[GTER] Re: [GTER]Anuncio: versao 1.1 de "Praticas de Seguranca para Administradores de Redes Internet"
Marcos Tadeu
marcos at microlink.com.br
Mon Sep 23 07:09:00 -03 2002
Klaus Steding-Jessen wrote:
> Oi Alexandre,
>
> on Sat, Sep 21, 2002 at 06:31:11PM BRT, Alexandre L. Grojsgold wrote:
> | Em tempos de tantos bloqueios a blocos IP pelo mundo afora, um documento
> | simples e conciso como o que vocês produziram só pode ser benvindo e
> | digno de divulgação.
>
> Obrigado.
>
> | Como já manifestei outras vezes por essa lista, preocupa-me tanto a falta
> | de preocupação com a segurança quanto o extremo oposto que é o da
> | preocupação cega, que prejudica a funcionalidade da rede, e que de tanto
> | lançar balas contra os hackers acaba matando também civis inocentes.
> |
> |
> |
> | No final do documento, quando voces falam de firewalls, está sugerida a
> | seguinte filtragem entre a rede externa e a rede interna:
> |
> |
> | Interface externa:
> | saída: tudo com exceção de pacotes com endereços de origem pertencentes
> | a redes reservadas; pacotes com endereços de origem não
> | pertencentes aos blocos da rede interna.
> | entrada: apenas os pacotes que obedecem às seguintes combinações de
> | protocolo, endereço e porta de destino:
> | 25/TCP para o servidor SMTP;
> | 53/TCP e 53/UDP para o servidor DNS;
> | 80/TCP para o servidor WWW.
> |
> |
> | Sei que é só um exemplo, mas administradores de sistema de última hora
> | podem usar o exemplo como modelo para fazer seus filtros com pequenas
> | adaptações. O filtro do exemplo e do tipo deny por default - e nada foi
> | dito sobre o ICMP !!
>
> Sim, e' apenas um exemplo -- note que tambem somos contra a filtragem
> indiscriminada de pacotes ICMP. O objetivo dessa secao de firewalls
> e' apresentar alguns dos aspectos importantes de sua utilizacao, com
> enfoque na compreensao do conceito e topologia de firewalls.
>
> Foi assumido que alguem que va' instalar efetivamente um firewall
> consulte as referencias indicadas no texto, que fazem ponderacoes
> sobre os problemas de filtragem indiscriminada.
>
> De qualquer modo estamos entao considerando a inclusao de uma secao
> especifica sobre ICMP -- embora explicar nos minimos detalhes como
> configurar um firewall esteja fora do escopo deste documento.
>
> Todos que tiverem sugestoes/criticas sobre o documento sao bem-vindos
> a envia-las para doc at nic.br, como descrito no documento. Nossa
> intencao e' manter esse documento atualizado e incluir novas secoes
> conforme necessario.
>
> Abracos,
> Klaus.
> --
> GTER list http://eng.registro.br/mailman/listinfo/gter
>
>
Um detalhe que não deve ser esquecido e que minimiza em muito o efeito
do sistema restritivo com deny all como última regra: um firewall
stateful não necessita de liberação explicita de ICMP para conexões TCP
ou "sessões" UDP, pois ele garante a passagem de ICMP relativos a
operações em andamento. Assim, os tipos ICMP "importantes" que controlam
TCP/UDP passam. Dos casos citados, sobra somente o maldito "echo
request", que pode ser liberado explicitamente (o reply entra na onda do
stateful). Neste caso, melhor não liberar nenhum icmp explicitamente,
evitando uso em scans/ataques.
Não se deve é colocar uma regra com deny para icmp antes da regra que
libera pacotes de conexões estabelecidas, como pode ser feito em
netfilter/Linux.
Em sistemas de filtragem stateless fica difícil. É comum até (e
principalmente) nas GRANDES operadoras filtrarem tudo nos ciscos da
vida. Daí a preocupação do Alexandre.
Mas em um texto básico como o proposto, acho que nem é conveniente
entrar nestes detalhes, como disse o Klaus.
Enfim, um bom trabalho. Vai para a lista de leitura obrigatória dos
alunos, depois de explicar a diferença stateful/stateless! :)...
Parabéns.
Abraços,
Marcos Tadeu
More information about the gter
mailing list