Professional Documents
Culture Documents
MONOGRAFIA
CURITIBA
2012
CURITIBA
2012
RESUMO
2012.
LISTA DE ILUSTRAES
Fluxo1: Fluxo das solicitaes servidor Proxy ........................................................... 09
Figura 1: Modelo de virtualizao dependente de Sistema Operacional................... 13
Figura 2: Modelo de virtualizao utilizando Hypervisor............................................ 14
Figura 3: Modelo proposto pela soluo.................................................................... 17
Diagrama 1: Diagrama de estrutura de rede ............................................................. 18
Figura 4: Configurao de acesso negado urls ........................................................ 19
Figura 5: Arquivo liberados.txt ................................................................................... 19
Figura 6: Configurao de acesso hosts liberados .................................................... 19
Figura 7: Arquivo hostliberado.txt .............................................................................. 20
Figura 8: Configuraes Firewall ............................................................................... 23
SUMRIO
1 INTRODUO .................................................................................................... 07
2 PROXY (SQUID) ................................................................................................. 09
2.1 COMO FUNCIONA........................................................................................... 09
2.2 VANTAGENS ................................................................................................... 10
2.3 DESVANTAGENS ............................................................................................ 10
3 FIREWALL .......................................................................................................... 11
3.1 TIPOS DE FIREWALL ...................................................................................... 11
3.1.1 Firewall Filtro de Contedo............................................................................ 11
3.1.2 Firewall NAT .................................................................................................. 12
3.1.3 Firewall Hbrido.............................................................................................. 12
4 VIRTUALIAO ................................................................................................. 13
4.1 O QUE .......................................................................................................... 13
4.2 COMO FUNCIONAM ........................................................................................ 13
4.3 VANTAGENS DE UM AMIENTE VIRTUALIZADO ........................................... 14
5 DESENVOVIMENTO........................................................................................... 15
5.1 POLITICA DE SEGURANA ........................................................................... 15
5.2 ESTRUTURA DE REDE ................................................................................... 18
5.3 PROXY (SQUID) .............................................................................................. 19
5.4 FIREWALL (IPTABLES) ................................................................................... 21
6 CONCLUSO ..................................................................................................... 24
7 REFERNCIAS ................................................................................................... 25
1 INTRODUO
Com a utilizao de computadores e principalmente da internet nos dias
atuais comum s empresas se depararem com diversos problemas que devem ser
tratados e no apenas ignorados; o principal deles com a segurana no acesso
aos dados disponibilizados pela empresa, pois praticamente tudo que feito
atualmente depende de algum meio eletrnico.
As informaes devem ser preservadas em qualquer tipo de empresa, todas
sem exceo devem se preocupar com ela, pois um envio de e-mail para um
concorrente, por exemplo, pode ocasionar prejuzos incalculveis para uma
organizao.
Deve-se iniciar o processo de segurana desde o treinamento dos usurios
sobre as boas prticas de informtica e bem como ferramentas e servios dentro da
rede para tornar esta cada vez mais segura e confivel.
O objetivo deste projeto o desenvolvimento de uma ferramenta que visa
proteo de redes para pequenas empresas utilizando ferramentas de baixo custo e
com capacidade de proteo excelente.
O crescimento do mundo virtual fez com que as empresas ofeream cada vez
mais meios eletrnicos para comunicao, armazenamento e softwares para
gerenciamento; por isso necessita-se de mecanismos para combater possveis
falhas de segurana, como vazamento de informaes ou at mesmo tentativas de
roubo de informaes utilizando-se de possveis falhas no planejamento da rede de
uma organizao.
Para o estudo deste caso abordarei algumas ferramentas utilizadas
atualmente para segurana em ambiente virtual; so elas: Firewall (IPTABLES),
Proxy (SQUID), IDS (SNORT), Virtualizao.
Firewall (IPTABLES): Uma das ferramentas mais utilizadas e consolidadas
para software livre que utilizado geralmente para filtrar pacotes que trafegam via
meio eletrnico, deixando trafegar somente o necessrio, pacotes que no tem
interesse so diretamente descartados e para esconder de minha rede interna assim
dificultando o acesso as informaes
controle
de
acesso a sites indesejados, e o controle da cache, este para que consultas a sites
externos a organizao fiquem armazenados em memria para no ser necessria
a consulta ao meio externo todas as vezes que forem
solicitados.
2 PROXY (SQUID)
10
2.2 VANTAGENS
As principais vantagens de um Proxy Squid so o armazenamento de
contedos em cache, otimizando muito utilizao do link de internet, definir regras
para acesso a URLs, controlo de acesso IP.
2.3 DESVANTAGENS
No se pode utilizar somente um Proxy Squid e acreditar que esta seguro,
esta ferramenta torna-se eficaz quando em conjunto com um Firewall, por exemplo,
montado toda uma estrutura de segurana; na questo de atualizaes existe um
outro ponto complicado, pois, dependendo da maneira como foi configurado o
bloqueio de URLs, por exemplo, estar atualizando sempre, afinal a cada dia surgem
milhares de novos sites.
11
3 - FIREWALL
Um Firewall tornou-se uma das ferramentas mais importantes, quando o
assunto segurana no meio eletrnico, sua principal funcionalidade desde sua
concepo a filtragem de pacotes, mas existem muitas outras funes que foram
incorporadas a ferramenta devido necessidade de se criar um meio mais seguro
para utilizao de servios de rede.
Usa-se um firewall para tornar o meio eletrnico organizacional mais seguro, atravs
dele possvel disciplinar o trfego existente entre hosts e redes; tambm
especificar quais os tipos de protocolos e servios que podem ser disponibilizados
interna ou externamente bem como compartilhar o acesso a internet de uma rede
interna para que esta no tenha contato direto com o meio externo, ou seja, pode-se
limitar o uso de servios e ter um controle de quais redes so autorizadas a realizar
determinadas funes e host confivel a executar funes especifica.
Firewalls tem um papel importante na estrutura de segurana de uma rede,
sendo um dos principais itens necessrios, mas no pode deixar de comentar que
ele no 100% seguro, pois possveis falhas de protocolos ou m utilizao dos
usurios ele no consegue prever, um usurio que utiliza uma senha fraca (data de
nascimento, aniversrio de casamento, etc.) uma vez descoberta a senha ele vai
liberar o acesso, pois ele est configurado a aceitar conexes provenientes deste
usurio; outro erro comum acreditar que um firewall consegue proteger as redes
de vrus ou worms , por exemplo, mais uma vez o grande problema o mau uso
do usurio que acaba caindo em ciladas encaminhadas via e-mail ou mesmo atravs
de pen-drives inseridos na mquina sem a verificao prvia de um antivrus, sendo
este, o antivrus, a principal ferramenta para preveno destes problemas.
3.1 TIPOS DE FIREWALL
3.1.1 Firewall Filtro de Pacotes
O tipo de firewall que utilizado para controlar o fluxo dos pacotes que
passam por ele e para a rede local em que ele controla, direcionando as
informaes para o destino correto. Para isto define-se um conjunto de regras
previamente e estas direcionam a informao para o local definido.
12
13
4 VIRTUALIAO
4.1 O QUE ?
uma ferramenta que permite executar diversas mquinas virtuais diferentes
dentro de um mesmo hardware fsico, possibilitando assim uma melhor utilizao
dos equipamentos ainda mais levando em considerao que para um melhor
gerenciamento e segurana das redes definido uma mquina para cada servio
nessas redes, utilizando a virtualizao, em uma maquina fsica pode-se criar
diversas maquinas separadamente para efetuarem os mesmos servios separados
como de costume.
4.2 COMO FUNCIONAM
Pode-se utilizar a virtualizao basicamente de duas formas, na primeira
delas instalando um sistema operacional base (Windows ou Linux), neste instalado
o servidor de virtualizao e dentro deste servidor so instaladas as maquinas
virtuais que o usurio deseja utilizar.
14
15
5 DESENVOLVIMENTO/PROJETO
Antes de comear a descrever a soluo proposta, sempre vale lembrar que
simplesmente adotar ferramentas somente para dizer que a empresa possui
solues de segurana como Firewall, Proxys, Antivrus, entre outros; no adianta
de nada se algumas mudanas na postura e na organizao da empresa se no
forem implantadas. Polticas de segurana e principalmente o treinamento dos
usurios, explicar a importncia destas medidas para o bom funcionamento das
atividades dirias e com isso consequentemente a empresa em si ter um melhor
controle de atividades.
5.1 POLTICAS DE SEGURANA
A primeira prtica a ser adotada o controle de acesso s estaes atravs
de usurio e senha, esta senha tem como requisito um nmero mnimo de
caracteres (oito) e contm letras, nmeros e caracteres especiais como (@, !, #, $),
se a empresa tiver implantado um controlador de domnio (AD ou LDAP) deve-se
definir que a cada 30 dias esta senha seja alterada e conforme os registros deste
controlador de domnio, as ltimas trs senhas utilizadas no podem ser definidas
como novas senhas. Nos casos onde controladores de domnio no so adotados,
tem que ser definido as estaes para que necessite ser criados usurios e senha
para acesso s mesmas, e claro que explicar a importncia de se efetuar a troca
de senha aps um perodo de tempo que esta j utilizada. Outro item importante
deixar sempre estes usurios criados, tanto quando for criado via controlador de
domnio como quando criado diretamente na estao, deve-se deixar estes usurios
sempre que possvel como usurios restritos no permitindo assim a instalao de
alguns programas e de alteraes em registros importantes do sistema operacional.
A segunda prtica que se deve utilizar o acesso informao, ou seja,
definir corretamente qual usurio tem acesso a quais tipos de informao, separar
estas informaes por setor e classificao de sigilo; por exemplo, um usurio que
trabalha no setor de almoxarifado no pode ter acesso s informaes e
documentos que um usurio que trabalha no setor financeiro, tambm se deve
deixar uma rea em comum para acesso de todos.
16
17
18
19
20
21
22
#Agora estas definies sero utilizadas para tornar a regra padro para
bloquear todas as requisies.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Regras para tabela INPUT
#Libera os pacotes vindos das redes (DMZ e INTERNA) e da interface de
loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i 192.168.10.0/24 -j ACCEPT
iptables -A INPUT -i 192.168.20.0/24 -j ACCEPT
#Libera o acesso SSH ao servidor
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#Libera o acesso a porta do servidor squid para rede interna
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
#Libera as portas 80 (HTTP) e 53 (DNS) utilizadas para navegao
iptables -A INPUT -p tcp -m multiport --dport 80,53 -j ACCEPT
#Regras para Tabela OUTPUT
#Libera o DNS para o localhost
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
#Libera as portas 80 (HTTP) e 53 (DNS) utilizadas para navegao
iptables -A OUTPUT -p tcp -m multiport --dport 80,53 -j ACCEPT
#Regras para tabela FORWARD
#Regra para o recebimento de email.
iptables -A FORWARD -d <Endereco Servidor de Envio> -p tcp -m tcp --dport
25 -j ACCEPT
iptables -A FORWARD -d <Endereco Servidor de recebimento> -p tcp -m tcp
--dport 110 -j ACCEPT
23
24
6 CONCLUSO
25
7 REFERNCIAS
MARCELO, Antonio. Squid: configurando o Proxy para Linux. 4. ed. atual. Rio de
Janeiro: Brasport, 2005. 75 p. ISBN 85-7452-213-9
Urubatan Neto. Dominando Linux Firewall Iptables. Rio de Janeiro: Cincia Moderna,
2004. 98 p. ISBN 8573933208
Anonymous; traduo de Edson Furmankiewicz e Joana Figueiredo. Segurana
Mxima para Linux. Rio de Janeiro: Campus, 2000. 761 p. ISBN85-352-0627-2.
Mendes, Douglas Rocha, Redes de computadores 1.Edio Editora Novatec, Rio de
Janeiro 2009.
NAKAMURA, Emlio Tissato e GEUS, Paulo Lcio de: Segurana de Redes em
Ambientes Cooperativos. Berkeley 2002
TANENBAUM, Andrew S. Redes de Computadores. 4 Ed. Editora Campus 2010.
632p.
STALLINGS, William. Redes e Sistemas de Comunicao de Dados. Editora
Campus 2005. 460p.
MORAES, Alexandre Fernandes de. Segurana em Redes. So Paulo: rica, 2010.
264 p. ISBN978-85-365-0325-7
ZWICKY, ELIZABETH D.; Construindo Firewalls para a Internet. 2 ed. Rio
deJaneiro, Editora Campus,2001.
CARISSIMI, Alexandre. Virtualizao: da teoria a solues. Simpsio Brasileiro de
Redes de Computadores 2008, p.173 207.
26