Através desta aba é possível habilitar e configurar as políticas de entrada para as portas e serviços locais do Blockbit UTM.

Além disso, esta aba permite efetuar a configuração dos parâmetros de segurança e controles de conexão do Firewall.


O item Parâmetros de Segurança define as configurações básicas de segurança e os parâmetros dos controles de conexão, que são responsáveis por manter as informações sobre o estado de todas as conexões e sessões do Firewall disponíveis.


Os recursos pré-configurados referente aos itens das “Configurações de conexões” desta interface referem-se aos parâmetros de controle das conexões, a alteração destes valores implica diretamente no resultado de desempenho do servidor.


Para acessar, clique em "General Settings".



Aba General Settings


Surgirá a tela “General Settings”, conforme demonstrado pela imagem abaixo:

 

General Settings


A tela "General Settings" é composta pelos seguintes painéis e recursos:


A seguir detalharemos cada componente dos painéis:

Advanced Settings

Permite configurar o número de processos simultâneos e threads por processo:

General Settings - Advanced options


Simultaneous Processes: Permite selecionar o número de processos simultâneos no Firewall (Mínimo de 2 e máximo de 8). É importante lembrar que os valores podem variar para cada modelo de appliance, pois dependem do número de Core de CPUs disponível.

Para verificar o número de CPUs de seu appliance no terminal digite o comando lscpu e confirme o valor na linha CPU(s).

Threads per Process: Permite selecionar o número de ramificações por processo no Firewall (Mínimo de 20 e máximo de 40). 


Esta configuração fará o sistema recarregar o serviço de Firewall o que pode gerar intermitência na rede.

Após selecionar o número desejado, clique em salvar [] para gravar suas alterações.


Security Settings

Serve para detalhar alguns dos itens de configurações dos parâmetros de segurança.


General Settings - Security Settings


DoS Protection

Este recurso permite o bloqueio contra-ataques de negação de serviço (também conhecido como Denial of Service - DoS), é uma tentativa de tornar os recursos de um sistema indisponíveis para os seus utilizadores. Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga, as técnicas suportadas são: SYN Flood, TCP Flood, UDP Flood e ICMP Flood.


Dos Protection


Ao clicar no botão [] a tela abaixo será exibida:


Dos Protection - Janela


  • SYN Flood limit (per second): Determina o limite de pacotes recebidos de modo a prevenir ataques SYN Flood. O valor mínimo é 100 e o valor padrão é 2000;
  • SYN Burst: O valor mínimo é 1 e o valor padrão é 100;
  • TCP Flood limit (per second): Determina o limite de acesso TCP de modo a prevenir ataques TCP Flood. O valor mínimo é 100 e o valor padrão é 2000;
  • TCP Burst: O valor mínimo é 1 e o valor padrão é 100;
  • UDP Flood limit (per second): Determina o limite de acesso UDP de modo a prevenir ataques UDP Flood. O valor mínimo é 100 e o valor padrão é 2000;
  • UDP Burst: O valor mínimo é 1 e o valor padrão é 100;
  • ICMP Flood limit (per second): Determina o limite de acesso ICMP de modo a prevenir ataques  ICMP Flood. O valor mínimo é 100 e o valor padrão é 2000;
  • ICMP Burst: O valor mínimo é 1 e o valor padrão é 100.


IP Spoofing Protection

Este recurso habilita a proteção de IP Spoofing na zona de rede desejada.


IP Spoofing protection.


Zonas com [Proteção IP Spoofing] não permitem o uso do SD-WAN.


Ao clicar no botão [] a tela abaixo será exibida:


IP Spoofing protection Zones


Este recurso habilita a proteção de IP Spoofing na zona de rede desejada.


Esta opção pode causar problemas com o serviço de SD-WAN


Alert: SD-WAN and IP Spoofing Protection problems.


PortScan Protection

Este recurso permite identificação e o bloqueio de aplicativos com o objetivo de mapear as portas TCP e UDP. Aplicativos PortScan tentam identificar o status das portas, se estão fechadas, escutando ou abertas. Geralmente, os port scanners são usados por pessoas mal-intencionadas para identificar portas abertas, explorar vulnerabilidades e planejar invasões. Recomendação: Ex: “[Habilitar]”. 


PortScan Protection


Invalid Packet Protection

São considerados pacotes inválidos os que não respeitam o padrão do diagrama de estado TCP (handshake). Recomendação: Ex: “[Habilitar]”. O serviço de firewall descarta os pacotes considerados inválidos.


Invalid Packet Protection


Allow Ping

Este recurso permite que todas as solicitações de PING (Echo Request e Echo Reply) sejam respondidas através de qualquer interface de rede do sistema. Recomendação: Ex: “[Desabilitar]”.


