" Feige esciy ages Pir Mrec mela Le Oe etn ie Oe Ore eta acteurs jas NAT *Comandds avancados do Iptables.AUt a ep Ocies izagao de Filtros — z ; a Pe UL Tumse le Pounce A: cesT Protecao OUEST} Bd mirc We MERZ am Rieter Een once ain LI Sa tr ee tr) ~ Iptables See ee Rucci) PC cou tathy Coen eae) 1680 i Issn MhSEE eT oe as iK Sie ae re Sie 1 at i | ik 4 Re rly pe Et ee Cou BEC CCM Dy CE ee ar DO tu ( Ideal nara administradores de rope Pe Se Peete ty POR Ue Le id EO Se Lee shea e hackerismo avancado. a 100% pranied DEUCE Crab abner eee t ee ere eet a Sar resarre in igs eee rt) mi, ant Oe eee pene Pi eae ty : . laced pe pel miele cee PrietacoadO cite a Aas ecarhatl miei pale eee eee Tea 1 Se i ibenpbanasdeabboaivea uv rnledeegrer i? i is Ser’ confirmaca mediante ee be peestrerrion ve) (Pee oe DIGEAATI fo tena eeiD} rel Lia BOE OM SLL E i | i i ! i i i | i i i Firewall for Windows ail 22 Firewall Externo 26 Guia do CD 30 Expediente ee a cee et ers Cre eee eno ae cn SUT ne Meee aoe OT et ener cee PO CCC ec Coe) ees Sec OR ire yay peer rea nc Peer ria @ cia eee cet ae PRs nc ft eee Bree Ce a eee eee y ee oes ee eee os BG ace Oen EER eae ce Tene ce meee tee Cee on Ce ee eee ieee ie Sree oe a ene Cae pee eae ier ee eer cae CO ee ae tet evitar os esteredtipos e partir para o estudo SOC ma ee eae Goes RC eee Tce? Cea oar Ee ey eerieeoria do fire Por ee oe ean Cee eet Roce) ‘ ainda val eng, 2olongo Prete] (pra > Tee / ere oe fir Dee ercaethee: fea ceo aah ea eae ee a aan Pere Eee Sooo, E> een ireeias #1 Ne poets eal fan aad aimed ie” ets poeeeeerenfanee tue ti ak lip east ara ale Poeeeenmnn ty Ce ete at ce its Peer ets cues nee ty ee Penne eee uy me aug (cpp: JHA ag Se Re et a Stet ek es Con Reena eee Ene Ee ae uo cet ae a eee Ce aoe ans es a Seen ener tt eee ae CIM Cec ee Ce ee id “pate das teenclooias usadas hoje na Srea, Cérca de um ano he ORC eee a hs PE eee eli eno) Sou Ocal : eS a y Heels Elles LR eorpifer Messina s eee mn eee | an eas te ie ss up oe ee We diag Recents ate Da ete eer ye ter afer nt CMe eee ce PO ergs redes. Naquele ai, Pefer Yee, da NASA Ames Research tg Eee ert eter ee erent Lae See aaa | So eee EE aa, ssn nA er dls urea pa ee Serna 9 ee 3 satis Cet een oes a neon ne ee essen aN See ee Re ie Oe Hea ° Ce . Bre ta an network lat Eles trabalhavam, basicamente, ftrando pacotes Quant jo reqras de predefinidas, permitiam que os pacotes fe Ci cee ec ae ea er Cet on ea 7 CO meo eer ee eae Ee ek eta tag Crt j ees ao iy ol ial : ae 4) VA > ts gd A “ ~ i n \ ae Py7 eg oe Entenda o conceito por tras do FOTO CS} importantes dispositivos Pea ae eT Sear eee wena nc) eo cee ees fe filtragem que de Ber se ger gee Cen eme nee eee ete eee ke ete ae ee CE eee ere eran acurado dos dads dos pacotes. Sdo também chamados de eee ie ‘Application gateways (ou application layer firewalls} See ee eee ee ta Telnet e/ou FTP. Interceptam e inyestigam as fequisicdes proven dos diferentes aplicativos eyerifica eer tr Sot eee Ot ner ee Pear SO ee ee] Cee te en rer ras Poeun ee eet eee ct Src Mnen aero cs eens tn rs cert Pt eens Cree ae ee a eee aes rete eae) Cee eee Seen ence aa ee ro Teac clientes e servdores sem interpreta 08 protocoldios varios ae eee net Ceara) ee ee aot 2f2 cada tipo de servico que sé queira photeger Deore rete ee Tee nee ra Mee CoE ues Te eee i) eee eC (eam) Como atuaum circuit gate Esquema de funcionamentode DECSEAL, primero firewall comercial (Fonte: Avo Consiting) Se ee aaa ere enteral aera Cree reese eee rane Ce sobre o futuro desse Pa en eee otPata ee AT Al _ Firewall bridg ONIN eres eb ust CS Dr Ce ee eee CRT Cate y Ger Ree eer ate eon Ce a eae eet eet Bridge pode tanto ser encontrado na forma de hardware, quanto na de software. Hoje em dia, nao € a0 Cr ene Un ee ee nests IPXISPX das redes netware nao pociam ser roteados e quando havia a necessidade de se comunicar entre duas races ou dois Pe eee eee ty eee eet ie eee en eat ce) tendereco IP de uma méquina indica a sua localizacéo e é uma das, CE eee pee nen toe Re ey eee aed ec Cee ae art] Pree ee eee ee a ey intemet tem um gateway padrao uma rota pate ele que vo receber 0s pacotes destinados para fora da rede. Também ee ee eae er on! CEE nec ac Modo promiscuo de uma interface ¢ quando o hardware recebe e aceta todos os pacotes apresentados em seu SOE pan eco eee ae Die en ee ee ner ee eet tendo um filtro em seu hardware para bloquear 0 resto, jé que cla recebe sinaiselétricos do barramento todo, Neste caso, mandamos Sree tee te ee) Pe aea ne as ecto ue meee ccd serve para pensarmos neles apenas no aspecto de significado e eee meen ss ae Pav te ere ae te ee ee Gree etre aT ee ho ec cer) CRN et ae reo a neha oe A idea basica dum firewall “invisvel* (0 invsvel val entre pe ee ee ene detecté-lo) 6 termos entre a enffada dle nossa rede e 0 gateway Peete RE eee eae reteset eet ces Peet a oe eo Yc Se ee eee cee us) ee cota eet eet Mite ese pore meee ce ects nossa maquina copie os pacotes de um lado ao outro (da interface dde entrada para a de saida), mas sem a necessidade de novas ‘tas, sub-redes ou enderecos, (ove) > roteador -> firewaliridge -> rede local RO a a seme Mee eect ee eae et ae tee para isto, colacada em uma rede a parte. Q acesso para a configuracao deve sr local Claro que existem maneiras de implementar este acesso Pome ea ege eee ee ee Ree eee sae ce et er para o funcionamento inicia. Fica como sugestao de estudo Posterior a implementacdo deste mado de acesso remoto. 