da dos firewalls e - webhome · 192.168.0.1:80 200.249.235.105:1047 internet eth0 eth1 rede interna...
TRANSCRIPT
A A Ev
oluç
ãoEv
oluç
ãodo
s Fi
rew
alls
e
dos
Fire
wal
ls e
da
daSe
gura
nça
Segu
ranç
aPe
rim
etra
lPe
rim
etra
l
Marc
o “K
iko” C
arnu
t, CI
SSP
<kiko
@te
mpe
st.co
m.b
r>Cr
istian
oLinc
oln M
attos
, CIS
SP, S
SCP
<linc
oln@
tempe
st.co
m.br
>Ev
andr
oCur
velo
Hora
, M.S
c, <e
vand
ro@
tempe
st.co
m.br
>V
Simp
ósio
Segu
ranç
aem
Infor
mátic
a–No
vemb
ro/20
03 –
CTA/
ITA,
SJC
Agen
da 1
/2•
Prólo
go: P
orqu
ee qu
aisos
objet
ivosd
este
curso
•Int
rodu
ção:
O Pr
oblem
aFun
dame
ntal
•Co
nceit
uaçã
oger
alde
Fire
wall
•Fil
trosd
e Pac
otes:
–Co
m Ins
peçã
ode E
stado
(“stat
eful”)
–Tr
adici
onais
ouse
mes
tado(
“state
less”)
•Tr
aduç
ãode
ende
reço
–Es
tática
sem
estad
o–
Dinâ
mica
com
estad
o•
Prox
ies/G
atewa
ys em
nível
de ap
licaç
ão
Agen
da 2
/2•
Base
s de R
egra
s, au
tentic
ação
e log
ging
•“F
irewa
ll Pier
cing”
: Fur
ando
firewa
lls•
Dese
nvolv
imen
tosre
cente
s–
Bridg
e-fire
walls
, brid
ge-le
vel fi
rewa
lls–
Halte
d fire
walls
–Fir
ewall
s vsI
DSs
•Idé
ias, n
eces
sidad
ese t
endê
ncias
•Tu
nelam
ento
–En
caps
ulame
nto“re
cursi
vo”
–Im
plica
ções
no ro
teame
nto–
A po
ntepa
raas
VPN
s
(Min
ha) M
otiv
ação
•Ce
rta ve
z ouv
i algu
ém di
zer q
ue:
–Fir
ewall
ssão
um “c
ommo
dity”.
•Tod
o mun
do já
tem
•É di
fícil s
e dife
renc
iar•E
fetiva
mente
reso
lve o
prob
lema
–Po
de se
r mas
,...•M
uita g
ente
tem e
não s
abe u
sar
•Muit
a gen
te nã
o usa
dire
ito•S
e não
sabe
usar
, não
adian
ta tan
to ter
•Atra
palha
, se l
evad
a a ex
tremo
s•É
bem
mais
fácil d
e bur
lar (p
ara o
bem
ou pa
ra o
mal) d
o que
se
imag
ina
Obj
etiv
os•
Reca
pitula
r a ev
oluçã
o rec
ente
dos c
once
itos e
téc
nicas
de bl
oque
io se
letivo
de tr
áfego
, esp
ecial
mente
na
prote
ção p
erim
etral
•Mo
strar
que a
área
conti
nua f
lores
cend
o e re
chea
da de
ino
vaçõ
es, id
éias i
ntriga
ntes e
impli
caçõ
es fil
osófi
cas
•Ex
perim
entar
uma n
ova d
idátic
a: fal
ar so
bre f
iltros
com
estad
o ant
esde
filtro
s sem
estad
o–
Tese
: fica
muit
o mais
clar
o o qu
e se p
erde
•Pr
eenc
her a
lguma
s lac
unas
na fo
rmaç
ão do
enge
nheir
o de
rede
típico
Part
ePa
rte
I:
I: R
econ
side
rand
oRe
cons
ider
ando
ososFu
ndam
ento
sFu
ndam
ento
sUmabrevíssimavisãogeral
Bloq
uear
por
que
?•
Porq
ue os
servi
ços d
e red
e têm
vulne
rabil
idade
s que
o ad
minis
trado
r de r
ede n
ão te
m co
mo co
nser
tar–
Seja
porq
ue el
e não
tem
o cód
igo fo
nte da
aplic
ação
...–
Seja
porq
ue el
e não
sabe
cons
ertar
–Se
ja po
rque
o co
nser
to po
de se
r muit
o difíc
il (pr
otoco
los ou
se
rviço
s intr
insec
amen
te ins
egur
os po
r des
ign)
–Se
ja po
rque
o cri
ador
do pr
ogra
ma ne
ga ve
emen
temen
te qu
e o pr
oblem
a exis
te em
abso
luto
•Se
os en
genh
eiros
de so
ftwar
e fize
ssem
softw
ares
re
almen
te re
sisten
tes a
ataqu
es, a
nece
ssida
de de
blo
queio
seria
bem
meno
r
Arqu
itetu
ra C
lient
e-Se
rvid
or
Serv
idor
FTP
TCP
IP
Cam
ada
Físi
ca(M
odem
, Eth
erne
t, et
c.)
Clie
nte
FTP
TCP
IP
Cam
ada
Físi
ca(M
odem
, Eth
erne
t, et
c.)
PPP+
V.90
/V42
Pro
toco
lo IP
Pro
toco
lo T
CP
Com
puta
dor A
Linh
a de
com
unic
açãoC
ompu
tado
r BP
roto
colo
FTP
Apl
icat
ivos
Sist
ema
Ope
raci
onal
Har
dwar
eA
RP+
Ethe
rnet
Cam
adas
da
Arqu
itetu
ra d
e Re
de
Trac
erou
te
IGM
P
Cam
ada
de A
plic
ação
Cam
ada
de T
rans
port
e
Cam
ada
de R
ede
Cam
ada
de E
nlac
e“R
ede
Físi
ca”
ICM
P
Teln
et
SMTP
FTP
HTT
P
POP3
XPi
ng
TCP
DN
SD
HC
PIC
Q
AR
PPP
P
V.32
/V.4
2/V.
90, e
tc
V.42
/V.4
2bis
Ethe
rnet
CSM
A/C
DIS
DN
1234
UD
P
IP
O q
ue é
um
fire
wal
l?•
Gatew
ayre
stritiv
o:
==+
Fire
wal
lG
atew
ay(r
otea
dor
ou p
roxy
)
Base
de
Regr
as (
de r
estr
içõe
s)
•Ba
se de
regr
as: li
sta or
dena
da de
cond
ições
–Co
ndiçõ
es ge
ralm
ente
base
adas
na tu
plade
cone
xão
•Ma
s muit
os fir
ewall
shoje
em di
a têm
crité
rios a
dicion
ais, c
omo d
ata/ho
ra, e
tc.–
Resu
ltam
em aç
ões,
tipica
mente
: PER
MITI
Rou
NEG
ARo r
epas
se do
trá
fego
Tupl
asde
con
exão
(pro
toco
lo,
endp
oint
de o
rige
m,
endp
oint
de d
esti
no)
1=icmp
6=tcp
17=udp
27=rdp
...
