Redes de Computadores II (LEIC) / Redes de Comunicação II (LESTE) – DEETC/ISEL
Guia do Trabalho Final (2ª Parte)
Semestre Inverno de 2004 / 2005
ATENÇÃO
Este documento será actualizado com os detalhes adicionais que se achar convenientes pelo que se sugere a
visita frequente à página da cadeira e a confirmação da data e hora de rodapé para detectar actualizações.
Docente responsável pelos tópicos seguintes:
Eng. Pedro Ribeiro
Edifício 6, Piso1, UAI
Extensão: 1610
eMail: pribeiro AT deetc.isel.ipl.pt
Segurança IP
Pretende-se neste tópico que os alunos explorem as facilidades de segurança que os equipamentos
disponibilizam, sejam estas usadas para aumentar a granularidade do controlo realizado às comunicações
que o atravessam ou à defesa do próprio equipamento a abusos diversos.
Sugere-se a exploração das facilidades de filtragem de pacotes em trânsito, restringindo o sentido de
estabelecimento de ligações, os portos do nível transporte acessíveis e os blocos de endereços válidos
mediante as regras da política de segurança.
Outro mecanismo interessante é o teste Unicast RPF (Reverse Path Forwarding) possível de realizar para a
validação anti-spoof de endereços IP origem. Como complemento convém não esquecer a eliminação de
todos os datagramas com endereços origem ou destino inválidos com tal.
No seguimento deste tópico, deve ser definido e implementado um conjunto de regras que restrinjam as
comunicações ao essencial.
Deve ser possível o acesso a partir da rede interna aos serviços típicos da Internet: HTTP, FTP (no modo
mais razoável sob o ponto de vista de segurança), POP3, SMTP, WebCache (porto 3128/TCP) e ainda ser
possível, para a realização de testes de conectividade, o uso do comando ‘traceroute/tracert’ (baseado em
ICMP).
Deve ainda ser assegurado o funcionamento dos protocolos de suporte aos serviços e rede (OSPF, DNS,
ICMP, DHCP).
Deve ser permitido o trânsito dos datagramas ICMP que sejam essenciais ao funcionamento dos outros
protocolos e todo o restante ICMP negado.
As regras de filtragem de pacotes devem ser tratadas no modo “negar por omissão”, isto é, as regras
enumeram o tráfego que deve passar, todo o restante é negado, seja por regras no meio da lista por
conveniência, seja por uma regra final “deny ip any any log-input”. Esta regra apesar de sob o ponto de
vista de filtragem nada adianta, pois a regra de ‘cauda’ das listas é negar tudo, tem as vantagens de nos
dar uma indicação na consola a cada datagrama negado, e de nos permitir ter a percepção do número de
pacotes que estão sujeitos a esta condição (aquando do comando “show ip access-list <lista>”).
É conveniente que seja feita uma avaliação da utilização a que está sujeita cada entrada de cada lista de
acesso e caso não existam dependências quanto à ordem de avaliação destas, sejam recolocadas o mais
possível por ordem decrescente do número de utilizações. Também neste sentido, sugere-se que para os
protocolos em que exista estado de ligação, seja colocada uma regra inicial que permita a passagem do
tráfego pertencente a ligações pré-estabelecidas e posteriormente as de aceitação dos pacotes iniciais de
estabelecimento da ligação.
No caso dos protocolos (rede/transporte) que não mantenham estado há que fazer um uso racional das
“access-lists reflexivas” já que estas têm grande impacto no processamento por criarem listas temporárias
potencialmente grandes e que podem funcionar nesse caso como ponto de fraqueza da filtragem.
Uma regra base que faz sentido usar na criação das listas é a de que as regras que permitem devem ser o
mais concretas possíveis em termos de parâmetrização, enquanto as que negam devem ser o mais
genéricas possível.
Existem alguns endereços que não fazem sentido como endereços origem e/ou destino IP, como exemplos
pode-se citar o 127.0.0.0/8, 0.0.0.0, 255.255.255.255, a classe D, a classe E e o restante espaço de
endereçamento de fim indefinido (entre a classe E e o fim do espaço de endereçamento). Estas situações
devem ser contempladas no início da lista com regras “deny”, ainda antes de qualquer regra “permit”.
04-01-2005 / 2:19 (v2.1)
Redes de Computadores II (LEIC) / Redes de Comunicação II (LESTE) – DEETC/ISEL
Ter em conta os problemas que a filtragem de pacotes encontra em face da possibilidade de recepção de
datagramas fragmentados.
Como forma de limitar as possibilidades de “spoof” de endereços (envio de datagramas com um endereço
IP origem que não é o próprio), sugere-se a configuração das facilidades de RPF (Reverse Path Forwarding)
nas interfaces usadas, aplicando nestas uma “access list” que apenas nega datagramas para que se possa
ter a noção de que pacotes estão a ser sujeitos a esta filtragem.
Deve o router usado ser configurado para ser possível o acesso remoto (protocolo TELNET) mediante a
apresentação de uma palavra chave, o acesso a este serviço deve ser restrito às redes INTERNA,
10.64.74.0/24, 10.64.75.0/24, 10.64.202.0/24, 10.64.203.0/24 e 10.79.29.0/24. ( usar modelo de AAA
“aaa new-model” )
Para
teste
das
regras
de
filtragem
sugere-se
a
utilização
da
ferramenta
IPERF
(http://dast.nlanr.net/Projects/Iperf/) que ao realizar o testes serve-se de TCP ou UDP e que permite o
funcionamento em modo cliente ou servidor (para o caso os valores reportados nos testes não são
importantes). Para o protocolo ICMP sugere-se a utilização da ferramenta PING, TRACERT e o provocar de
determinadas situações que originem os datagramas pretendidos.
Alguns servidores que prestam os serviços a filtrar (usar para testar conectividade):
HTTP – www.isel.ipl.pt
FTP – psa.net.ipl.pt ( ver como activar acesso em https://www.net.ipl.pt/cp )
POP3 – pop.net.ipl.pt
SMTP – smtp.net.ipl.pt
WebCache – proxy.net.ipl.pt
Referências:
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/index.htm
http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/sec_vcg.htm
http://www.cisco.com/pcgi-bin/Support/browse/psp_view.pl?p=Technologies:ACCESS-LIST_ARP_BOOT_DHCP
http://www.cymru.com/Documents/secure-ios-template.html
http://www.cisco.com/warp/public/707/21.html
http://www.cymru.com/Documents/
http://nsa2.www.conxion.com/cisco/download.htm
http://www.cisco.com/pcgi-bin/Support/browse/psp_view.pl?p=Technologies:ACCESS-LIST_ARP_BOOT_DHCP
http://www.google.com/
Bibliografia complementar:
•
Internetworking With TCP/IP - Volume 1 (3rd Ed.) - Douglas E. Comer - Prentice Hall ISBN 0-13-227836-7
•
Firewalls and Internet Security - William Cheswick & Steven Bellovin - Addison Wesley
- ISBN 0-201-63357-4
•
Internet Firewalls and Network Security (2nd Ed.) - Chris Hare & Karanjit Siyan - New
Riders - ISBN 1-56205-632-8
•
Building Internet Firewalls - D. Brent Chapman & Elizabeth Zwicky - O’Reilly &
Associates - ISBN 1-56592-124-0
•
Practical UNIX & Internet Security - Simson Garfinkel & Gene Spafford - O’Reilly &
Associates - ISBN 1-56592-148-8
04-01-2005 / 2:19 (v2.1)