Seguran¸ ca em Redes – Prof. Rafael R. Obelheiro – Semestre: 2008.2
Trabalho – Configura¸ c˜ ao de Firewall O Grupo Escolar Percival Toledo (GEPeTo) ´e uma das escolas beneficiadas pelo Programa de Inform´atica Amplamente Dispon´ıvel a Alunos, um programa governamental que visa ampliar o acesso dos estudantes do Ensino Fundamental ` a tecnologia da informa¸c˜ao. Atrav´es dessa iniciativa, a escola recebeu diversos recursos computacionais: • 40 esta¸c˜oes de trabalho para professores, alunos e funcion´arios; • quatro m´aquinas servidoras; • um ponto de acesso para rede sem fio (Wi-Fi); • um enlace Internet dedicado, com um bloco de endere¸cos IP para uso interno. A dire¸c˜ao do GEPeTo manifestou grande preocupa¸c˜ao com a seguran¸ca da rede. Para isso, foi contratado um consultor de seguran¸ca, que fez as seguintes recomenda¸c˜oes: 1. Instalar um firewall na rede (uma das m´aquinas servidoras pode ser usada para esse fim); 2. As demais m´ aquinas servidoras deveriam ficar em uma DMZ, com a seguinte distribui¸c˜ ao de servi¸cos: • um servidor web; • um servidor para DNS e email (SMTP/IMAPS); • um proxy web Squid, que utiliza a porta 3128/tcp. 3. As esta¸c˜oes de trabalho deveriam ficar na rede interna; 4. A rede sem fio deveria ser isolada das demais redes; 5. Os endere¸cos IP deveriam ser distribu´ıdos da seguinte forma: • uma sub-rede v´ alida para a DMZ; • uma sub-rede v´ alida para a rede interna (os seis primeiros endere¸cos v´alidos dessa sub-rede ser˜ao reservados para m´ aquinas usadas na administra¸c˜ao da rede); • uma rede reservada (RFC 1918) para a rede sem fio. 6. As restri¸c˜ oes de acesso implementadas pelo firewall deveriam ser as seguintes: (a) As esta¸c˜ oes da rede interna podem acessar a Internet diretamente, com exce¸c˜oes: • o acesso web (HTTP/HTTPS) para m´aquinas na rede externa deve passar pelo proxy na DMZ; • o acesso SMTP deve passar pelo servidor de email na DMZ; • os acessos POP3 e IMAP s˜ao bloqueados. (b) As esta¸c˜ oes da rede interna podem acessar os servi¸cos na DMZ (HTTP, HTTPS, SMTP, IMAPS, DNS, proxy), nos seus respectivos servidores. As esta¸c˜oes usadas para administra¸c˜ao da rede (ver item 5 acima) tˆem acesso SSH a todos os servidores. Todos os outros acessos da rede interna para a DMZ s˜ao bloqueados. (c) As esta¸c˜ oes na rede sem fio n˜ ao podem acessar a Internet diretamente: • o acesso web (HTTP/HTTPS) deve passar pelo proxy na DMZ; • o acesso SMTP e DNS deve passar pelo servidor respectivo na DMZ. Todos os outros acessos a partir da rede sem fio s˜ao bloqueados. (d) Hosts na rede externa s´ o podem acessar os servi¸cos web, SMTP e DNS na DMZ. (e) O firewall deve possuir regras anti-spoofing. 1
Vocˆe recebeu a miss˜ ao de implementar as recomenda¸c˜oes do consultor na rede do GEPeTo. Essa miss˜ao consiste nas seguintes tarefas: 1. Partindo do bloco de endere¸cos dado pelo professor, defina uma estrutura de endere¸camento para a rede do GEPeTo. Considere que o enlace Internet est´a ligado na interface externa do firewall, e possui os endere¸cos 200.9.2.225 (local) e 200.9.2.226 (remoto). Fa¸ca um diagrama mostrando a forma como foram alocadas as sub-redes e quais os endere¸cos usados pelo firewall e pelos servidores na DMZ. Inclua uma tabela com a seguinte estrutura (“Local” representa o setor em que a sub-rede foi alocada): Sub-rede
Endere¸co de sub-rede
Endere¸co de broadcast
Local
2. Configure o firewall para a rede do GEPeTo, implementando (i) regras de NAT para a rede Wi-Fi e (ii) regras de filtragem para efetivar as restri¸c˜oes de acesso. A configura¸c˜ ao do firewall deve ser feita usando o Firewall Builder (http://www.fwbuilder. org). A documenta¸c˜ ao entregue deve conter as regras de filtragem e NAT no formato do Firewall Builder e essas regras compiladas para o filtro de pacotes PF.
Observa¸ c˜ oes importantes: 1. O trabalho poder´ a ser individual ou em dupla. 2. O trabalho poder´ a ser entregue at´ e o dia 21 de novembro. 3. O trabalho dever´ a ser impresso. N˜ ao ser˜ ao aceitos trabalhos por email.
2