You are on page 1of 10

Controlando o tráfego de saída no firewall Netdeep

1. Introdução

Firewall é um quesito de segurança com cada vez mais importância no mundo da computação. À medida que o uso de informações e sistemas é cada vez maior, a proteção destes requer a aplicação de ferramentas e conceitos de segurança eficientes. O firewall é uma opção praticamente imprescindível. O Firewall pode ser definido como uma barreira de proteção, que controla o tráfego de dados entre seu computador e a Internet (ou entre a rede onde seu computador está instalado e a Internet). Seu objetivo é permitir somente a transmissão e a recepção de dados autorizados. Existem firewalls baseados na combinação de hardware e software e firewalls baseados somente em software. Explicando de maneira mais precisa, o firewall é um mecanismo que atua como "defesa" de um computador ou de uma rede, controlando o acesso ao sistema por meio de regras e a filtragem de dados. 2. Como o firewall funciona

Há mais de uma forma de funcionamento de um firewall, que varia de acordo com o sistema, aplicação ou do desenvolvedor do programa. No entanto, existem dois tipos básicos de conceitos de firewalls: o que é baseado em filtragem de pacotes e o que é baseado em controle de aplicações. Ambos nã o devem ser comparados para se saber qual o melhor, uma vez que cada um trabalha para um deter minado fim, fazendo que a comparação não seja aplicável. O firewall Netdeep tem ambos tipos de filtros. Este manual mostrará como realizar a filtragem de pacotes no firewall Netdeep, controlando o acesso a protocolos e serviços na Internet. 3. Filtragem de pacotes

Por meio de um conjunto de regras estabelecidas, esse tipo de firewall determina que endereços IPs e dados podem estabelecer comunicação e/ou transmitir/receber dados. Alguns sistemas ou serviços podem ser liberados completamente (por exemplo, o serviço de e-mail da rede), enquanto outros são bloqueados por padrão, por terem riscos elevados (como softwares de mensagens instantâneas, tal como o MSN). Este tipo, se restringe a trabalhar nas camadas TCP/IP, decidindo quais pacotes de dados podem passar e quais não. Tais escolhas são regras baseadas nas informações endereço IP remoto, endereço IP do destinatário, além da s portas e protocolos usados. Quando devidamente configurado, esse tipo de firewall permite que somente "computadores conhecidos troquem determinadas informações entre si e tenham acesso a deter minados recursos". Um firewall assim, também é capaz de analisar informações sobre a conexão e notar alterações suspeitas, além de ter a capacidade de analisar o conteúdo dos pacotes, o que permite um controle ainda maior do que pode ou não ser acessível. 4. Bloqueio de tráfego de saída

Por padrão, depois de instalado o firewall Netdeep não bloqueia o tráfego de saída, isto é, as estações da rede podem acessar qualquer serviço na Internet, salvo se os filtros (URL, SMTP, POP3, FTP, HTTP_ estiverem habilitados. Entretanto, os outros serviços como P2P, IMAP, Skype não serão bloqueados caso não realizemos o controle do tráfego de saída. Para esta função o firewall Netdeep disponibiliza o módulo Firewall Avançado.
Obs: Pa ra segui r es te manual você pode ter instalado e rodando qualquer uma das versões do Netdeep Cop (freewa re ou corpora ti va ).

Dessa forma regras podem ser criadas para bloquear/liberar portas, endereços de IP/MAC, e outros, através da interface web ou mesmo via “linha de comando” (SSH). Abaixo seguem as instruções com exemplos de configurações utilizando desde cadastros de serviços e ender eços até as configurações avançadas.

