DEPARTAMENTO DE COMPUTAO

DECOM

IFMG
CAMPUS FORMIGA
INSTITUTO FEDERAL MINAS GERAIS

Instituto Federal Minas Gerais

IFMG Campus Formiga
Departamento de Computao

SEGURANA EM REDES DE
COMPUTADORES:
implementao e implantao prtica de um sistema de
Firewall Linux.

Relatrio de estgio apresentado

ao IFMG Campus Formiga como
requisito parcial para a obteno do
diploma de Tcnico em Informtica.

Rafael Angelo Silva Oliveira

Orientador: Prof. Everthon Valado

Formiga MG
13 de dez. de 2012

Folha de Aprovao da Banca Examinadora

Segurana em Redes de Computadores: implementao e implantao

de um sistema de firewall
Rafael Angelo Silva Oliveira
Relatrio de estgio apresentado ao IFMG Campus Formiga como requisito parcial
para a obteno do diploma de Tcnico em Informtica, e aprovado pela Banca
Examinadora abaixo assinada:

_____________________________________
Prof. M.Sc. Everthon Valado
Mestrado em Cincia da Computao (Redes e Sistemas Distribudos)
pela Universidade Federal de Minas Gerais UFMG
Orientador
Departamento de Computao IFMG Campus Formiga

_____________________________________
Prof. M.Sc. Denise Ferreira Garcia Rezende
Mestrado em Cincia da Computao (Engenharia de Software)
pela Universidade Federal de Minas Gerais UFMG
Examinadora
Departamento de Computao IFMG Campus Formiga

_____________________________________
Prof. M.Sc. ??? a ser definido pela Denise ???
Mestrado em Cincia da Computao
Universidade Federal de XXXX
Examinador
Departamento de Computao IFMG Campus Formiga

Formiga - MG, 13 de dez. de 2012

Agradecimentos
Agradeo primeiramente ao Prof. M. Sc. Everthon Valado pela dedicao e
compromisso com tudo o que faz.
Agradeo tambm, aos colegas de trabalho da CTI do campus Formiga, aos
demais professores e funcionrios.
Por fim, agradeo especialmente minha noiva pela compreenso, ao meu sogro e
sogra e aos meus pais e outros familiares pelo apoio prestado.
Agradeo a Deus por tudo...

'O homem comum fala, o sbio escuta, o tolo discute.

'Para plantar h escolhas. Para colher, apenas o que se plantou.
Provrbios Orientais.

Resumo

Sumrio
Agradecimentos.....................................................................................................................7
Resumo................................................................................................................................11
1.Introduo.........................................................................................................................15
1.1.Objetivos....................................................................................................................16
1.2.Justificativa................................................................................................................16
2.Metodologia.......................................................................................................................17
2.1.Fase de Concepo...................................................................................................18
2.1.1Escolha da Plataforma Tecnolgica....................................................................18
2.1.2Elicitao de Requisitos do Sistema...................................................................18
2.2.Fase de Elaborao...................................................................................................20
2.2.1Diagrama de Classes..........................................................................................20
2.2.2Diagrama de Atividades......................................................................................20
2.2.3Modelo de Entidade-Relacionamento.................................................................20
2.3.Fase de Implementao............................................................................................20
2.3.1Prottipo da Interface Grfica.............................................................................21
2.3.2Codificao do Sistema.......................................................................................21
2.3.3Testes do Sistema...............................................................................................21
2.4.Fase de Transio.....................................................................................................21
2.4.1Implantao do Sistema......................................................................................21
2.4.2Capacitao dos Usurios..................................................................................21
2.4.3Satisfao do Cliente e Qualidade do Sistema...................................................21
3.Resultados........................................................................................................................22
4.Concluso.........................................................................................................................23
Referncias Bibliogrficas...................................................................................................24
ANEXO I Plano Para Estgio Supervisionado.................................................................26
ANEXO II Acompanhamento Dirio de Atividades...........................................................28

