Através desta aba é possível habilitar e configurar as políticas de entrada para as portas e serviços locais do Blockbit UTM.

Além disso, esta aba permite efetuar a configuração dos parâmetros de segurança e controles de conexão do firewall.


O item Parâmetros de Segurança define as configurações básicas de segurança e os parâmetros dos controles de conexão responsável em manter as informações do estado de todas as conexões e sessões do Firewall.


Os recursos pré-configurados referente aos itens das “Configurações de conexões” desta interface referem-se aos parâmetros de controle das conexões, a alteração destes valores implica diretamente no resultado de desempenho do servidor.


Para acessar, clique em "General Settings".



Aba General Settings


Surgirá a tela “General Settings”, conforme demonstrado pela imagem abaixo:

 

General Settings


A tela "General Settings" é composta pelos seguintes painéis e recursos:



A seguir detalharemos cada componente dos painéis:


Security Settings


Serve para detalhar alguns dos itens de configurações dos parâmetros de segurança.


General Settings - Security Settings


DoS Protection


Este recurso permite o bloqueio contra-ataques de negação de serviço (também conhecido como Denial of Service - DoS), é uma tentativa de tornar os recursos de um sistema indisponíveis para os seus utilizadores. Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga, as técnicas suportadas são: SYN Flood, TCP Flood, UDP Flood e ICMP Flood.


Dos Protection


Ao clicar no botão [] a tela abaixo será exibida:


Dos Protection - Janela


  • SYN Flood limit (per second): Determina o limite de pacotes recebidos de modo a prevenir ataques SYN Flood. O valor mínimo é 100 e o valor padrão é 2000;
  • SYN Burst: O valor mínimo é 1 e o valor padrão é 100;
  • TCP Flood limit (per second): Determina o limite de acesso TCP de modo a prevenir ataques TCP Flood. O valor mínimo é 100 e o valor padrão é 2000;
  • TCP Burst: O valor mínimo é 1 e o valor padrão é 100;
  • UDP Flood limit (per second): Determina o limite de acesso UDP de modo a prevenir ataques UDP Flood. O valor mínimo é 100 e o valor padrão é 2000;
  • UDP Burst: O valor mínimo é 1 e o valor padrão é 100;
  • ICMP Flood limit (per second): Determina o limite de acesso ICMP de modo a prevenir ataques  ICMP Flood. O valor mínimo é 100 e o valor padrão é 2000;
  • ICMP Burst: O valor mínimo é 1 e o valor padrão é 100.


IP Spoofing Protection



Este recurso habilita a proteção de IP Spoofing na zona de rede desejada.


IP Spoofing protection.


Zonas com [Proteção IP Spoofing] não permitem o uso do SD-WAN.


Ao clicar no botão [] a tela abaixo será exibida:


IP Spoofing protection Zones


Este recurso habilita a proteção de IP Spoofing na zona de rede desejada.


Esta opção pode causar problemas com o serviço de SD-WAN


Alert: SD-WAN and IP Spoofing Protection problems.


PortScan Protection


Este recurso permite identificação e o bloqueio de aplicativos com o objetivo de mapear as portas TCP e UDP. Aplicativos PortScan tentam identificar o status das portas, se estão fechadas, escutando ou abertas. Geralmente, os port scanners são usados por pessoas mal-intencionadas para identificar portas abertas, explorar vulnerabilidades e planejar invasões. Recomendação: Ex: “[Habilitar]”. 


PortScan Protection


Invalid Packet Protection


São considerados pacotes inválidos os que não respeitam o padrão do diagrama de estado TCP (handshake). Recomendação: Ex: “[Habilitar]”. O serviço de firewall descarta os pacotes considerados inválidos.


Invalid Packet Protection


Allow Ping


Este recurso permite que todas as solicitações de PING (Echo Request e Echo Reply) sejam respondidas através de qualquer interface de rede do sistema. Recomendação: Ex: “[Desabilitar]”.


Allow Ping 


Allows ICMP Redirect


Este recurso é um tipo mensagem utilizada por roteadores para notificar hosts do mesmo segmento de rede, que existe um caminho (rota) melhor para um determinado destino. Recomendação: Ex: “[Desabilitar]”.


Allows ICMP Redirect

Este item vem com padrão [Habilitado] por identificação de inúmeras estruturas de rede mal definidas.

Ignore ICMP Broadcast


Esse recurso ignora o tráfego ICMP Broadcast, usado para fazer com que servidores participem involuntariamente de ataques DOS, enviando grande quantidade de pings aumentando exponencialmente o tráfego NETBIOS da rede e tornando os serviços reais indisponíveis.

Recomendação: Ex: “[Habilitar]” Ignore ICMP Broadcast.


Ignore ICMP Broadcast


Source Routing


Este recurso permite aplicar testes de roteamento atrás do firewall, permitem ao emissor do pacote especificar o caminho de ida e volta do pacote. Recomendação: Ex: “[Desabilitado]”.


Source Routing 

O roteamento de origem consiste em um mecanismo de protocolo que permite o transporte de informações por um pacote IP. Informações como listas de endereços, informando ao roteador o caminho que o pacote deve seguir. Conta também com opção para gravar os saltos à medida que a rota é percorrida. O registro de rota, que lista os saltos realizados, fornece ao destino um caminho de retorno para a origem. Isso permite que a origem (o host de envio) especifique a rota, de maneira vaga ou estrita, ignorando as tabelas de roteamento de alguns ou de todos os roteadores. Permite também que um usuário redirecione o tráfego de rede para fins maliciosos. Logo, o roteamento baseado na origem deve ser desabilitado.


