Novo Firewall

Foi então me dada a incumbência de construir um novo firewall para a F9C. O firewall deveria utilizar o Linux como sistema operacional, seria ainda Servidor de Nomes para a empresa, e teria que rodar um Servidor de E-mails para servir de mail-relay para a rede: todos os e-mails endereçados tanto para a F9C como para os nossos clientes deveriam chegar primeiro no firewall, que encaminharia então o e-mail para um servidor de correio interno. Além disso, teria que encaminhar pacotes dirigidos aos endereços www.f9c.com.br e www.actioncambio.com.br para o servidor Web que ficava protegido pelo firewall, e possuía endereço IP de rede interna.

O firewall também deveria ser configurado para máxima segurança. Ele seria o único componente da rede com um IP válido, e acessível de qualquer lugar do mundo. Portanto, ele seria o principal alvo de ataques da nossa rede. Se um cracker conseguisse acesso ao nosso firewall, ele poderia de lá conseguir acesso à rede inteira da empresa.

Para conseguir configurar o servidor com o máximo de segurança, li diversos artigos na Internet, principalmente um livro chamado Securing and Optimizing Linux: Red Hat Edition[3]. Este livro contém instruções passo-a-passo sobre como configurar o RedHat para o máximo de segurança. Além das `receitas de bolo' para configuração, o autor também discute os motivos das alterações e expõe quais vulnerabilidades existiriam caso as mudanças não fossem realizadas. É um guia extremamente prático e útil para quem deseja configurar um servidor Linux com o máximo de segurança.

Utilizei o BIND como servidor de nomes, e para configurá-lo e instalá-lo li o Securing and Optimizing Linux: Red Hat Edition[3], mas também utilizei o DNS and BIND[1] para aprender melhor o funcionamento de um servidor de nomes e como configurá-lo.

Para cumprir o papel de servidor de e-mail, escolhi o Qmail, apesar de alguns protestos dos meus colegas de trabalho, que prefeririam o Sendmail. Mas eu confiei na palavra do Prof. Arnaldo Mandel e insisti em instalar o Qmail, que no final se mostrou mais fácil de instalar e configurar, além da vantagem de ter reputação de ser bem mais seguro que o Sendmail. Para a instalação e configuração do pacote utilizei a documentação do próprio Qmail e as informações do www.qmail.org.

Como filtro de pacotes foi utilizado o ipchains, que já é nativo do Linux. Para compreender sua utilização li bastante o Firewall HOW-TO e o IPCHAINS HOW-TO, existentes na própria documentação do Linux. Para administração remota do Firewall, instalei o OpenSSH^3.4, que é uma implementação gratuita do SSH. Para sua instalação e configuração consultei o Securing and Optimizing Linux: Red Hat Edition[3] e também a lista de discusões do OpenSSH.

Também configurei as regras de filtragem de pacotes do Firewall. Para entender melhor quais pacotes eu deveria permitir passar e quais eu deveria barrar, bem como para entender o funcionamento de alguns protocolos li bastante os livros Building Internet Firewalls[7] e Computer Networks[5].