0 ee ee eee Teaco eee ae eee ee Cay Pen eee ee ee OU ae eee er nce plataformas, tal como freebsd e openbsd, que possuem este ee ee ae ee Linux comegoucomo um projeto simples ehoje contém driversnoe “invisivel” Pere Ue nen ae Re sere te ee cers Cee a ene aed See sar muitas sub-redes anenas para um firewall eg er a eon forms que aceitem todos os facotes presentes em sua entfadae Oe ae te eee re eed {ss0, devemos tero forwarding habiltado em nosso kernel ecom © eee a ec en aa ec ees Creer ee eee ee oon ee ne one: ete an ie (irewaling) suppor) coronal (een aan orca ‘CONFIG_IP_FORWARD=y fool em av ae ie) een eaten coo em SW ee ane nl Oy eu eee ere eee Me eee Roe ic [eer het eee an} Ce eee et ee ee ees Pena eee ate ata) Peer ne eu ene eer ‘Ags esta configuracso, tendo certezaide que as places de rede esto reconhecidas pelo sistema, basta ativar 0 forwarding no kernel: See ee md See aa ate) Beene Seo ees eon cut crear Cee # brcfg-port 1 enable eo Ce OE te ee ne eco ar) eee en en ee ea Ae ess ec earn} eye eeatente ee ean ed ce ee ga eeu neu) Neen see Yertct STE ee eau eens Rr a Breeze ols Cite nS ees ony ‘Comeéinao temos interface ea bridge esta copiando. pacotes, areata vaiino chain FORWARD, eee ee eo TT TEE ee cua ae eet eer Rae Re eet gee ie ee tenes ae eee Ty Pee gece eeu ane Rue cesar (cae Trace) eet eee een rete oF mere) Cee ee ieee ar eee ae seguir utlizando o ipfwv para moldar as regras: and Eee eee a enn ecco ed para entendermais, pasquise em um bom livre sobre redes een ee ee eee ee et Marte > Referéncias: hutp:foridge sourceforge.net -brefg, patch parao kemel is Rn Ser ce ace en eee eg Dee Oo ee ed a age erESTRATEGIAS afl el ce, ee Fstratégias para Proteger sua rede no é algo dificil O principlo do Jegar iminado obje uidado para ni atribuir Ario, pois des 1 suas tare paraeliminar ou amenizar os danos pessoas malintencionadas * Alguns fabric de automdveis contiguram st fechaduras de forma que uma tnica chave siva p ‘uma chave diferente siva para ‘eo porta-malas, isto é, voce pode impor 9 menor privilegio dando ao manobrista do estaciona a-malas utiizam che pela mesma azo, Voe® também pod dando a alguem a cha dda sua casa Um sistema de fitragem de pa permitir apenas a entrada de p prvilégic simplicdad: Not Todo ususrio nao pre To {administrade pio sungere que voce deve gios necessariom bom-firewall Pete en ey ea att le preci fgravar em um arquivo, Em agrupe o arquivo em um grup e faca © programa se cexecutado como um membra deste grupo; Nao faca sua rede interna confiar em um firewalls, Em vez disso, faca o firewall confiar na su cede interna, dos problemas de seguranca comuns na Inte sm ser evitados com a utilizacdo deste principio ‘exemplo, o Sendmail é um alvo muito visado pelos F Soiasdenk eee muito maiores do que as chances de viola um sistema com root e de seu alto nivel de complexidad pation nivel desea : Pie wack wechee ee Este método @ foi ulizado em Salvador no sécul gana onde as preocupacees de defesa se voltaram para o ye ene eee cidade. Ini conta a arthaia da época, a velha Sach ape ‘mutalha (feta de taipa e barro e depois reforcada em pedra e sal) deu lugar a um eficiente sistema de defe em profundidade, corn trincheiras, muralhas e fortif trufdas em lugares estratégicos e armada com a evolugdo da arte da guerra > Paceeent cece) Este principio de sequranca é destinado a prevencao dos Peer ence ect) a minimizacao das respectivas consequent 2s, evtando que um problema isolado se alastre pelo istema, instituindo mltplos, redundantese indepen: dontes niveis de protecio. A idéia aqui é ndo depender Existem muitos exemplas faces de car para se entender de um nico método de defesa, instalando varios nveis este principio: 0 guiché de pedagio,ocaixa de supermer- de protecio, tornando a tentativa de invasso arriscada Jo oudo banco, 0 ponto de estrangulamento (cho Du cansativa demais para os atacantes, Isto porque a point) forcaas pessoas a usarem um meioestreito, para ances de vialar um nivel de protegao do sistema sao passa monitorar o que esté ocorrendESTRATEGIAS ‘Normalmente, 0 firewall em sua rede & esse ponto estrangulamento; qualquer atacante que desejar entrar em sua rede deve passar abrigatoriamente pelo firewall Voc deve estar preparad para responder a tals ataques. © planejamento e utlizagao deste método ndo compen: sam se houver outra maneira de um atacante acessar