Depe
nden
te d
o pr
otoc
olo:
para
ICMP
:en
dpoin
t= IP
para
TCP
e UDP
:en
dpoin
t= (
IP : p
orta
)
•To
do di
álogo
via T
CP/IP
pode
ser r
epre
senta
do po
r pe
la tup
lado
s end
ereç
os de
orige
m e d
estin
o:
•Ut
ilitár
ios ta
is co
mo o
netst
atmo
stram
o es
tado a
tual
dess
as tu
plase
m um
a dad
a pilh
a TCP
•Es
tende
o co
nceit
o de “
cone
xão”
para
proto
colos
tais
como
UDP
, que
não t
êm es
se co
nceit
o.
Índi
ce d
e C
onec
tivid
ade
•De
finiçã
o “ma
is ou
men
os fo
rmal”
:–
Quan
tidad
e de p
ossív
eis tu
plasd
e con
exão
perm
itidas
–Po
r se t
ratar
de um
núme
ro m
uito g
rand
e, é c
onve
niente
re
pres
entá-
lo em
form
a de l
ogar
itmo b
ase 2
.•
Exem
plo:
–Qu
al o í
ndice
de co
necti
vidad
e TCP
de um
rotea
dor
tradic
ional?
–Int
uitiva
mente
:32
bits
do
ende
reço
IP d
e or
igem
32bi
ts d
o en
dere
ço IP
de
dest
ino
16bi
ts d
a po
rta
de o
rige
m16
bits
da
port
a de
des
tino
96+
Índi
ce d
e C
onec
tivid
ade
•Na
práti
ca, u
m po
uco m
ais co
mplic
ado d
e calc
ular
–Há
vário
s pro
tocolo
s (25
6 pos
síveis
), ca
da um
com
seus
pr
óprio
s con
ceito
s de “
endp
oint”
–Pa
ra T
CP, U
DP e
ICMP
segu
ndo a
defin
ição a
nterio
r, o
índice
seria
: 97.0
0000
0000
1679
52–
As ba
ses d
e reg
ras p
odem
conte
r outr
os cr
itério
s que
não
some
nte co
mpar
açõe
s bas
eada
s nos
endp
oints
de or
igem
e de
stino
.•
Em ou
tras p
alavra
s, me
de a
card
inalid
ade d
o con
junto
de tu
plasp
ermi
tidas
•Co
nceit
o de “
perm
itido”
pode
ser e
m re
lação
apen
as à
base
de re
gras
ou à
base
de re
gras
+ ro
teame
nto.
Obj
etiv
o de
um
a Fi
rew
all
•Pe
rmitir
cone
ctivid
ade s
eletiv
a, co
m índ
ice de
co
necti
vidad
e men
or qu
e o ín
dice m
áxim
o•
Prov
er co
ntrole
prec
iso e
gran
ular d
o con
junto
de
cone
ctivid
ade
políti
ca de
cone
ctivid
ade
Apl
icaç
ãoTr
ansp
orte
Red
eFí
sico
Apl
icaç
ãoTr
ansp
orte
Red
eFí
sico
Apl
icaç
ãoTr
ansp
orte
Red
eFí
sico
Prox
ies
(Int
erm
ediá
rios
)
Clie
nte
Clie
nte
Prox
yPr
oxy
Serv
idor
Serv
idor
192.
168.
1.10
:102
519
2.16
8.1.
10:1
025 19
2.16
8.0.
1:80
192.
168.
0.1:
8020
0.24
9.23
5.10
5:10
4720
0.24
9.23
5.10
5:10
47
ww
w.y
ahoo
.com
:80
ww
w.y
ahoo
.com
:80
Inte
rnet
Inte
rnet
eth0
eth0
eth1
eth1
Red
e In
tern
a
Red
e Ex
tern
a
ip_f
orw
ardi
ngip
_for
war
ding
desa
tivad
ode
sativ
ado
Apl
icat
ivo
Prox
y
Apar
ecem
no n
etst
at
Apl
icaç
ãoTr
ansp
orte
Red
eFí
sico
Apl
icaç
ãoTr
ansp
orte
Red
eFí
sico
Apl
icaç
ãoTr
ansp
orte
Red
eFí
sico
Filtr
os d
e Pa
cote
s
Clie
nte
Clie
nte
Serv
idor
Serv
idor
192.
168.
1.10
:102
519
2.16
8.1.
10:1
025
ww
w.y
ahoo
.com
:80
ww
w.y
ahoo
.com
:80
Inte
rnet
Inte
rnet
ip_f
orw
ardi
ngip
_for
war
ding
ativ
ado
ativ
ado
Prox
yPr
oxy
Red
e In
tern
a
Red
e Ex
tern
a
eth0
eth0
eth1
eth1
Stat
eles
svs
Stat
eful
•O
que s
ignific
a “se
m es
tado”
(stat
eless
)?–
Cada
paco
te, in
teraç
ão, tr
ansa
ção,
etc, é
reali
zada
de fo
rma
inteir
amen
te ind
epen
dente
das a
nterio
res e
futur
as.
Nenh
uma l
embr
ança
é re
tida.
–Pa
rticula
rizan
do pa
ra o
noss
o cas
o: nã
o há t
abela
s em
funçã
o do t
ráfeg
o•
O qu
e sign
ifica “
com
estad
o” (s
tatefu
l)?–
Exist
e algu
ma ta
bela
ou ca
che(
norm
almen
te ar
maze
nada
em
mem
ória)
que l
embr
e inte
raçõ
es an
terior
es e
que p
oder
á inf
luir e
m int
eraç
ões f
utura
s, co
mo pa
rte da
s con
diçõe
s de
aceit
ação
/rejei
ção.
Part
ePa
rte
II:
II:
Filtr
osFi
ltros
de
de P
acot
esPa
cote
sco
m
com
Ins
peçã
oIn
speç
ãode
de
Est
ado
Esta
do
Ress
alva
•An
tes qu
e os p
urist
as/de
talhis
tasme
frite
m... :
)•
O mo
delo
apre
senta
do no
aqui
é uma
gene
raliz
ação
did
ática
um ta
nto si
mplifi
cada
•Ap
esar
de in
spira
do na
s imp
lemen
taçõe
s, nã
o é
idênti
co a
nenh
uma d
elas:
–Os
camp
os ex
atos d
a tab
ela va
riam
de im
pleme
ntaçã
o par
a im
pleme
ntaçã
o. Po
r exe
mplo,
nem
todas
tem
os ca
mpos
“e
xpec
tedre
turn”
; algu
ns im
pleme
ntam
a mes
ma se
mânti
ca
direta
mente
no A
lgoritm
o de I
nspe
ção d
e Esta
do–
Cada
imple
menta
ção t
em se
us po
rmen
ores
A Ta
bela
de
Con
exõe
s•
Cada
entra
da na
tabe
la co
nsist
e em
uma v
ersã
o este
ndida
da
tupla
de co
nexõ
es:
(pro
to,
osep
, od
ep,
erse
p, e
rdep
, ti
mer
)
•pr
oto:n
úmer
o do p
rotoc
olo (1
=icmp
, 6=t
cp, ..