1. Introduo
A disponibilizao de servios em redes corporativas ligadas a internet nos
dias atuais essencial para o bom funcionamento de qualquer corporao.
Um ponto crtico em servios de redes de computadores a segurana.
Manter a disponibilidade do servio, a integridade e a autenticidade das
informaes, bem como a proteo contra seu acesso

por

pessoas no

autorizadas, um trabalho contnuo, complexo e de extrema dedicao por parte do

administrador de redes.
Um recurso essencial para se proteger a rede a utilizao de um sistema de
Firewall. Um dos Firewall mais utilizados no mundo o Iptables encontrado
nativamente no Kernel de vrias distribuies do sistema operacional Linux.
Juntamente com o Iptables, servidores Proxy auxiliam na proteo da rede
realizando filtragem de pacotes e/ou autenticando usurios. Um dos mais famosos
servidores Proxy o Squid o qual tambm encontrado nas distribuies Linux.
A definio de regras de filtragem de pacotes, portas, protocolos e outros no
Iptables realizada atravs de Scripts de Firewall. Estes Scripts possuem uma srie
de comandos que combinados realizam a filtragem do trfego permitindo, negando
ou redirecionando o mesmo. J o Squid, possui um arquivo de configurao prprio
onde so escritas as regras de filtragem entre outras configuraes possveis.
Existem ainda aplicaes e mdulos complementares que se integram tanto
ao Iptables quanto ao Squid disponibilizando novos recursos.
Durante o perodo de estgio na CTI (Controladoria de Tecnologia da
Informao) do IFMG (Instituto Federal de Educao Minas Gerais) campus
Formiga, buscou-se o desenvolvimento de um sistema de Firewall utilizando-se um
servidor com base no sistema operacional Linux que atendesse s necessidades de
restrio de acesso alguns sites, prioridade de servios (QoS), controle de
usurios e monitoramento de rede.

Pgina 15

1.1.

Objetivos
Configurao de servidor com roteamento de rede, utilizando recursos de
restrio e monitoramento do trfego de rede para disponibilizao de internet para
os alunos do IFMG campus Formiga.
Democratizar os recursos de rede e internet no campus, minimizar a utilizao
indevida da rede e melhorar o desempenho da mesma atravs da utilizao de
cache web e DNS local.

1.2.

Justificativa
Aprimorar os conhecimentos adquiridos durante o curso de Tcnico em
Tecnologia da Informao principalmente no que diz respeito as reas de algortimo
e programao, redes de computadores, desenvolvimento de sistemas e sistemas
operacionais.
Possibilitar uma melhorara no desempenho e segurana da rede Acadmica
do IFMG campus formiga.

Pgina 16

2. Metodologia
Foi utilizado o ciclo de desenvolvimento PDCA (Plan, Do, Check, Act), de
maneira que o desenvolvimento do problema proposto seguisse as seguintes
etapas, a citar:

Planejamento (Plan): Composta por pesquisas em livros, sites

especializados e leitura de manuais para definio da distribuio Linux, bem
como as aplicaes e recursos necessrios a configurao dos servios da
rede.

Execuo (Do): Composta pela instalao e configurao do servidor Linux

em mquina de testes. Desenvolvimento de Script para controle de Firewall.
Desenvolvimento de Script para controle de QoS. Desenvolvimento de regras
e configuraes para restrio de acesso a pginas especficas da internet
utilizando o sistema proposto e suas aplicaes.

Verificao (Check): Testes de segurana e estabilidade do sistema. Testes

do sistema de controle de trfego. Testes do sistema de restrio de pginas
web.

Avaliao do Sistema (Act): Com base nos testes realizados, adequou-se

as regras de filtragem e servios de rede para se obter um melhor
desempenho e segurana, procurando solucionar o problema proposto.
Sendo assim, o desenvolvimento do sistema se apresentou de maneira

cclica, esperando-se a adequao e maximizao do desempenho e segurana da

rede Acadmica do IFMG campus Formiga. A seguir, nas subsees abaixo, h uma
descrio detalhada de cada fase de desenvolvimento sendo elas: concepo,
elaborao, implementao e implantao.

Pgina 17

2.1.

Fase de Concepo

Nesta fase, utilizou-se da leitura de manuais, consulta sites especializados,

para se determinar qual a distribuio Linux a ser utilizada para a implementao do
servidor de roteamento de rede e sistema de Firewall.
Ainda, com base nos estudos realizados e em experincias vividas durante o
trabalho na CTI, levantou-se os requisitos necessrios ao sistema para que se
obtivesse uma melhor estabilidade e desempenho sem abrir mo da segurana.

2.1.1

Elicitao de Requisitos do Sistema

Com base na experincia e no cotidiano das funes desempenhadas na CTI

do IFMG campus Formiga, levantou-se os requisitos bsicos que o sistema deveria
atender, citados a seguir:

Filtragem por porta de servio: broqueio de portas que poderiam ser

utilizadas para invaso.

Filtragem de fluxo P2P: evitar a utilizao de programas de torrent por estes

consumirem a banda de rede provocando a interrupo de servios de
internet para os outros usurios da rede.

Filtragem por URL: bloqueio de sites indesejados ao ambiente acadmico

como pornografia, vrus;

Filtragem por MAC: bloquear utilizao da rede utilizando o endereo MAC

da placa de rede do usurio;

Filtragem por endereo IP: bloquear acesso servidores externos utilizando

o endereo IP como referncia;

Filtragem por expresses: bloqueio de sites e contedo com determinadas

expresses como 'xxx', 'sex', palavres, etc;

Filtragem por extenso de arquivo: bloqueio utilizando a extenso do

arquivo como '.avi', '.mov', '.exe';

Controle de trfego (Traffic Shaping): garantir que o trfego seja

igualmente distribudo entre os usurios e que servios especficos tenham
Pgina 18

prioridade de trfego na rede;

Servidor DHPC: para distribuio automtica de endereos IP.

Cache de pginas web: minimizar a utilizao do link de internet e melhorar

a sensao de velocidade da rede para os usurios.

Cache de atualizaes Windows e Ubuntu Linux: possibilitar uma

atualizao de softwares e do sistema operacional com maior rapidez.

Cache de arquivos PDF, DOC, ODT, XML, etc: minimizar a utilizao do link
de internet e melhorar a sensao de velocidade da rede para os usurios.

Log de acessos: permitir averiguao de tentativas de acessos indevidos

rede e ao servidor. Permitir averiguar o acesso a determinado site ou servidor
externo.

Sistema de monitoramento de rede: possibilitar averiguar a sade da rede,

congestionamento e sites com auto nveis de acesso. Averiguar as portas e IP
acessados pelos usurios.

Sistema

de

cadastramento

na

rede:

sistema

para

cadastrar

os

computadores na rede.
2.1.2

Leitura de manuais e tutoriais e pesquisa em fruns sobre solues para os

problemas propostos
Como soluo para os problemas propostos encontraram-se as seguintes
aplicaes descritas a seguir:
Iptables/Netfilter: Iptables o modulo de interface de comunicao entre o
usurio e o Netfilter. Nele so inseridas as regras de firewall de acordo com tabelas
pr-definidas. Netfilter o mdulo embutido no Kernel responsvel pela filtragem do
trfego (CENTOS, 2012).
Ipp2p: uma extenso do Netfilter para identificar o trfego de
compartilhamento de arquivos P2P. O projeto original foi descontinuado, sendo que
mantido dentro do pacote xtables (sucessor do patch-o-matic). Com ele, possvel
bloquear ou marcar o trfego P2P e posteriormente trat-lo com regras de QoS por
exemplo (IPP2P, 2012).
Squid: um proxy cache para a Web suportando HTTP, HTTPS, FTP e
outros. Funciona reduzindo a largura de banda e melhora os tempos de resposta
Pgina 19