su rede, que néo seja oponto de estrangulamento. Afinal de contas, de que adianta travar uma batalha contra 0 firewall se podemos dar a volta, uscando outra maneira de acessar a sua rede” Por isto, garanta um ponto de estrangulamento eficente >> Graces Simplicidade @ uma estratégia de sequranca, pois, manter ascalsas mais simples as torna mals facels dese enten der, Se alga nda ¢ compreendido, nao se pode realmente: saber seo mesmo ou nda seguro. Programas complexos: tém mais bugs, sendo que cada um deles pode constituir um problema de seguranca. Cuidado, nao se deve sactifcara seguranca para conseguir simplicidade, a sequranca efetha & complexe por nature- za. 0 importante é manter um sistema que se possa compreender sem perder a sequranca ea confiabilidade ss Pe ELL Manter a seguranca através da obscuridade @ um principio nada confiavel, pois cansisteunicamente em ‘ocultar coisas. Exemplos praticos deste método sao Colocar urna maquina na Internet e char que ninguém tentaréinvadi-a, simplesmente porque voc n3o contouarringuém sobre ela [Abrir ur servidor Apache em uma porta diferente para que ninguém o utilize, a ndo ser as pessoas que voce informou sobre sua existence Configurar sua rede de forma que usuarios internos vejam as informacées de uma mancira e usuarios externos Internet) nao consigam ver tals informacées, como potas eservcos prestadios em seus servidores, i Observe alguns pontos: Sempre tlize esta tecnica em conjunto de outras, pols manter a seguranca apenas através da obscuridade & muito rum; Nao anunciar algo nao @ o mesmo que oculté-4o; Uslizar um sstemaidecriptografia desconhnecide nad tgarante seguranca nenhuma ‘Apenas implementar um firewall, por mais consistent que este seja, nao é suficiente para dizermos que toda ‘a rede ests segura, Por este motivo, apresentei neste ‘materalalgumas tecnicas que podem ser utlizadas para tomar a seguranca de sua rede mais ecient Uma boa solucéo é ulizar varias destastécnicas e nao apenas uma delas. D8 preferéncia a simplicidade, mas lembre-se: sem sacrificios! [1] Etzabeth D.2wicky, Simon Cooper e D Brent Chapman, Internet e seguranca na Web - Constr indo Firewalls Para Internet. O'REMLY & Associated, nc 2000, [2] Garfinkel, Simson and Spatford, Gene. Practical UNIX and Internet Security. O'Reilly & Associated, Inc, 1998 [318, Fase, SITE SECURITY HANDBOOK, RFC 2196, set 1997, Disponwel em: chit. gic 112196 temuebet=2196 {6} chttpuhwww.np.brnewsgen/981 Vin shim (5) 17] chitp:twsanhackinginuxexnosedcomvarticles! 020312.heml>ee Cece ene ando continyidade & serie sobre vulherabildades acorridas nasmaisdiverses Eee ee Cae rincinais alhas encontradas em eee Peaeryrers Peace 9 eee cr qualquer usuario, acarretande a configuracdo de um sistema de segurance pessoal sem Pees ue a eget eee ele poet te ete et ee ca intuito de precaveros principaisataques descritos na Tene eee eT ea Cerone ese eee cee fate et gee aes ees Bie eee gee Gres entry pee te ere eer ee ee ice ae eee eee ene rt) ene ett Pete ta eri estaré na lsta, porém nem serPASTY NEU le UL ee ieee een Vulneral > Cee ean oe ere tt need eee ee ec eer tS Aree eer sea ey perenne ed Ree rer cmt gio acetone a) Cee eee ogee oe eo Peete eat ae et nee ore cer Aigital fol encontrado em algumas versdes do softwere, E pees Oe eee ts Bee ee eee ‘iecunstanclas,¢ possivel eit un nero elevado de erate tele Un i > Nt Perera iene irl pe en ra See ae ead pa uu es ee tar reco eee ced augustinerc nen eRen eee Pte) ete item cae ae Brea cis Brean aa tc Ere Reais De etitetnit ten Vulnerability > Grr en eee Cera Se eee oe Peer eee ees a oe 5S OD Deter ee eee era 2 Pieper ect es oe —— Gorse neue folea eee en eer ee Rey er EE cone) eed Cea oe ect ener So ee | <= —— > Re SCR ony ig ve aici | ee Ore rice Rea ute f a eee re eee fee oer Beene Sei tire tc Ree ee reer aoe Giteuhoc in te ee ea) Pee ee eee ty Gea eee q ere eee eee Per me acer eeu Cee ai ee > versies vuineraveis: Internet Security Systems BlackICE Defender 2.9 cap See cree cue Bang Veer eee areal Dee rere ee Ecaete4 See ee et Microsoft Windows 2000 Datacenter Server SP1 ere a err eee nics Meee urea ae ecu eee rer eee neal aye rere eee? ect teru es Brees renee em eal Bee rene ater) Ree reece eae~ Microsoft Windows 2000 Terminal Services SP1 Miccosoft Windows 2000 Terminal Services SP2 Sees it ees eee Nate} eee eats eee ores Sees eor eT aes Microsoft Windows NT Enterprise Server 4.0 5F2 Sees cena ieee pd Seen rere na rears Oe] Microsoft Windows NT Enterprise Server 4.0 SP4 - Microsoft Windows NT Enterprise Server 4.0 SP5 Seer eer nee ered ae eee ene Wee eee re -Mictosaft Windows NT Server 4,0 SP1 ere een eee ters Seca eee en en) cere ee tt eee ee ae Reet ne es Rees viceren eure ea See oer eee) Seca eer eee ae ny eee eet ance Cea) 3 Microsoft Windows NT Terminal Server 4.0 SP2 \ Nee eer ere ed Microsoft Windows NT Terminal Server 4.0 spa eee ace eee) een ue aes Microsoft