.)•
osep
:orig
inal s
ource
endp
oint:
–en
dpoin
tde o
rigem
origi
nal d
o pac
ote•
odep
:orig
inal d
estin
ation
endp
oint:
–en
dpoin
tde d
estin
o orig
inal d
o pac
ote•
erse
p:ex
pecte
dretu
rnso
urce
endp
oint:
–en
dpoin
tde o
rigem
espe
rado
nos p
acote
s de r
etorn
o•
erde
p: ex
pecte
dretu
rnde
stina
tione
ndpo
int:
–en
dpoin
tde o
rigem
espe
rado
nos p
acote
s de r
etorn
o•
timer
: temp
o em
segu
ndos
para
auto-
remo
ção d
esta
entra
da
Expi
raçã
o au
tom
átic
a•
Cada
entra
da na
tabe
la tem
um ca
mpo c
hama
do “t
imer
” qu
e é de
creme
ntado
perio
dicam
ente
•Qu
ando
cheg
a a ze
ro, a
quela
entra
da da
tabe
la é
autom
atica
mente
remo
vida
•Po
r per
forma
nce,
na pr
ática
costu
ma se
r imple
menta
do
assim
:–
o cam
po em
si ar
maze
na a
data
e hor
a da f
utura
expir
ação
–é i
ndex
ado e
m or
dem
cresc
ente,
usan
do um
a estr
utura
de
dado
s tipo
heap
(ond
e é ba
rato
deter
mina
r o pr
óxim
o-ma
ior)
–De
temp
os em
temp
os (2
seg,
tipica
mente
), o p
róxim
o-ma
ior
é, me
nor q
ue a
data/
hora
atual,
a en
trada
corre
spon
dente
é re
movid
a da t
abela
Algo
ritm
o de
Insp
eção
de
Esta
do•
Regr
a do b
atime
nto di
reto
(forw
ard m
atch)
:–
Se al
guma
entra
da na
Tab
ela de
Con
exõe
s tem
endp
oints
de or
igem
e des
tino o
rigina
is ex
atame
nte ig
uais
aos d
o pa
cote
atual,
PER
MITA
sua p
assa
gem.
•Re
gra d
o bati
mento
reve
rso (r
ever
sema
tch):
–Se
algu
ma en
trada
na T
abela
de C
onex
ões t
em en
dpoin
tses
pera
dos d
e reto
rno d
e orig
em e
desti
no ex
atame
nte ig
uais
aos d
o pac
ote at
ual, P
ERMI
TA su
a pas
sage
m.•
Caso
contr
ário,
efetu
e a A
valia
ção d
a Bas
e de R
egra
s
Cac
hede
Con
exõe
s Já
Apr
ovad
as•
Esse
algo
ritmo e
fetiva
mente
tran
sform
a a T
abela
de
Cone
xões
em um
Cac
hede
Con
exõe
s Pré
-Ace
itas
•Im
pleme
ntado
com
tabela
s de h
ashp
ara e
fetua
r o
batim
ento
de fo
rma e
xtrem
amen
te rá
pida
•Or
igina
lmen
te de
senv
olvido
para
confe
rir m
ais
perfo
rman
ce, p
ara e
vitar
ter d
e efet
uar a
Ava
liaçã
o da
Base
de R
egra
s (qu
e é ca
ra) p
ara c
ada p
acote
•Já
leva
dire
tamen
te em
conta
o fat
o que
as “c
onex
ões”
são b
idire
ciona
is, ac
eitan
do se
us pa
cotes
de re
torno
–To
rna a
base
de re
gras
mais
simp
les, p
ois el
a não
prec
isará
ter
regr
as ex
plícit
as pa
ra fa
zer is
so
Base
de
regr
as•
Lista
orde
nada
de co
ndiçõ
es pa
ra ac
eitaç
ão/re
jeiçã
odo
s pac
otes
•Ca
da im
pleme
ntaçã
o tem
seu p
rópr
io jei
to de
es
pecif
icar a
s con
diçõe
s•
Form
ato cl
ássic
o de u
ma re
gra:
–IP
de or
igem
[ não
] bate
com
IP/N
etmas
k–
IP de
desti
no [ n
ão ] b
ate co
m IP
/Netm
ask
–Po
rta de
orige
m [ n
ão ] b
ate co
m Lis
ta ou
Faix
a de P
ortas
–Po
rta de
desti
no [ n
ão ] b
ate co
m Lis
ta ou
Faix
a de P
ortas
–Aç
ão em
caso
de ba
timen
to: A
CEIT
A, D
ESCA
RTA,
etc.
Base
de
Regr
as•
Cada
uma t
em su
as pa
rticula
ridad
es–
Algu
ns fir
ewall
simp
lemen
tam us
ando
outra
arqu
itetur
a•E
xemp
lo: N
o Fire
wall-1
, cad
a reg
ras é
na re
alida
de um
a exp
ress
ão
em um
a ling
uage
m ch
amad
a INS
PECT
. O cl
iente
gráfi
co ac
eita
“regr
as” n
o sen
tido t
radic
ional
de lis
ta de
cond
ições
(mas
muit
oma
is ex
pres
sivas
, com
objet
os co
nsist
indo d
e gru
pos r
ecur
sivos
, etc
) e ou
tros f
atore
s, co
mo da
ta/ho
ra, a
utenti
caçã
o, etc
., e os
co
nver
te em
um pr
ogra
ma ne
ssa l
ingua
gem.
–Em
algu
ns fir
ewall
s, o A
lgoritm
o de I
nspe
ção d
e Esta
do é
uma r
egra
que d
eve s
er in
serid
a exp
licita
mente
.• E
xemp
lo: IP
Table
sdo L
inux
–Al
guns
firew
allst
ratam
logg
ingco
mo um
a açã
o, en
quan
to ou
tras t
ratam
logg
ingse
para
dame
nte
Açõe
s C
láss
icas
•AC
EITA
R (“A
CCEP
T”):
–A
tabela
de es
tado é
atua
lizad
a com
os en
dpoin
tsor
igina
is de
orige
m e d
estin
o do p
acote
–Co
mputa
-se os
endp
oints
de re
torno
espe
rado
s. Na
ausê
ncia
de
tradu
ção d
e end
ereç
o, ele
s nad
a mais
são d
o que
os en
dpoin
tsor
igina
is, tr
ocan
do-se
orige
m e d
estin
o.–
O pa
cote
que d
esen
cade
ou a
avali
ação
é re
pass
ado n
orma
lmen
te.–
Ação
Ter
mina
l: qua
ndo e
xecu
tada,
a ava
liaçã
o da b
ase d
e reg
ras é
dada
por e
ncer
rada
•DE
SCAR
TAR
(“DRO
P”):
–O
paco
te qu
e des
enca
deou
a av
aliaç
ão é
desc
artad
o sile
ncios
amen
te.
Nenh
uma a
tualiz
ação
é fei
ta na
Tab
ela de
Con
exõe
s–
Ação
Ter
mina
l: a av
aliaç
ão da
base
de re
gras
é da
da po
r enc
erra
da
Tim
eout
s•
Nova
s entr
adas
inse
ridas
na T
abela
de C
onex
ões
rece
bem
timeo
utsde
acor
do co
m alg
umas
políti
cas
–TC
P: da
orde
m de
hora
s–
UDP:
da or
dem
de de
zena
s de s
egun
dos
–Pr
imeir
o pac
ote (“
Unre
plied
”) no
rmalm
ente
rece
be um
temp
o de
vida
curto
(dez
enas
a ce
ntena
s de s
egun
dos),
os
segu
intes
(“Re
plied
/Ass
ured
”) re
cebe
m o t
empo
de vi
da
“final”
–Va
lores
exato
s con
figur
áveis
glob
almen
te• N
o IPT
ables
, pela
linha
de co
mand
o; no
Fire
wall-1
, via
GUI
Out
ras
Açõe
s•
REJE
CT (“
Rejei
ção E
xplíc
ita”):
–Ta
l com
o o D
ROP,
desc
arta
o pac
ote qu
e des
enca
deou
a av
aliaç
ão
da ba
se de
regr
as.
