Segurança nos Roteadores IBM

Ana Claudia Ritt <ana@pop-pr.rnp.br>

Rede Nacional de Ensino e Pesquisa (RNP)

Introdução
Roteador IBM 6611
Aspectos de segurança
Filtros
Roteador IBM 2210
Aspectos de segurança
Filtros
Conclusão
Sites relacionados

Os filtros de pacotes são uma ferramenta de grande auxílio na segurança de redes. Já tivemos neste boletim artigos tratando sobre filtros em roteadores Cisco , Linux e FreeBSD .
Agora é a vez dos roteadores IBM, sobre os quais falaremos não só de filtros, mas também de algumas configurações adicionais que contribuem para a segurança.

Introdução

Quando se trata da segurança de uma rede, vários itens podem ser considerados nos próprios roteadores, envolvendo filtros, SNMP, hosts de configuração, entre outros. São mecanismos relativamente fáceis de serem implementados. A complexidade surge com a elaboração das regras, o que irá depender dos recursos que o equipamento tem disponíveis e do nível desejado.

Entretanto, não podemos garantir a segurança utilizando somente estas ferramentas; o que faremos é contribuir com a mesma.

Roteador IBM 6611

Aspectos de segurança

Para a configuração do roteador IBM 6611, é indicado o uso do programa de configuração gráfico, disponível para AIX, Windows e OS2. Para buscar a configuração no roteador:

SNMP - O SNMP, usado para gerência de redes, deve ser configurado para limitar o acesso a hosts autorizados. No 6611, pode ser permitido o acesso de um host ou de uma rede e alterada a comunidade.
Configuration Hosts - Por default, qualquer máquina que tenha o programa de configuração do IBM 6611 pode alterar sua configuração. Para limitar o acesso:
IP Source Routing - Este comando permite que o originador de um pacote defina uma rota arbitrária, o que pode ser usado para driblar medidas de segurança. Deve, portanto, ser desabilitado:

Filtros

A linha dos roteadores 6611 foi descontinuada pela IBM. Em termos de filtros, como era de se esperar, eles se apresentam mais limitados do que os do modelo 2210.

Eles podem ser colocados para bloquear todo o tráfego; portas TCP ou UDP; portas TCP ou UDP de origem ou destino, de uma determinada rede ou máquina ou com origem e destino.

Estes filtros podem ser colocados nas interfaces ou de maneira global. Ao todo, podem existir 50 regras e, para cada uma delas, podem ser associadas 4 portas TCP ou UDP. Cada regra deve possuir uma identificação (ID) única, não importando se as intefaces são diferentes. Sempre os filtros são lidos na seqüência em que são colocados, sendo necessário primerio permitir o que deve ser permitido e depois negar o restante.

Para adicionar filtros na interface:

Para adicionar filtros de maneira global:

Janela de configuração:

Filter ID - Número do filtro de 1 a 50 (único para cada regra).
Filter Type - Configuração do filtro como de entrada, ou seja, que irá ser aplicado a tudo que chega ao roteador, ou com origem e destino.
Filtering Mode - Configuração do filtro como permit ou deny.
Filter IP Address 1 - Endereço IP de origem.
Filter Subnet Mask 1 - Máscara do IP de origem.
Filter IP Address 2 - Endereço IP de destino.
Filter Subnet Mask 2 - Máscara do IP de destino.
Protocol -

Roteador IBM 2210

Aspectos de segurança

SNMP - Deverá ser configurado para dar acesso somente à máquinas ou redes autorizadas:
Directed-broadcast - Este comando permite que seja enviado um pacote com destino ao broadcast de uma rede qualquer. Deve ser desabilitado:
IP source-routing - Tem a mesma finalidade que no 6611: permite ao originador de um pacote definir uma rota arbitrária. Deve ser desabilitado:

Filtros

Existem três formas de filtros no IBM 2210, todas elas dentro de:

a) Filter

Bloqueia todos os pacotes com destino a uma determinda rede ou host.

Exemplo: Bloqueando o acesso ao host 1.2.3.4

Podem também ser adicionados vários hosts ou redes. Para retirar um filtro:

Exemplo:

Para listar os filtros existentes:

O filtro tem efeito no momento que é colocado e deixa de ter efeito no momento que é retirado.

b) Access-controls

Usado para colocar filtros de maneira global no roteador. Aqui, a ordem da colocação das regras é de fundamental importância.

Type - E (exclusive) para negar o acesso;

A lista dos números de protoclos e portas pode ser conseguida na RFC 1700.

Para que um pacote tenha permissão para passar pelo roteador é necessária uma entrada inclusive para o mesmo. Assim sendo, se o que não está sendo negado é permitido, é necessária uma regra permitindo todos os protocolos no final do conjunto.

Exemplo: Bloquear pacotes ICMP do host 1.2.3.4 para a rede 200.200.200.0 e permitir o restante.

As regras colocadas podem ser listadas, retiradas ou alteradas. Com o comando list é mostrado na primeira coluna o número da regra, que será solicitado em caso de alteração ou retirada:

Para habilitar o "access-control" deve ser usado o comando:

Para que as regras tenha efeito deve-se reiniciar o roteador, o mesmo acontece para desabilitá-las:

As regras podem ser verificadas em:

c) Packet-filter

Filtro colocado por interface.

Depois de adicionado, deve-se configurar o filtro:

Como exemplo, um filtro chamado filtro1:

Neste momento, podem ser listadas, alteradas, adicionadas ou retiradas regras, exatamente da mesma forma que um access-control.

Para habilitar o filtro:

Aqui também para que tenham efeito deve ser reiniciado o roteador com o comando restart e o access-control deve estar "setado" em on.

Os filtros podem ser verificados em:

Conclusão

Os filtros são uma ferramenta muito útil para a segurança de redes e, como foi visto, no 2210 podem ser implementadas regras mais completas que no 6611. Os outros comandos citados vêm como um complemento.

O que vale ressaltar é que em nenhum caso podem ser considerados como uma solução completa para a segurança de uma rede; e sim como uma ferramenta de auxílio.