Windows NT Workstation 4.0 eee arnt en a ean eee eae aed ~ Microsoft Windows NT Werkstation 4.0 $P3 Sect ore ar ace! = Microsoft Windows NT Workstation 4.0 SPS See Ce cone eerste aera eae ee Berea iin estas Microsoft Windows XP Professional Intemet Security Systems Blacklce Server Protection 3.5 calf Kaspersky Labs Ant-Hacker 1.0 ‘Symantec Norton Personal Firewall 2002, Ss eli j Ere ae Coe ert nr eee cd ee acu PeIPESEE Pete Picea tee cee] erect >> Rete Ce eee ee reer reece es Se ee ee eee Cea eet ea ae eae es pectin tate ee ete Ro cons oan ers ae eee ere Piaget eee eee Cyne sottenaara cofifrometerasistern c > WEP eL F pea eae Brees eee Sr renee eens Oa a Nile dain ee eee See eA aren eee ieee ina Reenter OB Se E nr Teco ae sMigrosctt Windowsz00p rafeesonals yf Seema ee at eg Reeea ue rondcers hs Berrie NACE f Nee eee Vea Mlerosofe Windows 98 ae ae vite, Ta . emer ai arert i eee eer aare et ayer eked By Peace ae - i + Seer in a eee eoaauiene eee! ies ONE Nien, = eee) 4 ys y > ec dd Rese tecsty i) = > ccs os Pena Te cere ei LiveUpdate cENettilter : m 10006 A solucao livre para proteger servidores e redes Cee cat neers nos Kernel 2.4 © 2.6 & Caer Cree cee nur poderosas de seguranca existen- eee om seams administradores, usuarios e curio- sos do mundo Linux perguntam eee ccna STUSco Ter enic Does Cea as ee en) a Rue i fungoes de filtragem de pacotes eee Oru at? iptables, Este programa foi o Breen eee ee) Jurdssico Ipfwadm, respectivamente eee or accent ay Pare ea Te ere ees Creer aoe ne acd er funcional, é ne netfilter impleme orocesso de ada no kernel. to ¢ feta durante o cabecalho (header) dos pacotes pert nea Cec aC a eR) eC Re Cue ac ner ane Perey gee areas Cle ntet ae ee Ciemettc en crs Tn eee e eure Sees adic re Roe e ecco cee Sn LCR nei enue (ever no iene acs Ga Oe ume icc ete Pee oe) principal idéia ésua anélise e Poon eared Pee eons Desde a antiga série 1.1, os kernels POR Un nee aL ona Te Uni tc) Dptions ue 2 fu CO netfiter ¢ um fran que a fun 3o Network uma fetrar > Networ Pat ta para manigular estas regra nee a oe) Een Cac Cat es ae Cd ea eeu cs Nae eee Pe eeu cut} ipfwadm. Em 1998, para o ketnel Pee on Rea ee reescreveram uma Série de novas Si ae eae Meee) Peace serum a ere nm acy Or aoe aces eee aes Deon Comte ates ho Mar a oe iets introduzindo uma série de novas eae ema eet EON eo a ened Oe ao ot Rs Gerace erat ie Peer eT tc) Oa cits ct Fitern (Replace ipchain rk dentro de kernel da Linw fungoes de manipularas filtragens dos p iptables,ifo mais do que filtro de pacotes.. 5 vesqucre e “fala” qui deverao sofrer 0 processo de fitragem. Desta ma 10 de fitros & realizado no Linu stateless packet filtering (\Pv4 and IPv6),statefu ed Cenc Ce ee eat rere Sr eee ru Rumen hans. Existem tu8s chains na tabela fter FORWARD. Cada ve2 que um pacote chega numa maquina-destino Cen SU aed tering (também chamada “Dynamic Packe (CBAC, tra tering e Context Based Access Control om dinamica de pacotes e acesso baseado em contexto, veifca o estadorl das conexdes gravando informacies em uma tabela e 0 estack de uma conexso) Suporte a NAT e a NAPT (network address and port translation); + Infra-estrutu ce extensivel Uma sre de nowos recursos extensiveis com o patch “hn moutros aplicatives, 0 iptables trabalha regras que serao uardadas no kernel (nas chamadas tabelas}. Logo, toda ve: {que uma maquina for relniciads, as mesmas ser por isso é muito comum colocarmos as regras ern ur scrip Todo firewall Linux inicia sempre os famosos script E muito importante que este detathe ara os mais comodistas, existe ramas iptable: fe eo iptables-restore, que permite (gerar scripts e recuperar os mesmos na inicializagao, ee en ee roe) Br Mer cee ere, até que sea decidido.o que fazer. Temos um eee eee ae eet ta) de Rusty Russel, do qual Peete SE ee gee rTpon 7 Cis IDecisio del __y jrowaRo| —>. Learnt i tu ac ee Dune lay 2 Dn ect am me ee uo kernel executa a analise do destino do pacote, ealizando 0 que Beet eee ee Pie Tuo eee UE rec) Cee ie a a nace) eee eer Ce nett ee no eee sete) omen Cer eee Ome end ee eo cee mei Coen Bera est ec ene Pe tae Cure Me ae eel Ogee ceed er oe are ‘mente: se ela aceltar 0 pacote, ele continua seu camninho, caso eee oer) © iptables possui uma sétie de funcionalidades, mas vamos nos ater quia alguns exempios praticas como podemas car algumas regras. Basicamente as regras de um firewall s30 crladas da Pera) eee one erm eaten) eeu! Fer ee Ro etea ia ere Cece ter re tt tera) Oe Rta ene es eel) ne eo ee et nee) peed ee Co Cea] poriieaiay ‘Um scrit de firewall poderia ter uma série de linnas como estaa ‘serem exacutadas no momento da iniciaizacao do imicrocomputador. Mas como ja falamos antes, as regras s30 Se eu ee ue eon) Pe ecu Ronee ee neti Eee pose See em et # Generated by iptables-save v1.2.9 07 Fi Jan 9 12:51:43 2004 nat Beer eee al oe r272) POSTROUTING ACCEPT [173:12340] UUme SPE) cor Penn Cea nro Bee an