2.1 - Como os serviços são filtrados

Segundo Nemeth et all (2004) a maioria dos serviços conhecidos está associada a uma porta de rede, no Linux esta associação está no arquivo /etc/services e em outros fabricantes em um arquivo equivalente. Os aplicativos que fornecem os serviços vinculam os serviços às portas e ficam aguardando conexões remotas a estas portas. A maioria das portas de serviços mais conhecidas são chamadas de privilegiadas e os seus números estão entre 1 a 1023. As portas com numeração de 1024 acima são conhecidas como portas não privilegiadas.

As portas privilegiadas podem ser usadas por processos que estão sendo executados como root, assim a filtragem de serviços específicos baseia-se na suposição de que o cliente que iniciará a conversação através de TCP ou UDP utilizará uma porta não privilegiada para conectar-se a uma porta privilegiada no servidor.

Segundo o mesmo autor, para permitir o uso de serviços SMTP, por exemplo, seria necessário instalar um filtro, que permita que pacotes TCP endereçados à porta 25, saiam da rede com destino a qualquer endereço externo.

O autor afirma ainda que a maneira mais segura de usar um filtro de pacotes é iniciar a configuração que não permita nada a não ser SMTP que chega. Em seguida seriam liberadas as portas para serviços necessários e úteis para a rede e que não estariam em funcionamento.

Segundo Kurose (2006) a filtragem de pacotes normalmente é baseada em:

  1. Endereço IP de origem e destino,
  2. Porta TCP ou UDP de origem e destino,
  3. Tipo de mensagem ICMP,
  4. Datagramas de inicialização de conexão usando bits TCP SYN ou ACK.
Copyright © 2014 AIEC.