Firewall de alto nível com o Portsmith SEGURANÇA ... · PDF...

Click here to load reader

  • date post

    12-Feb-2019
  • Category

    Documents

  • view

    222
  • download

    0

Embed Size (px)

Transcript of Firewall de alto nível com o Portsmith SEGURANÇA ... · PDF...

64 http://www.linuxmagazine.com.br

SE

GU

RA

N

A

Firewall de alto nvel com o Portsmith

Firewall mais prtico

Falta ao iptables uma funo para abrir portas dinamicamente para usurios autenticados. O Portsmith resolve justamente isso.por Christian Ney

Administradores de equipamen-tos Check Point e Cisco esto familiarizados com firewalls que abrem portas aps um usurio fazer seu login. Infelizmente, essa tcnica, s vezes chamada de Client Authentication (autenticao do clien-te) ou Cut-Through Proxy, costuma estar sujeita a restries. Em virtude dos problemas associados a firewalls que fazem autenticao, o iptables no inclui essa funcionalidade. Ob-viamente, possvel empregar suas prprias funes de autenticao com alguns scripts, mas poucos ad-ministradores se do a esse trabalho.

O Portsmith [1] oferece uma opo livre e fcil para autentica-o no firewall, e essa ferramenta inovadora permite at que usurios autenticados abram portas de seus prprios navegadores web. Para evitar ameaas potenciais de segurana, o administrador ainda mantm controle das permisses. Cada usurio rece-be um conjunto de links de comu-nicao exigidos e s pode acessar os recursos atribudos a esses links. Essa tcnica impede que os usu-rios simplesmente abram buracos no firewall sempre que precisarem.

Uma aplicao potencial para um firewall com Portsmith em substituio a uma VPN. O trfe-go impedido no firewall at que um usurio se autentique, e aps o login, somente o trfego vindo do IP desse usurio admitido. Ao garantir que um servio especfico s esteja disponvel para o usurio autenticado, o administrador con-segue evitar a necessidade de um servidor VPN dedicado. Na outra ponta, o cliente tambm no pre-cisa de softwares ou configuraes especiais para iniciar a conexo. Segundo o site do Portsmith, ... possvel controlar o computador de trabalho a partir da sua casa, da casa de um amigo, de uma rede Wi-fi ou de qualquer outro local com acesso Internet. Como no h exigncias de software, aps sair do local, no haver vestgios de que voc esteve l, e nada instalado no computa-dor que estava em uso. Outra van-tagem do Portsmith uma soluo de becape integrada baseada no navegador. Simplesmente d um clique para gravar um conjunto de regras, arquivos crticos e banco de dados num CD.

O Portsmith prefere o Ubuntu 8.04 Server LTS [2]. Claro que possvel usar outras distribuies, embora seja necessrio modificar os caminhos e o tratamento de componentes de acordo com as exigncias do Ports-mith. O Portsmith projetado para funcionar com o servidor web Apache [3], com o mdulo do PHP5 [4] e com o mdulo para bancos de dados PostgreSQL [5]. Boa sorte se preferir outro sistema de banco de dados, pois nenhum outro suportado.

O servidor web atua como interface com o administrador e os usurios. As contas so armazenadas no banco de dados. O conjunto dinmico de regras tambm guardado no banco de dados e obtido do banco sempre que necessrio. H scripts em exe-cuo em segundo plano para gerar regularmente os comandos iptables correspondentes a partir de trechos do banco de dados e em seguida adicion-los ao conjunto de regras.

Para usar o Portsmith, primeiro instale o Ubuntu 8.04 Server. Reco-menda-se usar uma partio separada para o diretrio /var/, onde tanto os arquivos de log quanto o banco de dados residiro.

[email protected]@provisuale.com.br (41) 3314-3200

saiba mais

13 a 16 de outubro, 2009 Transamerica Expo Center So Paulo

4.8OO Congressistas Mais de 3OO Palestrantes e Painelistas 7 Auditrios Simultneos 14.3OO Participantes de 42 Pases Presena de Dirigentes e Profissionais do Setor 25.OOOm2 de Exposio

Futurecom, o mais qualificado Evento de Telecomunicaes e Tecnologia da Informao da Amrica Latina.

Um Empreendimento que rene as Foras de Mercado e proporciona s Empresas, aos Profissionais e Dirigentes que dele participam um ambiente

estimulante para novos Conhecimentos, Negcios e Relacionamento.

66 http://www.linuxmagazine.com.br

SEGURANA | Portsmith

A documentao do Portsmith sugere a instalao do metapacote ubuntu-desktop, que oferece uma interface de usurio completa basea-da no Gnome. Entretanto, no ser realmente necessrio um desktop Gnome. Por outro lado, a docu-mentao nada informa a respeito de tarefas mais significativas, tais como melhorar a segurana do sis-tema operacional. Como o Portsmith tem conexo direta com a Internet, ele requer muito mais ateno se-gurana do que um sistema comum.