eee eee aa (ase cL ees iee Vee a nh 2c) Rites EI} FORWARD ACCEPT [0.0] reece Been tere uve iP) Cory ene eRe) i Generated by iptables-save vli2.9 on Fi Jan 9 12:51:43 2004 cid eee Rec etet} eM viase apc eS aR ebb elg or ects ea ene EE 981120) Eee ee ae oe ued Co iptables-restore Serre Ee te sce Um outro recurso important mascaramento esta disponivel des as antigas versbes 1.2.xdo kernel. Esta tecnica, qu ambém é conhecda coma 1.N ou um para varios, faz umsimple firewall traduzirto uma rede através de um tendereco IP Resumin todasa: ‘uma Intranet protegida polo firewall saraa paraa Web através de um Unico|P, propiiando economia de seguranca. Ja © NAT (Network técnica pela qual roteado’ 1 um endereco falso dentro de uma rede (par exe X, para um endareco valido para a Internet) para uma outa rede. Estas técnicasestao suportadas pelo iptables e, por exemple, para ura interface PPPO pode ser visto bain Stables -P ipeables -t mat -A POsTROUING -0 pPpO J Sptabies -A FORWARD -i ppp) ~j AccErT Sptables -A INPUT -p TP ~m state ~state ESTABLISHED, RELATED -j ACCEPT >> O patch-o-matic Cetera Corea) ree tutte etre cr et eee ee eee Trata-se de um conjunto de mériulos/plug-ins nueinserem uma Gree acces Eo ee eee ate pot vatios programadores que inserem no Kernel estas faciidades e Cima Creer CEN ete cr peeaesa ceric Sree nee cee nea eee Cota nt er rte Cero ieee iter) Poa re nee eee ger eae TES) ore eee ee eer en Cee eens Emseguida, o kernel tera uma série de novas opcdes disponiveis no Dene ts plo, andise destrings, que éideal para Cree Meroe eee ara] diminuiggo de tréfego causado por worms, além de varios out SM een ete oe ten} Cmte outer Se mere es az de levaro iptables a um nel de recursos encontrado eee ete eee) pee ee pea) eet tet ee Eee ge ear (© netfilter & sem sombra de divida ume ferramenta cextremamente podere: ompete de igual para igual com qualauer pro oprietério ne mercado muito importante lembrar que trata-se de um recurso disponivel no proprio sistema operacionale que pode ser ‘maninulado para os mais diferentes resultados em termos de seguranca, Mas, lembramos que somente ur firewall 130 € seguro, temos uma série de outras ferramentas complementares no sistema, Queria, no entanto, resaltar ‘que apesar disso, 0 principal fator para que possarno: operar cada vez melhor este tino de ambiente é 0 proprio ser humane Ser administradares preparados e dos, tudo.o que mostramos aqui com esta p ferramenta, nao serve de nada, € muito importante 0 esclarecimento constante para que possamos levar cada inux a0 ambien ranca das empresas, > > si Dae ete e es eeu Coan nage Pee eee ee ete) Ce ee er eae eaema al Sone Fee ea ee: ee ral eee NC ame nae eee eee ee et WFirewalls & Cia Alternativas e informacoes sobre firewalls para Window: por Fernando Giannaccari im Filtragem de tréfego de coc minscort timation S tentrads esa & detec fs e preven o sistema de ataques. entrada ys. Filtragem de Alois og ea ee edna a sobre outrastentatvas de acessoa tert vindas de programas fl trafego de saida (Inbound ys. oma spybots spywares. Comisso, preveriré a perda de dados pessoals paraa Internet Outbound filtering) © terma inbound fitering (trafego de entrada) refere-sea qualquer dado que vocé recebe. so é 0 que arnaiavia das “ih Integridade do aplicativo ‘ 4 verificacao da integridade do aplicativo € 56 um ‘eufemismo para observarmudancas de dados. Os selham abeervar vatiagBes de cor e pessoas aibuiac trabalho do firewall © outbound feng {rafego de sala), ertretant, pode ser ainda maisimportante gataa seguranca de um sister, Por exerno, depolsdeinstalar ermatologistas ac umfirewallcomooZone Alarmpela primeira vez,muitasususrias |p tamanho, ebasicamente o mesmo é empregado aqui. Se J) umaplicativo muda desde sua ultima utlizagdo e nenhum u fez upgrade, & ue significa que © aplicative pode estar infectado, Erm muitos casos, 0 alerta se di 20 fato de vocé ter dado upgrade no aplicativo em notario programas esranhos tentando acesso 8 Internet através i . usuario ou administrador aplicou patel taxada a bandeira vermelha ao firewa de portasincomuns. Estes poder sersina's de um programa mmalcioso que se inftrou nesistema sob vsras possblidades Muitas pessoas Ado sabem que postuem esses programas instaladose, posswelmente, por muito tempo. No piorcas0, pode particular. Em outros casos, entretanto, séo detectados programas maliciosos que o manipularam e alteraram para serque e computador alue como um "zur" eesteja sob controle de um tercero em qualquer higar-da intemet. Como este tio de programa néo énatmaimente detectado por um algo perigoso ou promiseua sem seu conhecimento.>> Notificacio ao usuario >Mac OS X Firewall: Alguns firewalls tama no II native do Mae os. slataforma UNIK, po: ei >> Quem faz os softwares de firewall pessoais? sistema de bloquear adware, pop-ups efitragem de cealerineeae i >> Firewalls populares supnremsvan de aca), ud (e gratis) eater inn a > Kerio Personal Firewall 2 Outigtewals queso ovatnen Norton Pega Frewal,o Bac ic oad além da ssutio, Ur essonal ‘nica do Ker y divider a mesma ra ios via assinatura dig pat estes Alguma SME Jerem uma taxa anual, mas vale 0 ga seal tem boas critica > Outpost Firewall > Firewall nativo em tu Sistemas Operacionais (SO) sanacceines > Windows Internet Connection Firewal >ZoneAlarm Jesigado, masé lega software, Para localizé-lafigc-lo, va em (My network laces), cique em “Ver minh >> Firewalls de mercado > Black ICE PC Protection Tenha em me Black c firewall ao mesmo tempo outros lideres, pravavelmente pela este computador por meio da Intern ‘And NetwarkBy Limiting OrPreve From Thelnteret), Vol ncia do que alguns dosFIREWALL DO WINDOWS limitada 8102 de configuragao, Mas ele tem boa deteccao de: invasdo, um log simples eclaro, e uma time aparéncla, 0 > Tiny Personal Firewall Lsuério pade rastrearo atacante através dos logs do ataque. As verses anteriores eram gratis, entretanto no 10 barata, mas aparentemente proporciona @ mesme quemuites outros firewalls presente momento o Tiny est4 se tornando trial somente, A Tiny ganhou grande reputacdo rivalizando com a ZoneLabs pelo ndmero um no ranking do software gratis, € de facil instalacao, possul uma infinidade de op¢das para experts, como controle > Norton Personal Firewall 2004 ‘A Norton: qualidade seus produtoseeste no & excecao, Versbes do Norton te costa ep coo Seca detalhaco do programa, ¢ 0s dialogs contém também muitos detalhes. A modificagao das regras pode ser Personal Firewall 2004 e Norton Intemet Security esto também PRS co tedicas. ata tees norte gostami deponiveispara Mac. Os programas ao bons tanto para novatos {quarto para experts, © Norton & totalmente configurvel, exstem regis pré-programedas esua instalagio é sine @ Norton Incernet Securty indui antivirus econtle de usuarios. O “probe dessa opcaa > Zone Alarm Plus ou Zone Alarm Pro E um pouco confusa a infinidade de opcdes dispont vels pela Zone Labs (Zone Alarm, Zone Alarm Trial, Zone ‘lair Plus 4.0 e Zane Alarm Pro 4 com Web filtering) ‘mas tudo se resume a issa: de graca, voc# s6 tem um ma’ & que comprar produto dos grandes chefescusta um pouco mals care. Os produtos da Norton é Medfeecustam acima de50 dlares,enquanto os outras todos gram abao desse valor. > McAfee Personal Firewall pretecéo de usuario e virus, ou pague SD délares e adicione as op¢bes citadas,o limpador de cache, bloqueio eee ras um prt ‘aca do Norton, mas como ¢ um produto bem mais nova, cere Ceuaan. Blaine Res a coe -ookies. O Zone Alarm é um firewall robuste, mas seu revés é que seu mecanismo de filtragem de trafego de saida ¢ extremamente chato e te incomo. dda em extremos com centenas de alert pop-ups dgeteimente yer er segunda lugar A versao basica do frewall asa 30 dalares, eo Internet Security é aurente para USS70, induindo las de chat para ctiances,protecio antivtusebloqueto de ads > Outpost Firewall PRO ‘A versio comercial deste firewall da Agnitum adiciona & i we verso gts vericagho de itegrdade do oplcatvo, ee mlscusoptes Ones cc=icie | >> Uma comparagio . blogula ads vase ira cookies Defintvarent, ala ata Z balxo compara os firewalls destacados acima pena para uma casa cheia! (Os custos 0 em delar ieee Hsexcrsst [SES] am | mm ™~, 20Parecida com a tabela acima, a préxima compara os softwares que nes ofetecem opoes mais avancadas. Com das esses analises, voce nao tem come se enganar quanto sso Beeo ber no ss unde ‘nes rosie” | sta? nso setae sie por” ‘reo Fae A instalaggo e a configuracdo da qualquer um dess firewalls deve ser extremamente facil, A maior deles usa linguagern clara, como "Paranoico”, "Nervoso", “Confiavel” do BlackiCE, por exempla. 0 usa diario e omeniteramento podem ser tio detalhatlos quanto o software permita, mas a ‘maior dos usuatios prefere menos detalhes Todos os. firewalls nSo-nativos possuer logs enquante o programa é rodado, Esses logs podem ser complicados deer, mas rnormalmente contam muito sobre o tréfego no sistema e na rade, e podem ser bastante efetivesalertando © usudrio sobre smeacas comune ~~ = => 1,2,3, Testando! Ainda bem que existem alguns sites que server pera escanear e testar firewalls pessoais. Aqui vo alguns dos melhores: cker Wh Periodosaratisestéo disponivels aqui para fins de scanse testes. ~: Com interface web, 0s servicos de identiticacao de portas/servigos do ShieldsUp! s2o justamente acrescidos de boa reputacao Por 10 déleres par an nsultas de seguranca de 30 minuto:2 FIREWALL EXTERNO Me Qiu Mei eieteiray = 4. © is novos projetos e sistemas sao desenvolvidos diariamente, Atualmente, podemos considerar ‘© mercado da seguranca da informacso (ndo Se eee eer cen aye etn ene Cee a Cri Ce SCC CERT Oe rns RO uC eu eee ee ee Perera ener mem em tct Ser cece ee eet ar a een eer eter cry nao é-somente voltado a um software de qualquer sistema operacional, que voct