Baixe o app para aproveitar ainda mais
Prévia do material em texto
NIC.BR SEGURANÇA EM REDES IPV6: Uma analise da ferramenta Ip6Tables. NOVEMBRO 2013 WILLAN GUTIERREZ DEROMEDES JUNIOR DIEGO PONTES VANDERLEI SEGURANÇA EM REDES IPV6. Uma analise da ferramenta Ip6Tables. Projeto final apresentado como exigência parcial para obtenção do certificado do curso. NOVEMBRO 2013 FIGURAS FIGURA 1 EXEMPLO DE FIREWALL STATELESS ADAPTADO CUELLAR (2013) ........................................................................................................................ 26 FIGURA 2 EXEMPLO DE FIREWALL IPV6 DE NATUREZA STATEFULL ADAPTADO DE BRITO (2013). ................................................................................ 27 FIGURA 3 EXEMPLO DE UM GATEWAY DE APLICAÇÃO ADAPTADO DE WEBSENSE (2013). ................................................................................................. 29 FIGURA 4 EXEMPLO GERAL DE REGRA IPTABLES ADPTADO DE PIRES (2013) ........................................................................................................................ 31 FIGURA 5 REGRA DE FIREWALL IPTABLE E IP6TABLE .................................... 32 FIGURA 6 REGRA DE IP6TABLES ......................................................................... 35 FIGURA 7 SCRIPT DE FIREWALL STATELESS .................................................... 36 FIGURA 8 SCRIPT DE FIREWALL STATEFULL .................................................... 37 FIGURA 9 SCRIPT IP6TABLES ............................................................................... 38 3 SUMÁRIO 1. APRESENTAÇÃO................................................................................................... 5 2. PROBLEMA DA PESQUISA .................................................................................. 6 3. OBJETIVOS DA PESQUISA .................................................................................. 8 3.1 OBJETIVO GERAL ....................................................................................... 8 3.2 OBJETIVOS ESPECÍFICOS ......................................................................... 8 4. JUSTIFICATIVA DA PESQUISA .......................................................................... 10 5. HISTORIA DA INTERNET .................................................................................... 11 6. SEGURANÇA EM REDES .................................................................................... 13 6.1 O QUE PROTEGER .................................................................................... 14 7. IPV6 ....................................................................................................................... 15 7.1 CABEÇALHO IPV6 ..................................................................................... 16 7.2 ENDEREÇAMENTO ................................................................................... 17 7.2.1 TIPOS DE ENDEREÇOS IPV6 ........................................................ 18 7.3 PROTOCOLO ICMPV6 ............................................................................... 19 7.3.1 Mensagens ICMPv6 Neighbor Discovery ..................................... 19 8. SEGURANÇA EM IPV6 ........................................................................................ 21 8.1 NEIGHBOR DISCOVERY PROTOCOL-NDP ............................................. 22 8.2 INTERNET PROTOCOL SECURITY - IPSEC ............................................ 22 9. FIREWALL ............................................................................................................ 24 9.1 CLASSIFICAÇÃO DAS FIREWALLS ......................................................... 26 4 9.1.1 FIREWALLS ESTÁTICOS DE FILTRO-DE-PACOTES “STATELESS”.......................................................................................... 26 9.1.2 FIREWALLS DINÂMICOS, OU FIREWALLS DE INSPECÇÃO “STATEFULL” .......................................................................................... 27 9.1.3 GATEWAYS DE APLICAÇÃO (ALG) E PROXYS .......................... 28 9.2 IPTABLE ..................................................................................................... 29 9.3.1 Construção de Regras com Iptables ............................................ 30 9.3 IP6TABLES ................................................................................................. 31 10. CONSIDERAÇÕES FINAIS E RECOMENDAÇÕES .......................................... 40 11. PROCEDIMENTOS METODOLÓGICOS............................................................ 42 12. ESBOÇO DOS CAPÍTULOS E SEÇÕES ........................................................... 43 REFERÊNCIAS ......................................................................................................... 45 1. APRESENTAÇÃO Este e um projeto de pesquisa que se configurará em trabalho de conclusão de curso. O objetivo deste é divulgar as principais características de segurança do protocolo IPv6 – Internet Protocol version 6, que é a nova versão do protocolo IP, responsável pelo endereçamento na Internet. O trabalho envolve: as características e benefícios do IPv6; a formatação do novo protocolo, descrevendo o formato do datagrama e o cabeçalho; a arquitetura de seu endereçamento, descrevendo sua hierarquia e estrutura; os tipos de endereços existentes no IPv6; e algumas operações básicas do novo protocolo. Este trabalho ainda se destina a apresentar uma análise da ferramenta IP6TABLE com alguns experimentos feitos. O protocolo IP atualmente em amplo uso na versão IPv4 vem sofrendo constantemente com a falta de recursos para endereçar os hosts da Internet que crescem de forma exponencial, deste modo um nova versão IPv6 vem sendo estimulada para uso geral, pois essa atende com uma certa folga os requisitos geral da Internet moderna, sendo esse o maior motivador desse trabalho. 