[GTER] Re: [GTER]Anuncio: versao 1.1 de "Praticas de Seguranca para Administradores de Redes Internet"

Mon Sep 23 07:09:00 -03 2002

Klaus Steding-Jessen wrote:
> Oi Alexandre,
> 
> on Sat, Sep 21, 2002 at 06:31:11PM BRT, Alexandre L. Grojsgold wrote:
> | Em tempos de tantos bloqueios a blocos IP pelo mundo afora, um documento
> | simples e conciso como o que vocês produziram  só pode ser benvindo e
> | digno de divulgação.
> 
> Obrigado.
> 
> | Como já manifestei outras vezes por essa lista, preocupa-me tanto a falta
> | de preocupação com a segurança quanto o extremo oposto que é o da
> | preocupação cega, que prejudica a funcionalidade da rede, e que de tanto
> | lançar balas contra os hackers acaba matando também civis inocentes.
> |
> |
> |
> | No final do documento, quando voces falam de firewalls, está sugerida a
> | seguinte filtragem entre a rede externa e a rede interna:
> |
> |
> | Interface externa:
> |   saída: tudo com exceção de pacotes com endereços de origem pertencentes
> |          a redes reservadas; pacotes com endereços de origem não
> |          pertencentes aos blocos da rede interna.
> |   entrada: apenas os pacotes que obedecem às seguintes combinações de
> |            protocolo, endereço e porta de destino:
> |               25/TCP para o servidor SMTP;
> |               53/TCP e 53/UDP para o servidor DNS;
> |               80/TCP para o servidor WWW.
> |
> |
> | Sei que é só um exemplo, mas administradores de sistema  de última hora
> | podem usar o exemplo como modelo para fazer seus filtros com pequenas
> | adaptações. O filtro do exemplo e do tipo deny por default - e nada foi
> | dito sobre o ICMP !!
> 
> Sim, e' apenas um exemplo -- note que tambem somos contra a filtragem
> indiscriminada de pacotes ICMP.  O objetivo dessa secao de firewalls
> e' apresentar alguns dos aspectos importantes de sua utilizacao, com
> enfoque na compreensao do conceito e topologia de firewalls.
> 
> Foi assumido que alguem que va' instalar efetivamente um firewall
> consulte as referencias indicadas no texto, que fazem ponderacoes
> sobre os problemas de filtragem indiscriminada.
> 
> De qualquer modo estamos entao considerando a inclusao de uma secao
> especifica sobre ICMP -- embora explicar nos minimos detalhes como
> configurar um firewall esteja fora do escopo deste documento.
> 
> Todos que tiverem sugestoes/criticas sobre o documento sao bem-vindos
> a envia-las para doc at nic.br, como descrito no documento.  Nossa
> intencao e' manter esse documento atualizado e incluir novas secoes
> conforme necessario.
> 
> Abracos,
> Klaus.
> --
> GTER list    http://eng.registro.br/mailman/listinfo/gter
> 
> 

Um detalhe que não deve ser esquecido e que minimiza em muito o efeito 
do sistema restritivo com deny all como última regra: um firewall 
stateful não necessita de liberação explicita de ICMP para conexões TCP 
ou "sessões" UDP, pois ele garante a passagem de ICMP relativos a 
operações em andamento. Assim, os tipos ICMP "importantes" que controlam 
TCP/UDP passam. Dos casos citados, sobra somente o maldito "echo 
request", que pode ser liberado explicitamente (o reply entra na onda do 
stateful). Neste caso, melhor não liberar nenhum icmp explicitamente, 
evitando uso em scans/ataques.
Não se deve é colocar uma regra com deny para icmp antes da regra que 
libera pacotes de conexões estabelecidas, como pode ser feito em 
netfilter/Linux.
Em sistemas de filtragem stateless fica difícil. É comum até (e 
principalmente) nas GRANDES operadoras filtrarem tudo nos ciscos da 
vida. Daí a preocupação do Alexandre.
Mas em um texto básico como o proposto, acho que nem é conveniente 
entrar nestes detalhes, como disse o Klaus.
Enfim, um bom trabalho. Vai para a lista de leitura obrigatória dos 
alunos, depois de explicar a diferença stateful/stateless! :)...
Parabéns.

Abraços,
Marcos Tadeu