Netdeep Tecnologia

DROP = Ignora conexão. Para fazer isto vá no menu “Firewall”-> “Bloqueio de Tráfego de saída” (Firewall Avançado em algumas versões). 6. respectivamente. Aparecerá uma tela como esta.5. no qual você pode copiar o mac -address da sua placa de rede: Este é o endereço MAC da placa de rede. REJECT = enviar retorno de fim de conexão Clique em “Salvar” e depois clique em “Habilitar Firewall Avançado”. Atenção: habilitando o firewall avançado todos as portas de saída serão bloqueadas. vá no “Iniciar” -> “Executar” e digite “cmd”. Digite as informações solicitadas. digite o Mac -address da sua placa de rede. Cadastro de Serviços Vamos iniciar o cadastro de serviços e endereços. Tais objetos podem ser manipulados em regras ou ainda serem agrupados. Netdeep Tecnologia . representando assim uma categoria específica. No campo “MAC Address do administrador”. vá no menu "Firewall > Configurações avançadas de Firewall ". Obs: No Windows para conseguir isto. Habilitando o Bloqueio de tráfego de saída Antes de tudo é necessário habilitar as regras do firewall avançado. Nesta tela digite o comando “ipconfig”. bloqueando o tráfego de saída. Para iniciar o gerenciamento de serviços e endereços. Sua tela deve ficar parecida com a tela abaixo: Habilite este item para criar um registro ou Log para o tráfego que não combinar com suas regras. Identificamos serviços e endereços como objetos que guardam informações globais sobre “números de portas/protocolos” e “endereços de hosts”. Clique em “Configurações”. Esta opção define como o firewall avançado irá bloquear os pacotes.

Como observamos na figura anterior. “Portas” e “Protocolos”. Estas opções podem ser acessadas no meu dropdown visualizado na figura a seguir: Netdeep Tecnologia .  Cadastro de hosts (Opções de Endereço): através do endereço (IP ou MAC)  Criar grupos de endereço (Grupo de endereços): agrupar os objetos de endereço. O cadastro desses serviços será de grande utilidade quando você for adicionar as regras do seu Netdeep Cop Firewall. Estes serviços estão relacionados às portas SSH e HTTPS. Estes recursos são descritos a seguir:  Criar grupos de serviços (Agrupamento de Serviços): agrupar os serviços cadastrados. através dos campos “Nome do Serviço”.  Adicionar uma nova interface (Configurações das Interfaces): cadastrar uma nova interface (p. precisamos cadastrar as portas SSH e HTTPS. Netdeepcopweb (445/TCP): acesso SSL à página administrativa do Netdeep Cop . as mesmas estarão disponíveis na página de cadastro de regras. Para liberar o acesso ao Firewall a outros computadores. necessária para administrar seu Netdeep Cop via conexão ssh. aprenderemos a definir alguns serviços não disponíveis na opção “Bloqueio de tráfego de saída”. Configur ações de Serviço Em primeiro lugar. Uma vez feito o cadastro. estão listados os serviços cadastrados por padrão no Firewall Avançado. além daquele especificado na Página "Configurações de bloqueio de trafego de saída".7. ou criar outros objetos como endereços (IP ou MAC) e interfaces. há dois serviços em “Serviços Personalizados”. de acesso ao NetdeepCop. Além do cadastro você também pode agrupar serviços em um único objeto. Na seção "Serviços Padrões" que exibimos na figura a seguir. ex VPN). Os serviços acima citados foram adicionados através da seção "Adicionar Serviço". Os detalhes sobre cada serviço são descritos a seguir:   Netdeep cop: porta ssh do Netdeep Cop (222/TCP).

selecione a opção “Agrupamento de serviços”. De uma maneira que facilite o entendimento das regras no futuro. Observe a imagem abaixo: Netdeep Tecnologia .Para agrupar serviços. a página a seguir será exibida: Crie os grupos conforme achar necessário. você pode liberar os acessos em comum (serviços usados pela maioria dos computadores da sua rede). com apenas uma regra. Com os grupos criados.