2. PROBLEMA DA PESQUISA Quando surgiram as primeiras redes, não se tinha idéia do rumo que veio a se tornar a internet. Nos dias atuais a internet acabou se tornando essencial para a humanidade, pois as contribuições geradas pela troca de informações e conhecimento contribuíram para o mundo em que se vive hoje. Mas este enorme crescimento da internet contribuiu para um problema, a falta de endereços IP’s. Como solução propôs-se criar um protocolo IP com espaço de endereçamento maior. Assim surgiu a idéia de criar o IPv6, aproveitando a mudança para implementar novos recursos e melhorar os existentes. Como IPv6 traz diversas mudanças, alguns conceitos tem que ser reaprendidos, do formato do endereço até os protocolos envolvidos no funcionamento das redes, tudo foi elaborado para funcionar sobre o protocolo IPv6. Pensando no conhecimento continuado que a área da tecnologia exige, o trabalho pretende elucidar os conceitos de funcionamento do IPv6 e alguns protocolos envolvidos no seu funcionamento. No Linux, as funções de Firewall são agregadas à própria arquitetura do Kernel, que é o núcleo do sistema operacional. Enquanto a maioria dos “produtos” Firewall pode ser definida como um subsistema, o Linux possui a capacidade de transformar o Firewall no próprio sistema. O módulo do Kernel no Linux responsável por realizar a função de um Firewall é chamado IP6TABLES. 7 A configuração de um Firewall IP6TABLES é realizada por uma série de comandos que são interpretados pelo Kerneldo sistema operacional. Tais comandos podem ser executados via scripts (arquivos-texto) ou serem inseridos diretamente no shell. 8 3. OBJETIVOS DA PESQUISA O objetivo desta pesquisa iniciou com um estudo sobre o protocolo de internet na versão 6 (IPv6) de forma bem ampla. Após estudos sobre protocolos de segurança e vulnerabilidades, foi decidido enfocar-se em falhas específicas do protocolo. 3.1 OBJTIVO GERAL Realizar estudo sobre o protocolo IPv6, mais especificamente na parte de segurança utilizando a ferramenta IP6TABLE. 3.2 OBJETIVOS ESPECÍFICOS Mostrar o funcionamento do novo protocolo de internet na versão 6 (IPv6) e dispor uma facilidade no uso de protocolo; 9 Analisar e avaliar as opções de segurança dessa versão do protocolo IPv6; Apresentar a nova ferramenta IP6TABLE e suas funcionalidades sobre o protocolo IPv6; Avaliar a ferramenta estudada no contexto da rede virtual; 4. JUSTIFICATIVA DA PESQUISA Percebendo a importância do assunto, e a pouca literatura e da falta de material didático que auxiliam os acadêmicos nas pesquisas nesta área, fez-se necessário aprofundar no estudo sobre a segurança do protocolo IPV6, pois o mesmo está relacionado com um dos tópicos de grande importância dos cursos de tecnologia. Devido o grande crescimento da internet, é necessário conhecer os recursos, as características, vantagens e desvantagens desde protocolo, assim como de seu antecessor o IPv4. Também se faz necessário o estudo do sobre o Firewall IP6TABLES,como uma forma de segurança no protocolo. O grande número de regras necessárias para a configuração de um Firewall IP6TABLES dificulta a compreensão e administração do sistema. A principal justificativa para a realização deste trabalho é que a inserção de tais regras no Firewall IP6TABLES é hoje realizada manualmente no prompt de comando ou com agrupamento em arquivos-texto de difícil compreensão. 11 5. HISTORIA DA INTERNET A Internet surgiu a partir de pesquisas militares nos períodos áureos da Guerra Fria. Na década de 1960, quando dois blocos ideológica e politicamente antagônicos exerciam enorme controle e influência no mundo, qualquer mecanismo, qualquer inovação, qualquer ferramenta nova poderia contribuir nessa disputa liderada pela União Soviética e por Estados Unidos: as duas superpotências compreendiam a eficácia e necessidade absoluta dos meios de comunicação. Nessa perspectiva, o governo dos Estados Unidos temia um ataque russo às bases militares. Um ataque poderia trazer a público informações sigilosas, tornando os EUA vulneráveis. Então foi idealizado um modelo de troca e compartilhamento de informações que permitisse a descentralização das mesmas. Assim, se o Pentágono fosse atingido, as informações armazenadas ali não estariam perdidas. Era preciso, portanto, criar uma rede, a ARPANET, criada pela ARPA, sigla para Advanced Research Projects Agency. Em 1962, J.C.R LickLider do Instituto Tecnológico de Massachusetts (MIT) já falava em termos da existência de uma Rede Galáxica. A ARPANET funcionava através de um sistema conhecido como chaveamento de pacotes, que é um sistema de transmissão de dados em rede de computadores no qual as informações são divididas em pequenos pacotes, que por sua vez contém trecho dos dados, o endereço do destinatário e informações que permitiam a remontagem da mensagem original. O ataque inimigo nunca aconteceu, mas o que o Departamento de Defesa dos Estados Unidos não sabia era que dava 12 início ao maior fenômeno midiático do século 20, único meio de comunicação que em apenas 4 anos conseguiria atingir cerca de 50 milhões de pessoas. Em 29 de Outubro de 1969 ocorreu a transmissão do que pode ser considerado o primeiro E-mail da história. O texto desse primeiro e-mail seria "LOGIN", conforme desejava o Professor Leonard Kleinrock da Universidade da Califórnia em Los Angeles (UCLA), mas o computador no Stanford Research Institute, que recebia a mensagem, parou de funcionar após receber a letra "O". Já na década de 1970, a tensão entre URSS e EUA diminui. As duas potências entram definitivamente naquilo em que a história se encarregou de chamar de Coexistência Pacífica. Não havendo mais a iminência de um ataque imediato, o governo dos EUA permitiu que pesquisadores que desenvolvessem, nas suas respectivas universidades, estudos na área de defesa pudessem também entrar na ARPANET. Com isso, a ARPANET começou a ter dificuldades em administrar todo este sistema, devido ao grande e crescente número de localidades universitárias contidas nela. 13 6. SEGURANÇA EM REDES A necessidade de segurança é um fato que vem transcendendo o limite da produtividade e da funcionalidade. Enquanto a velocidade e a eficiência em todos os processos de negócios significam uma vantagem competitiva, a falta de segurança nos meios que habilitam a velocidade e a eficiência pode resultar em grandes prejuízos e falta de oportunidades de negócios. (NAKAMURA ; GEUS, 2003, p.9). O mundo da segurança é marcado pela evolução contínua, no qual novos ataques têm como resposta novas formas de proteção que levam ao desenvolvimento de novas técnicas de ataques e assim sucessivamente. Esse mesmo comportamento pode ser observado no mundo da informação, onde também se deve ter em mente que a segurança deve ser contínua e evolutiva. (NAKAMURA ; GEUS,2003, p.9). Os seguintes fatores justificam a preocupação com a segurança contínua: a natureza dos ataques, as novas vulnerabilidades das novas tecnologias, a criação de novas formas de ataques, o aumento da conectividade, a complexidade da defesa, o aumento dos crimes digitais e os grandes prejuízos ocasionados pela falta de segurança. (NAKAMURA ; GEUS, 2003, p.10). 14 6.1 O QUE PROTEGER Segundo ZWICKY há basicamente três itens que devem ser protegidos por uma organização: Dados: é a informação propriamente dita, mantida nos computadores. Em relação aos dados, deve-se preocupar com o sigilo, integridade e disponibilidade; Recursos: são os computadores que formam a rede da organização; Reputação: é considerado o fator principal ao implantar segurança, já que uma invasão pode ocasionar grandes prejuízos relacionados à reputação da corporação. 15 7. IPv6 O protocolo IPv6 foi desenvolvido não somente para suprir a escassez de endereços IP imposta pelas limitações da versão 4, mas também agrega vários serviços e benefícios que não existiam no IPv4, ou que não eram efetivamente utilizados. Abaixo, algumas características e benefícios que o novo protocolo proporciona (AMOSS & MINOLI, 2008): Aumento de forma exponencial no número de IPs: O IPv6 tem endereços de 128 Bits (16 Bytes) versus 32 Bits (4 Bytes) do IPv4. Com IPv4, o número teórico de endereços IP disponíveis é 232~1010. O IPv6 oferece um espaço de 2128. Assim, o número de nós únicos é de 2128~1039 (MINOLI, 2008); Simplificação do formato de cabeçalho: Que ficou mais simples do cabeçalho o IPv4 e tem um comprimento fixo de 40 bytes. Isto permite um processamento mais rápido. Acomoda basicamente dois endereços de 16 bytes da fonte e do destino e somente 8 bytes para a informação de endereçamento geral (HAGEN, 2006); Segurança: IPv6 inclui funcionalidades de segurança na sua especificação, tais como carga útil e criptografia autenticação da origem da comunicação (MINOLI, 2008); 16 Aplicativos em tempo real: o IPv6 inclui "fluxos etiquetados" na sua especificação, para proporcionar um melhor apoio para trafego em tempo real (por exemplo,IPTV, VOIP). Através do presente mecanismo, roteadores podem reconhecer o fluxo ponto-a-ponto que transmitiu e a quem os pacotes pertencem. Isto é semelhante ao serviço oferecido pelo Multi-Protocol Label Switching (MPLS), mas é intrínseco com o IP, em vez de um mecanismo add-on. Além disso, precede a funcionalidade MPLS através de uma série de anos (MINOLI, 2008); Mobilidade: O IPv6 inclui mecanismos de mobilidade mais eficaz, particularmente interessantes para redes móveis (MINOLI, 2008); Protocolo Otimizado: O IPv6 matem as melhores características do IPv4 e remove as obsoletas e inutilizadas do IPv4. Isto resulta num protocolo mais otimizado (HAGEN, 2006); Plug-and-Play: O IPv6 inclui em seu padrão de um mecanismo "plug-and- play" que facilita a ligação de equipamentos a rede. A configuração necessária é realizada automaticamente (MINOLI, 2008); Endereçamento e Roteamento: O IPv6 melhora a hierarquia de endereçamento e roteamento (MINOLI, 2008); Extensões para autenticação e privacidade das informações: Suporte para autenticação, e extensões para a integridade e a confidencialidade dos dados, foram especificadas e são inerentes ao IPv6 (HAGEN, 2006). 7.1 CABEÇALHO IPV6 Para manter o mínimo de sobrecarga no cabeçalho IPv6 foi desenvolvido um novo formato. Foram removidos campos raramente utilizados, movidos campos 17 opcionais para o campo extensão de cabeçalho que localiza após o cabeçalho IPv6 e acrescentados campos que oferece melhor suporte para o tráfego. Os campos do cabeçalho IPv6 são: Version – Esse campo serve para os roteadores identificar qual é o protocolo do pacote, contém 4 bits e sempre será seis para o IPv6. Traffic Class – Serve para identificar se o dado no pacote é uma mídia (vídeo, som) ou de outro tipo, ou seja, indica o tipo de serviço. Esse campo contém 8 bits. Flow Label – Contém 20 bits. Esse campo verifica se o pacote pertence a uma sequência especial, requerimentos e propriedades particulares entre a origem e o remetente. Payload Header – Com 16 bits, este campo indica o tamanho de dados do IPv6. Next Header – Caso haja alguma extensão de cabeçalho, este campo é que permite dizer qual é um dos seis cabeçalhos. Este campo possui 8 bits. Hop Limit – Indica a quantidade de saltos , o número máximo de links antes do pacote IPv6 ser descartado. 7.2 ENDEREÇAMENTO De início pode-se dizer que a mais óbvia característica que diferencia entre as versões IPv4 e IPv6 é o espaço de endereços. O IPv6 usa endereços de 128 bits, uma sequência de bits que é quatro vezes maior do que os 32-bit do endereço IPv4. Um endereço de 32 bits permite um espaço de 232, ou 4.294.967.296, endereços possíveis. Um endereço de 128 bits permite um espaço de 2128, ou 18 340.282.366.920.938.463.463.374.607.431.768.211.456 (3,4 × 1038), de endereços possíveis. Para ajudar a colocar este número em perspectiva, um espaço de endereço de 128-bits fornece 6,65 × 1023 endereços para cada metro quadrado da superfície da Terra. Esse número na pratica vai ser reduzido, uma vez que foi projetado para ser dividido em hierarquia de encaminhamento unicast dos domínios que refletem a topologia da internet moderna. A utilização de 128 bits permite a múltiplos níveis de hierarquia e flexibilidade na concepção hierárquica endereçamento unicast e encaminhamento que está atualmente em falta no IPv4, baseado na Internet de hoje. Assim os mesmo, estudos estimam que os 128 bits sejam capazes de acomodar na mais pessimista estimativa 1564 endereços por metro quadrado da superfície da Terra (DAVIES, 2008). 7.2.1 TIPOS DE ENDEREÇOS IPV6 Geralmente o IPv6 define TRE tipos de endereços: Globais, Locais e Locais Únicos. Endereços Globais: são equivalentes aos endereços públicos em IPv4. Geralmente começa com 2000::. Endereços Locais: são equivalentes aos endereços APIPA (Automatic Private IP Addressing) (169.254.0.0/16) no IPv4. Geralmente começa com fe80::. Endereços Locais Únicos: são equivalentes aos endereços privados em IPv4. Geralmente começa com fd65::. 