O prximo passo configurar as interfaces de rede e em seguida ins-talar os pacotes restantes. Os usu-rios favorveis a um desktop grfico podem usar as ferramentas grficas para isso; todos os demais devem apenas usar o editor de texto para alterar o arquivo /etc/network/in-terfaces. O comando

aptitude install -y openssh-server apache2 libapache2-mod-php5 libapache2-mod-auth-pgsql postgresql-8.3 php5-pgsql

instala no sistema os pacotes necess-rios. Se for usada a soluo de becape interna, ser preciso instalar tambm os pacotes mkisofs e cdrecord.

A configurao do servidor web requer mais algumas etapas. Na configurao de DNS do firewall, defina os parmetro ServerName e depois ative o mdulo SSL com o comando a2enmod ssl.

Para evitar transmitir logins de usurios sem proteo, use conexes criptografadas por SSL.

PortsmithO download do Portsmith ocupa 17 MB [6], e pode ser gravado num CD ou montado via dispositivo de loop:

mount -o loop /tmp/Portsmith_4.iso /media/cdrom

O pacote do Portsmith inclui v-rios tarballs com scripts de shell e PHP, a estrutura da tabela do ban-co de dados e uma configurao de exemplo que ajuda a configurar a mquina com Portsmith como ser-vidor DNS ou DHCP. Alm disso, h um pequeno guia de instalao, alm de dois binrios para Windows (um para o Internet Explorer e ou-tro para o Firefox) que suportam o uso de RDP atravs de firewalls do Portsmith. Para instalar o Portsmith, desempacote o tarball:

tar xvf /media/cdrom/server/ports.tar -C /

Os shell scripts, que so copiados para /usr/local/bin/, contm variveis que refletem a estrutura da rede; o administrador do Portsmith precisar modificar os scripts de acordo. Eles se localizam nos arquivos fw_policy e fw_lookup. Entre outras tarefas, ser preciso especificar a rede externa e o IP oficial do firewall. mais fcil ter um IP esttico; porm, usurios com IP dinmico podem usar o DynDNS [7] ou scripts para publi-car o endereo atual.

Segundo a documentao, o Ports-mith deve ser iniciado diretamente pelo arquivo /etc/rc.local. Se seu firewall tiver um link de Internet direto, isso significa que o firewall e as redes escondidas atrs dele no seriam protegidas pelo filtro de pa-cotes durante um perodo curto aps o incio da mquina, pois o firewall seria o ltimo item processado du-rante a inicializao. Ao ativar as in-terfaces de rede, pode ser prefervel executar um script de inicializao ou chamar o Portsmith.

O banco de dados tambm pre-cisa de algumas providncias. Infe-lizmente, a documentao sugere que os usurios cortem e colem,

Figura 1 As contas dos usurios so facilmente modificadas acrescentando-se regras.

Figura 2 Alterao das regras: o exemplo encaminha a porta 80 do firewall para um servidor web interno.

67

| SEGURANAPortsmith

Linux Magazine #55 | Junho de 2009

um processo muito sujeito a erros; psql < /media/cdrom/server/TABLES.txt uma forma mais fcil. Como o trabalho mais complexo em segundo plano gerenciado por alguns shell scripts que precisam ser executados periodicamente, necessrio criar entradas para os scripts no Cron.

Reinicie o servidor com o comando /etc/init.d/apache2 restart. Assim, o Portsmith j deve ser iniciado.

AdministraoOs administradores podem usar seu navegador para todas as atividades de gerenciamento do sistema: http://firewall/ports/ leva o usurio ja-nela de login. O usurio padro para administrao admin, com a mesma senha. Embora a documentao su-gira que isso deva ser alterado, pode ser tarde demais se o firewall j estiver conectado Internet esses padres so muito fceis de adivinhar.

Aps o login, usurios adminis-trativos podem configurar o sistema, gerenciar usurios e ativar alguns recursos para si mesmos. As duas reas principais do gerenciamento do sistema so a administrao de usurios e o conjunto de regras. A lista de usurios bastante sim-ples e oferece aos administradores uma grande seleo de entradas e funes de busca (figura 1). A lista drop-down no canto superior direito permite ordenar, adicionar, modi-ficar e apagar contas. Ao adicionar ou modificar, preciso especificar um usurio e uma senha. O usu-rio ento recebe um papel como usurio padro ou administrador; administradores tm acesso com-pleto ao sistema.

Em vez de apagar contas no mais necessrias, possvel simplesmente apag-las. Porm, o Portsmith no possui uma funo controlada pelo tempo para bloquear contas tempor-rias; novamente necessria ateno manual por parte do administrador. Ele tambm pode definir uma regra

padro, revogar regras ou acrescen-tar novas regras. O gerenciamento de conjuntos de regras semelhante ao de usurios (figura 2). Mais uma vez, o administrador do Portsmith pode procurar, modificar, adicionar e apagar regras.

Ao adicionar ou modificar, possvel especificar o protocolo a usar (TCP, UDP, ICMP), a ao a realizar (permitir ou encaminhar) e a porta de destino. Alm disso, possvel referir-se a uma mquina por meio de seu IP ou (supondo que a resoluo DNS esteja fun-cionando) seu nome. A interface de administrao tambm oferece acesso a algumas ferramentas teis: o Log Manager (gerenciador de log, figura 3) diz exatamente quais regras foram ativadas, por quais usurios e em qual IP. Uma til funo de busca ajuda a manter o controle de u