragem de pacotes Características importantes a considerar Atentar para a capacidade de processamento, memória disponível e velocidade das interfaces; Deve aplicar as regras na ordem especificada: Vejamos o exemplo a seguir onde as regras serão aplicadas na ordem abc e depois na ordem bac: abc Mesmas regras na ordem bac 7
A escolha de um roteador de filtragem de pacotes Características importantes a considerar Utilizar um roteador de uso único ou um computador de uso genérico? Para redes de grande porte a melhor solução é um roteador dedicado; Para situações menores pode-se utilizar máquinas antigas, obsoletas s e até combinar alguns serviços com a filtragem de pacotes como um proxy (Cuidado!!! Já conversamos sobre isto...). Onde realizar a filtragem de pacotes Mais próximo da origem? Vantagem... Mais próximo do destino? Vantagem... E a duplicação das regras em mais de um roteador? Pode proporcionar defesa em profundidade; Mas e o desempenho e a manutenção dessas regras? Quais regras utilizar? Independente das suas regras particulares, boas práticas incluem: Configurar negação padrão (Política proibitiva); Negar trafego de entrada com endereços de origens internos; Negar tráfego de saída que não possuam endereços de origem internos; Negar todo tráfego com endereços de origem não válido (Incluindo endereços de origens broadcast e multicast); Negar tráfego ICMP acima de determinados tamanhos;... 8