Surfar na Web via o Proxy do Netdeep Cop. ou seja.ex.Na figura anterior foram definidos os seguintes grupos:   Serviços Padrão: contêm serviços que os hosts da sua rede podem quer er acessar na Internet (neste ex emplo relacionados a correio eletrônico). 8.  Depois de definir serviços e grupos de serviços. você deverá criar regras que permitirão o tráfego citado acim a. Grupo de Endereços (um grupo específico de hosts). No caso do endereço.  Destino: identifica o destino do pacote com as opções:  Acesso ao servidor: o destino é o Firewall NetdeepCop  Outras Redes/Fora: outra rede. Proxy. NTP e DHCP. exceto o endereço ou grupo identificado. Criando regras Nós já definimos alguns serviços e grupos de serviços.  Interfaces padrões  “Formato do ender eço” (IP ou Mac) e “Endereço de Origem” (MAC/IP/REDE)  “Redes Padrões”: Rede de origem. queremos permitir que dois hosts de nossa equipe de suporte acessem o Netdeep Cop via página Web de administração (445) e conexão SSH(222). Volte a seção Bloqueio de tráfego de saída (Firewall -> Bloqueio de tráfego de saída) e clique na opção “Nova Regra”.  Grupos de ender eços: Grupos de ender eços (hosts) criados pelo usuário. qual será a política de acesso para a nossa rede? Quais serviços queremos permitir aos hosts da rede interna (Green)? Supondo que desejamos que nossa rede tenha acesso aos serviços do Netdeep Cop e da Internet. para finalizar o trabalho. Assim. Este grupo pode ser usado convenientemente para permitir acesso à página de administração do Netdeep Cop a outros hosts além daquele definido no campo "Admin MAC" da seção "Configurações de bloqueio de tráfego de saída. Netdeep Tecnologia . IP ou Rede de Destino (o campo pode ser p reenchido com um ender eço de um host ou rede). NetdeepCop admin: contêm serviços (ou portas) relacionados a administração do Netdeep Cop. tanto de nossa rede à Internet quanto ao próprio firewall. nós já podemos cadastrar nossa primeira regra no bloqueio de tráfego de saída. Obs: lembre-se que par a o BTS (Bloqueio de tráfe go de saída) é DROP (p.  Inverter (exclusão): altera o sentido da regra em relação ao endereço digitado. Endereço personalizado (um host especifico). E mais tarde. A página “Nova Regra” está dividida em quatro seções:  Origem: identifica a origem do pacote com as opções. refere-se a qualquer endereço de entrada. Este grupo pode ser usado para criar uma regra cujo objetivo seria permitir aos computadores da rede o acesso aos serviços do Netdeep Cop. Netdeep Cop: contêm serviços do tipo DNS. serve para excluir o argumento da regra. padrão da rede Green. Em primeiro lugar. cujo padrão é Any (qualquer destino).: da Rede GREEN par a a RED). podemos cadastrar nossa primeira regra de BTS: disponibilizar os serviços do Netdeep Cop aos hosts de nossa rede. Também definimos uma política básica de acesso. para tanto. Usar serviços DNS. podemos usar a seguinte política de acesso:    Enviar e receber e-mails. DHCP e NTP no Netdeep Cop.

 Ação da regra: Ação a ser aplicada à regra (ACEITAR. Se marcar esta opção. FAZER APENAS LOG). Netdeep Tecnologia .  Fazer log: marque esta opção se desejar registrar em Log o tráfego da regra. a semana.  Marca de Tempo: habilitando a opção “adicionar marca de tempo” você pode escolher o intervalo de dias do mês. Assim para permitir que a rede GREEN use os serviços do NetdeepCop selecione: Origem:  Interfaces Padrões: Green  Redes Padrões: Green Network Destino:  Acesso ao Servidor  Marque a opção “serviço especifico”.  Serviço Específico: pode conter a opção “Grupo de servi ços” (quando o usuário cadastra grupo de serviços). ou intervalo de hora em que a regra estará ativa. rede ou grupo identificado. REJEITAR. Invert (exclusão): indêntico a opção Origem. refere-se a qualquer endereço de destino.  Adicional (opções adicionais):  Regra habilitada: você pode apenas cadastra r a regra. a regra ficará ativa automaticamente após o cadastro. e em “grupo de serviços” escolha a opção netdeepcop (o grupo definido anteriormente para os serviços relacionados ao netdeepcop). No caso de destino. exceto o endereço. Obs: os campos seguidos por uma marca de bola azul são opcionais. No Campo “observação” digite um comentário sobre a regra. habilitá-la. sem no entanto. o dia. IGNORAR.  Observação: comentário sobre a regra . “Serviços Personalizados” para serviços cadastrados) e “Serviços Padrões” (para serviços cadastrados por padrão no Netdeep Cop).

ação. como exibido a seguir: Netdeep Tecnologia . você verá um resumo do que foi cadastrado. serviço. A princípio. Uma vez ter minado o cadastro. possibilitando ainda selecionar em qual posição na lista a regra será inserida. destino. clique em (Voltar) para mudar a opção. veja a seguir: Caso precise alterar alguma opção antes de salvar a regra. etc). A opção “Próximo” exibirá uma prévia das opções da regra (origem. você pode quer er inserir uma regra em um ponto específico da lista. existem duas maneiras de finalizar o processo de criação da regra: clicar em (Próximo) ou (Salvar). quando existirem muitas regras. clique em (Salvar) para salvar a regra em uma posição específica. Na seção “Regras atuais”. mas posteriormente. A opção “Salvar” grava e adiciona a regra no final da lista do Bloqueio de trafego de saída.A partir desse ponto. a posição não é o que interessa.

