Sobre o Artigo:
Na fase atual, a segurança é um aspecto de suma importância em qualquer empresa. Não basta somente ter um firewall configurado, e sim um conjunto funcional que se resume em clientes-intranet x Servidores-DMZ - firewall x internet. Infezlimente o profissional de segurança da informação não possui o tempo necessário para adequar,fiscalizar todas as maquinas internas as suas políticas de segurança, visto que as mudanças e o surgimento de novos bugs é estupidamente Rápida. Nesse curto artigo, irei demonstrar o uso do PF - Packet Filter para controlar maquinas baseando-se em seu Sistema Operacional.
Pra que se destina esse artigo:
Imagine você em uma empresa, com 500 maquinas na sua rede interna rodando o Sistema Operacional qualquer, todas essas maquinas acessa e-mail, internet, ftp, dentre outros. Será que todas essas maquinas estão rodando a ultima atualização BÁSICA de segurança ? Nesse artigo irei demonstrar as regras baseando-se no Sistema Operacional Windows 2000. Não sou especialista Microsoft, mas pesquisei com alguns administradores e eles me relataram que uma maquina com segurança básica, deve esta rodando o SP4 ( Service Pack 4), um conjunto de patchs de segurança desenvolvido pelo Microsoft e que podem ser facilmente encontrados pelo Windows Update. O PF - Packt filter, possui regras que podem bloquear maquinas pelo sistema operacional, através de " passive OS fingerprinting ".
Pratica:
Irei mostrar algumas regras que só permitem que maquinas com Windows 2000 com Service Pack 4 consigam acessar a internet, nenhum outro sistema operacional ira consegui, windows 98, windows 95, Linux, etc etc, somente Windows 2000 com SP4. Interessantíssimo, nem as maquinas Windows 2000 com SP2 passam pelo bloqueio.
Regras:
Vou colocar as regras que se adequaram a esse artigo , modifiquem de acordo com suas necessidades.
block in log all pass in log on $ext_if proto { tcp, udp } from any os "Windows 2000 SP4" to any keep state
Apos isso é só ativar o firewall:
# pfctl -e
Carregar as rules:
# pfctl -Fa -f /etc/pf.conf
Vejam os resultados:
Maquina com Windows 2000 Service Pack 4
# tcpdump -n -e -iii -i pflog0
Nov 24 15:10:29.629022 rule 1/0(match): pass in on xl0: x.x.x.x.1230 > 216.239.39.99.443: S 255887317:255887317(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
Acessou tranqüilamente.
Observem uma maquina com Windows 2000 Service Pack 2
# tcpdump -n -e -iii -i pflog0
Nov 24 15:12:51.880890 rule 0/0(match): block in on xl0: x.x.x.x.1233 > 64.215.171.72.80: S 291456748:291456748(0) win 65535 <mss 1460,nop,nop,sackOK> (DF)
Referencias :
http://www.benzedrine.cx/
http://www.openbsd.org/
Conclusão:
Realmente é fantástico e sei que esse artigo ira ajudar muitos administradores. Qualquer duvida entrem em contato.
Autor:
NOME: Gleydson Soares "gsoares"
HOME: