quarta-feira, 27 de junho de 2012

ARTIGO: Introdução ao Winroute Kério


INTRODUÇÃO AO WINROUTE KERIO
Leonardo S. de Aguiar
Centro Universitário do Pará (CESUPA) – Área de Ciências Exatas e Tecnologia (ACET)  -
66.060- 230, Belém – Pará – Brasil

Resumo: O artigo trata de fazer uma rápida introdução ao firewall Kerio, com a aplicação de regras eficientes para qualquer base de configuração de um firewall. Demonstração das funções de uma máquina com firewall, visando as suas principais configurações de redes em conjunto com uma máquina cliente. Os exemplos são apresentados desde a sua base de aplicação até o seu resultado final.
Palavras-chave: firewall, kerio, segurança.
 
1 Introdução

O firewall é um software que tem como objetivo proteger o computador, sendo o computar empresarial, pessoal ou principalmente servidor. Essa proteção é feita contra o acesso e tráfego de dados (pacotes) indesejáveis, ou até mesmo o bloqueio, e contra o acesso de serviços e aplicativos maliciosos.
Porém não é somente em forma de software que o firewall pode ser encontrado, existe também em forma de hardware, ou até mesmo uma combinação de ambos. Um firewall pode ter desde uma simples instalação até uma mais complexa, dependendo do tamanho da rede, das regras e do nível de segurança.
Um firewall não é automático, funcionando de forma 100% segura após a sua instalação, para um bom manuseio é necessário conhecimentos básicos de rede, resultando em regras mais eficientes ao seu sistema. Segundo Gleydson Silva1 (2007), 95% dos sucessos nas invasões são reflexo das falhas humanas no controle das regras de um firewall.


2 Regras de Estudo

Para servir como amostra da análise foram selecionadas três regras básicas de segurança para serem implementadas.

  Liberar o acesso da rede interna aos serviços básicos: WWW, DNS, FTP, HTTPS e E-MAIL;
  Proibir o acesso a sites pornográficos, Facebook e rádios on line;
  Proibir o acesso a Facebook via HTTPS.

A instalação do firewall foi feita toda em ambiente virtualizado com o seu respectivo sistema operacional (SO). É importante levar em consideração que para sucesso da análise do firewall é necessário a presença de uma máquina cliente, que no caso será representada por um Windows XP.


3 Kerio

Com uma interface amigável, o Kerio se tornou uma ferramenta fundamental para a segurança de redes em ambientes com o SO Windows. Sendo um software shareware, ele compensa o investimento, ainda mais para pequenas e médias empresas.
Através de uma navegação simplória e de rápida execução, o Kerio pode satisfazer as redes que demandam de rígidas políticas de segurança de usuários, gerar diversos formatos de relatórios, análises de tráfego, além de realizar outras funções, como o controle de banda, antivírus, antispyware, acesso remoto seguro via VPN, integração com AD e balanceamento de carga WAN (Wide Area Network ou simplesmente a internet).


3.1 Conexões de Rede

Antes de partir para o sistema operacional, a máquina virtual precisa ter duas placas de redes habilitadas, uma placa que será de uso da LAN (Local Area Network, rede interna ou privada) e a outra para a WAN.
É importa habilitar as duas placas em bridged, e para exemplo elas estão usando uma saída wireless por opção. Essa configuração pode ser feita tanto antes de instalar o sistema operacional como após a instalação


Figura - Primeira placa habilitada.

Figura - Segunda placa habilitada.

Com as devidas configurações iniciais implementadas, o sistema operacional pode ser iniciado, para que as placas de rede possam ser configuradas.
A primeira placa a ser configurada será a WAN por ser mais simples, tanto nesta placa como na LAN as modificações serão feitas dentro do Protocolo TCP/IP, responsável pelo conjunto de protocolos de comunicação de computadores em rede.


Figura - Placas de rede.

A única alteração possível dentro da WAN só será feita caso haja alguma informação de IP ou DNS. Se ambos estiverem preenchidos com IPs, suas opções de uso devem ser modificadas para “Obter um endereço IP automaticamente” e “Obter o endereço dos servidores DNS automaticamente”. Feitas as demais modificações a placa WAN está pronta para uso.