19 7.3 PROTOCOLO ICMPV6 Internet Control Message Protocol Version 6 (ICMPv6) é a versão para o IPv6, como no IPv4 o ICMP é um mecanismo que fornece as informações importante sobres a saúde da rede. Ele Relata erros se os pacotes não podem ser processados corretamente e emite mensagens informativas sobre o status da rede. O ICMP igualmente executa funções de diagnóstico, tais como o bem conhecido ping, que usa o pedido de ICMP Echo e as mensagens Echo Reply para o teste de disponibilidade de um nó (HAGEN,2008). ICMPv6 é muito mais poderoso do que ICMPv4. O ICMPv6 incorporou a função do protocolo da gerência do grupo do Internet (IGMP) que gerencia os membros do grupo do multicast com IPv4, alem da função do Address Resolution Protocol/Reverse Address Resolution Protocol (ARP/RARP) que é usada em IPv4 para traçar endereços da camada 2 aos endereço IP (e reciprocamente) e trousse consigo novas funcionalidades como: A descoberta vizinha (ND) que usa as mensagens ICMPv6 a fim determinar endereços de enlace para os vizinhos presentes no mesmo link (subnet), para encontrar os routers, para manter-se a par do que vizinhos são ativos, e para detectar a mudada de endereça de enlace. ICMPv6 igualmente suporta IPv6 móvel. ICMPv6 é parte de IPv6 e deve ser executado inteiramente por cada nó IPv6. É definido na RFC 2463 (LOSHIN, 2004). 7.3.1 Mensagens ICMPv6 Neighbor Discovery Router Solicitation (Solicitação de roteador): Quando uma interface é ativada, os hosts podem enviar solicitações de roteador, que os roteadores solicitados geraram uma resposta Router Advertisements imediatamente ao invés de ser na sua próxima hora agendada (HAGEN, 2008). 20 Router Advertisement (Anúncios de Roteador): Routers anunciam sua presença, juntamente com o endereço de enlace e vários e outros parâmetros de Internet, periodicamente ou em resposta a uma mensagem de solicitação do roteador. Router Advertisement contêm prefixos que são utilizados para a determinação de links ativo e / ou configuração de endereço e entre outros um valor limite sugerido hop (LOSHIN, 2004). Neighbor Solicitation (solicitação de Vizinho): enviada por um nó para determinar o endereço de enlace de um vizinho ou para verificar se um vizinho ainda é acessível através de um endereço de enlace em cache. solicitação de vizinho também é usado para detecção de endeços duplicados (HAGEN, 2008). Neighbor Advertisement (Anúncio de Vizinho): é uma mensagem de resposta a uma Neighbor Solicitation. Um nó também pode enviar Neighbor Advertisement não solicitado para anunciar a mudança do endereço de enlace (LOSHIN, 2004). Redirect usado pelos roteadores para informar aos host de um melhor primeiro salto para um destino (HAGEN, 2008). 21 8. SEGURANÇA EM IPV6 No IPv6 a questão da segurança foi levada em consideração desde o inicio dos debates, sendo implementados vários mecanismos de criptografia e autenticação, que são nativos do protocolo, visando garantir a segurança das informações que trafegam na rede. Conforme LOSHIN (2004), O protocolo IPv6 foi especificado, logo na sua criação, com os mecanismos de segurança disponibilizada de forma nativa, através de uma arquitetura criada para tal, a IP Security (IPSec), que é uma tentativa para normatizar uma solução global para o problema de insegurança na Internet. Segundo BRITO (2013), do ponto de vista arquitetural, o IPv6 é realmente mais robusto de que o IPv4, afinal, não podemos esquecer que segurançanão era um requisito de projeto na concepção do IPv4, ao contrario do processo de concepção do IPv6 em que a segurança foi um do critérios mais relevantes na escolha da proposta que daria origem ao chamado IPng, ou IP da próxima geração, que posteriormente foi denominado IPv6. Tanto é que o protocolo IPSec foi criado para o IPv6 e somente depois foi aproveitado para operar sobre o IPv4. O sucesso desse protocolo de segurança é constatado por meio de inúmeras soluções de segurança, disponível no mercado, que oferecem suporte ao IPSec. 22 8.1 NEIGHBOR DISCOVERY PROTOCOL-NDP Neighbor Discovery conforme Simpson e Soliman (2007), especificam na RFC 4861 é um mecanismo para nós IPv6 no mesmo link usarem Neighbor Discovery para descobrir a presença de outros hosts, para determinar o endereço da camada de enlace dos outros, para encontrar roteadores e manter informação de acessibilidade sobre o caminhos para os vizinhos ativos. O Neighbor Discovery para o protocolo IPv6, através da adição de novas mensagens para ICMPv6, efetivamente substitui o Address Resolution Protocol (ARP) do IPv4 para associar endereços da camada de enlace (MAC) na rede com endereços IPv6, bem como algumas mensagens ICMP relacionadas com o roteador usado com IPv4. Ao mesmo tempo, ele adiciona novos recursos, como inacessibilidade de um host vizinho (Loshin, 2004). Neighbor Discovery para IPv6", e fornece uma ferramenta importante que não só simplifica a administração e gerenciamento de rede, mas também permite um grau muito maior de medição em tamanho da rede IPv6." Cinco tipos de mensagens ICMPv6 são usadas na descoberta de vizinhos, incluindo um par de mensagens de solicitação e anúncio de roteador, um par de solicitação e anuncio de vizinhança, e uma mensagem de redirecionamento (HAGEN, 2008). 8.2 INTERNET PROTOCOL SECURITY - IPSEC O protocolo IPSec fornece confidencialidade e integridade do pacote de IP entre a camada de IP e o camada de transporte.(KIM et al., 2008) O protocolo IPsec é composto por três sub protocolos . Um deles é o Authentication Header (AH) protocolo que suporta confidencialidade e integridade 23 dos pacotes transmitidos. Outro exemplo é o Encapsulation Security Payload (ESP) protocolo, que fornece origem autenticidade ao longo de criptografia. E o outro é o Internet Key Exchange (IKE) que prepara Security Association (SA) para IPSec comunicação usando uma chave Diffie-Hellman troca mecanismo. (KIM et al., 2008) A escolha entre os protocolos AH e ESP depende do nível de proteção desejado para os datagramas IP. O protocolo AH oferece a integridade dos dados, a proteção anti-replay, e autenticação de fonte de dados, mas não oferece a privacidade dos dados. O protocolo ESP oferece privacidade de dados, além de todos os recursos oferecidos pelo protocolo AH e é o protocolo de escolha para implantação de VPN. Consequentemente, este artigo centra-se no protocolo ESP utilizado para a formação de VPNs, apesar de grande parte da isto se aplica a AH bem. (SHUE; GUPTA; MYERS, 2007) A seleção de um mecanismo de criptografia é necessária antes de quaisquer dados de IP pode ser criptografado utilizando o protocolo ESP. As primitivas disponíveis incluem o uso de uma chave simétrica entre os dois pontos finais ou as chaves criptográficas públicas dos pontos finais. Desde a utilização de criptografia de chave pública é computacionalmente caro, IPSec utiliza chaves simétricas . Mas, antes de IPSec pode usar chaves simétricas para criptografar os dados , as chaves simétricas devem ser trocados.(SHUE; GUPTA; MYERS, 2007) 24 9. FIREWALL Segundo o RFC 2647, “Benchmarking Terminology for Firewall performance”, uma firewall é “um dispositivo, serviço de sistema operativo, ou aplicação que estabelece uma política de controlo de acesso entre redes.” Os firewalls são filtros de pacotes. Eles consistem de rotinas de software ou hardware dedicado que inspecionam as informações do cabeçalho em pacotes de rede. As informações de cabeçalho são então comparadas com uma lista de regras que definem se o pacote deve ser descartado ou encaminhado para o seu destino. Assim, um firewall especifica pacotes com endereços IP específicos, portos, ou serviços que estão autorizados a passar para dentro ou fora da rede.(LATURNAS; BOLTON, 2005) Segundo Santos (s.d.) um firewall pode ser de vários tipos, firewall estática, dinâmica de filtro-de-pacotes, pode ser um gateway de aplicação (ALG) ou servidor proxy, e pode ser ou de software ou de hardware. Mais adiante veremos as principais diferenças entre estes tipos. De qualquer modo, o propósito de todas elas é obrigar ao cumprimento de uma política de segurança previamente definida. Segundo NETO (2004), o Firewall IPTABLES do Linux é do tipo inspeção com estado. No Linux, as funções de Firewall são agregadas à própria arquitetura do Kernel, que é o núcleo do sistema operacional. Enquanto a maioria dos “produtos” Firewall pode ser definida como um subsistema, o Linux possui a capacidade de 25 transformar o Firewall no próprio. O módulo do Kernel no Linux responsável por realizar a função de um Firewall é chamado IPTABLES. Segundo (ANDERSON et al., 1997) um firewall e um programa de política de segurança, o conjunto de regras que definem quais tipos de interações é permitido entre o domínio protegidos e os desprotegidos fora. Firewalls podem filtrar tráfego fluindo tanto dentro e fora do domínio protegido, rejeitando quaisquer dados que não estejam em conformidade com a política dos firewalls são configurados para programar. Eles podem proteger contra muitos tipos de ataques, incluindo o seguinte: Unauthorized internal access: Um usuário não autorizado fora do domínio protegido busca acesso aos dados ou serviços dentro do domínio (por exemplo, proteger as informações confidenciais da empresa a partir de fora). Compromising authentication: Um usuário externo obtém privilégios de acesso de um insider enganando o mecanismo de autenticação (por exemplo , cópia e reutilização de uma senha). Unauthorized external access: Um usuário interno busca o acesso aos dados ou serviços não autorizados fora do domínio (por exemplo , os empregados acessando sites de lazer , enquanto a serviço da empresa ) . Spoofing: O endereço de origem de dados falsamente faz com que pareça vir de uma fonte confiável (por exemplo, pretendendo ser uma série dentro do domínio protegida). Session stealing: Uma sessão com um único propósito é subvertida para outra finalidade (por exemplo, quando uma conexão de e -mail em andamento é convertido para um que abre uma operação de transferência de arquivo). Tunneling: Um ataque usa uma série subvertido para esconder o ataque. Flooding: O atacante tenta sobrecarregar um host interno de pedidos do exterior. 26 Além disso, os firewalls podem manter registros de auditoria que podem indicar após o fato que tipo de dano no caso de o firewall não bloquear um ataque. (ANDERSON et al., 1997) 9.1 CLASSIFICAÇÃO DAS FIREWALLS Firewall é o termo vulgarmente atribuído a diferentes sistemas tais como firewalls estáticos de filtro de pacotes ou routers de filtro de pacotes, firewalls dinâmicas ou statefull firewalls, gateways de aplicação, ou a servidores Proxy. 9.1.1 FIREWALLS ESTÁTICOS DE FILTRO-DE-PACOTES “STATELESS” Uma firewall estática de filtro de pacotes é normalmente implementada dentro do sistema operativo ou hardware do router e opera na camada de rede (IP network layer), e muitas vezes também na camada de transporte (transport layer). Estas protegem o sistema fazendo decisões de routing apósa filtragem dos pacotes baseada na informação presente nos cabeçalhos dos pacotes. Estas decisões são tomadas pacote a pacote. Figura 1 Exemplo de firewall stateless adaptado CUELLAR (2013) 27 Em sistemas maiores, a um filtering router (também designado screening router) é muitas vezes colocado antes do firewall para fazer filtragem inicial com o objetivo de reduzir o esforço de processamento requerido pelo firewall. 9.1.2 FIREWALLS DINÂMICOS, OU FIREWALLS DE INSPECÇÃO “STATEFULL” Os firewalls dinâmicos operam nas camadas de rede e de transporte, podendo filtrar pacotes com base em certas informações de protocolos de acesso ao meio e mesmo de protocolos de camadas superiores à camada de transporte. Estes tipos de firewalls de filtro de pacotes mantêm informação sobre sessões TCP ou troca de pacotes UDP. Os pacotes são filtrados no contexto de uma sessão e não isoladamente. Por exemplo, este tipo de firewalls sabe que um pacote TCP com a flag ACK deve ser descartado caso não tenha recebido um pacote inicial com a flag SYN. Sabe se um determinado pacote UDP é resposta esperada a um pacote anteriormente enviado, ou pelo menos se o pacote diz ser de um host para o qual foi enviado recentemente um pacote. A firewall consegue dizer se uma mensagem de erro ICMP chegou em resposta a uma sessão corrente. Figura 2 Exemplo de firewall IPv6 de natureza statefull adaptado de BRITO (2013). 