Seguran¸a em Redes – Prof. Rafael R. Obelheiro – Semestre: 2008.

2 c

Trabalho – Configura¸˜o de Firewall ca
O Grupo Escolar Percival Toledo (GEPeTo) ´ uma das escolas beneficiadas pelo Programa de e Inform´tica Amplamente Dispon´ a Alunos, um programa governamental que visa ampliar o acesso a ıvel dos estudantes do Ensino Fundamental ` tecnologia da informa¸˜o. Atrav´s dessa iniciativa, a escola a ca e recebeu diversos recursos computacionais: • 40 esta¸˜es de trabalho para professores, alunos e funcion´rios; co a • quatro m´quinas servidoras; a • um ponto de acesso para rede sem fio (Wi-Fi); • um enlace Internet dedicado, com um bloco de endere¸os IP para uso interno. c A dire¸˜o do GEPeTo manifestou grande preocupa¸˜o com a seguran¸a da rede. Para isso, foi ca ca c contratado um consultor de seguran¸a, que fez as seguintes recomenda¸˜es: c co 1. Instalar um firewall na rede (uma das m´quinas servidoras pode ser usada para esse fim); a 2. As demais m´quinas servidoras deveriam ficar em uma DMZ, com a seguinte distribui¸˜o de a ca servi¸os: c • um servidor web; • um servidor para DNS e email (SMTP/IMAPS); • um proxy web Squid, que utiliza a porta 3128/tcp. 3. As esta¸˜es de trabalho deveriam ficar na rede interna; co 4. A rede sem fio deveria ser isolada das demais redes; 5. Os endere¸os IP deveriam ser distribu´ c ıdos da seguinte forma: • uma sub-rede v´lida para a DMZ; a • uma sub-rede v´lida para a rede interna (os seis primeiros endere¸os v´lidos dessa sub-rede a c a ser˜o reservados para m´quinas usadas na administra¸˜o da rede); a a ca • uma rede reservada (RFC 1918) para a rede sem fio. 6. As restri¸˜es de acesso implementadas pelo firewall deveriam ser as seguintes: co (a) As esta¸˜es da rede interna podem acessar a Internet diretamente, com exce¸˜es: co co • o acesso web (HTTP/HTTPS) para m´quinas na rede externa deve passar pelo proxy a na DMZ; • o acesso SMTP deve passar pelo servidor de email na DMZ; • os acessos POP3 e IMAP s˜o bloqueados. a (b) As esta¸˜es da rede interna podem acessar os servi¸os na DMZ (HTTP, HTTPS, SMTP, co c IMAPS, DNS, proxy), nos seus respectivos servidores. As esta¸˜es usadas para adminisco tra¸˜o da rede (ver item 5 acima) tˆm acesso SSH a todos os servidores. Todos os outros ca e acessos da rede interna para a DMZ s˜o bloqueados. a (c) As esta¸˜es na rede sem fio n˜o podem acessar a Internet diretamente: co a • o acesso web (HTTP/HTTPS) deve passar pelo proxy na DMZ; • o acesso SMTP e DNS deve passar pelo servidor respectivo na DMZ. Todos os outros acessos a partir da rede sem fio s˜o bloqueados. a (d) Hosts na rede externa s´ podem acessar os servi¸os web, SMTP e DNS na DMZ. o c (e) O firewall deve possuir regras anti-spoofing. 1

Vocˆ recebeu a miss˜o de implementar as recomenda¸˜es do consultor na rede do GEPeTo. Essa e a co miss˜o consiste nas seguintes tarefas: a 1. Partindo do bloco de endere¸os dado pelo professor, defina uma estrutura de endere¸amento c c para a rede do GEPeTo. Considere que o enlace Internet est´ ligado na interface externa do a firewall, e possui os endere¸os 200.9.2.225 (local) e 200.9.2.226 (remoto). Fa¸a um diagrama c c mostrando a forma como foram alocadas as sub-redes e quais os endere¸os usados pelo firewall c e pelos servidores na DMZ. Inclua uma tabela com a seguinte estrutura (“Local” representa o setor em que a sub-rede foi alocada): Sub-rede Endere¸o de sub-rede c Endere¸o de broadcast c Local

2. Configure o firewall para a rede do GEPeTo, implementando (i) regras de NAT para a rede Wi-Fi e (ii) regras de filtragem para efetivar as restri¸˜es de acesso. co A configura¸˜o do firewall deve ser feita usando o Firewall Builder (http://www.fwbuilder. ca org). A documenta¸˜o entregue deve conter as regras de filtragem e NAT no formato do Firewall ca Builder e essas regras compiladas para o filtro de pacotes PF.

Observa¸˜es importantes: co 1. O trabalho poder´ ser individual ou em dupla. a 2. O trabalho poder´ ser entregue at´ o dia 21 de novembro. a e 3. O trabalho dever´ ser impresso. N˜o ser˜o aceitos trabalhos por email. a a a

2