Figura - Placa WAN devidamente configurada.

Na LAN alguns valores devem ser adicionados aos campos de endereço IP e máscara de sub-rede. O endereço IP deve ser de rede privada, ou seja, um valor que seja inválido para internet, para o exemplo a rede está na faixa de endereço IP 10.0.0.0, com a configuração de máscara 255.255.255.0. No momento o endereço DNS não é importante, sendo configurado somente na máquina cliente.

Figura - Placa LAN devidamente configurada.


3.2 Executando o Kerio

O Kerio possui um processo de instalação simples, semelhante a qualquer software de ambiente Windows. Atenção para o momento da instalação em que o software solicita os dados para o administrador, como login e password, pois são informação necessárias para inicializar o firewall.
Com a instalação do firewall concluída, uma pequena logo referente ao Kerio estará presente no canto esquerdo da barra de tarefas do Windows. A parti desse atalho podemos ter acesso ao ambiente de configuração do Kerio, clicando com o botão direito do mouse em cima da logo, um menu irá aparecer contendo seis opções, deve-se selecionar a opção Administration em negrito para ter acesso ao firewall. O mesmo processo pode ser executada com apenas dois cliques rápidos do botão esquerdo do mouse na logo.


Figura - Atalho de acesso ao Kerio.


Figura - Menu de acesso.

Antes que o menu de configuração possa ser visualizado, uma tela de login irá aparecer solicitando o nome e senha do administrador que foram adicionados no momento da instalação. Com os dados adicionados adequadamente, a conexão pode ser feita.


Figura - Painel de login do administrador.

Ao iniciar o Kerio, ele irá apresentar uma janela com uma coluna repleta de opções referentes as configurações, e uma segunda coluna praticamente em branco contento somente as informações sobre o firewall. Pode acontecer de uma segunda janela com informações de ajuda aparecer sobreposta a essa, ela pode ser ignorada.


Figura - Coluna com as opções de configuração do firewall.

A primeira modificação a ser feita dentro do firewall será bloquear o acesso de pessoas não autorizadas a rede. Essa opção será habilitada selecionando a opção Users and Groups e criando as contas dos usuários que terão o acesso permitido.


Figura - Opção User and Groups.

É visível a presença de somente um usuário na janela Users, sendo este o administrador. Para adicionar um novo usuário a rede é só buscar pelo botão add ou ao clicar com o botão direito do mouse um menu irá aparecer com a mesma opção.


Figura - Painel de configuração do usuário.

É visível a presença de somente um usuário na janela Users, sendo este o administrador. Para adicionar um novo usuário a rede é só buscar pelo botão add ou ao clicar com o botão direito do mouse um menu irá aparecer com a mesma opção.
Na janela de adição do novo usuário, para o exemplo, somente o nome do usuário (user1) e senha (123456) será adicionado, em seguida o botão next pode ser selecionado até a janela ser finalizada. Assim o novo usuário é criado.


Figura - Criando um novo usuário.


Figura - Novo usuário adicionado.

Para restringir o acesso, permitindo somente aqueles que são usuários definidos no firewall, é necessário marca a opção “Always require user to be authenticated when acessing web pages” na aba Authentication Options.


Figura - Restringindo o acesso.
3.3 Liberando o Acesso

Obedecendo o critério da primeira regra “Liberar o acesso da rede interna aos serviços básicos: WWW, DNS, FTP, HTTPS e E-MAIL”, dentro da pasta Configuration existe a opção Traffic Policy, é nesta opção que os serviços serão liberados.


Figura - Opção Traffic Policy.

Para tornar o processo um pouco mais fácil e ágil, o uso do botão Wizard localizado ao canto direito da tela será essencial. Com ele existe a possibilidade de criar algumas regras básicas com o auxílio de uma interface.


Figura - Botão de auxílio da configuração.

