FWBuilder
Faculdade Mauricio de Nassau
Curso: REDES E COMPUTADORES
Turno: NOITE Turma: NB
Matéria: ADMINISTRAÇÃO DE REDES I
Professor: FRED MADEIRA
Alunos: Dinarte Pereira
Jefferson Oliveira Luiz FlavioIntrodução
Firewall Builder é uma ferramenta de gerenciamento e configuração para firewall baseado em interface GUI que suporta iptables (netfilter), ipfilter, ipfw, Cisco PIX e lista de acesso estendida para Roteadores Cisco. Firewall Builder aproxima o uso de orientação a objetos, pois ajuda a administradores manter a uma base de dados de objetos de rede e permite edição de políticas usando simples operações de arrastar e clicar com o mouse.
A ferramenta permite que administradores possam gerenciar múltiplos firewalls
Usando a mesma base de dados de objetos de rede. Pode mudar um determinado objeto que imediatamente será refletido na política de todos os firewalls que utilizam o determinado objeto.
A comunicação da Interface gráfica como o firewall propriamente dito se faz por
meio de comunicação via SSH e pode automaticamente gerar políticas e ativálas para que entre em atividade no mesmo momento.
ESCOLHA DO EQUIPAMENTO
A escolha do equipamento de hardware a ser utilizado como firewall é muito subjetiva, pois depende diretamente do seu tráfego de rede, o seqüentemente pode se inferir que quanto mais tráfego na sua rede mais processador e disco o firewall deverá ter, pois a análise das regras de um firewall estão intimamente ligadas ao uso de processador da máquina a fim de interpretar cada uma das regras para cada pacote de entrada ou saida em questão e esse tráfego todo é gravado em forma de LOGS o que acarreta um uso de disco relativamente considerável.
INSTALAÇÃO
Para instalar o FWBUILDER no debian é muito simples, pois basta realizar a instalação do pacote de forma gráfica ou de maneira manual representada abaixo:
# apt-get install fwbuilder # yum install fwbuilder
Pela primeira vez deve-se optar pela opção < CREATE NEW PROJECT FILE >
para que seja criado o arquivo que conterá toda a configuração do firewall a ser criado como mostra abaixo:
Nesta etapa deve-se colocar o diretório onde irá conter os arquivos de configuração do firewall que no nosso exemplo ficará no diretório “/firewall” e o nome do arquivo. Neste exemplo, o nome do arquivo foi dado como meu firewall bastando clicar no icone <OK> para prosseguir e abrir em definitivo o software.
DEFININDO O DIRETÓRIO DE TRABALHO PADRÃO
Para configurar o diretório padrão onde o FWBUILDER irá trabalhar deve-se
Clicar no item <Edit> \ <Preferences> permitindo abrir a tela abaixo:
Nesta tela deve-se colocar o diretório onde será o padrão das configurações e na opção < ON STARTUP > selecionar a opção “ LOAD LAST EDITED FILE ” para que toda a vez que se abrir o FWBUILDER possa carregar automaticamente o arquivo configurado pela última vez.
MONTANDO E PREPARANDO UM FIREWALL
Ao posicionar o cursor em cima da palavra firewall no canto superior esquerdo da tela do FWBUILDER clicar com o botão esquerdo e selecionar a opção < NEW FIREWALL > abrindo a tela:
Colocar o NOME DO SERVIDOR: ex: jacarandá
Escolher o TIPO DE REGRAS firewall: iptables
Caso se deseje utilizar modelos predefinidos de firewall do FWBUILDER poderá setar a opção < USE PRECONFIGURED TEMPLATE FIREWALL OBJECTS > mas no nosso caso não será necessário haja vista que faremos a configuração das placas de rede do firewall manualmente para se ter o maior controle do firewall.
Ao clicar em <Next> abrirá a tela para a configuração das placas de rede do
servidor firewall como tela abaixo que mostra as opções para configurar as interfaces manualmente como é o nosso caso ou utilizar snmp para descobrir as interfaces automaticamente.:
Ao se escolher a opção de configurar manualmente abrirá a tela para entrarmos com as informações de cada placa de rede como se pode perceber abaixo:
Após essa tela ao cliclar em <Next> deveria abrir outras abas para ir acrescentando as placas de rede mas aqui se encontra o primeiro bug do FWBUILDER que conseqüentemente abre a tela de configuração específica de filtro de pacotes do firewall.
Existe várias configurações que se originam desta tela acima como o nome do firewall, biblioteca de usuário, plataforma, versão do iptables, Sistema Operacional e o principal que é o < FIREWALL SETTINGS > A aba < COMPILER > da opção < FIREWALL SETTINGS > Possui várias diretivas de configuração do
firewall, pois devemos observar os checkbox da imagem abaixo onde se tem o padrão correto utilizado na maioria dos firewalls configurados.