Como podemos observar na regra 1 da pagina acima. veja o próximo capítulo “Configurações Avançadas”. ou seja.  Selecione em Grupo de serviços: Netdeepcopweb (o segundo grupo de serviços definido em “Grupo de Serviços” no menu Conf. Netdeep Tecnologia . Se voc ê deseja permitir a algum outro host o acesso para administrar o Firewall Netdeep pela interface gráfica ou SSH. Clique em (Salvar) ou (Próximo)+(Salvar) e assim você gravará sua segunda regra no Bloqueio de tráfego de saída. Desta forma. Origem:  Interfaces Padrões: Green (interface da rede interna)  Redes Padrões: Green Network (origem Rede Interna) Destino:  Outras redes/fora: outras redes/exterior  Redes padrões: any (qualquer destino)  Marque “Serviço Específico”: habilitar a regra por serviço. Nossa tarefa agora é criar uma regra para permitir o acesso a serviços da internet. Sua lista “Regras Atuais” exibirá as duas regras a seguir: IMPORTANTE: Todo o tráfego que não é permitido por suas regras atuais é então bloqueado. DHCP. os computadores da rede interna terão permissão para acessar serviços na internet (no caso SSH – você pode adicionar outros serviços como DNS. NTP. qualquer destino (any) para uma porta (ou portas/protocolos) específica. Habilite a regra em “Regra habilitada”. Proxy e outros). a política define que os serviços do NetdeepCop estarão disponíveis para os hosts se sua LAN (rede Green). Avançadas de firewall).

definiremos uma regra de BTS que permita aos outros hosts da rede interna acesso à página do firewall Netdeep. os mesmos serão identificados pelo MAC Address. vá no menu “Firewall” em “Conf. Para criar um grupo de endereços (usando IP’s ou MAC Adress). Vá na página conf. precisamos cadastrar os endereços MAC das maquinas que farão parte desta regra. como uma for ma de evitar a falsificação de acesso através de IP spoffing. clique nesta opção. escolha o objeto Admin1. Agrupá-los em um único objeto que represente os hosts. o BTS exibirá uma tela semelhante a figura a seguir: Netdeep Tecnologia .9. Assim. Para este exemplo criamos o grupo denominado “Admins. Configur ações Avançadas As primeiras regras de BTS foram definidas e agora podemos dar um passo adiante em nossa configuração. é uma ótima opção para poupar trabalho no cadastro da regra. em seguida. Como podemos observar. endereços ou hosts também estarão presentes no momento de criação da regra.” Observe que os ender eços MAC cad astrados na seção anterior são exibidos no menu ao lado da opção “Endereço Personalizado”. clique em “Add”. Repita esta operação para o objeto Admin2. Semelhante ao cadastro de serviços. Avançadas de Firewall e escolha “Opções de Endereço”: Acima. observamos que foram cadastrados dois hosts que farão parte da administração (Admin 1 e Admin 2). Se você procedeu conforme explicado. Avançadas Firewall” e escolha no menu drop-down “Grupo de ender eços” (visto na figura a seguir). Inicialmente. Clique na opção (Nome do Grupo de Endereços” e preencha o campo ao lado com o nome do grupo que deseja criar.

Entre com as opções necessárias para a regra. Contribuições: Cíc ero Teix ei ra e Antonio Ediv aldo de O.br © . Netdeep Tecnologia .netdeep.Netdeep é uma marca registrad a de N ETDEEP TECN OLOGIA LTDA.  Selecione “Grupo de Serviço”: Netdeep Cop (o segundo grupo definido em conf avançadas firewall) Isso é tudo! Sua lista de regras agora deve estar semelhante à figura a seguir: 10.Agora já podemos criar a regra para o grupo Admins.br/netdeepcop/ suporte@netdeep.com.com. Gaspar. Origem:  Interfaces Padrões: Green  Grupo de endereços: Admins Destino:  Acesso ao Servidor: o destino será o próprio Firewall  Clique em “Regra habilitada”. Mais informações: http://www. Volte a pagina de BTS e clique em “Nova Regra”.