atravs da reutilizao de pginas web. Possui controles de acesso utilizando-se de

expresses regulares, endereo IP, MAC e URL e sistema de log de acessos
(SQUID-CACHE, 2012) .
SquidGuard: um redirecionador de URLs que se utiliza de listas negras ou
blacklist (que so listas em formato texto contendo o domnio, ULR e expresses do
site a ser redirecionado). Conta ainda com sistema de senha de acesso utilizando
LDAP ou MySQL para a autenticao (SQUIDGUARD, 2012). Este utilizado
juntamente com o Squid para o bloqueio de pginas.
Ntop: analisador de trfego de rede que mostra o uso da mesma. Possui a
capacidade de ordenar o trfego de rede de acordo com vrios protocolos, exibir
estatsticas de trfego, identificar o sistema operacional hospedeiro, realizar relatrio
de uso do protocolo IP classificado por tipo de protocolo, analisar o trfego IP e
classific-lo de acordo com a origem/destino entre outras funes (NTOP, 2012).
Iptraf: um utilitrio de estatsticas de redes que roda diretamente no
terminal linux. Com ele possvel monitorar, em tempo real, o estado da rede,
pacotes transmitidos, largura de banda utilizada entre outras funes.
tc: ou Traffic Control, o utilitrio do pacote iproute2 responsvel por
possibilitar modificar o controle do trfego de rede. Com este utilitrio, juntamente
com o Netfilter/Iptables, possvel realizar Traffic Shaping, QoS ou uma poltica de
prioridade de servio (MOTA FILHO, 2007).
Dnsmasq: um servidor DNS no recursivo e, opcionalmente, servidor
DHCP e TFTP para pequenas redes. Pode ser utilizado como cache DNS local.

2.1.3

Definio da Plataforma Adequada

De acordo com o site W3Thecs (2012), as distros mais utilizadas como

servidores Web so o Debian e o CentOS. Para o desenvolvimento do sistema de
Firewall se optou pela distribuio CentOS 6.3.
Esta escolha se deve ao timo suporte encontrado na internet, facilidades na
instalao e configurao dos aplicativos e por ser um sistema mais amigvel, se
comparado ao Debian.

Pgina 20

2.2.

Fase de Elaborao

A fase de elaborao contemplou a instalao de toda a plataforma

tecnolgica. Foram realizados a montagem da mquina de testes, instalao do
sistema operacional e configurao e instalao de servios de rede e internet.

2.2.1

Montagem da Mquina de Testes

Para o servidor utilizou-se uma mquina com as seguintes configuraes:

Placa me Asus P5Q Pro Turbo.

Processador Intel Core 2 Duo E7500 2.1GHz 2MB L2 cache.

6GB de memria DDR2 800Ghz Kingston.

Disco Rgido Sansung 1 TB 7200RPM.

Fonte de 500W Reais.

Placa de video offboard ATI Sapphire (obs.: devido a placa me no ter vdeo
integrado).

2.2.2

2 Placas de rede ethernet 10/100/1000 Dlink.

Gabinete tipo torre.

Instalao do Sistema Operacional

Utilizou-se a verso 6.3 do CentOS lanada em 09/07/2012. Foi instalado o

sistema com arquitetura 64 bits disponvel para download em:
http://isoredirect.centos.org/centos/6.3/isos/x86_64/.
A instalao se d de maneira grfica. Se optou pela instalao do modo
servidor web mnimo. Se escolheram os pacotes adicionais para instalao: squid,
dnsmasq e dhcpd-server disponveis no prprio DVD de instalao.
Aps terminada a instalao, se configurou as interfaces de rede para um
endereo de IP esttico. Adicionou-se o repositrio EPEL (Extra Packages for
Enterprise Linux) atravs dos comandos:
Pgina 21

$ rpm -Uvh http://fedora.uib.no/epel/6/x86_64/epel-release-6-7.noarch.rpm

$ yum clean all
$ yum update
Este repositrio disponibiliza o software Ntop 5.0 e algumas dependncias
para outros pacotes a serem instalados posteriormente.
Para a instalao do Ntop utilizou-se o comando:
$yum install ntop
Aps a instalao, modificou-se o arquivo /etc/ntop.conf na #### linha para
####. Esta modificao necessria para ser possvel o acesso a interface web do
mesmo em outros computadores da rede.
Colocou-se o Ntop para iniciar junto ao sistema e iniciou-se o servio com os
comandos:
$ chkconfig ntop on
$ service ntop start
Testou-se o funcionamento do mesmo acessando o endereo do servidor na
porta 3001 para acesso seguro. Configurou-se a interface web para utilizar senha
para acesso todas as pginas da mesma.
Para a instalao do pacote xtables-addons se procedeu utilizando o tutorial
disponvel em http://www.vivaolinux.com.br/topico/Squid-Iptables/Como-instalaripp2p-en-centos-62-how-to-install-ipp2p-in-centos-62.