O botão dará acesso a uma janela com algumas informações sobre o ambiente em que o firewall está instalado, todas as páginas desta janela podem ser confirmados até a quarta página, nela existem configurações importantes a serem feitas. Há duas opções “Allow acess to all services (no limitations)” e “Allow acess to the follwing services only”, a primeira determina que o firewall irá funcionar com todos os serviços liberados, claro que essa opção não é sinônimo de segurança, pois quanto maior o nível de restrição presente no firewall mais seguro ele se torna. A melhor opção a seguir é segunda, onde somente os serviços que forem marcados serão liberados.
É nesta tabela de serviços que podem ser marcados ou desmarcados que está a solução para a primeira regra, tendo somente os serviços que serão necessários marcados. Assim, os serviços liberados são o HTTP (referente ao WWW), HTTPS, FTP, DNS e o POP3 (referente ao serviço de e-mail).


Figura - Liberando ou restringindo acesso.

Na página seguinte, o serviço VPN pode ser demarcado em ambas as linha, pois ele não terá funcionalidade para o exemplo de estudo. As demais páginas seguintes podem confirmadas até a sétima, onde é importante manter o serviço NAT marcado para que haja a conexão com a internet.


Figura - Desativando o serviço VPN.


Figura - Serviço NAT habilitado.

Finalizando a janela aberta pelo Wizard, o que antes era uma coluna em branco, agora está preenchida com valores que definem as regras essenciais do firewall.


Figura - As primeiras regras do firewall.


3.4 Bloqueando Palavras

A adição do bloqueio de conteúdo na web deve ser feita dentro da área de Content Filtering na opção HTTP Policy, pois é através do protocolo HTTP que há o acesso do serviço WWW, onde a maior parte do tráfego de conteúdo irá acontecer.


Figura - Acesso a opção de bloqueio de conteúdo.

No painel de trabalho do HTTP Policy existe sete abas superiores, a primeira aba a ser usada será a URL Groups. Antes que as palavras sejam bloqueadas é necessário que sejam adicionadas, para isso, será necessário criar um grupo de palavras (URL) para serem manuseadas.

Figura - Painel HTTP Policy.

Dentro do painel de configuração de URL Groups já existirá alguns grupos definidos, mas para satisfazer a segunda do firewall um novo grupo deverá ser adicionado. O nome escolhido para o grupo foi “Bloqueio” e nele já pode ser adicionado as palavras que deverão ser barradas pelo Kerio. É muito importante ficar atento paro o uso do asterisco, que funciona como um coringa, tornando a palavra principal importante, desconsiderando tudo o que vier antes ou depois.


Figura - Adicionando a palavra sexo ao grupo.

Após o grupo ser criado e a primeira palavra ser adicionada, o processo deve se repetido para as demais palavras, só não esquecendo de adicionar a palavra no grupo já existente.


Figura - Grupo Bloqueio com todas as palavras adicionadas.

Para determinar que o grupo Bloqueio deverá ser um grupo de palavras bloqueadas, as configurações devem ser feitas na aba URL Rules.
Ao criar uma nova regra aparecerá uma nova janela, em “Description” pode ser adicionada um descrição, no caso foi adicionado Bloqueio. Em “And URL matches criteria” a opção a ser marcada deve ser “is in URL group” e o grupo usado deve ser selecionado, no caso Bloqueio. Para finalizar o processo de desenvolvimento da regra, em “Action” a opção “Deny acess to the web site” deve estar marcada, assim todos os acesso com as palavras do grupo deverão ser bloqueados.


Figura - Painel de configuração da regra.

Uma nova regra irá aparecer entre as já existentes na aba URL Rules, caso a regra criada esteja desmarcada é só marca-lá para que ela seja habilitada.


Figura - Regra Bloqueio habilitada.


3.5 Bloqueio via HTTPS

De acordo com a terceira regra definida para o firewall o acesso à página do Facebook via HTTPS deve ser bloqueado. Porém a técnica de bloqueio apresentada para a segunda regra não se estende para os acessos via HTTPS.
O protocolo HTTPS é semelhante ao HTTP, mas faz uso de um tráfego seguro de informações. Para bloquear ações dentro deste protocolo a única maneira é através  do mesmo método usado para aplicar a primeira regra, através do Traffic Policy.
Antes de criar a regra responsável pelo bloqueio é importante saber que o destino não é representado por um único IP, no caso, o site facebook possui algumas faixas de IP que devem ser acrescentadas a regra. Para um fácil manuseio as seguintes faixas de IP deverão ser adicionadas em um grupo de endereço.