instala no sistema, faz eee ere ren nee PO ae Me ae Wer cd RC RCL OC fosse totalmente aplicaveliem grandes servidores, om Se Ma em ) eee een ae eee eas tayam de uma tecnologia mais amigavel e segura. Com co De ROE Se Ue atte ere one "para essa fungao. Fle esta fisicamente ligado as duas Ce ae eee @ Pte vantagem da obtencéo de uma melhor protec&o do CCR en Ion ai Cote eae proteger mais de um sistema de cada vez. Outro ponto Seer eta See ta ee Ty ee ee ee ec Pete Cao eae eee ey sistema operacional e das aplicacées que vocé v8 Poet ene nee ad que € necessério.alocar mais energia © espaco na sua rede de computadores - que 4 pode estar saturada além de os firewalls baseados em hardwaré tenderemoa, eae aa — ooo ae, Ce eee ee eee eee tr era oe, Awe ee ee errr ets cofetament@se ro howyerum bom senso eum conhecimento eet meme aretha de construe configuar um firewal @a seqhinte © adminstredor Se ea tr et eat eet cee eee eee Pees: Teen ee ate ee eens ee eee Pee eee tee ere ees Penne eet see eet eae eee ets primeiramente perginte-se _ een eC et? Reet ee - veto pretend asta comepese ea? Serene i Boar orks Screening Router 3 | Oe ue eee eee Co eee eee eee eee eee een Eo cee eater eae tetera SM ore ee ae em Ce ae wee ea ee Beret cee) teen er ot ea ae eae Bn ae eect ne oe eee teeter ese eee tte eer Tudo isso pode geraruma invasto que passara peo firewall ea et Sr re eee nea cea folinvadida se meu iptables est corretamente configurado? See ea nt eee eee ts Se aoe eto Cee eee eet Ce eet eer eee ees ¢ ‘esse Daemon Ree ie eee ee re ea St eee formar uma Barreira de seguranca em uma ede qualquer, Na internet, devemos seber antes de quelquer coisa que existern diversas eee ee ee ee eee ete eee eee ne aes ‘mecanismo defitragem de um router (que ée pode ser considerado um “hareware firewall”) possibltaque o controle de trsfego Conclusao Cua Mee nee te) de um firewall baseado em hardware (router) e seus tipos de filtragem. E claro que hoje no mercado existem Cee ee eee eee eer eed de filtragem). 0 que deve ser feito é um projeto rede erence rs OMe menor cet aie UC Ire rs sucedido a partir do memento em que a sua utilizacao far oe Remnant ae eae Pees Se ee ee eee SCE ues eae ort ee eect at eel BeGuia do CD >> a Od ( catioca Antonio Marcelo, que apresenta curso de Firewalls no Oe ee ete net eT ne ey Cee CO LCS Lee teas een Se Maer eae ected eet ee ee ete ey een eR ee tee te eur Geer ey Gc ur eee een ee rewstas Hack3r e Geek. Além do video, voc® também encontrara leet eee tet ie ecu ey ieee et ed Resumo do Capitulo VI Rete ete a Gree ate erect aN cE ee eC Oe eee preparagdo de uma maquina e muito mais. No CD estéo disponiveis Ree een rote) Coot ket Tia e Reece enna ter eeu act eee Cee ane Meunier eee td Cone e oe er a eee gee tabelas NAT, o bloqueio efiltragem de pacotes ¢ outras ‘importantes func6es de um firewall, No CD estdo disponiveis versées para Woid e OpenOffice Cert ete) Cee ae Ao eee a Cee een Ee emer eo sobre cada um deles. socorro, ar algum softwas CONCEITOS BASICOS >> Na introduce do curso, 0s diferentes tipos de atacantes e técnicas Peer eae tener aca) sobre seguranca de uma forma mais ampla e menos espectica, Gene ee ee ice ene eee eee een Peer eee ee et TIPOS DE FIREWALL PO Reet ne EE en tiposde firewall, coma e quando eles sao usados, além de Cee emer Et oe ee a Peer et en one) eesH4CK3k Especial > Ba elas Calon Zee) ene eee oe eee eee See re eee ene eee ee eee eed CONSELHOS E DICAS >> CATEGORIA FIREWALLS Mh PO meen ss Cameco arin uh Gana ed See eRe ee ee ty Ce aa et ae eet Coot ieee eee et Smo en arse es See ent sent ne een Coie enero Coyote Linux 2.02 - Distibuigo Linux especialmente desenvol- ee ee ety dlisquete e roda diretamente por ele, Pocle-se criaro dsquete Cee eee ‘Adamantix - O projeto Adamantix (formalmente conhecido como een eee renee eee) nivel ecom facilidades para os ususios. Traz solucbes de seguran- et a ener eae programas relacionados & sequranca e outras opctes Paranoia Firewall 1.53 - Firewall projetado especifiamente pare ee eee ee eee ees aie etal Set ee eee ere Tee eee) <2 conexdes permitidas para cada portalportrange aberta No encerremento do curso, Antonio Marcelo faz comentarios arespeito da proisss0 Cee ue eee Co ae eae ne ae Pee en eu Ree er Cn een CeCe tee ee NN rae Ti) Coen a Oe aS hardware (NICs) e protocolo de conexao ne ee pene SCN Ss | = | | | 728 GUIA DO CD ee ae oe Oe regras e as Compara com as regras que esto sendo eee eee geet ee eae ee Se SOc eee ere tr re cere ees rue en eins firewall sem precisar conhecera fundo TCPIP nem RO a eae a Linuxconf, Corba, SMTP, ONS, Finger, HTTP, HTTPS, NFS, POP2, POP3, SUN RFC, Auth, NNTP, NETBIOS, NOR ee eee eee a Cee aera ee Sead vélidas para.os usuarios, Deservalvido paraser um script stand-alone com poucos requerimentos que Reem ene tet ae eee a Ce us ac Nee ee eet oe ur ee ee ce eae eee Eo meee Cee ee Cece nat i oma Pe eee eee kernel do Linux, o software faz uma barreira para ee ee eee Bastatus 2.08 - Contador de pacotes de IP e SNMP « ferramenta de monitoracdo para o Linux. Coleta, resume e mostra os valores, Pode ser usado para a Osuna uae ea filtros de contager, monitoramento de SNMP (coleta Dees ey eat Firewall by Jim 1.30 - Este firewall obtém Cie eet emt yy Peg ge Cte configuracdo, trabalha com a ethO para a Internet e a ee DE eT Ree firewall usando 0 ipfwadm ou o ipchains. 