[GTER] Re: [GTER]Anuncio: versao 1.1 de "Praticas de Seguranca para Administradores de Redes Internet"
Klaus Steding-Jessen
jessen at nic.br
Sun Sep 22 15:21:00 -03 2002
Oi Alexandre,
on Sat, Sep 21, 2002 at 06:31:11PM BRT, Alexandre L. Grojsgold wrote:
| Em tempos de tantos bloqueios a blocos IP pelo mundo afora, um documento
| simples e conciso como o que vocês produziram só pode ser benvindo e
| digno de divulgação.
Obrigado.
| Como já manifestei outras vezes por essa lista, preocupa-me tanto a falta
| de preocupação com a segurança quanto o extremo oposto que é o da
| preocupação cega, que prejudica a funcionalidade da rede, e que de tanto
| lançar balas contra os hackers acaba matando também civis inocentes.
|
|
|
| No final do documento, quando voces falam de firewalls, está sugerida a
| seguinte filtragem entre a rede externa e a rede interna:
|
|
| Interface externa:
| saída: tudo com exceção de pacotes com endereços de origem pertencentes
| a redes reservadas; pacotes com endereços de origem não
| pertencentes aos blocos da rede interna.
| entrada: apenas os pacotes que obedecem às seguintes combinações de
| protocolo, endereço e porta de destino:
| 25/TCP para o servidor SMTP;
| 53/TCP e 53/UDP para o servidor DNS;
| 80/TCP para o servidor WWW.
|
|
| Sei que é só um exemplo, mas administradores de sistema de última hora
| podem usar o exemplo como modelo para fazer seus filtros com pequenas
| adaptações. O filtro do exemplo e do tipo deny por default - e nada foi
| dito sobre o ICMP !!
Sim, e' apenas um exemplo -- note que tambem somos contra a filtragem
indiscriminada de pacotes ICMP. O objetivo dessa secao de firewalls
e' apresentar alguns dos aspectos importantes de sua utilizacao, com
enfoque na compreensao do conceito e topologia de firewalls.
Foi assumido que alguem que va' instalar efetivamente um firewall
consulte as referencias indicadas no texto, que fazem ponderacoes
sobre os problemas de filtragem indiscriminada.
De qualquer modo estamos entao considerando a inclusao de uma secao
especifica sobre ICMP -- embora explicar nos minimos detalhes como
configurar um firewall esteja fora do escopo deste documento.
Todos que tiverem sugestoes/criticas sobre o documento sao bem-vindos
a envia-las para doc at nic.br, como descrito no documento. Nossa
intencao e' manter esse documento atualizado e incluir novas secoes
conforme necessario.
Abracos,
Klaus.
More information about the gter
mailing list