–Co
ntudo
, man
da um
a res
posta
depe
nden
te do
proto
colo
para
ex
plicit
ar qu
e o pa
cote
foi re
jeitad
o:•
Para
TCP
, man
da um
RST
com
um nú
mero
de se
qüên
cia ap
ropr
idado
(tirad
o do
paco
te or
igina
l)•
Para
UDP
, man
da um
a men
sage
m IC
MP P
ortU
nrea
chab
leou
ICMP
Ad
minis
trativ
elyPr
ohibi
ted
•LO
G–
Algu
ns fir
ewall
scon
sider
am lo
gging
como
uma a
ção
–Re
gistra
a tup
lae o
utras
infor
maçõ
es do
paco
te atu
al em
um ar
quivo
de
log
–Aç
ão nã
o-ter
mina
l: a av
aliaç
ão da
base
de re
gras
pros
segu
e
Insp
eção
com
Est
ado:
Ace
itaçã
oTC
P SY
NSE
Q=1
2989
182
SEP=
192.
168.
136.
1:10
28D
EP=1
92.1
68.1
37.4
:139
ORIG/EXPRET SRC--
ORIG/EXPRETDST--
TO-
-----------------------------------------
TCP
SYN
SEQ
=129
8918
2SE
P=19
2.16
8.13
6.1:
1028
DEP
=192
.168
.137
.4:1
39
ORIG/EXPRET SRC--
ORIG/EXPRETDST--
TO-
192.168.136.1:1028 192.168.137.4:139 120
192.168.137.4:139 192.168.136.1:1028
-----------------------------------------
Insp
. Est
ado:
Ace
itaçã
o Re
vers
a
ORIG/EXPRET SRC--
ORIG/EXPRETDST--
TO-
192.168.136.1:1028 192.168.137.4:139 120
192.168.137.4:139 192.168.136.1:1028
-----------------------------------------
TCP
SYN
SEQ
=571
2391
AC
K=1
2989
182
SEP=
192.
168.
136.
4:13
9D
EP=1
92.1
68.1
37.1
:102
8
TCP
SYN
SEQ
=571
2391
AC
K=1
2989
182
SEP=
192.
168.
136.
4:13
9D
EP=1
92.1
68.1
37.1
:102
8
Insp
. Est
ado:
Ace
itaçã
o D
iret
a
ORIG/EXPRET SRC--
ORIG/EXPRETDST--
TO-
192.168.136.1:1028 192.168.137.4:139 120
192.168.137.4:139 192.168.136.1:1028
-----------------------------------------
TCP
SYN
SEQ
=571
2391
AC
K=1
2989
182
SEP=
192.
168.
136.
1:10
28D
EP=1
92.1
68.1
37.4
:139
TCP
SYN
SEQ
=129
8918
3A
CK=5
7123
92SE
P=19
2.16
8.13
6.1:
1028
DEP
=192
.168
.137
.4:1
39
Insp
eção
com
Est
ado:
Des
cart
eTC
P SY
NSE
Q=1
2989
182
SEP=
200.
199.
23.1
05:4
198
DEP
=192
.168
.137
.4:1
39
ORIG/EXPRET SRC--
ORIG/EXPRETDST--
TO-
192.168.136.1:1028 192.168.137.4:139 120
192.168.137.4:139 192.168.136.1:1028
-----------------------------------------
Sub-
Base
s de
Reg
ras
e su
as A
ções
•Al
guns
firew
allsp
ermi
tem a
criaç
ão de
vária
s bas
es de
regr
as
além
da pr
incipa
l–
Norm
almen
te re
feren
ciada
s por
nome
s–
Exem
plo cl
ássic
o: IP
Table
s. Co
ntém
as ta
belas
princ
ipais
(“filte
r”,
“nat”
, “ma
ngle”
) e vá
rias “
cade
ias” (
chain
s), ta
is co
mo a
“INPU
T”,
“OUT
PUT”
, “FO
RWAR
D”, “
PRER
OUTI
NG”,
entre
outra
s que
pode
m se
r cria
das e
nome
adas
pelo
próp
rio us
uário
.•
Ação
JUMP
: Exe
cuta
uma s
ub-b
ase d
e reg
ras
–Ap
esar
do no
me “J
UMP”
, que
evoc
a a si
ntaxe
do “G
OTO”
, na
reali
dade
trata
-se m
ais de
uma “
cham
ada d
e sub
rotin
a”, p
ois a
seqü
ência
de ch
amad
as de
sub-
base
s é in
serid
a em
uma p
ilha
•Aç
ão R
ETUR
N: re
torna
para
a su
b-ba
se pr
incipa
l–
Retira
o po
nto de
retor
no m
ais re
cente
da pi
lha e
pros
segu
e a pa
rtir
dele.
Aval
iaçã
o da
Bas
e de
Reg
ras
•Ca
da re
gra é
avali
ada s
eqüe
ncial
mente
, na o
rdem
em
que c
onsta
na B
ase d
e Reg
ras
•Ca
so um
a reg
ra ba
ta, su
a açã
o é ex
ecuta
da. C
aso s
e tra
te de
uma a
ção t
ermi
nal, a
avali
ação
da ba
se de
re
gras
é da
da co
mo en
cerra
da.
•Ca
so ne
nhum
a reg
ra ba
ta, ex
ecuta
-se um
a pse
udo-
regr
a cha
mada
“polí
tica d
a bas
e” ou
“pse
udo-
regr
a fin
al” –No
IPTa
bles,
a polí
tica d
a bas
e é co
nfigu
ráve
l, pod
endo
ser
ACCE
PT ou
DRO
P–
No F
irewa
ll-1, a
políti
ca da
base
é fix
a: DR
OP se
m log
ging.
Térm
ino
das
Con
exõe
s•
Pode
-se si
mples
mente
deixa
r que
suas
entra
das n
a tab
ela ex
pirem
–Em
proto
colos
como
UDP
, que
não t
êm té
rmino
explí
cito,
é a
única
opçã
o, me
smo
•Em
proto
colos
como
TCP
, que
têm
térmi
no ex
plícit
o:–
Obse
rva-se
os pa
cotes
de fin
aliza
ção
–A
firewa
llseg
ue o
diagr
ama d
e esta
do do
proto
colo,
re
tirand
o a en
trada
da ta
bela
quan
do es
tiver
conv
encid
a de
que o
s dois
lado
s enc
erra
ram
Inst
alaç
ão d
a Ba
se d
e Re
gras
•At
ômica
/Com
Pres
erva
ção d
e Esta
do–
A no
va ba
se de
regr
as en
tre em
efeit
o “im
ediat
amen
te”–
Pres
erva
a tab
ela de
estad
o, nã
o que
bra a
s con
exõe
s já e
stabe
lecida
–Ex
emplo
s: Fir
ewall
-1, E
btable
s, IP
Table
s(po
ssíve
l mas
pouc
o co
nven
iente
de fa
zer)
•Nã
o-At
ômica
/Sem
Pres
erva
ção d
e Esta
do–
Leva
-se tip
icame
nte vá
rios s
egun
dos p
ara a
nova
base
de re
gras
en
trar e
m efe
ito–
Tabe
las de
Con
exão
e de
mais
estad
os sã
o rein
iciad
os–
Queb
ra as
cone
xões
já es
tabele
cidas
•Irr
ita os
usuá
rios q
uand
o ins
talam
os su
cess
ivas v
ezes
a po
lítica
dura
nte se
ssõe
s de
teste
e de
pura
ção
–Ex
emplo
s: Al
guma
s ver
sões
do S
onicW
all(n
ão se
i se a
s mais
nova
s co
nser
tam is
so),
algun
s scri
pts pa
ra IP
Table
s
Con
exõe
s TC
P O
cios
as•
Cone
xões
TCP
ocios
as nã
o ger
am tr
áfego
–Po
dem
ficar
assim
inde
finida
mente
–É
comu
m qu
e uma
cone
xão o
ciosa
perfe
itame
nte vá
lida s
aia da
tabe
la de
estad
os
devid
o à ex
piraç
ão au
tomáti
ca•
Espe
cialm
ente
se o
timeo
utfoi
baixo
•Po
lítica
de T
ratam
ento
de C
onex
ões O
ciosa
s–
Algu
ns fir
ewall
sdist
ingue
m pa
cotes
Não
-SYN
(i.e, d
o “me
io da
cone
xão”
) na t
abela
de
cone
xões
–No
s que
não d
isting
uem,
o pa
cote
é sim
plesm
ente
reav
aliad
o na b
ase d
e reg
ras
•Nã
o que
bra a
s con
exõe
s já e
stabe
lecida
s•
Ao cu
sto de
men
os se
gura
nça:
perm
ite ca
nais
subv
ersiv
os, à
laAc
kCMD
–Os
que d
isting
uem,
pode
m:•
Rejei
tar os
paco
tes: q
uebr
a as c
onex
ões;
•Ac
eita o
s pac
otes:
idem
acim
a;•
Desa
fia a
cone
xão (
Firew
all-1
): tira
o co
nteúd
o e m
uda o
núme
ro de
seqü
ência
; se o
ou
tro la
do re
trans
mitir,
a co
nexã
o é de
clara
da co
mo vá
lida e
reins
erida
na T
abela
de
Cone
xões
.