28 É possível reconhecer que um determinado pacote pertence a uma sessão previamente autorizada, e desse modo passar á frente as regras de filtragem a que normalmente deveria ser sujeito esse pacote. Esta função, chamada de statefull inspection permite aperfeiçoar o funcionamento do firewall. As firewalls dinâmicas normalmente têm algum conhecimento específico de aplicações ou protocolos. Por exemplo, uma firewall pode estar a fechar as portas não privilegiadas e especificamente abrir uma porta para deixar passar uma sessão de FTP data. 9.1.3 GATEWAYS DE APLICAÇÃO (ALG) E PROXYS O termo Gateway de Aplicação (Application Level Gateway ou ALG) refere- se a um proxy de aplicação que funciona como ponto terminal para ambos os lados de uma conexão. Numa proxy-firewall são implementadas diferentes aplicações para cada serviço que utilize o proxy. A gateway de aplicação conhece a aplicação específica para qual está a fazer de gateway e pode fazer inspecção ao nível da aplicação. Aplicações Proxy podem garantir integridade dos dados, ou seja, que a informação trocada é apropriada á aplicação, que é sondada por possíveis virus, e sujeita à política de controlo de acesso ao nível da aplicação. A gateway mantém duas ligações, uma com o cliente e outra com o servidor. Cada aplicação de proxy aparenta ser o servidor para o software cliente, e aparenta ser o software cliente para o servidor. A gateway inicia a ligação ao servidor remoto em nome do software cliente e responde ao software cliente em nome do servidor. Na prática o tráfego local nunca deixa a LAN e o tráfego remoto nunca entra na LAN. 29 Figura 3 Exemplo de um GATEWAY de Aplicação adaptado de WEBSENSE (2013). Também se designa por ALG aos módulos de suporte a aplicações para uma firewall. Muitas firewalls possuem um FTP ALG para suportar o canal de dados do FTP, onde o cliente de FTP indica ao servidor a que porta local se pode ligar de modo a abrir o canal de dados. Portanto é o servidor que inicia a ligação do canal de dados, quando normalmente é o cliente a iniciar todas as ligações. As ALGs são normalmente necessárias para fazer passar protocolos multimédia por uma firewall, devido á complexidade destes protocolos que normalmente utilizam várias ligações simultâneas iniciadas por ambas partes e muitas vezes utilizam uma combinação de TCP e UDP. Uma ALG é um proxy. Outra forma de proxy é um proxy de nível de circuito (circuit-level proxy). Os proxys de nível de circuito não possuem conhecimento específico de aplicações, mas obrigam ao cumprimento de políticas de acesso e autorização, e servem de intermediários na ligação entre dois pontos. SOCKS é um exemplo de um proxy de nível de circuito. 9.2 IPTABLE O Iptables é o software que será apresentado nesse artigo, ele é um firewall que vem integrado ao kernel do Linux deste a versão 2.4, sendo este produzido pela equipe de desenvolvimento Netfilter. 30 O iptables estar embutido no framework Netfilter e possui, além do iptables, outros módulos em seu corpo, como por exemplo, o Ip6tables. O iptables veio de modo a substituir o ipchains e ipfwadm e tem como característica fundamental manter estabilidade e uma melhor flexibilidade na implementação de regras de filtragem de pacotes do que seu antecessor ipchains. O kernel do Linux utiliza um recurso independente para monitorar e controlar todo o tipo de fluxo de dados dentro de sua estrutura operacional. A função do Kernel é de trabalhar ao lado de processos e tarefas, por esse motivo foi agregado um módulo Netfilter ao mesmo para controlar seu próprio fluxo interno (referencia). Segundo Schlemer (2007), o iptables usa o conceito de "ganchos" do Netfilter, permitindo avaliar um datagrama em alguns pontos dentro do kernel. Desse modo pode-se aplicar as lista de regras de filtragem tanto em pacotes que chegam a maquina através da rede, quanto pacotes gerados na maquina com o destino a própria maquina. Basicamente o iptables se baseia em pares de regras e ações. As regras definem em quais pacotes atuar e as ações definem qual atitude deve ser tomada quando um pacote bater com a regra em questão. As regras e ações são armazenadas pelo iptables listas de tabelas. 9.3.1. Construção de Regras com Iptables No comando iptables especifica-se uma regra de modo que essa case com determinado tipo de tráfego. Após essa definição, deve-se dizer qual ação será tomada quando a regra casar com o tráfego selecionado. As opções mais usadas são: -p: PROTOCOLO (ex: tcp, udp, icmp, etc , -s E ERE e 2. 6 . .2 , - d E ERE e 172.16.0.0/16), -i: INTERFACE (ethx) e -o INTERFACE (ethx). Apos definir-se na regra que tipo de pacote se quer tratar, é necessário dizer o que será feito quando essa regra casar com o tráfego no firewall. O alvo será justamente a ação que será feita quando isso acontecer. Os alvos mais usado no iptables são: 31 ACCEPT(Aceitar o pacote), DROP(Ignorar o pacote), REJECT(Rejeitar o pacote), LOG(Registrar o dado em log), DNAT(Mudar o endereço de destino), SNAT(Mudar o endereço de origem) e MASQUERADE(Mascarar). Na figura seguinte tem-se um exemplo genérico de regra: Figura 4 Exemplo Geral de Regra Iptables adptado de PIRES (2013) Exemplo: Uma regra que permite que 192.168.0.0/24 ligada a interface de rede eth0 possa enviar tráfego a 192.168.1.0/24 conectada a interface de rede eth1: # iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -i eth0 -o eth1 -j ACCEPT 9.3 IP6TABLES IP6Tables é usado para configurar, manter e inspecionar as tabelas das regras de filtragem de pacotes IPv6 no kernel do Linux. Várias regras diferentes podem ser definidos. Cada tabela contém um número de cadeias embutidas e também pode conter cadeias definidas pelo usuário. Cada tabela é uma lista de regras que podem corresponder a um conjunto de pacotes. Cada regra especifica o que fazer com um pacote que combina. Isto é 32 chamado um alvo, que pode ser um salto para uma corrente definida pelo utilizador na mesma tabela. O ip6tables ferramenta para IPv6 faz praticamente tudo o que o iptables faz para IPv4. É tentador simplesmentereescrever o script de firewall existente, adicionando uma regra extra para a versão IPv6 de cada host. Por exemplo, o meu servidor web é 195.8.117. 9 , então eu copiar o 9 fora da final e atribuir o endereço IPv6 2001:67 c: 1388:1000 :: 9 para o mesmo servidor e adicione o ip6tables regra de firewall: Figura 5 Regra de firewall IPTABLE e IP6TABLE Agora que você começou a regra de um firewall em sua rede. Todos os seus dispositivos têm agora um IP encaminhado globalmente (v6) endereço, por isso é tempo para se familiarizar com a criação de um firewall "real". Uma vez que o seu roteador IPv6 é uma caixa de linux, que também é outras coisas (servidor, ponto de acesso sem fio, etc) eu não posso configurar um bom firewall dedicado como pfsense, sem gastar mais dinheiro e muito um pouco mais de trabalho. Então, vamos trabalhar com o que temos de ip6tables Quem já usa o iptables não irá sentir nenhuma dificuldade, as regras são as mesmas, as chains também são as mesmas, o que muda mesmo são os ips usados que serão ipv6 e o comando que passou a ser chamado de ip6tables. Startando o serviço: /etc/init.d/ip6tables