Allow Ping 


Allows ICMP Redirect

Este recurso é um tipo mensagem utilizada por roteadores para notificar hosts do mesmo segmento de rede, que existe um caminho (rota) melhor para um determinado destino. Recomendação: Ex: “[Desabilitar]”.


Allows ICMP Redirect

Este item vem com padrão [Habilitado] por identificação de inúmeras estruturas de rede mal definidas.

Ignore ICMP Broadcast

Esse recurso ignora o tráfego ICMP Broadcast, usado para fazer com que servidores participem involuntariamente de ataques DOS, enviando grande quantidade de pings aumentando exponencialmente o tráfego NETBIOS da rede e tornando os serviços reais indisponíveis.

Recomendação: Ex: “[Habilitar]” Ignore ICMP Broadcast.


Ignore ICMP Broadcast


Source Routing

Este recurso permite aplicar testes de roteamento atrás do firewall, permitem ao emissor do pacote especificar o caminho de ida e volta do pacote. Recomendação: Ex: “[Desabilitado]”.


Source Routing - Roteamento de origem


O roteamento de origem consiste em um mecanismo de protocolo que permite o transporte de informações por um pacote IP. Informações como listas de endereços, informando ao roteador o caminho que o pacote deve seguir. Conta também com opção para gravar os saltos à medida que a rota é percorrida. O registro de rota, que lista os saltos realizados, fornece ao destino um caminho de retorno para a origem. Isso permite que a origem (o host de envio) especifique a rota, de maneira vaga ou estrita, ignorando as tabelas de roteamento de alguns ou de todos os roteadores. Permite também que um usuário redirecione o tráfego de rede para fins maliciosos. Logo, o roteamento baseado na origem deve ser desabilitado.

A opção "Roteamente de Origem" faz com que as interfaces de rede aceitem pacotes com o conjunto de opções Strict Source Route (SSR) ou Loose Source Routing (LSR). A aceitação dos pacotes roteados de origem é controlada pelas configurações do kernel. Portanto, para emitir o comando de descarte dos pacotes com o conjunto de opções SSR ou LSR, deve-se manter o checkbox desabilitado.


Checksum

Pacotes com checksums ruins ficam em estado inválido. Com esta opção ativada, tais pacotes não serão considerados para rastreamento de conexão na session tracking.


Checksum



Invalid Log

Habilita logs de pacotes com estado INVÁLIDO.

Invalid Log


Forward Error Correction

Consiste em um método de controle de erros em uma  transmissão de dados. Durante uma transmissão de dados de uma determinada fonte a um destino, normalmente os dados são reconhecidos sem erro, ainda que uma parte dos dados seja perdida. Com esta opção, os pacotes de dados são recebidos duas vezes e aceitos somente com validação em ao menos uma instância. 


FEC - Forward error correction

Max Connections

Número máximo de conexões.

Max connections


TCP Max Orphans

Número máximo de TCP sockets não associados a processos ou serviços, que são executados pelo OS no user space. Caso este número seja excedido, as conexões são imediatamente resetadas.


TCP Max Connections


Timeouts

Os demais recursos pré-configurados referente os itens das “Configurações de conexões” desta interface referem-se aos parâmetros da “Session Track”, a alteração destes valores implica diretamente no resultado de desempenho do servidor.


General Settings - Timeout


Generic Timeout

Este parâmetro é usado para informar em segundos a session tracking o tempo limite genérico caso não seja possível determinar o protocolo usado e nem usar valores mais específicos. Qualquer fluxo ou pacote que entra no firewall que não pode ser totalmente identificado como qualquer outro tipo de protocolo receberá um tempo limite genérico definido neste parâmetro. O valor mínimo é 0 e o valor padrão é 600 segundos.


Generic Timeout


ICMP Timeout

Usada para definir em segundos o tempo limite para os pacotes ICMP que resultarão no tráfego de retorno. Em outras palavras, incluir ECHO REQUEST and REPLY, TIMESTAMP REQUEST and REPLY, INFORMATION REQUEST and REPLY e ADDRESS MASK REQUEST and REPLY. Uma vez que é feito um dos pedidos, deve haver um pacote de retorno, e é quando o tempo limite do ICMP é contabilizado. Normalmente uma resposta ICMP é bastante rápida, a menos que seja utilizada uma conexão muito lenta. O valor mínimo é 0 e o valor padrão é 30.


ICMP Timeout


Max Connections

Tamanho máximo da tabela de session tracking, ou seja, de conexões estabelecidas simultaneamente. O valor padrão é 300.000 segundos.


Max


TCP Loose

Habilita/Desabilita o levantamento de novas entradas de conexões já estabelecidas na tabela session tracking. O valor mínimo é 0 e o valor padrão é 1 (habilitado), para desabilitar, definir o valor 0.