Trat
amen
to d
o IC
MP
•Tr
atame
nto in
cons
isten
te–
Algu
ns fir
ewall
stra
tam de
form
a “se
m es
tado”
–Al
guns
trata
m co
m es
tado,
mas d
e for
ma re
strita
• A ta
bela
de es
tados
ora r
econ
hece
, ora
não.
Logg
ing
•Só
costu
ma se
r ger
ado p
or um
a açã
o ter
mina
l–
Tabe
la de
Con
exõe
s não
gera
m log
–Só
são r
egist
rado
s, po
rtanto
, os p
acote
s:•
Que i
nser
em ou
reins
erem
as co
nexõ
es na
Tab
ela:
–no
rmalm
ente,
o pa
cote
inicia
l; mas
o ca
so da
s con
exõe
s ocio
sas é
uma e
xceç
ão•
Que s
ejam
rejei
tados
(pois
semp
re fo
rçam
reav
aliaç
ão da
base
)–
Trata
mento
inco
nsist
ente
dos I
CMPs
torna
-se be
m ev
idente
nos l
ogs
–Em
algu
ns F
irewa
lls, r
egist
rar n
o log
é uma
ação
não-
termi
nal
•Re
ferên
cia às
regr
as–
Regr
as co
stuma
m se
r num
erad
as de
algu
ma fo
rma q
ue po
ssibi
lite
refer
ênica
–Pa
ra fin
s de d
epur
ação
, é út
il que
cada
entra
da no
logr
egist
re o
núme
ro ou
refer
ência
da re
gra q
ue a
caus
ou
Logg
ing
•Su
bsist
ema d
e log
gingd
eve s
er ef
icien
te–
Deve
ria se
r pos
sível
regis
trar t
udo
em lo
g, pa
ra fin
s de
depu
raçã
o, pó
s-pro
cess
amen
to, es
tatíst
icas,
IDS,
etc.
–Su
bsist
ema s
epar
ado q
ue re
gistre
sem
empa
tar o
repa
sse
dos p
acote
s, qu
e é m
uito m
ais cr
ítico
• Dev
e ser
capa
z de f
alhar
grac
iosam
ente,
desc
artan
do en
trada
s se
o volu
me de
regis
tros d
e log
exce
de su
a cap
acida
de de
ate
ndim
ento.
.. e no
tifica
r o ad
minis
trado
r sob
re o
que h
ouve
!–
Algu
ns fir
ewall
s(Fir
ewall
-1) g
eram
, além
do lo
gcru
, índic
es
para
busc
a ráp
ida•
Syslo
gclás
sico d
o Unix
não s
atisfa
z ess
es re
quisi
tos–
Além
de te
r sua
s pró
prias
vulne
rabil
idade
s
Logg
ing
•Ge
renc
iamen
to de
exce
sso:
–de
scar
te au
tomáti
co de
cone
xões
“par
ecida
s” de
ntro d
e um
inter
valo
de te
mpo
–Út
il par
a evit
ar qu
e ping
sde t
este
e de N
MSst
orne
m o l
ogain
da m
aior
–Ma
s con
funde
os no
vatos
: nad
a mais
confu
so do
que v
ocê m
anda
r se
u ping
de te
ste el
e não
apar
ecer
no lo
g•
Conte
nção
de T
aman
ho:
–Lo
gsten
dem
a fica
r muit
o gra
ndes
•Mu
ito m
aiore
s do q
ue os
banc
os de
dado
s típi
cos c
onse
guem
lidar
–Po
lítica
de ro
tacion
amen
toe c
ompr
essã
o são
fund
amen
tais
–Te
r que
m lei
a e an
alise
o log
regu
larme
nte ta
mbém
•Se
não,
o log
só se
rvirá
para
ocup
ar es
paço
em di
sco
Anti-
Spoo
fing
•Ve
rifica
ção e
xtra s
egun
do en
dere
ços c
onfig
urad
os em
cada
int
erfa
ce.
•Te
nta pr
even
ir o at
aque
de IP
Spo
ofing
entre
rede
s dife
rent
es.
–Na
turalm
ente,
não p
revin
e IP
spoo
finge
m um
a mes
ma re
de, d
ado q
ue
o trá
fego n
ão pa
ssa p
elo fir
ewall
.•
Desc
arta
o pac
ote se
:–
O en
dere
ço de
orige
m do
paco
te nã
o está
dentr
o da f
aixa c
onfig
urad
a pa
ra a
inter
face p
or on
de es
tá en
trand
o–
O en
dere
ço de
saída
do pa
cote
não e
stá de
ntro d
a faix
a con
figur
ada
para
a int
erfac
e por
onde
ele e
stá sa
indo
•O
rotea
mento
IP cl
ássic
o dev
eria
torna
r isso
impo
ssíve
l de a
conte
cer..
. mas
NA
Tse V
PNsà
s vez
es ge
ram
isso.
•Po
de se
r imple
menta
do na
base
de re
gras
se a
lingu
agem
de
espe
cifica
ção d
as re
gras
perm
itir co
ndiçõ
es ba
sead
as na
s int
erfac
es de
entra
da e
saída
Anti-
Spoo
fing:
Exe
mpl
o•
Paco
tes vi
ndo d
as re
des i
ntern
as de
vem
nece
ssar
iamen
te ter
se
u end
ereç
o de o
rigem
dentr
o da f
aixa d
e IPs
válid
os pa
ra o
IP/N
etmas
kda s
ua in
terfac
e
firew
all
192.
168.
136.
0/24
Para
aIn
tern
et
eth0
(def
ault
gw)
eth1
eth2
eth3 10.0
.0.0
/8200.
184.