start Primeiro, deletando todas as regras: ip6tables -F ip6tables -X 33 Listando as regras, mostrando números e não nomes: ip6tables -L -n Listando as regras de uma tabela específica, mostrando números e não nomes: ip6tables -L -n -t filter ip6tables -L -n -t nat ip6tables -L -n -t mangle Configurando a política padrão do firewall: ip6tables -P INPUT DROP ip6tables -P FORWARD DROP ip6tables -P OUTPUT ACCEPT Criando as regras padrões na tabela filter na chain INPUT. Permitir icmpv6 para descobrimento de vizinhança e demais serviços necessários: ip6tables -A INPUT -p ipv6-icmp -j ACCEPT Permitir acesso a loopback: ip6tables -A INPUT -i lo -j ACCEPT Deixando o firewall em modo Statefull: ip6tables -A INPUT -i sixxs -m state RELATED,ESTABLISHED -j ACCEPT Permitir acesso SSH as máquinas da rede local (Link Local): ip6tables -A INPUT -s fe80::/10 -p tcp --dport 22 -j ACCEPT 34 Permitir uso de multicast: ip6tables -A INPUT -d ff00::/8 -j ACCEPT Permitir acesso a gerência web do firewall: ip6tables -A INPUT -s fe80::/10 -p tcp --dport 80 -j ACCEPT ip6tables -A INPUT -s fe80::/10 -p tcp --dport 443 -j ACCEPT Criando as regras padrões na tabela filter na chain FORWARD. Permitir icmpv6 para descobrimento de vizinhança e demais serviços necessários: ip6tables -A FORWARD -p ipv6-icmp -j ACCEPT Deixando o firewall em modo Statefull: ip6tables -A INPUT -i sixxs -m state RELATED,ESTABLISHED -j ACCEPT Permitir a passagem para a rede local, ou para dmz, ou somente para as máquinas necessárias: ip6tables -A INPUT -s 2001:db8:1000::/48 -i eth0 -o sixxs -m state -- state NEW -j ACCEPT Desabilitar processo de verificação de pacotes RH0: ip6tables -A INPUT -m rt --rt-type 0 -j DROP ip6tables -A OUTPUT -m rt --rt-type 0 -j DROP ip6tables -A FORWARD -m rt --rt-type 0 -j DROP Não será necessário criar nenhuma regra de OUTPUT, pois na política padrão está ACCEPT, dessa forma o firewall não fará nenhum bloqueio a ele 35 mesmo, dessa forma qualquer acesso partindo dele para qualquer destino será liberado. Essas regras deverão ser adicionadas a um arquivo para que ao reiniciar a máquina não se perca as configurações. Aqui está um simples conjunto de regras IP6Tables. Você vai querer ajustar estes para seu local específico. Para visualizar são chamados via este comando /etc/rc.local: Figura 6 Regra de IP6TABLES 36 Aqui está um pequeno script para ativar filtragem com netfilter/IP6TABLES . O script foi teste no Debian, mas deve trabalhar em outras plataforma do Linux. Figura 7 Script de Firewall Stateless Observe que neste exemplo não mostra as melhores práticas ou o que se deve fazer, sim uma base para o que se deve fazer de acordo com sua necessidade. 37 Figura 8 Script de Firewall Statefull Quase tão alto, mas com o estado. Você precisa de um novo kernel com os módulos corretos (veja acima). Este firewall nega tudo por padrão, mas permite que os endereços link-local, multicast e ICMPv6. Tudo interna também é permitido. O anfitrião si e cada cliente pode acessar a Internet e também para a frente (para dentro) ssh e bittorrent tráfego para um host especificado na sub-rede. 38 Figura 9 Script IP6TABLES 39 Este firewall nega tudo por padrão, mas permite que os endereços link-local, multicast e ICMPv6. Tudo interna também é permitido. O anfitrião si e cada cliente pode acessar a Internet e apenas o POP SixXS é permitido nos pingar, ninguém mais! 40 10. CONSIDERAÇÕES FINAIS E RECOMENDAÇÕES O rápido esgotamento dos endereços IPv4, a existência de equipamentos legados onde não é possível utilizar IPv6 e a presença de equipamentos somente IPv6, por falta de IPs v4 livres, criaram a demanda do rápido aprendizado de IPV6 e consequentemente da segurança que tem que ser dada a esse protocolo. Não há dúvida de que no futuro a Internet utilizará majoritariamente IPv6 e, possivelmente, somente IPv6. Aqueles que trabalham com redes há pelo menos pouco mais de uma década viveram outras transições similares, como por exemplo, quando, em redes corporativas era comum o uso de IPX/SPX, Netbios, Appletalk e IP concomitantemente. A convergência tecnológica é um processo natural. Ela facilita o gerenciamento das redes, a interoperabilidade, o desenvolvimento de novas aplicações e serviços, reduzindo custos, de forma geral. Com isso em mente, os provedores devem planejar-se para atender, daqui a pouco tempo, seus novos usuários exclusivamente com redes IPv6, de forma nativa. Devem oferecer paliativamente a eles um IPv4 válido, se houver disponível, ou compartilhado, se necessário. Isso deve ser feito enquanto houver uma quantidade relevante de dispositivos na Internet que não tenham implantado IPv6. Pode-se fazer isso com auxílio de técnicas de transição baseadas em túneis, ou tradução, usando a rede que será exclusivamente Ipv6, dessa forma a segurança tem que vir em conjunto com as máquinas clientes, servidores e os firewalls de borda tem que ter 41 entendimento e controle do protocolo IPV6, máquinas baseadas em linux vem com iptables e ip6tables nativamente no kernel e com ele podemos fazer toda a segurança como vimos ao longo do trabalho. Um grande ponto é a diferença entre o IPV4 e o IPV6 na questão iptables e ip6tables, não temos a necessidade de NAT, pois temos comunicação fim a fim com o Global Link, a tabela de NAT no ip6tables entrará em desuso. Um dos pontos a considerar na escolha das técnicas de ip6tables a serem utilizadas é se elas são stateless ou statefull. Técnicas stateless são mais trabalhosas, mas consomem menos recurso da máquina dado que teremos que criar todas as regras em dobro. Se necessário usar técnicas stateful, é mais fácil de se trabalhar e montar o firewall, mas o consumo da máquina aumenta com isso se torna um pouco mais caro a implantação. Como vimos neste projeto esta e uma ferramenta poderosa para proteger sua rede de ataques, com isso, esperamos ajudar o leitor que possa entender como funciona esta parte de filtro de pacotes com ip6tables. 42 11. PROCEDIMENTOS METODOLÓGICOS Ainda baseando-se em Silva e Menezes (2005), tem-se como procedimento técnico na elaboração deste trabalho a pesquisa bibliográfica, consistindo na consulta de material publicado sobre o(s) assunto(s) a ser(em) abordado(s)seja ele impresso ou disponível via Internet. Além de um estudo de caso, aqui envolvendo a análise da rede UFAC assim como a elaboração de uma proposta pra implantação da ferramenta IP6TABLES na mesma. Será adotada a seguinte metodologia para que os resultados esperados sejam alcançados: a) Estruturação do trabalho e metodologia; b) Estudo das tecnologias que serão usadas no projeto; c) Seguindo a metodologia definida para o projeto; d) Desenvolvimento da pesquisa do mesmo. 