66.220.144.0 à 66.220.159.255
69.63.176.0 à 69.63.191.255
69.171.224.0 à 69.171.225.255
204.15.20.0 à 204.15.23.255

Para adicionas as faixas de IP em um grupo de endereços, um novo grupo deve ser criado com a opção Address Groups em Definitions. Por padrão a tela do Address Groups estará em branco, sem nenhum grupo presente.


Figura - Opção Address Groups.

Ao adicionar um novo grupo, um nova janela irá surgir pedindo um nome para o grupo, no caso Facebook. Na opção “Properties” em type deve ser selecionado Address Range, para que seja possível adicionar uma faixa de IP com valores mínimos e máximos. Nas opções seguintes “From” e “To” a faixa de IP deve ser adicionada, o IP de início e o final.


Figura - Configurando o grupo de endereços.

Cada faixa de IP deve ser adicionada da mesma maneira, só selecionando em Name o grupo já existente. O processo é repetido até que todas as faixas sejam adicionadas ao grupo.


Figura - Grupo de endereço Facebook completo.

Dentro da opção Traffic Policy no menu Configuration a nova regra deve ser adicionada, invés de buscar pelo botão Wizard é necessário o uso do próprio Add. Um nova regra irá surgir acima das outras, poderá ser colocado um nome a regra, no caso Facebook Bloqueio. Em Source, pode deixar padrão (Any) e em Destination será adicionado o grupo recém criado. Na parte de Service ficará o protocolo HTTPS e em Action ficará a opção Deny.


Figura - Regra de bloqueio do Facebook via HTTPS criada.


4 Cliente

A máquina cliente deve estar conectada com a rede LAN criada na máquina firewall e será responsável para validar os testes das regras criadas no firewall. É importante antes de iniciar o cliente certificar que o mesmo possui um adaptador de rede em bridged habilitado na máquina virtual.


Figura - Placa de rede que será conectada com a LAN.

Semelhantes ao que foi feito para configurar a placa LAN, será feito para configurar a máquina cliente, mas com algumas alterações adicionais. Em “Endereço IP” o IP adicionado deve ser diferente do adicionado na LAN, mas deve estar na mesma faixa de IP. A máscara será a mesma, só adicionando agora um Gateway que será o IP da placa LAN. O servidor DNS também vai receber valores de IP.


Figura - Configuração TCP/IP da placa cliente.


4.1 Acesso como Cliente

Ao abrir o navegador e tentar acessar a internet como cliente, a primeira coisa a aparecer será a tela de login de acesso a rede, isso só acontece porque no firewall foi definido que somente usuários poderiam ter acesso a rede. Para que o acesso seja liberado o cliente com  nome user1 e sua respectiva senha deve logar na rede.


Figura - Painel de login da rede.

Caso o usuário user1 tente entrar em qualquer site ou link que tenha uma das palavras que foram bloqueadas, irá surgi um alerta de que este tipo de acesso está bloqueado pelo firewall. E se tentar um acesso ao Facebook via HTTPS, a página não será carregada


Figura - Aviso de acesso negado.


Figura - Acesso ao Facebook via HTTPS.


Figura - Aviso da página que não pode ser exibida.
 
 6 Considerações Finais

Possuindo uma interface amigável, o Kerio torna-se um firewall de simples manuseio após um curto intervalo de tempo. Infelizmente o seu material introdutório mostra-se bem fraco dentro da comunidade brasileira, mas tendo uma rica quantidade de opções e soluções em material inglês.
Para as regras estabelecidas no projeto o firewall Kerio conseguiu atingir as expectativas tranquilamente. As respostas são bem rápidas, não demostrando nem um atraso ou sobrecarga de processamento à máquina. Não só a interface de configuração foi bem desenhada, facilitando a navegabilidade do usuário, como as mensagens de alerta e painéis de aviso também possuem um ótimo design.

 Referências

[1] SILVA, Gleydson Mazioli. Guia Foca GNU/Linux - Capítulo 10 - Firewall iptables. 2007. Encontrado em: