FWBuilder

Faculdade Mauricio de Nassau Curso: REDES E COMPUTADORES Turno: NOITE Turma: NB Matria: ADMINISTRAO DE REDES I Professor: FRED MADEIRA Alunos: Dinarte Pereira
Jefferson Oliveira Luiz Flavio

Introduo Firewall Builder uma ferramenta de gerenciamento e configurao para firewall baseado em interface GUI que suporta iptables (netfilter), ipfilter, ipfw, Cisco PIX e lista de acesso estendida para Roteadores Cisco. Firewall Builder aproxima o uso de orientao a objetos, pois ajuda a administradores manter a uma base de dados de objetos de rede e permite edio de polticas usando simples operaes de arrastar e clicar com o mouse. A ferramenta permite que administradores possam gerenciar mltiplos firewalls Usando a mesma base de dados de objetos de rede. Pode mudar um determinado objeto que imediatamente ser refletido na poltica de todos os firewalls que utilizam o determinado objeto. A comunicao da Interface grfica como o firewall propriamente dito se faz por meio de comunicao via SSH e pode automaticamente gerar polticas e ativlas para que entre em atividade no mesmo momento.

ESCOLHA DO EQUIPAMENTO A escolha do equipamento de hardware a ser utilizado como firewall muito subjetiva, pois depende diretamente do seu trfego de rede, o seqentemente pode se inferir que quanto mais trfego na sua rede mais processador e disco o firewall dever ter, pois a anlise das regras de um firewall esto intimamente ligadas ao uso de processador da mquina a fim de interpretar cada uma das regras para cada pacote de entrada ou saida em questo e esse trfego todo gravado em forma de LOGS o que acarreta um uso de disco relativamente considervel. INSTALAO Para instalar o FWBUILDER no debian muito simples, pois basta realizar a instalao do pacote de forma grfica ou de maneira manual representada abaixo: # apt-get install fwbuilder # yum install fwbuilder

Pela primeira vez deve-se optar pela opo < CREATE NEW PROJECT FILE > para que seja criado o arquivo que conter toda a configurao do firewall a ser criado como mostra abaixo:

Nesta etapa deve-se colocar o diretrio onde ir conter os arquivos de configurao do firewall que no nosso exemplo ficar no diretrio /firewall e o nome do arquivo. Neste exemplo, o nome do arquivo foi dado como meu firewall bastando clicar no icone <OK> para prosseguir e abrir em definitivo o software.

DEFININDO O DIRETRIO DE TRABALHO PADRO Para configurar o diretrio padro onde o FWBUILDER ir trabalhar deve-se Clicar no item <Edit> \ <Preferences> permitindo abrir a tela abaixo:

Nesta tela deve-se colocar o diretrio onde ser o padro das configuraes e na opo < ON STARTUP > selecionar a opo LOAD LAST EDITED FILE para que toda a vez que se abrir o FWBUILDER possa carregar automaticamente o arquivo configurado pela ltima vez.

MONTANDO E PREPARANDO UM FIREWALL Ao posicionar o cursor em cima da palavra firewall no canto superior esquerdo da tela do FWBUILDER clicar com o boto esquerdo e selecionar a opo < NEW FIREWALL > abrindo a tela:

Colocar o NOME DO SERVIDOR: ex: jacarand

Escolher

o TIPO DE REGRAS firewall: iptables SISTEMA OPERACIONAL do servidor: Linux 2.4/2.6

Caso se deseje utilizar modelos predefinidos de firewall do FWBUILDER poder setar a opo < USE PRECONFIGURED TEMPLATE FIREWALL OBJECTS > mas no nosso caso no ser necessrio haja vista que faremos a configurao das placas de rede do firewall manualmente para se ter o maior controle do firewall. Ao clicar em <Next> abrir a tela para a configurao das placas de rede do servidor firewall como tela abaixo que mostra as opes para configurar as interfaces manualmente como o nosso caso ou utilizar snmp para descobrir as interfaces automaticamente.:

Ao se escolher a opo de configurar manualmente abrir a tela para entrarmos com as informaes de cada placa de rede como se pode perceber abaixo:

Aps essa tela ao cliclar em <Next> deveria abrir outras abas para ir acrescentando as placas de rede mas aqui se encontra o primeiro bug do FWBUILDER que conseqentemente abre a tela de configurao especfica de filtro de pacotes do firewall.

Existe vrias configuraes que se originam desta tela acima como o nome do firewall, biblioteca de usurio, plataforma, verso do iptables, Sistema Operacional e o principal que o < FIREWALL SETTINGS > A aba < COMPILER > da opo < FIREWALL SETTINGS > Possui vrias diretivas de configurao do 8

firewall, pois devemos observar os checkbox da imagem abaixo onde se tem o padro correto utilizado na maioria dos firewalls configurados.

Entendendo as opes: a) Assume Firewall is part of 'any': o firewall se inclui no item any na criao das regras de poltica; b) Accept TCP sessions opened prior to firewall restart: quando se reinicia o firewall ele aceita as conexes que j esto abertas; c) Accept ESTABLISHED and RELATED packets before the first rule: aceita conexes estabilizadas antes mesmo de ativar a primeira regra de poltica; d) Drop packets that are associated with no known connection: dropar pacotes que no esto associados a uma conexo; e) Bridging firewall: utilizar o firewall como forma de brigde (ponte); f) Detect shadowing in policy rules: detecta regras repetidas em suas polticas;

g) Ignore empty groups in rules: ignora grupos vazios isto sem um objeto atribuido; h) Enable support for NAT of locally originated connectios: habilita suporte a regras NAT para conexes locais; i) Clamp MSS to MTU: Impe o MSS (maximo tamanho de segmento no TCP) para o host. remoto ao MTU ( maior unidade de transmisso no data grama ou pacote IP) local para evitar o mximo a fragmentao de pacotes quando se sabe que voc tenha problemas de fragmentao em roteadores de borda. Na aba < INSTALLER > do < FIREWALL SETTINGS > temos as opes abaixo:

Neste momento, acrescentamos a interface externa eth0 mas ainda no atribumos IP para a placa correspondente, pois para se atribuir um IP para esta placa do firewall deve-se clicar com o boto 10

direito em cima da interface de rede a esquerda e escolher a opo < ADD IP ADDRESS >

A tela seguinte mostra o cadastramento do IP de acordo com a placa escolhida. Basta preencher e clicar em < APPLY CHANCES > para aplicar a mudana.

11

Neste ponto o firewall est pronto para ser configurado com regras, entidades, Objetos e servios para utilizarmos de maneira plena.

12

ENTENDENDO AS ENTIDADES DO FIREWALL OBJETOS So os objetos que sero criados, conforme necessidade, podendo ser desde um nico endereo IP at uma faixa de IP. Podendo ser utilizado objetos pr definidos mudando a base USER para STANDARD. Addresses: Cadastro para endereo IP, porm, no utilizado, pois o objeto Hosts mais completo para essa funo.

Address Ranges: Cadastro para faixas de IP.

Groups: Cadastro para grupos podendo conter objetos de Addresses, Address Ranges, Hosts e Networks.

Hosts: Cadastro para Hosts com uma os mais Interfaces de rede. Networks: Cadastro para redes separados pela mscara de subrede.

13

SERVIOS So os servios de rede que sero criados, conforme necessidade. Eles so criados baseado em protocolo, porta e Flag. Podendo ser utilizado servios pr definidos mudando a base User para Standard. Custom: Cadastro para servios definido pelo usurio, raramente utilizado.

Groups: Cadastro para grupos podendo conter servios Custom, ICMP, IP, TCP eUDP.

ICMP: Cadastro para servios baseados no protocolo ICMP. IP: Cadastro para servios baseados no protocolo IP. TCP: Cadastro para servios baseados no protocolo TCP. UDP: Cadastro para servios baseados no protocolo UDP.

14

REGRAS DE POLTICAS So as regras de restrio de acesso. A leitura das regras feita de cima para baixo. Elas servem para restringir/liberar acessos a determinados Hosts e protocolos. Ex. Liberar o acesso externo ao servidor de email na porta TCP 25 (SMTP). Sempre mantenha a ltima regra conforme imagem, ela ir garantir que os servios no especificados sejam negados.

Source: Origem da conexo (uma estao interna, um servidor externo, uma rede...). Destination: Destino da conexo (uma estao interna, um servidor externo, uma rede...)

Service: Porta e protocolo.

Action: Ao a ser tomada, Accept (acesso liberado), Deny (acesso negado, porm o pacote continuar com o mesmo destino, ocorrendo assim Time Out), Reject (o pacote ser negado pelo Firewall, ocorrendo assim acesso negado) ou Accounting (executa a regra com base na ao de outra regra, no utilizado). Time: Hora que a regra estar ativa (no utilizado, pois necessita de mdulo externo para o Iptables).

15

Options: Opes da regra Rule Options (opes que raramente so utilizadas), Loggin On (habilitar o Log das conexes), Loggin Off (desabilitar o Log das conexes).

Comment: Comentrio para facilitar na leitura

GROUPS Criao de grupos. Usado como exemplo um grupo contendo o servidor Web, email e arquivos que ser denominada como Grupo de Servidores. Clique com o boto direito em Groups New Group.

Ir abrir a janela de configurao do grupo, arraste os Hosts e clique em Apply Change.

16

HOSTS Criao de Hosts. Usado como exemplo denominada como Estao Gerncia. Clique com o boto direito em Hosts New Host. um Host que ser

Ir abrir a janela de configurao do Host, digite o nome do Host e clique em Next.

17

Ir abrir a janela de configurao da Interface, selecione Configure interfaces manually e clique em Next.

18

Ir abrir a janela de configurao da Interface manualmente, adicione uma ou mais Interfaces conforme necessidade e clique em Add para adicionlas, uma a uma e clique em Finish.

19

NETWORKS Criao de redes. Usado como exemplo a rede da Caixa Econmica Federal que ser denominada como CEF. 20

Clique com o boto direito em Networks New Network

Ir abrir a janela de configurao da rede, adicione o IP e mscara da rede e clique em Apply Changes

TCP

21

Criao de servio com o protocolo TCP. Usado como exemplo um servio com destino porta 3456 (conectividade social da CEF) que ser denominado como CEF. Clique com o boto direito em TCP New TCP Service.

Ir abrir a janela de configurao do servio, configure a porta conforme necessidade e clique em Apply Changes.

UDP 22

Criao de servio com o protocolo UDP. Usado como exemplo um servio com destino a porta 6050 (VoIP) que ser denominado como VoIP. Clique com o boto direito em UDP New UDP Service.

Ir abrir a janela de configurao do servio, configure a porta conforme necessidade e clique em Apply Changes.

23

ADICIONANDO REGRAS DE POLTICA NO FIREWALL Para adicionarmos uma regra deve-se clicar na aba Policy do lado direito da tela. Na parte direita da tela deve-se clicar com o boto direito do mouse e selecionar a opo Insert Rule gerando ento uma regra em branco como abaixo:

Neste ponto para se transforma essa regra vazia em regra propriamente dita basta arrastarmos da esquerda para a direita em 24

cima dos itens Any as entidades necessrias para a criao das regras como um exemplo abaixo:

Para se atribuir colorizao na regra basta clicar com o boto direito em cima da parte acinzentada da regra e escolher a cor desejada.

25

EXEMPLO DE UM MINI FIREWALL COM REGRAS IMPORTANTES

Regra 0: Libera a Internet a acessar o servidor de email por meio do protocolo smtp, imap, http e https. Regra 1: Libera a Internet a acessar o servidor de pginas da OM por meio do protocolo http e https. Regra 2: libera os servidores a terem acesso total de sada. Regra 3: Libera a EBNet a acessar ftp nos servidores por meio do protocolo ftp. Regra 4: Bloqueia tudo o resto que no foi liberado

26

REGRAS NAT Para regras NAT o mesmo procedimento de incluso de regras policy bastando apenas escolher do lado direito a aba <NAT> EXEMPLOS DE REGRAS NAT

Regra 0: No converter da rede interna para a EBNET. Regra 1: Converte todas as requisies da internet direcionadas a 200.193.140.80 para o servidor na rede interna srvwww Regra 2: Faz o mascaramento de saida do servidor srvwww sair com pacotes 200.193.140.80 (para ser reconhecido na internet) Regra 3: Converte todas as requisies da internet direcionadas a 200.193.140.79 para o servidor na rede interna serve mail Regra 4: Faz o mascaramento de saida do servidor srvemail responder com pacotes 200.193.140.79 (para ser reconhecido na internet)

27

APLICANDO AS REGRAS DE FIREWALL NO SERVIDOR Aps ter criado todas as regras de polticas e regras NAT devemos aplicar duas aes especficas para teste de regra e aplicao: a) compilar as regras: A compilao das regras utilizada para que o FWBuilder possa analisar as regras e verificar possveis erros ou duplicidades lgicas de seqncia de regras. Para realizar a compilao basta no menu principal clicar na opo RULES e depois em COMPILE. Compilando de maneira correta o sistema apresentar a seguinte tela:

b) aplicar no servidor propriamente dito: Aps ter compilado as regras devemos apliclas clicando na mesma aba RULES e depois em INSTALL para que a interface aplique as regras propriamente dita nos servidor firewall dentro do diretrio /firewall como se ta mos no incio do manual na parte de Configurao geral do FWBuilder.

28

29

FAZENDO O SCRIPT DO FIREWALL SER RODADO AUTOMATICAMENTE Se voc quiser correr o script de firewall automaticamente pode-se adicionar no arquivo /etc/rc.local a chamada para o script que no nosso exemplo se encontra dentro do /firewall como pode ser ver abaixo: #!/bin/bash # arquivo rc.local # habilita roteamento echo 1 > /proc/sys/net/ipv4/ip_forward # carrega regras do firewall /firewall/jacaranda.fw exit 0

30

CONCLUSO Este curso bsico teve como finalidade ter uma viso geral da criao de um Firewall bsico, mas o Fwbuilder muito poderoso e propicia N maneiras de Configurao, desde o bsico at o avanado.

31

REFERNCIAS

www.fwbuilder.org www.fwbuilder.org/docs/UsersGuide.pdf http://sourceforge.net/projects / fwbuilder

32