Security Analyze
A menos que especificado de outra maneira, todos os documentos e textos são protegidos sob licença - Veja a licença para mais detalhes



Garantindo políticas de segurança com OpenBSD/PF


Sobre o Artigo:

Na fase atual, a segurança é um aspecto de suma importância em qualquer empresa. Não basta somente ter um firewall configurado, e sim um conjunto funcional que se resume em clientes-intranet x Servidores-DMZ - firewall x internet. Infezlimente o profissional de segurança da informação não possui o tempo necessário para adequar,fiscalizar todas as maquinas internas as suas políticas de segurança, visto que as mudanças e o surgimento de novos bugs é estupidamente Rápida. Nesse curto artigo, irei demonstrar o uso do PF - Packet Filter para controlar maquinas baseando-se em seu Sistema Operacional.

Pra que se destina esse artigo:

Imagine você em uma empresa, com 500 maquinas na sua rede interna rodando o Sistema Operacional qualquer, todas essas maquinas acessa e-mail, internet, ftp, dentre outros. Será que todas essas maquinas estão rodando a ultima atualização BÁSICA de segurança ? Nesse artigo irei demonstrar as regras baseando-se no Sistema Operacional Windows 2000. Não sou especialista Microsoft, mas pesquisei com alguns administradores e eles me relataram que uma maquina com segurança básica, deve esta rodando o SP4 ( Service Pack 4), um conjunto de patchs de segurança desenvolvido pelo Microsoft e que podem ser facilmente encontrados pelo Windows Update. O PF - Packt filter, possui regras que podem bloquear maquinas pelo sistema operacional, através de " passive OS fingerprinting ".

Pratica:

Irei mostrar algumas regras que só permitem que maquinas com Windows 2000 com Service Pack 4 consigam acessar a internet, nenhum outro sistema operacional ira consegui, windows 98, windows 95, Linux, etc etc, somente Windows 2000 com SP4. Interessantíssimo, nem as maquinas Windows 2000 com SP2 passam pelo bloqueio.

Regras:

Vou colocar as regras que se adequaram a esse artigo , modifiquem de acordo com suas necessidades.

block in log all pass in log on $ext_if proto { tcp, udp } from any os "Windows 2000 SP4" to any keep state

Apos isso é só ativar o firewall:

# pfctl -e

Carregar as rules:

# pfctl -Fa -f /etc/pf.conf

Vejam os resultados:

Maquina com Windows 2000 Service Pack 4

# tcpdump -n -e -iii -i pflog0

Nov 24 15:10:29.629022 rule 1/0(match): pass in on xl0: x.x.x.x.1230 > 216.239.39.99.443: S 255887317:255887317(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)

Acessou tranqüilamente.

Observem uma maquina com Windows 2000 Service Pack 2

# tcpdump -n -e -iii -i pflog0

Nov 24 15:12:51.880890 rule 0/0(match): block in on xl0: x.x.x.x.1233 > 64.215.171.72.80: S 291456748:291456748(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)

Referencias :

http://www.benzedrine.cx/
http://www.openbsd.org/

Conclusão:

Realmente é fantástico e sei que esse artigo ira ajudar muitos administradores. Qualquer duvida entrem em contato.

Autor:

NOME: Gleydson Soares "gsoares"
HOME:

A menos que especificado de outra maneira, todos os documentos e textos são protegidos sob licença - Veja a