1-0 Instalando o Firewall Aker - Data - Aker Security Solutions
1-0 Instalando o Firewall Aker - Data - Aker Security Solutions 1-0 Instalando o Firewall Aker - Data - Aker Security Solutions
6-0 O Filtro de Estados Mostraremos aqui como configurar as regras que propiciarão a aceitação ou não de conexões pe lo firewall. Este módulo é o coração do sistema e é onde normalmente s e gasta o maior tempo de configuração. 6-1 Planejando a instalação O que é um filtro de pacotes ? Um filtro de pacotes é o módulo que irá decidir se um determinado pacote poderá passar através do firewall ou não. Deixar um pacote passar implica em aceitar um determinado serviço. Bloquear um pacote significa impedir que este serviço seja utilizado. Para decidir a ação a ser tomada para cada pacote que chega ao firewall, o filtro de pacotes possui um conjunto de regras configurado pelo administrador do sistema. Para cada pacote que chega, o filtro de pacotes percorre este conjunto de regras, na ordem em que foi criado, verificando se este se encaixa em alguma das regras. Se ele se encaixar em uma r egra então a ação definida para e la será executada. Caso o filtro termine a pesquisa de todas as regras e o pacote não se encaixar em nenhuma então a ação padrão será executada. O que é o filtro de estados do Firewall Aker ? Um filtro tradicional de pacotes baseia suas ações exclusivamente no conjunto de regras configurado pelo administrador. Para cada pacote que poderá passar pelo filtro, o administrador tem que configurar uma regra que possibilite sua aceitação. Em alguns casos isto é simples, mas em outros isto não é possível de ser feito ou pelo menos não é possível de se fazer com a segurança e flexibilidade necessárias. O filtro de pacotes do Firewall Aker é chamado de filtro de estados na medida em que armazena informações do estado de todas as conexões que estão fluindo através dele e usa estas informações em conjunto com as regras definidas pelo administrador na hora de tomar a decisão de permitir ou não a passagem de um determinado pacote. Além disso, diferentemente de um filtro de pacotes que baseia suas decisões apenas nos dados contidos no cabeçalho do pacote, o filtro de estados examina dados de todas as camadas e utiliza todos estes dados ao tomar uma decisão. Vamos analisar como isso permite a solução de diversos problemas apresentados pelos filtros de pacotes tradicionais. O problema do protocolo UDP: Para usar um serviço UDP, a máquina cliente inicialmente escolhe um número de porta (que é variável cada vez que o serviço for utilizado) e envia um pacote para a porta da máquina servidora correspondente ao serviço (esta porta na máquina servidora é fixa). A máquina servidora, ao receber a requisição, responde com um ou mais pacotes para a
porta da máquina cliente. Para que a comunicação seja efetiva, é necessário que o firewall permita a passagem dos pacotes de solicitação do serviço e de resposta. O problema é que o protocolo UDP é um protocolo não orientado à conexão, isto significa que se um determinado pacote for observado isoladamente, fora de um contexto, não se pode saber se ele é uma requisição ou uma resposta de um serviço. Nos filtros de pacotes tradicionais, como o administrador não pode saber de antemão qual porta será escolhida pela máquina cliente para acessar um determinado serviço, ele pode ou bloquear todo o tráfego UDP ou permitir a passagem de pacotes para todas as possíveis portas. Ambas abordagens possuem problemas óbvios. O Firewall Aker possui a capacidade de se adaptar dinamicamente ao tráfego de modo a resolver problemas deste