0 Mason the CO eer eee eT ce bloquear conexoes de acordo com as regras definidas Poetry Firewall Builder 1.1.2 - Uma interface qrafica e ‘um conjunto de compiladores para varias platafor: eee eee ee net Oma mr eee Turtle Firewall 1,27 - Projeto de confiquracao oe ee en ees Possui umainterface web com ummeédiulo webmin SER enema) ee ee cy Se eee es Gn Ra coy A categoria especial Iptables, na qual voce eee eee ens oe ce Rone eed p> eu © curso, que principal destaque desta edicao coo BOUL CATEGORIA: FIREWALLS. PCCM Toi}Pee Ee ate ee Pee ear tee Cree en een ce) mercado. Quem lida com Windows, parém, Re eee eee Ronen ee ei) Bees BN I eco Bee eee Meta Deo eee eet Ts Serene eee ers Cote ao ec ny ree ECL ee Protege usuarios de programas P2P do renee ar tera trabalha basicamente como um firewall que Ce eee er ore monitorar a download eo Cone ee OU eee ce Sistema de seguranca para proteger © Serre ee en Internet. Com ele, pode ser especificadoa Cee eu eee cee ey Cone ree rere Ces a as SO ae ns Cen ene can) erSmeE DT Sar Peed tua busca em uma conexée com a internet ove ee Creer amy eo eee ey ere eet ee et) Pree Sete eet eee enero ProPort 2.2 - Monitora portas locais para Cee ee eee ey das portas, autodesconexao, edicao das istas eee eon Pee ee ee Se a aCe TT Seu ear eer eeu cy Ser ener ea ee See ee eee et Cement! Sse Ra eee pee ete eerie) hackers e trojans. Quando detecta um part scanning ou tentativa de invaséo, ele automatica- Tente bioqueia a conexao e avisa a vocé sobre o pean Ce gee es Ue nee ese) eR Ce Re eS Pe eae ee es Cede eee eed Cee ae en eee See ee ety Se ae e rE Sena eT ay SO eee eur ste ree analisare bloquear todas as tentatives de ataques Bue age eee te Ea ere a eens ee onto) Cerone Mr) eee eee tae eee cy) AlertWall Personal Firewall 1.2.1- Evite Cece ce eet ae firewall. Permite bloquear a entrada de eee Serene ea pela Intemet. O computador ficara protegido COO ta eee ames Soeur eC eee eG ere Dan eee es eee eee eee ee ee eee er ety ‘garantema privacidade e sequranga, incluindo um antipop-up. Funciona durante 30 dias Norman Personal Firewall 1.2 - Protege contra ataques de hackers ao computador. Ele é ROI ee eee oe Ce ey Seem ees cae assim como aplicagéo de "service packs", nao reece} cece ey r)busca répida Arquivo completo atualizado. constantemente ‘compra facilitada a rl oo: ee Vocé recebe sua revista sem nenhum custo adicional em qualquer lugar do Brasil 60 categorias com mais de 200 produtos H4CKSR Especial ‘tendimento a ear Fae 21 20 ha) reel oops ep nce [endimene de vende Fee). 200 lps bea tor Fw i(niatodgeniant) Redatores ln rosa ae ae nin nena Colaboradorer (ihn ton Cama Genie se antic evs ‘Gel Be a Departments Muti Depeepaac eeie ansehen Departament de internet [nana asa estan Ogenecrtoniemniare ed. aa ANER WEITE em conhecer EM legis SM Dole a CTC} Como José, milhares de pessoas no Br: ae @ oportunidade de conhecer o mundo digital. A Digerati conta com a sua ajuda para realizar este sonho. Se vocé tiver um computador Ce ues De One ec a ue etd ‘em sua cidade e financiamos o material didatico para ela Inclusao digital: nés podemos realizar este sonho. Mais informacées pelo telefone (Il) 3217-2605 Yuta 0 Ve penser net‘CURSO COMPLETO ava VIDEO De ee eae ae Ur Oe diretor da ABRASOL e autor de mais de 12 livros Pe Mie oct oe curt ae Ce Lo *Conheca os diferentes tipos de atacantes e técnicas de Bees Se ER uN EC RSL) integridade e autenticagao de forma pratica. rors Be *As diferencas entre 0s tipos de firewall e como eles so usados eee ee ee Ce ee eon seguranca Ipfwadm e Ipchains De RC) *Com énfase na parte pratica do assunto, veja a aplicagao de eee eS en Cun eh Cece ene neko Ca Saiba mais sobre: tabelas NAT, bloqueio e filtragem de pacotes e ON eee St coe Te a) Se oF SETS Me ya) CeCe dea he eee ee et ee neni nN ee eae een Res} 05 nao-autorizadas ao PC, monitorando as portas do sistema, bloqueando Dect ama eee ee eon ee a Cee ene ee ee Ee mente como um firewall que impede conexées dos IPs suspeites de monitorar o download e 0 compartlhamento de arquivo: Coe eee Kerio Personal Firewall 4.0.10 - Protege contra ataque: ees jor. Funciana durante 30 Te ee ae ee Re ee a ee ea Sem y Coreen eer ne eran nk Pee en ea a en sees Sygate Personal Firewall 5.5 -Possui um sisterna de seguranca contra intrusos, ataques hackers e trojans. Quando detecta um een ee eC ene ee ee erro ree ant Beene na “Mengaol 2° “ance ae ron von” 2 ADVISOR * TOM e i Me ae a vr all SS ae rg eo ndevi