2.2.3

Configurao e Instalao de Servios de Rede e Internet

As interfaces de rede se configura editando o arquivo ifc-ethx, onde o x

corresponde ao nmero da placa (i.e, 0, 1, 2, 3...n) no sistema. Executando-se o
comando ifconfig pode-se conferir esta informao, endereo MAC entre outras.
O servio de internet prestado por um modem ADSL ligado a linha telefonica
da companhia OI. A velociade nominal do link de 2000Kbps para download e 450
Kbps para upload.

Pgina 22

2.2.4

2.3.

Testes de Desempenho da Plataforma Tecnolgica

Fase de Implementao

Na fase de implementao, comeou o desenvolvimento do Script de Firewall,

QoS e configurao do Proxy Squid. Foram realizados testes de estabilidade,
segurana e desempenho do sistema e aplicaes.

2.3.1

Desenvolvimento de Scripts de Firewall

2.3.2

Desenvolvimento de Scripts de QoS

2.3.3

Configurao de Servidor Proxy

2.3.4

Testes de Segurana e Desempenho

2.4.

Fase de Implantao
Na fase de implantao, ocorreu a entrega do software, realizado o plano de
implantao e entrega, acompanhamento e qualidade do software. O produto foi
entregue e obtida a satisfao do cliente. Nesta fase tambm foi realizada a
Pgina 23

capacitao dos usurios.

2.4.1

Implantao do Sistema
...bl bl bl

2.4.2

Capacitao dos Usurios

...bl bl bl

2.4.3

Satisfao do Cliente e Qualidade do Sistema

...bl bl bl

Pgina 24

3. Resultados
Na fase anterior foram descrito os caminhos pelos quais conseguiu-se atingir
os objetivos. J nesta seo de resultados devero ser apresentados os resultados
obtidos, por exemplo: apresentar o programa construdo, ou a rede planejada, ou os
softwares instalados, ou os documentos elaborados, etc.

Pgina 25

4. Concluso
Aqui sero colocadas as concluses, resumindo o que foi desenvolvido, qual
a importncia disso e o que voc aprendeu com o estgio. Tambm podero ser
colocados os planos para Trabalhos Futuros.

Durante o estgio, foi desenvolvido

Com este estgio, aprendi

Pgina 26

Referncias Bibliogrficas
CENTOS. IPTables. HowTos/Network/IPTables. Community Enterprise Operating
System. Disponvel em: http://wiki.centos.org/HowTos/Network/IPTables. Acesso em:
17 de nov. de 2012.
DIE.NET . Iptables(8) Linux man page. Disponvel em:
http://linux.die.net/man/8/iptables. Acesso em: 19 de nov. de 2012.
IPP2P. Ipp2p Documentation. Disponvel em: http://www.ipp2p.org/docu_en.html.
Acesso em: 16 de nov. de 2012.
MOTA FILHO, Joo Eriberto. Controle de trfego com TC, HTB e Iptables. Artigo
criado em 19 de setembro de 2007. Disponvel em:
http://eriberto.pro.br/wiki/index.php?title=Controle_de_tr
%C3%83%C2%A1fego_com_TC,_HTB_e_Iptables. Acesso em: 29 de no. de 2012.
NTOP. Ntop: traffic analysis with NetFlow and sFlow support. Disponvel em:
http://www.ntop.org/products/ntop/. Acesso em: 17 de nov. de 2012.
SQUID-CACHE. What is Squid?. Disponvel em: http://www.squid-cache.org/Intro/.
Acesso em: 17 de nov. de 2012.
SQUIDGUARD. Welcome to squidGuard. Disponvel em:
http://www.squidguard.org/. Acesso em: 18 de nov. de 2012.
STEINMACHER, Igor Fbio. Tcnicas de Web Caching e Prefetching com
Prioridades. Programa de Ps-Graduao em Computao. UFRGS, Porto Alegre,
fev. de 2004. Disponvel em: http://www.igor.pro.br/publica/papers/TI.pdf. Acesso: 19
de nov. de 2012.
W3TECHS. Usage statistics and market share of Linux for websites. Disponvel
em: http://w3techs.com/technologies/details/os-linux/all/all. Acesso em: 28 de nov. de
2012.