TCP Loose


TCP Max Retrans

Define o número máximo de pacotes TCP que podem ser retransmitidos sem receber um ACK aceitável do destino. O valor mínimo é 0 e o valor padrão é 3.


TCP max retrans


TCP Timeout Close

Define o valor padrão de timeout em segundos para conexões TCP no estado CLOSE, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o padrão é 10 segundos.


TCP timeout close


TCP Timeout Close Wait

Define o valor padrão de timeout em segundos para conexões TCP com estado CLOSE-WAIT, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o padrão é 30 segundos.


TCP timeout close wait


TCP Timeout Established

Define o timeout em segundos para conexões TCP estabelecidas, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 180000 segundos (equivalente a 2,08 dias).


TCP timeout established


TCP Timeout FIN Wait

Define o timeout em segundos para conexões TCP com estado FIN-WAIT-1 e FIN-WAIT-2, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 30 segundos.


Timeout TCP FIN wait


TCP Timeout Last ACK

Define o timeout em segundos para conexões TCP com o estado LAST-ACK, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 30 segundos.


TCP timeout last ACK


TCP Timeout Max Retrans

Define o timeout em segundos para as conexões TCP que atingem o número máximo de retransmissões definido na opção "TCP max retrans" sem receber um ACK aceitável dos destinos. O valor mínimo é 0 e o valor padrão é 300 segundos.


TCP timeout max retrans


TCP Timeout SYN Recv

Define o timeout em segundos para conexões TCP com o estado SYN RECV, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 60 segundos.


TCP timeout SYN recv


TCP Timeout SYN Sent

Define o timeout em segundos para conexões TCP com o estado SYN SENT, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 120 segundos.


TCP timeout SYN sent


TCP Timeout Time Wait

Define o timeout em segundos para conexões TCP com o estado TIME WAIT, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 60 segundos.


TCP timeout time wait


TCP Retries

Define quantas vezes se tentará efetuar a retransmissão de pacotes TCP em uma conexão estabelecida. Quando esse limite é excedido, antes de cada nova retransmissão a camada de rede terá sua rota atualizada. O valor padrão é 3.


TCP retries


TCP Max Retries

Define o máximo de vezes que a retransmissão de pacotes TCP será efetuada antes de interromper esse processo. O valor padrão é 15 (equivale a cerca de 13 a 30 minutos).


TCP max retries


TCP SYN Retries

Determina no máximo quantas vezes serão retransmitidos os SYNs iniciais em uma tentativa de conexão TCP ativa. O valor padrão é 5 (equivale à cerca de 180 segundos) e o valor máximo é 255.


TCP SYN retries


TCP Reordering

Este valor define o limite máximo para que a reordenação seja efetuada em pacotes de um fluxo TCP sem que o protocolo assuma que haja perca destes pacotes e tenha o desempenho da sua inicialização reduzido. O valor padrão é 3.


ATENÇÃO: Não altere este valor sem ter completa certeza do que está fazendo. Ele atua detectando a reordenação dos pacotes e serve para minimizar retransmissões (necessárias ou não) causadas pelo reordenamento dos pacotes da conexão.


TCP reordering


TCP Enhanced Retransmission Timeout (F-RTO)

F-RTO significa Forward Retransmission TimeOut, trata-se de um algoritmo cuja função é detectar e melhorar o limite de tempo na retransmissão ilegítima usando o protocolo TCP e SCTP (controle de fluxo).


Para mais detalhes a respeito deste recurso, consulte o RFC 4138.


TCP enhanced retransmission timeout (F-RTO)


TCP Selective Acknowledgements

Este campo permite ativar ou desativar o recurso TCP Selective Acknowledgements (SACK). Esta funcionalidade atua enviando ao remetente um informe de tudo que foi recebido com sucesso de modo que todos os pacotes de dados e segmentos que foram perdidos, possam ser enviados novamente pelo remetente, garantindo a integridade dos pacotes de dados e limitando a quantia de retransmissões. Por padrão, este campo fica habilitado.


Para mais detalhes a respeito deste recurso, consulte o RFC 2018.


TCP selective acknowledgements


UDP Timeout

Esse recurso define o tempo máximo que uma conexão permanece ativa em estado ocioso, ou seja, sem nenhum tráfego. Uma vez atingido o tempo limite configurado, o sistema remove todas as conexões do protocolo UDP, que estão no estado ocioso com o tempo limite configurado excedido. O valor mínimo é 0 e o valor padrão é 30 segundos


UDP timeout


UDP Timeout Stream

Define o timeout em segundos para conexões UDP STREAM (ASSURED). O valor mínimo é 0 e o valor padrão é 180 segundos.


UDP timeout stream

  • No labels