[GTER] Re: [GTER]Anuncio: versao 1.1 de "Praticas de Seguranca para Administradores de Redes Internet"

[Alexandre L. Grojsgold]

On Fri, 20 Sep 2002, Klaus Steding-Jessen wrote:

> Date: Fri, 20 Sep 2002 15:07:30 -0300
> From: Klaus Steding-Jessen <jessen at nic.br>
> Reply-To: gter at eng.registro.br
> To: gter at eng.registro.br
> Subject: [GTER]Anuncio: versao 1.1 de "Praticas de Seguranca para
>     Administradores de Redes Internet"
> Resent-Date: Sat, 21 Sep 2002 15:55:09 -0300
> Resent-From: jessen at nic.br
> Resent-To: gter at eng.registro.br
>
> Caros,
>
> esta' disponivel uma nova versao do documento "Práticas de Segurança
> para Administradores de Redes Internet", em:
>





Claus,


Em tempos de tantos bloqueios a blocos IP pelo mundo afora, um documento
simples e conciso como o que vocês produziram  só pode ser benvindo e
digno de divulgação.


Como já manifestei outras vezes por essa lista, preocupa-me tanto a falta
de preocupação com a segurança quanto o extremo oposto que é o da
preocupação cega, que prejudica a funcionalidade da rede, e que de tanto
lançar balas contra os hackers acaba matando também civis inocentes.



No final do documento, quando voces falam de firewalls, está sugerida a
seguinte filtragem entre a rede externa e a rede interna:


Interface externa:
  saída: tudo com exceção de pacotes com endereços de origem pertencentes
         a redes reservadas; pacotes com endereços de origem não
         pertencentes aos blocos da rede interna.
  entrada: apenas os pacotes que obedecem às seguintes combinações de
           protocolo, endereço e porta de destino:
              25/TCP para o servidor SMTP;
              53/TCP e 53/UDP para o servidor DNS;
              80/TCP para o servidor WWW.


Sei que é só um exemplo, mas administradores de sistema  de última hora
podem usar o exemplo como modelo para fazer seus filtros com pequenas
adaptações. O filtro do exemplo e do tipo deny por default - e nada foi
dito sobre o ICMP !!


Se o firewall não faz também a função de NAT, e as máquinas da rede
interna tem endereços válidos, então teoricamente elas deveriam estar na
Internet, o que significa alguma liberdade de tráfego e sobretudo a
possibilidade de executar determinadas funções end to end (base de
funcionamento da rede), e que demandam o uso de ICMP.


Parece-me que um meio termo prudente é o que é recomendado em:


   http://www.cymru.com/Documents/icmp-messages.html



Ilustrativo disso é outra passagem do documento, página  31:

    Existem basicamente dois critérios de filtragem que podem ser
    empregados em firewalls. O primeiro é o de default deny, ou seja, todo
    o tráfego que não for explicitamente permitido é bloqueado. O segundo,
    default allow, é o contrário, ou seja, todo o tráfego que não for
    explicitamente proibido é liberado.


Até aqui, tudo bem.


    A configuracão dos firewalls deve seguir a política de segurança da
    rede. Se a política permitir, é recomendável adotar uma postura de
    default deny. Esta abordagem é, geralmente, mais segura, pois requer
    uma intervenção explícita do administrador para liberar o tráfego
    desejado, o que minimiza o impacto de eventuais erros de configuração
    na segurança da rede. Além disso, ela tende a simplificar a
    configuração dos firewalls.


Pelo texto, a postura de default deny só tem vantagens. Esqueceu-se de
falar dos riscos do default deny que é justamente o de comprometer
seriamente o *funcionamento*  da rede caso erros sejam cometidos.



Abraços
Alexandre.