Re: [sw_livre] Firewall em Linux

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Infelizmente a conta com que tentei enviar não era a com que estou
registado... :-P

João

>
>
> Subject:
> Re: [sw_livre] Firewall em Linux
> From:
> Joao Pedro Franco e Silva <joao.fsilva@ine.pt>
> Date:
> Tue, 22 Mar 2005 13:42:53 +0000
> To:
> "Software Livre @ AP" <sw_livre@softwarelivre.citiap.gov.pt>
> To:
> "Software Livre @ AP" <sw_livre@softwarelivre.citiap.gov.pt>
>
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Cara Manuela:
>
> Mais uma vez, como já tem sido dito, é crítica a preocupação com
> segurança.
>
> Este tipo de implementações é muito pouco dada experiências em
> sistemas críticos, pois as lições que podemos tirar dos erros que
> cometemos podem-nos trazer grandes dissabores.
>
> Cá no INE andamos a testar a gestão das nossas firewalls com o
> Firewall Builder (http://www.fwbuilder.org/).
>
> Tem um interface gáfico de fácil apreensão e, até agora, temos tido
> bons resultados com firewalls simples.
>
> Também estamos a tentar implementar uma firewall de alta
> disponibilidade para substituir a nossa principal.
>
> No entanto, o método de conversão utilizado pelo FWBuilder para
> comandos de iptables é um bocado ineficiente devido ao número de
> regras que ele cria, vindo depois a comprometer em parte o seu
> desempenho se tivermos uma política de segurança muito extensa
> (muitas regras a avaliar).
>
> Também temos vindo a detectar algumas falhas a nível do "shadowing"
> de regras (isto é, às verificações realizadas para ver se há
> sobreposição de regras).
>
> Para já apenas queremos a alta disponibilidade e a firewall a
> funcionar, pelo que, apenas no caso da firewall principal, temos
> optado por uma gestão manual.
>
> O interface apresentado pelo FWBuilder é em tudo semelhante aos
> apresentados pelos seu concorrentes comerciais.
>
> Como é possível depreender pelas linhas acima, *ainda* acreditamos
> mais no domínio humano dos comandos iptables do que num interface
> gráfico que serve de frontend para esses mesmos comandos.
>
> Com um bom domínio da sintaxe é possivel reduzir bastante o número
> de regras a adicionar à nossa política de segurança, implementado o
> mesmo número de funcionalidades e obtendo um melhor desempenho.
>
> O método do "back-engeneering" pode ser usado recorrendo ao
> FWBuilder e aos manuais (man iptables) do iptables.
>
> Geram-se umas politicas de segurança, grava-se o ficheiro
> resultante e com um editor de texto analisam-se os comandos
> gerados, tal como muitas pessoas que aprenderam HTML fazendo
> recurso a editores WYSIWYG
> (http://www.urbandictionary.com/define.php?term=WYSIWYG&r=f).
>
> A minha sugestão vai no sentido de que faça umas exeriências ora
> com o FWBuilder, ora com comandos iptables, mas nunca numa máquina
> de
> produção.
>
> Caso deseje, podemos combinar uma pequena introdução ao FWBuilder e
> ao iptables aqui no INE.
>
> Caso a política de segurança que deseja implementar seja simples,
> se tivermos tempo, podemos tentar implementá-la em conjunto (para
> tal será necessário que reuna previamente uma lista dos acessos que
> pretender ter e um pequeno diagrama das redes/hosts envolvidos).
>
>
> Melhores Cumprimentos
> João Silva
>
>
>
> (SG) Manuela Moreira wrote:
> > Bom dia,
> >
> > Necessito de instalar um Firewall em Linux mas nada percebo
> > disto. Tenho alguma formação em Unix mas já lá vai muito tempo e
> > julgo que há as suas diferenças..
> > A minha preocupação é maior ainda com a segurança porque ouço
> > dizer que no Linux vem tudo aberto e somos nós que temos que
> > tratar da segurança quase instrução a instrução.
> > Não me dão umas dicas? Como devo começar?
> >
> > Cunprimentos,
> > Manuela Moreira
> > Secretaria Geral - Comunicações
> > Ministério das Actividades Económicas e do Trabalho
> >
> >
> > _______________________________________________
> > sw_livre mailing list
> > sw_livre@softwarelivre.citiap.gov.pt
> > http://www.softwarelivre.citiap.gov.pt:8080/mailman/listinfo/sw_li
> > vr e
> >
>
> - --
> João Pedro Franco e Silva
> Coordenador
> INE::DSI::IT - Núcleo de Segurança Informática
> tel: +351 21 8426100 fax: +531 21 8426363
>
> -----BEGIN PGP SIGNATURE-----
> Version: PGP 8.1
>
> iQA/AwUBQkAg2sj3sZJE0bUdEQLcWQCgk3w7Jb2v4o+ciy0oQ48VGFDilWgAoIua
> OOWWxe8SsxSSNnyyesHK8Rp7
> =uKQd
> -----END PGP SIGNATURE-----
>

- --
João Pedro Franco e Silva
http://www.silverspot.org

-----BEGIN PGP SIGNATURE-----
Version: PGP 8.1

iQA/AwUBQkAjj1FDLomGxaM2EQJiAQCgpd2MbE4RXgT3K8ibOmBnmDyiGggAoN8k
jn6hUGd7gfdC7YHkNO8J6Zje
=QM2S
-----END PGP SIGNATURE-----
Received on Tue Mar 22 13:46:32 2005