18.0
/32
TCP
SYN
SEQ
=129
8918
2SE
P=19
2.16
8.13
6.8:
1382
DEP
=200
.199
.23.
120:
25
TCP
SYN
SEQ
=129
8918
2SE
P=19
2.16
8.13
6.8:
1382
DEP
=200
.199
.23.
120:
25
172.
29.0
.0/1
6 Não
bat
em!
Anti-
Spoo
fing:
Exe
mpl
o•
Um pa
cote
vindo
da In
terne
t não
pode
ter c
omo
ende
reço
de or
igem
dentr
o da f
aixa d
e nen
huma
das
inter
faces
inter
nas fir
ewal
l
192.
168.
136.
0/24
Para
aIn
tern
etet
h0(d
efau
ltgw
)
eth1
eth2
eth3 10.0
.0.0
/8200.
184.
18.0
/32TC
P SY
NSE
Q=1
2989
182
SEP=
192.
168.
136.
8:13
82D
EP=2
00.1
99.2
3.12
0:25
172.
29.0
.0/1
6
Bate
m!
Out
ros
Aspe
ctos
•Ac
ompa
nham
ento/
Trad
ução
do N
úmer
o de S
eqüê
ncia
–De
tecta/
diminu
icha
nce d
e IP
Spoo
fingp
or pr
evisã
o do I
SN–
Não h
á um
cons
enso
sobr
e se é
realm
ente
nece
ssár
io•
Desc
arte
de pa
cotes
com
IP O
ption
s–
Quas
e nun
ca ne
cess
ários
•OS
finge
rprin
tingp
assiv
o emb
utido
•Pr
oteçã
o con
tra D
oSsc
omun
s, tai
s com
o SYN
Floo
ds•
Resis
tência
a ex
austã
o da T
abela
de C
onex
ões
–Tip
icame
nte di
mens
ionad
a par
a ~ 20
000 c
onex
ões
–Po
lítica
de de
scar
te po
de aj
udar
Part
ePa
rte
III:
II
I: F
iltro
sFi
ltros
de
de P
acot
esPa
cote
sTr
adic
iona
isTr
adic
iona
is
Filtr
os d
e Pa
cote
s Tr
adic
iona
is•
Não t
emos
a Ta
bela
de C
onex
ões
•Fo
rça qu
e tra
temos
os pa
cotes
dire
tos e
de re
torno
ma
nualm
ente
na ba
se de
regr
as–
Base
s de r
egra
s mais
long
as e
mais
comp
licad
as–
Sem
o “efe
ito ca
che”
, a av
aliaç
ão da
base
de re
gras
prec
isa
ser f
eita p
ara c
ada p
acote
• E te
nde a
ficar
tão m
ais ca
ra qu
anto
maior
for a
base
de re
gras
–Po
rtas e
fêmer
as fo
rçam
as re
gras
a se
rem
mais
froux
as do
qu
e o de
sejad
o•
Por o
utro l
ado,
não h
á tab
ela de
estad
o par
a esto
urar
: me
nos v
ulner
ável
a DoS
por e
xaus
tão de
recu
rsos
Filtr
os d
e Pa
cote
s Tr
adic
iona
is•
A au
sênc
ia da
Tab
ela de
Con
exõe
s faz
com
que c
ada r
egra
de
aceit
ação
se to
rne d
uas e
m um
filtro
sem
estad
o –
Uma r
egra
para
cada
dire
ção (
origi
nal e
de re
torno
) da c
onex
ão–
Porta
efêm
era t
em de
ficar
em A
ny(o
u em
uma f
aixa a
mpla)
•Ma
is pe
rmiss
ivo do
que d
ever
ia, po
is nã
o há g
aran
tia de
que o
núme
ro da
porta
de
orige
m do
paco
te de
retor
no se
ja o m
esmo
do nú
mero
da po
rta de
orige
m do
pa
cote
direto
.
---------ORIGEM-----------------DESTINO-------
IP/NETMASK------PORTAS IP/NETMASK------PORTAS AÇÃO--
Any
Any
192.168.136.0/24 80/tcpACCEPT
192.168.136.0/24 80/tcpAny
Any
ACCEPT
Regr
a ex
tra
para
acei
tar
os p
aco-
tes
de r
etor
noN
ão n
eces
sari
amen
te ig
uais
---------ORIGEM-----------------DESTINO-------
IP/NETMASK------PORTAS IP/NETMASK------PORTAS AÇÃO--
Any
Any
192.168.136.0/24 80/tcpACCEPT
Vers
ãoSt
atef
ul
Vers
ãoSt
atel
ess
Anti-
Spoo
fing
•Po
de se
r feit
o dire
to na
base
de re
gras
, mas
aume
nta
muit
oa q
uanti
dade
de re
gras
–Na
turalm
ente,
requ
er qu
e as r
egra
s pos
sas s
er at
relad
as a
inter
faces
espe
cífica
s•
Algu
ns si
stema
s ope
racio
nais
perm
item
que s
eja
ativa
da ju
ntame
nte co
m a c
onfig
uraç
ão da
s inte
rface
s, for
a da b
ase d
e reg
ras
Che
ckpo
int
•O
termo
“state
ful” r
efere
-se pr
imar
iamen
teàe
xistên
ciada
Tabe
lade
Co
nexõ
es, q
ueatu
acom
oum
cach
e de c
onex
õesj
áace
itasq
ueme
lhora
a per
forma
nce e
simp
lifica
a bas
e de r
egra
s. Sã
onor
malm
ente
usad
osna
s“po
ntas”
do ba
ckbo
ne.
•Nã
oobs
tante,
osfire
walls
state
fulre
quer
emmi
nucio
soac
ompa
nham
ento
do pr
otoco
loe p
orve
zesv
ários
artifí
ciost
écnic
os, d
os qu
aisos
admi
nistra
dore
sdev
eriam
estar
ciente
s.•
Contu
do, u
maún
icapo
rtaab
erta,
bem
utiliz
ada(
i.e., u
sand
o-se
pr
ogra
masq
uepe
rmite
mre
pass
ede p
ortas
, pro
xying
outun
elame
nto)
pode
ser u
sada
para
burla
ras r
egra
s.•
Filtro
sde p
acote
sclás
sicos
, ape
sard
e fun
ciona
lmen
tema
issim
ples,
tende
ma g
erar
base
s de r
egra
smais
longa
s, co
mplic
adas
, lenta
se
difíce
isde
man
ter. S
ema t
abela
de co
nexõ
es, c
ontud
o, têm
meno
sum
ponto
de po
ssíve
lexa
ustão
de re
curso
s, tor
nand
o-as
mais
adeq
uada
spa
rafic
arem
“no m
eiodo
back
bone
”.
Dem
onst
raçõ
es•
Arqu
itetur
a da r
ede s
imula
da–
Exem
plo si
mplifi
cado
; na p
rátic
a, ten
de a
ser m
ais co
mplic
ado
Rede
Inte
rna
192.
168.
137.
0/24
.10
Win
95
Linu
x+
IPta
bles
.3
.3.1 Win
XP
192.
168.
136.
0/24
Rede
Exte
rna
22/tc
p:ss
hd59
00/tc
pVN
C Se
rver
Fire
wal
lPie
rcin
g•
Técn
icas p
ara b
urlar
restr
ições
de fir
ewall
s•
“Pier
ce” n
ão é
um bo
m no
me–
A téc
nica n
ão “f
ura”
as re
striçõ
es. E
la co
nsist
e em
cana
lizar
o t
ráfeg
o des
ejado
de um
a for
ma qu
e não
fira a
s res
triçõe
s im
posta
s pela
base
de re
gras
•Re
quer
prep
araç
ão pr
évia
–O
usuá
rio te
m de
ter p
revia
mente
insta
lado a
lgum
softw
are
dos d
ois la
dos p
ara f
azer
o re
pass
e–
Pode
ser u
m pr
oxy,
tunela
dor,
etc.
–No
noss
o exe
mplo,
usar
emos
o SS
H atu
ando
como
prox
y(a
docu
emen
tação
do S
SH ch
ama e
sse r
ecur
so de
“por
tfor
ward
ing”)
Fire
wal
lPie
rcin
g•
Não é
intrin
seca
mente
erra
dodo
ponto
de vi
sta ét
ico–
Pode
ser u
sado
para
o be
m ou
para
o ma
l•
Fura
ndo p
roxie
sHTT
Pex
cess
ivame
nte re
stritiv
os–
HTTP
Tunn
el: cr
ia um
cana
l bidi
recio
nal s
ob o
proto
colo
HTTP
usan
do
POST
s•
Princ
ípio g
ener
alizá
vel
–Ba
sta um
único
cana
l bidi
recio
nal s
er pe
rmitid
o e es
creve
r um
prog
rama
que f
orma
te os
dado
s seg
undo
o pr
otoco
lo de
sejad
o (D
NSTu
nnel?
ICMP
Tunn
el?)
•Nã
o é re
almen
te um
conc
eito n
ovo
–Ci
tado d
esde
os liv
ros c
lássic
osso
bre f
irewa
lling
–Su
rpre
ende
nteme
nte po
uco c
onhe
cido n
a prá
tica
•Liç
ão de
humi
ldade
–Nã
o lev
e seu
firew
alltão
a sé
rio.
Fire
wal
lPie
rcin
g•
Exem
plo co
m o S
SH at
uand
o com
o pro
xy(p
ortfo
rwar
ding)
–Pa
ssan
do tr
áfego
não p
ermi
tido “
por d
entro
” de t
ráfeg
o per
mitid
o
Rede
Inte
rna
192.
168.
137.
0/24
.10
Win
95
Linu
x+
IPta
bles
.3
.3.1 Win
XP
192.
168.
136.
0/24
Rede
Exte
rna
22/tc
p:ss
hd59
00/tc
pVN
C Se
rver
ssh
5900
/tcp
VNC
View
er
Part
ePa
rte
IV:
IV:
Trad
ução
Trad
ução
de
de
Ende
reço
sEn
dere
ços
Trad
ução
de
Ende
reço
•Co
stuma
m ter
base
s de r
egra
s pró
prias
–Se
para
das d
a bas
e de r
egra
s que
decid
e ace
itaçã
o/reje
ição
–Aç
ões,
que d
escre
vem
o des
tino d
os pa
cotes
, têm
uma
forma
bem
difer
ente
• Req
uere
m pa
râme
tros p
ara d
escre
ver c
omo o
s pac
otes d
ever
ão
ser t
radu
zidos
–Re
quer
em um
a tab
ela de
estad
o pró
pria
•Po
sicion
amen
to em
relaç
ão ao
rotea
mento
–An
tes da
decis
ão de
rotea
mento
–Ap
ós a
decis
ão de
rotea
mento
–Al
guns
firew
allsp
ermi
tem so
mente
de um
a das
form
as
Trad
ução
de
Ende
reço
Est
átic
a•
Cons
iste e
m alt
erar
–O
ende
reço
IP de
orige
mdo
s pac
otes
–O
ende
reço
IP de
desti
nodo
s pac
otes
•Tr
aduz
uma f
aixa d
e end
ereç
os IP
para
outra
–No
rmalm
ente,
um en
dere
ço ou
ende
reço
s con
tíguo
s–
Mape
amen
to um
-a-u
m: qu
antid
ade d
e IPs
origi
nais
e tra
duzid
os é
exata
mente
a me
sma
–Po
de se
r feto
de fo
rma t
otalm
ente
sem
estad
o (“st
ateles
s”)• P
or is
so um
tanto
inap
ropr
iadam
ente
cham
ado d
e “es
tático
”–
Mas,
se há
uma t
abela
de es
tado,
inter
age c
om el
a
Trad
ução
de
Ende
reço
Din
âmic
a•
Cons
iste e
m alt
erar
–O
ende
reço
IPe p
orta
de or
igem
dos p
acote
s–
O en
dere
ço IP
e po
rta de
desti
nodo
s pac
otes
–Nã
o alte
ra a
unici
dade
da tu
plade
cone
xão
•Tr
aduz
uma f
aixa d
e end
ereç
os IP
para
outra
de ta
manh
o me
nor
–Fr
eqüe
nteme
nte um
só•
Alter
a a po
rta (d
e orig
em ou
desti
no)
–Im
pres
cindív
el pa
ra m
anter
a un
icida
de da
tupla
de co
nexã
o–
Torn
a-o n
eces
saria
mente
state
ful, p
ois é
prec
iso m
anter
um
mape
amen
to (e
fêmer
o e al
tamen
te din
âmico
) sob
re qu
e po
rtas/e
nder
eços
tradu
zidos
“esc
onde
m” qu
e por
tas e
ende
reço
s or
igina
is
NAT
HID
E
De..:
172.16.1.98
porta
3422
Para:
200.249.238.2
porta
80 (http)
De..:
200.133.34.105
porta
60321
Para:
200.249.238.2
porta
80 (http)
TABELA DE TRADUÇÃO
----------------------
60321=>172.16.1.98:3422
to 200.249.238.2
----------------
HIDE IP:
200.133.34.105
NAT
HID
E
De..:
172.16.1.45
porta
1602
Para:
200.133.34.106
porta
1521
De..:
200.133.34.105
porta
60322
Para: 200.133.34.106
porta
1521
TABELA DE TRADUÇÃO
----------------------
60321=>172.16.1.98:3422
to 200.249.238.2
60322=>172.16.1.45:1602
to 200.133.34.106
----------------
HIDE IP:
200.133.34.105
NAT
HID
E
De..:
200.133.34.106
porta
1521
Para:
172.16.1.45
porta
1602
De..:
200.133.34.106
porta
1521
Para:
200.133.34.105
porta 60322
TABELA DE TRADUÇÃO
----------------------
60321=>172.16.1.98:3422
to 200.249.238.2
60322=>172.16.1.45:1602
to 200.133.34.106
----------------
HIDE IP:
200.133.34.105
NAT
HID
E
De..:
200.249.238.2
porta
80
Para:
172.16.1.98
porta
3422
De..:
200.249.238.2
porta
80
Para:
200.133.34.106
porta
60321
TABELA DE TRADUÇÃO
----------------------
60321=>172.16.1.98:3422
to 200.249.238.2
60322=>172.16.1.45:1602
to 200.133.34.106
----------------
HIDE IP:
200.133.34.105
Trad
ução
de
Ende
reço
s•
Cada
imple
menta
ção t
em su
as fir
ulase
limita
ções
...–
Nos r
otead
ores
Cisc
o, há
um co
nceit
o/lim
itaçã
ode “
inside
” e
“outs
ide” c
omple
tamen
te de
snec
essá
rio–
IP P
ools
versu
s um
único
IP•
...e su
a pró
pria
nome
nclat
ura
–SN
AT/D
NAT
vsNA
T HI
DE–
PAT
Part
ePa
rte
V:
V: T
endê
ncia
sTe
ndên
cias
, , N
eces
sida
des
Nec
essi
dade
s , , I
déia
sId
éias
Des
envo
lvim
ento
s Re
cent
es•
Bridg
e-Fir
ewall
s(Br
idge-
Leve
lIP P
acke
tFilte
ring)
–Fir
ewall
ingatu
a ante
s do r
oteam
ento
IP–
Disp
ensa
mud
ar os
defau
ltgate
ways
das m
áquin
as da
s red
es vi
zinha
s ao
firew
all–
Firew
all“in
visíve
l”: nã
o apa
rece
no tr
acer
oute
•Br
idge-
Leve
lFire
walls
–Fa
zem
o mes
mo qu
e os f
iltros
trad
icion
ais, m
as di
retam
ente
na
cama
da 2
–Fil
trage
m po
r pro
tocolo
:já pe
nsou
em co
nter I
PX, A
pplet
alk, e
outro
s leg
ados
/esqu
isitic
es?
–Fil
trage
m efi
ciente
por e
nder
eços
MAC
:•
Não c
onfun
dir co
m po
ssibi
lidad
e de f
iltrag
em po
r end
ereç
os M
AC na
base
de
regr
as de
um fil
tro de
paco
tes IP
–Tr
aduç
ão de
ende
reço
s MAC
–Co
ntenç
ão de
broa
dcas
tse m
ultica
sts–
Exem
plo em
blemá
tico:
EBTa
bles
Des
envo
lvim
ento
s Re
cent
es•
Halte
dFire
walls
–Ap
ós a
instal
ação
da ba
se de
regr
as, e
fetua
a pa
rada
(“ha
lt”) do
sis
tema o
pera
ciona
l–
Todo
s os p
roce
ssos
de us
uário
são t
ermi
nado
s (inc
lusive
o ini
t)•
Por is
so m
esmo
, men
os vu
lnerá
vel
–Ap
enas
o nú
cleo (
kern
el) do
SO
fica r
odan
do, e
m loo
pinfi
nito
–Ma
s, co
mo o
servi
ço de
rotea
mento
e fire
wallin
gé no
kern
el, os
pa
cotes
conti
nuam
fluind
o–
Muda
r algo
re
boot:
para
da no
servi
ço–
Sem
loggin
g, ne
m ac
esso
remo
to•
A me
nos q
ue al
guém
escre
va m
ódulo
s de k
erne
lpar
a iss
o–
Útil p
ara i
nstal
açõe
s tipo
“insta
le e e
sque
ça”(
ou ap
plian
ces)
onde
não
se an
tevê m
udan
ças f
reqü
entes
nas b
ases
de re
gras
Des
envo
lvim
ento
s Re
cent
es•
Integ
raçã
o Fire
walls
+ NI
DSs
–Pa
rece
o ca
minh
o natu
ral, m
as po
r ora
reco
mend
a-se
ce
ticism
o e ca
utela
–NI
DSsa
inda s
ão im
aturo
s, ins
táveis
e ine
ficien
tes: e
xces
so
de fa
lsos p
ositiv
os to
rnam
sua u
tilida
de qu
estio
náve
l–
NIDS
ssão
lento
s, re
quer
em lo
nga l
ista d
e com
para
ções
em
cada
paco
te: ne
ga a
vanta
gem
da ta
bela
de co
nexõ
es co
mo
cach
ede a
ceita
ção.
Nec
essi
dade
s•
Infra
-estr
utura
de lo
gging
dece
nte–
Regis
tro co
nfiáv
el tra
nsac
ional,
rotac
ionam
ento
e ar
quiva
mento
robu
sto, in
dexa
ção p
ara c
onsu
lta rá
pida
–Ge
renc
iamen
to de
cente
do es
paço
em di
sco
• Mini
mame
nte, n
ão pa
rar d
e reg
istra
r logq
uand
o o di
sco e
nche
; av
isar a
ntes e
sobr
escre
ver o
s reg
istro
s anti
gos
–An
alisa
dore
s de l
ogsm
ais in
telige
ntes e
que d
êem
resu
ltado
s gen
uinam
ente
úteis
•La
do hu
mano
: car
ência
de té
cnico
s que
–Co
nheç
am a
fundo
os pr
otoco
los de
rede
–Nã
o ten
ham
medo
de us
ar sn
iffers:
é im
pres
cindív
el pa
ra
depu
rar p
roble
mas r
eais
Con
tinua
ano
que
vem
...•
Prox
ies•
Enca
psula
mento
e Tun
elame
nto•
Tune
lamen
to +
Cript
ogra
fia
VPNs
•VP
Ns: R
edes
Virtu
ais P
rivad
as•
Comp
lexida
de, E
voluç
ão no
Tem
po e
Otim
izaçã
o das
Ba
ses d
e Reg
ras
Refe
rênc
ias
•W
illiam
R. C
hesw
ick, S
teven
M. B
ellov
in, A
vielD
. Rub
in, F
irewa
lls a
nd
Inte
rnet
Sec
urity
: Rep
elling
the
Wily
Hac
ker,
2nd
Editio
n, 20
03, A
ddiso
n-W
esley
Pub C
o, IS
BN 02
0163
466X
•El
izabe
th D.
Zwi
cky,
Simo
n Coo
per,
D. B
rent
Chap
man,
Build
ing In
tern
et
Fire
walls
, 2nd
Edit
ion, 2
000,
O’Re
illy &
Ass
ociat
es, IS
BN 15
6592
8717
•
W. R
ichar
d Stev
ens,
TCP/
IP Ill
ustra
ted
Volum
e 1:
The
Pro
toco
ls, 19
94,
Addis
on-W
esley
Co.,
ISBN
0201
6334
69
•La
nce S
pitzn
er, H
ow S
tate
fulis
Sta
tefu
lInsp
ectio
n: U
nder
stand
ing th
e Fi
rewa
ll-1 S
tate
Tab
le,
http:/
/www
.spitz
ner.n
et/fw
table.
html
•Re
ne R
ideau
, Fire
wall P
iercin
g M
ini-H
owTo
,htt
p://se
cinf.n
et/fire
walls
_and
_VPN
/Fire
wall_
Pier
cing_
miniH
OWTO
/•
GNU
HTTP
Tunn
el,htt
p://w
ww.no
crew.
org/s
oftwa
re/ht
tptun
nel.h
tml
Refe
rênc
ias
•Ma
rco C
arnu
t, Cris
tiano
Linco
ln Ma
ttos,
Evan
droH
ora,
Fábio
Silva
, Im
prov
ing S
tate
fulIn
spec
tion
Log
Analy
sis, 2
001,
Anais
do 3o
Sim
pósio
Se
gura
nça e
m Inf
ormá
tica,
ITA/
SJC
•Ma
rcelo
Lima,
Paulo
Lício
de G
eus,
Com
para
ção
entre
Filtr
osde
Pac
otes
com
Esta
dose
Tec
nolog
iasTr
adici
onais
de F
irewa
ll, 19
99, A
nais
do 1o
Si
mpós
ioSe
gura
nçae
mInf
ormá
tica,
ITA/
SJC
•Mi
ke M
urra
y, Sy
sAdm
in: H
alted
Fire
walls
(Run
ning
Linux
Fire
walls
at R
un
Leve
l 0),
http:/
/linux
today
.com/
secu
rity/20
0202
0800
420S
CHL
•Et
hern
et Br
idge T
ables
,htt
p://eb
tables
.sour
cefor
ge.ne
t/