Pgina 27

WIKPEDIA. CentOS. Disponvel em: http://pt.wikipedia.org/wiki/CentOS. Acesso em:

28 de nov. de 2012.

Aqui voc ir listar os materiais bibliogrficos consultados, como livros,

artigos, dissertaes e teses, apostilas, manuais de software, etc.
Elabore esta seo de acordo com as norma ABNT para referenciao
bibliogrfica, resumidas nos links a seguir:
http://www.cdcc.usp.br/cda/sessao-astronomia/sessao-astronomia-padrao/referencia-bibliografica-ufrgs.htm
http://www.leffa.pro.br/textos/abnt.htm

//Exemplo de como referenciar um livro

SOBRENOME, Prenome. Ttulo: subttulo. Nota de traduo.* Edio.** Local:
Editora, ano de publicao. n de pg. (opcional) (Srie) (opcional)
//Exemplo de como referenciar um artigo
TTULO DA PUBLICAO. Local: editor, ano do primeiro volume e do ltimo, se a
publicao terminou. Periodicidade (opcional). Notas especiais (ttulos anteriores,
ISSN etc.) (opcional).
//Exemplo de como referenciar uma dissertao ou tese
SOBRENOME, Prenome. Ttulo: subttulo. Local: Instituio, ano. n de pg. ou vol.
Indicao de Dissertao ou tese, nome do curso ou programa da faculdade e
universidade, local e ano da defesa.
//Exemplo de como referenciar uma entrevista
ENTREVISTADO. Ttulo. Local: data. Nota da Entrevista.

//Exemplo de como referenciar um documento eletrnico (site visitado)

SOBRENOME, Prenome. Ttulo. Edio. Local: ano. N de pg. ou vol. (Srie) (se
houver) Disponvel em: <http://...> Acesso em: dia ms(abreviado) ano.

Pgina 28

ANEXO I Plano Para Estgio Supervisionado

Dados do estagirio
Nome:

Matrcula:

Curso:

E-mail:

Dados da empresa
Razo Social:
CNPJ:

Ramo de atividade:

Endereo:
Supervisor do estgio:

Funo:
Telefone:

rea: Suporte ao Usurio

E-mail:

Dados do orientador
Nome: Everthon Valado
E-mail: everthon.valadao@ifmg.edu.br
Objetivos do estgio

rea(s) do conhecimento envolvida(s) no estgio

Atividades a serem desenvolvidas (incluindo a metodologia empregada)

Cronograma de Atividades (em quantidade de horas)

Pgina 29

Resultados esperados

Perodo do estgio supervisionado

Perodo:
de

Qtde. de horas/estgio supervisionado:

/
TOTAL: 210 horas

Pgina 30

ANEXO II Acompanhamento Dirio de

Atividades

ACOMPANHAMENTO DO ESTGIO

ESTAGIRIO(A):

TURMA: Tcnico em Informtica

EMPRESA:

FONE:

ENDEREO:

CEP:

35570-000

MATRCULA:
CIDADE:

Formiga/MG

DATA

ENTRADA

SADA

TOTAL/
HORAS

ATIVIDADES DESENVOLVIDAS

ASSINATURA SUPERVISOR
E/OU ORIENTADOR

Pgina 31

Rua Pe. Alberico, 440 Bairro So Luiz Formiga MG CEP 35570-000

Telefone: (37) 3321-4094

Pgina 32