Entendendo as opções:
a) Assume Firewall is part of 'any': o firewall se inclui no item any na criação das regras de política;
b) Accept TCP sessions opened prior to firewall restart: quando se reinicia o firewall ele aceita as conexões que já estão abertas;
c) Accept ESTABLISHED and RELATED packets before the first rule: aceita conexões estabilizadas antes mesmo de ativar a primeira regra de política;
d) Drop packets that are associated with no known connection: dropar pacotes que não estão associados a uma conexão;
e) Bridging firewall: utilizar o firewall como forma de brigde (ponte); f) Detect shadowing in policy rules: detecta regras repetidas em suas políticas;
g) Ignore empty groups in rules: ignora grupos vazios isto é sem um objeto atribuido;
h) Enable support for NAT of locally originated connectios: habilita suporte a regras NAT para conexões locais;
i) Clamp MSS to MTU: Impõe o MSS (maximo tamanho de segmento no TCP) para o host.
remoto ao MTU ( maior unidade de transmissão no data grama ou pacote IP) local para evitar o máximo a fragmentação de pacotes quando se sabe que você tenha problemas de fragmentação em roteadores de borda.
Na aba < INSTALLER > do < FIREWALL SETTINGS > temos as opções abaixo:
Neste momento, acrescentamos a interface externa eth0 mas ainda não atribuímos IP para a placa correspondente, pois para se atribuir um IP para esta placa do firewall deve-se clicar com o botão
direito em cima da interface de rede a esquerda e escolher a opção < ADD IP ADDRESS >
A tela seguinte mostra o cadastramento do IP de acordo com a placa escolhida.
Basta preencher e clicar em < APPLY CHANCES > para aplicar a mudança.
Neste ponto o firewall está pronto para ser configurado com regras, entidades,
Objetos e serviços para utilizarmos de maneira plena.
ENTENDENDO AS ENTIDADES DO FIREWALL OBJETOS
São os objetos que serão criados, conforme necessidade, podendo ser desde um único endereço IP até uma faixa de IP. Podendo ser utilizado objetos pré definidos mudando a base USER para STANDARD.
• Addresses: Cadastro para endereço IP, porém, não é utilizado, pois o
objeto Hosts é mais completo para essa função.
• Address Ranges: Cadastro para faixas de IP.
• Groups: Cadastro para grupos podendo conter objetos de Addresses,
Address
Ranges, Hosts e Networks.
• Hosts: Cadastro para Hosts com uma os mais Interfaces de rede. • Networks: Cadastro para redes separados pela máscara de subrede.
SERVIÇOS
São os serviços de rede que serão criados, conforme necessidade. Eles são
criados baseado em protocolo, porta e Flag. Podendo ser utilizado serviços pré definidos mudando a base User para Standard.
• Custom: Cadastro para serviços definido pelo usuário, raramente
utilizado.
• Groups: Cadastro para grupos podendo conter serviços Custom,
ICMP, IP, TCP eUDP.
• ICMP: Cadastro para serviços baseados no protocolo ICMP. • IP: Cadastro para serviços baseados no protocolo IP.
• TCP: Cadastro para serviços baseados no protocolo TCP. • UDP: Cadastro para serviços baseados no protocolo UDP.
REGRAS DE POLÍTICAS
São as regras de restrição de acesso. A leitura das regras é feita de cima para baixo. Elas servem para restringir/liberar acessos a determinados Hosts e protocolos. Ex. Liberar o acesso externo ao servidor de email na porta TCP 25 (SMTP).
Sempre mantenha a última regra conforme imagem, ela irá garantir que os serviços não especificados sejam negados.
Source: Origem da conexão (uma estação interna, um servidor externo, uma
rede...).
• Destination: Destino da conexão (uma estação interna, um servidor
externo, uma rede...)
• Service: Porta e protocolo.
• Action: Ação a ser tomada, Accept (acesso liberado), Deny (acesso
negado, porém o pacote continuará com o mesmo destino, ocorrendo assim Time Out), Reject (o pacote será negado pelo Firewall, ocorrendo assim acesso negado) ou Accounting (executa a regra com base na ação de outra regra, não utilizado).
• Time: Hora que a regra estará ativa (não utilizado, pois necessita de
módulo
• Options: Opções da regra Rule Options (opções que raramente são
utilizadas), Loggin On (habilitar o Log das conexões), Loggin Off (desabilitar o Log das conexões).
• Comment: Comentário para facilitar na leitura
GROUPS
Criação de grupos. Usado como exemplo um grupo contendo o servidor Web, email e arquivos que será denominada como Grupo de Servidores.
Clique com o botão direito em Groups New Group.
Irá abrir a janela de configuração do grupo, arraste os Hosts e clique em Apply Change.
HOSTS
Criação de Hosts. Usado como exemplo um Host que será denominada como Estação Gerência.
Clique com o botão direito em Hosts New Host.
Irá abrir a janela de configuração do Host, digite o nome do Host e clique em Next.
Irá abrir a janela de configuração da Interface, selecione Configure interfaces manually e clique em Next.
Irá abrir a janela de configuração da Interface manualmente, adicione uma ou mais Interfaces conforme necessidade e clique em Add para adicionálas,
NETWORKS
Criação de redes. Usado como exemplo a rede da Caixa Econômica Federal que será denominada como CEF.
Clique com o botão direito em Networks New Network
Irá abrir a janela de configuração da rede, adicione o IP e máscara da rede e clique em Apply Changes
Criação de serviço com o protocolo TCP. Usado como exemplo um serviço com destino à porta 3456 (conectividade social da CEF) que será denominado como CEF.
Clique com o botão direito em TCP New TCP Service.
Irá abrir a janela de configuração do serviço, configure a porta conforme
necessidade e clique em Apply Changes.
Criação de serviço com o protocolo UDP. Usado como exemplo um serviço com destino a porta 6050 (VoIP) que será denominado como VoIP.
Clique com o botão direito em UDP New UDP Service.
Irá abrir a janela de configuração do serviço, configure a porta conforme necessidade e clique em Apply Changes.
ADICIONANDO REGRAS DE POLÍTICA NO FIREWALL
Para adicionarmos uma regra deve-se clicar na aba Policy do lado direito da tela. Na parte direita da tela deve-se clicar com o botão direito do mouse e selecionar a opção Insert Rule gerando então uma regra em branco como abaixo:
Neste ponto para se transforma essa regra vazia em regra propriamente dita basta arrastarmos da esquerda para a direita em
cima dos itens Any as entidades necessárias para a criação das regras como um exemplo abaixo:
Para se atribuir colorização na regra basta clicar com o botão direito em cima da parte acinzentada da regra e escolher a cor desejada.
EXEMPLO DE UM MINI FIREWALL COM REGRAS IMPORTANTES
Regra 0: Libera a Internet a acessar o servidor de email por meio do protocolo smtp, imap, http e https.
Regra 1: Libera a Internet a acessar o servidor de páginas da OM por meio do protocolo http e https.
Regra 2: libera os servidores a terem acesso total de saída.
Regra 3: Libera a EBNet a acessar ftp nos servidores por meio do protocolo ftp.
REGRAS NAT
Para regras NAT é o mesmo procedimento de inclusão de regras policy bastando apenas escolher do lado direito a aba <NAT>
EXEMPLOS DE REGRAS NAT
Regra 0: Não converter da rede interna para a EBNET.
Regra 1: Converte todas as requisições da internet direcionadas a 200.193.140.80 para o servidor na rede interna srvwww
Regra 2: Faz o mascaramento de saida do servidor srvwww sair com pacotes
200.193.140.80 (para ser reconhecido na internet)
Regra 3: Converte todas as requisições da internet direcionadas a 200.193.140.79 para o servidor na rede interna serve mail
Regra 4: Faz o mascaramento de saida do servidor srvemail
responder com pacotes 200.193.140.79 (para ser reconhecido na internet)
APLICANDO AS REGRAS DE FIREWALL NO SERVIDOR
Após ter criado todas as regras de políticas e regras NAT devemos aplicar duas ações específicas para teste de regra e aplicação: a) compilar as regras:
A compilação das regras é utilizada para que o FWBuilder possa analisar as regras e verificar possíveis erros ou duplicidades lógicas de seqüência de regras. Para realizar a compilação basta no menu principal clicar na opção RULES e depois em COMPILE.
Compilando de maneira correta o sistema apresentará a seguinte tela:
b) aplicar no servidor propriamente dito:
Após ter compilado as regras devemos aplicálas clicando na mesma aba RULES e depois em INSTALL para que a interface aplique as regras propriamente dita nos servidor firewall dentro do diretório /firewall como se ta mos no início do manual na parte de
FAZENDO O SCRIPT DO FIREWALL SER RODADO AUTOMATICAMENTE
Se você quiser correr o script de firewall automaticamente pode-se adicionar no
arquivo /etc/rc.local a chamada para o script que no nosso exemplo se encontra dentro do /firewall como pode ser ver abaixo:
#!/bin/bash
# arquivo rc.local # habilita roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward # carrega regras do firewall
/firewall/jacaranda.fw exit 0
CONCLUSÃO
Este curso básico teve como finalidade ter uma visão geral da criação de um
Firewall básico, mas o Fwbuilder é muito poderoso e propicia N maneiras de
REFERÊNCIAS
– www.fwbuilder.org
– www. fwbuilder .org/docs/UsersGuide.pdf –