12. ESBOÇO DOS CAPÍTULOS E SEÇÕES 1. APRESENTAÇÃO......................................... ERRO! INDICADOR NÃO DEFINIDO. 2. PROBLEMA DA PESQUISA ........................ ERRO! INDICADOR NÃO DEFINIDO. 3. OBJETIVOS DA PESQUISA ........................ ERRO! INDICADOR NÃO DEFINIDO. 3.1 OBJTIVO GERAL ............................... ERRO! INDICADOR NÃO DEFINIDO. 3.2 OBJETIVOS ESPECÍFICOS ............... ERRO! INDICADOR NÃO DEFINIDO. 4. JUSTIFICATIVA DA PESQUISA .................. ERRO! INDICADOR NÃO DEFINIDO. 5. HISTORIA DA INTERNET ............................ ERRO! INDICADOR NÃO DEFINIDO. 6. SEGURANÇA EM REDES ............................ ERRO! INDICADOR NÃO DEFINIDO. 6.1 O QUE PROTEGER ............................ ERRO! INDICADOR NÃO DEFINIDO. 7. IPV6 ............................................................... ERRO! INDICADOR NÃO DEFINIDO. 7.1 CABEÇALHO IPV6 ............................. ERRO! INDICADOR NÃO DEFINIDO. 7.2 ENDEREÇAMENTO ........................... ERRO! INDICADOR NÃO DEFINIDO. 7.2.1 TIPOS DE ENDEREÇOS IPV6 ............... Erro! Indicador não definido. 7.3 PROTOCOLO ICMPV6 ....................... ERRO! INDICADOR NÃO DEFINIDO. 7.3.1 Mensagens ICMPv6 Neighbor Discovery .......... Erro! Indicador não definido. 8. SEGURANÇA EM IPV6 ................................ ERRO! INDICADOR NÃO DEFINIDO. 8.1 NEIGHBOR DISCOVERY PROTOCOL-NDP ........ ERRO! INDICADOR NÃO DEFINIDO. 44 8.2 INTERNET PROTOCOL SECURITY - IPSEC ....... ERRO! INDICADOR NÃO DEFINIDO. 9. FIREWALL .................................................... ERRO! INDICADOR NÃO DEFINIDO. 9.1 CLASSIFICAÇÃO DAS FIREWALLS . ERRO! INDICADOR NÃO DEFINIDO. 9.1.1 FIREWALLS ESTÁTICOS DE FILTRO-DE-PACOTES “STATELESS”................................................. Erro! Indicador não definido. 9.1.2 FIREWALLS DINÂMICOS, OU FIREWALLS DE INSPECÇÃO “STATEFULL” ................................................. Erro! Indicador não definido. 9.1.3 GATEWAYS DE APLICAÇÃO (ALG) E PROXYS Erro! Indicador não definido. 9.2 IPTABLE ............................................. ERRO! INDICADOR NÃO DEFINIDO. 9.3.1 Construção de Regras com Iptables ... Erro! Indicador não definido. 9.3 IP6TABLES ......................................... ERRO! INDICADOR NÃO DEFINIDO. 10. PROCEDIMENTOS METODOLÓGICOS .... ERRO! INDICADOR NÃO DEFINIDO. 11. ESBOÇO DOS CAPÍTULOS E SEÇÕES ... ERRO! INDICADOR NÃO DEFINIDO. REFERÊNCIAS ......................................................................................................... 44 REFERÊNCIAS AMOSS, John J.; MINOLI, Daniel. Handbook of IPv4 to IPv6 Transition: Methodologies for Institutional and Corporate Networks. New York: Auerbach Publications, 2008. ANDERSON, J. P. et al. Firewalls: an expert roundtable. IEEE Software, v. 14, n. 5, p. 60–66, 1997. ANDRADE, R. R. P.; Ferramentas para Administração e Segurança de Redes de Computadores: IpTables , 2006 BRITO, S. H. B.; IPv6 - O Novo Protocolo da Internet. 1. ed. São Paulo: Novatec, 2013. CUELLAR, A. 6.2 Firewall. Disponível em: http://vimeo.com/41251672. Acessado em 10/11/2013 DIZARD JR., Wilson. A nova mídia: a comunicação de massa na era da informação. Tradução: JORGE, Edmond. Revisão técnica: QUEIROGA, Antonio. 2a. Edição. Rio de Janeiro: Jorge Zahar Editor, 2000. ESQUIVEL, C. J.; GERENCIAMENTO DE REGRAS DE FIREWALL IPTABES EM AMBIENTE LINUX. Uberlândia, 2006. GIL, Antônio Carlos. Métodos e técnicas de pesquisa social. São Paulo: Atlas, 1999. HAGEN, Silvia. IPv6 Essentials: Integrating IPv6 into your IPv4 Network. 2 ed. Cambridge: O'Reilly Media, Inc, 2006. KIM, T. et al. A Cooperative Authentication of IP Sec and SEND Mechanisms in IPv6 Environments. In INTERNATIONAL CONFERENCE ON ADVANCED LANGUAGE PROCESSING AND WEB INFORMATION TECHNOLOGY, 2008 46 LAKATOS, Eva Maria; MARCONI, Marina de Andrade. Fundamentos de metodologia científica. São Paulo: Atlas, 1993. LATURNAS, D.; BOLTON, R. Dynamic silicon firewall. In: CANADIAN CONFERENCE ON ELECTRICAL AND COMPUTER ENGINEERING, 2005. LOSHIN, Pete. IPv6 Theory, Protocol and Pratice. 2 ed. San Francisco: Elsevier, 2004. MINOLI, Daniel. Voice Over IPv6: Architectures for Next Generation VoIP Networks. Amsterdam: Elsevier Inc, 2006. NAKAMURA, Emílio Tissato; GEUS, Paulo Lício. Segurança de Redes em Ambientes Cooperativos. 2ª. ed. São Paulo: Futura, 2003. NETO, U. Dominando Linux Firewall IPTABLES. Rio de Janeiro: Ciência Moderna, 2004. PIRES, A. L. N. Linux Netfilter/Iptables: Criação de Regras Básicas de Firewall. Disponível em: http://erin3.ifac.edu.br/?page_id=74. . Acessado em 15/11/2013. RFC 2402 - IP Authentication Header. Disponível em: http://www.ietf.org/rfc/rfc2402.txt. Acessado em 01/10/2013 RFC 2406 - IP Encapsulating Security Payload. Disponível em: http://www.ietf.org/rfc/rfc2406.txt. Acessado em 01/10/2013 RFC 2408 - Internet Security Assoc. and Key Management Protocol (ISAKMP). Disponível em: http://www.ietf.org/rfc /rfc2408.txt. Acessado em 01/10/2013 RFC 2411 - IP Security Document Roadmap. Disponível em: http://www.ietf.org/rfc/rfc2411.txt. Acessado em 01/10/2013 RFC 2647, Benchmarking Terminology for Firewall Performance, Disponível em: http://www.ietf.org/rfc/rfc2647. . Acessado em 01/10/2013 SANTOS, A. P. F. F. dos. Firewall & Linux: Tutorial de iptables. Disponível em: http://www.dei.isep.ipp.pt/~paf/proj/Set2002/Firewall%20%26%20Linux%20- %20Tutorial%20de%20iptables.pdf. . Acessado em 01/10/2013 SCHLEMER, E. Estrutura do Iptables. Disponível em: http://www.vivaolinux.com.br/artigo/Estrutura-do-Iptables/. Acessado em 06/11/2013. SHUE, C. A.; GUPTA, M.; MYERS, S. A. IPSec: Performance Analysis and Enhancements. In: IEEE INTERNATIONAL CONFERENCE ON COMMUNICATIONS, 2007. SILVA, Edna Lúcia da; MENEZES, Estera Muszkat; Metodologia da Pesquisa e Elaboração de Dissertação. 4 ed. Florianópolis: UFSC, 2005. 47 WEBSENSE. Configuração do Gateway. Disponível em: http://www.websense.com/content/support/library/web/v75/wws_deploy_guide/deploying_na _gateway_config.aspx. Acessado em 10/11/2013 ZWICKY, ELIZABETH D.; Construindo Firewalls para a Internet. 2ª ed. Rio de Janeiro, Editora Campus,2001.
Compartilhar