tipo: todas as vezes que um pacote UDP é aceito por uma das regras configurada pelo administrador, é adicionada uma entrada em uma tabela interna, chamada de tabela de estados, de modo a permitir que os pacotes de resposta ao serviço correspondente possam voltar para a máquina cliente. Esta entrada só fica ativa durante um curto intervalo de tempo, ao final do qual ela é removida (este intervalo de tempo é configurado através da janela de configuração de parâmetros, mostrada no capítulo intitulado Configurando os parâmetros do sistema). Desta forma, o administrador não precisa se preocupar com a os pacotes UDP de resposta, sendo necessário apenas configurar as regras para permitir o acesso aos serviços. Isto pode ser feito facilmente, já que todos os serviços possuem portas fixas. O problema do protocolo FTP: O FTP é um dos protocolos mais populares da Internet, porém é um dos mais complexos de ser tratado por um firewall. Vamos analisar seu funcionamento: Para acessar o serviço FTP, inicialmente a máquina cliente abre uma conexão TCP para a máquina servidora na porta 21. (a porta usada pelo cliente é variável). Esta conexão é chamada de conexão de controle. A partir daí, para cada arquivo transferido ou para cada listagem de diretório, uma nova conexão é estabelecida, chamada de conexão de dados. Esta conexão de dados pode ser estabelecida de duas maneiras distintas: 1. O servidor pode iniciar a conexão a partir da porta 20 em direção a uma porta variável, informada pelo cliente pela conexão de controle (este é chamado de FTP ativo) 2. O cliente pode abrir a conexão a parir de uma porta variável para uma porta variável do servidor, informada para o cliente através da conexão de controle (este é chamado de FTP passivo). Em ambos os casos o administrador não tem como saber quais portas serão escolhidas para estabelecer as conexões de dados e desta forma, se ele desejar utilizar o protocolo FTP através de um filtro de pacotes tradicional, deverá liberar o acesso para todas as possíveis portas utilizadas pelas máquinas clientes e servidores. Isto tem implicações sérias de segurança. O Firewall Aker tem a capacidade de vasculhar o tráfego da conexão de controle FTP e desta forma descobrir qual o tipo de transferência será utilizada (ativa ou passiva) e
- Page 37 and 38: Para executar qualquer uma das opç
- Page 39 and 40: • Lista usuários cadastrados Est
- Page 41 and 42: Se o acesso ao firewall já estiver
- Page 43 and 44: 4-0 Configurando os parâmetros do
- Page 45 and 46: Tempo limite TCP: Define o tempo m
- Page 47 and 48: Mesmo com esta opção ativa, somen
- Page 49 and 50: • Parâmetros de SNMP Comunidade
- Page 51 and 52: até considerá-la novamente ativa.
- Page 53 and 54: 5-0 Cadastrando Entidades Mostrarem
- Page 55 and 56: uma comunicação completa nos prot
- Page 57 and 58: A janela de cadastro de entidades
- Page 59 and 60: Letras maiúsculas e minúsculas s
- Page 61 and 62: Nome: É o nome através do qual o
- Page 63 and 64: tarefa por um dos agentes externos,
- Page 65 and 66: IP: É o endereço IP da máquina o
- Page 67 and 68: O único campo de preechimento obri
- Page 69 and 70: IP: É o endereço IP da máquina o
- Page 71 and 72: DN Root de conexão: DN do usuário
- Page 73 and 74: Incluindo / editando serviços Para
- Page 75 and 76: serviços mantida aberta, pronta pa
- Page 77 and 78: Para facilitar a inclusão de vári
- Page 79 and 80: fwent inclui servico [TCP | UDP |
- Page 81 and 82: Anti-Virus: ----------- Anti-virus
- Page 83 and 84: 3 - No caso do cadastro de uma máq
- Page 85 and 86: 5 - Escolha do ícone da entidade.
- Page 90 and 91: quais portas serão usadas para est
- Page 92 and 93: 10.1.1.2 & 255.255.255. 255 -> 10.2
- Page 94 and 95: • Inserir: Esta opção permite s
- Page 96 and 97: maiores informações sobre criptog
- Page 98 and 99: 6-3 Trabalhando com Políticas de F
- Page 100 and 101: todos UDP 8 Correio_SMTP server1 SM
- Page 102 and 103: Para melhor visualização e contro
- Page 104 and 105: \ [pipe ] [acumulador ] [loga] [ma
- Page 106 and 107: 2 - Tela inicial com as explicaçõ
- Page 108 and 109: 5 - Configuração da DMZ 6 - Escol
- Page 110 and 111: 9 - Administração do Firewall. In
- Page 112 and 113: 12 - Seleção dos serviços do ser
- Page 114 and 115: 7-0 Configurando a conversão de en
- Page 116 and 117: • N-1 A conversão de N-1, como o
- Page 118 and 119: Endereços das placas: rede interna
- Page 120 and 121: • Múltiplas ligações com a Int
- Page 122 and 123: O funcionamento da conversão é si
- Page 124 and 125: • O botão OK fará com que o con
- Page 126 and 127: Tipo de NAT: Neste campo se define
- Page 128 and 129: Quando o módulo de Cluster Coopera
- Page 130 and 131: Persistência de Sessão: Esse camp
- Page 132 and 133: Na regra 3 alguém da Internet est
- Page 134 and 135: ealizará uma crítica para determi
- Page 136 and 137: emovida da tabela Para conversao 1-
6-0 O Filtro de Estados<br />
Mostraremos aqui como configurar as regras que propiciarão a aceitação ou<br />
não de conexões pe lo firewall. Este módulo é o coração do sistema e é onde<br />
normalmente s e gasta o maior tempo de configuração.<br />
6-1 Planejando a instalação<br />
O que é um filtro de pacotes ?<br />
Um filtro de pacotes é o módulo que irá decidir se um determinado pacote poderá passar<br />
através do firewall ou não. Deixar um pacote passar implica em aceitar um determinado<br />
serviço. Bloquear um pacote significa impedir que este serviço seja utilizado.<br />
Para decidir a ação a ser tomada para cada pacote que chega ao firewall, o filtro de<br />
pacotes possui um conjunto de regras configurado pelo administrador do sistema. Para<br />
cada pacote que chega, o filtro de pacotes percorre este conjunto de regras, na ordem em<br />
que foi criado, verificando se este se encaixa em alguma das regras. Se ele se encaixar<br />
em uma r egra então a ação definida para e la será executada. Caso o filtro termine a<br />
pesquisa de todas as regras e o pacote não se encaixar em nenhuma então a ação padrão<br />
será executada.<br />
O que é o filtro de estados do <strong>Firewall</strong> <strong>Aker</strong> ?<br />
Um filtro tradicional de pacotes baseia suas ações exclusivamente no conjunto de regras<br />
configurado pelo administrador. Para cada pacote que poderá passar pelo filtro, o<br />
administrador tem que configurar uma regra que possibilite sua aceitação. Em alguns<br />
casos isto é simples, mas em outros isto não é possível de ser feito ou pelo menos não é<br />
possível de se fazer com a segurança e flexibilidade necessárias.<br />
O filtro de pacotes do <strong>Firewall</strong> <strong>Aker</strong> é chamado de filtro de estados na medida em que<br />
armazena informações do estado de todas as conexões que estão fluindo através dele e<br />
usa estas informações em conjunto com as regras definidas pelo administrador na hora<br />
de tomar a decisão de permitir ou não a passagem de um determinado pacote. Além<br />
disso, diferentemente de um filtro de pacotes que baseia suas decisões apenas nos dados<br />
contidos no cabeçalho do pacote, o filtro de estados examina dados de todas as camadas<br />
e utiliza todos estes dados ao tomar uma decisão.<br />
Vamos analisar como isso permite a solução de diversos problemas apresentados pelos<br />
filtros de pacotes tradicionais.<br />
O problema do protocolo UDP:<br />
Para usar um serviço UDP, a máquina cliente inicialmente escolhe um número de porta<br />
(que é variável cada vez que o serviço for utilizado) e envia um pacote para a porta da<br />
máquina servidora correspondente ao serviço (esta porta na máquina servidora é fixa).<br />
A máquina servidora, ao receber a requisição, responde com um ou mais pacotes para a