A opção "Roteamente de Origem" faz com que as interfaces de rede aceitem pacotes com o conjunto de opções Strict Source Route (SSR) ou Loose Source Routing (LSR). A aceitação dos pacotes roteados de origem é controlada pelas configurações do kernel. Portanto, para emitir o comando de descarte dos pacotes com o conjunto de opções SSR ou LSR, deve-se manter o checkbox desabilitado.


Checksum


Pacotes com checksums ruins ficam em estado inválido. Com esta opção ativada, tais pacotes não serão considerados para rastreamento de conexão na session tracking.


Checksum



Invalid Log


Habilita logs de pacotes com estado INVÁLIDO.


Invalid Log


Forward Error Correction

Consiste em um método de controle de erros em uma  transmissão de dados, na qual a fonte emite dados redundantes e o destino reconhece apenas uma parte dos dados, aparentemente sem nenhum erro. Com esta opção, os pacotes de dados são recebidos duas vezes e aceitos somente com validação em ao menos uma instância. 


FEC - Forward error correction

Max Connections

Número máximo de conexões.

Max connections


TCP Max Orphans

Número máximo de TCP sockets não associados a processos ou serviços, que são executados pelo OS no user space. Caso este número seja excedido, as conexões são imediatamente resetadas.


TCP Max Connections


Timeouts


Os demais recursos pré-configurados referente os itens das “Configurações de conexões” desta interface referem-se aos parâmetros da “Session Track”, a alteração destes valores implica diretamente no resultado de desempenho do servidor.


General Settings - Timeout


Generic Timeout


Este parâmetro é usado para informar em segundos a session tracking o tempo limite genérico caso não seja possível determinar o protocolo usado e nem usar valores mais específicos. Qualquer fluxo ou pacote que entra no firewall que não pode ser totalmente identificado como qualquer outro tipo de protocolo receberá um tempo limite genérico definido neste parâmetro. O valor mínimo é 0 e o valor padrão é 600 segundos.


Generic Timeout


ICMP Timeout


Usada para definir em segundos o tempo limite para os pacotes ICMP que resultarão no tráfego de retorno. Em outras palavras, incluir ECHO REQUEST and REPLY, TIMESTAMP REQUEST and REPLY, INFORMATION REQUEST and REPLY e ADDRESS MASK REQUEST and REPLY. Uma vez que é feito um dos pedidos, deve haver um pacote de retorno, e é quando o tempo limite do ICMP é contabilizado. Normalmente uma resposta ICMP é bastante rápida, a menos que seja utilizada uma conexão muito lenta. O valor mínimo é 0 e o valor padrão é 30.


ICMP Timeout


Max Connections


Tamanho máximo da tabela de session tracking, ou seja, de conexões estabelecidas simultaneamente. O valor padrão é 300.000 segundos.


Max


TCP Loose


Habilita/Desabilita o levantamento de novas entradas de conexões já estabelecidas na tabela session tracking. O valor mínimo é 0 e o valor padrão é 1 (habilitado), para desabilitar, definir o valor 0.


TCP Loose


TCP Max Retrans


Define o número máximo de pacotes TCP que podem ser retransmitidos sem receber um ACK aceitável do destino. O valor mínimo é 0 e o valor padrão é 3.


TCP max retrans


TCP Timeout Close


Define o valor padrão de timeout em segundos para conexões TCP no estado CLOSE, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o padrão é 10 segundos.


TCP timeout close


TCP Timeout Close Wait


Define o valor padrão de timeout em segundos para conexões TCP com estado CLOSE-WAIT, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o padrão é 30 segundos.


TCP timeour close wait


TCP Timeout Established


Define o timeout em segundos para conexões TCP estabelecidas, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 180000 segundos (equivalente a 2,08 dias).


TCP timeout established


TCP Timeout FIN Wait


Define o timeout em segundos para conexões TCP com estado FIN-WAIT-1 e FIN-WAIT-2, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 30 segundos.


Timeout TCP FIN wait


TCP Timeout Last ACK


Define o timeout em segundos para conexões TCP com o estado LAST-ACK, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 30 segundos.


TCP timeout last ACK


TCP Timeout Max Retrans


Define o timeout em segundos para as conexões TCP que atingem o número máximo de retransmissões definido na opção "TCP max retrans" sem receber um ACK aceitável dos destinos. O valor mínimo é 0 e o valor padrão é 300 segundos.


TCP timeout max retrans


TCP Timeout SYN Recv


Define o timeout em segundos para conexões TCP com o estado SYN RECV, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 60 segundos.


TCP timeout SYN recv


TCP Timeout SYN Sent


Define o timeout em segundos para conexões TCP com o estado SYN SENT, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 120 segundos.


TCP timeout SYN sent


TCP Timeout Time Wait


Define o timeout em segundos para conexões TCP com o estado TIME WAIT, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 60 segundos.


TCP timeout time wait


TCP Retries


Define quantas vezes se tentará efetuar a retransmissão de pacotes TCP em uma conexão estabelecida. Quando esse limite é excedido, antes de cada nova retransmissão a camada de rede terá sua rota atualizada. O valor padrão é 3.


TCP retries


TCP Max Retries


Define o máximo de vezes que a retransmissão de pacotes TCP será efetuada antes de interromper esse processo. O valor padrão é 15 (equivale a cerca de 13 a 30 minutos).


TCP max retries


TCP SYN Retries


Determina no máximo quantas vezes serão retransmitidos os SYNs iniciais em uma tentativa de conexão TCP ativa. O valor padrão é 5 (equivale à cerca de 180 segundos) e o valor máximo é 255.


TCP SYN retries


TCP Reordering


Este valor define o limite máximo para que a reordenação seja efetuada em pacotes de um fluxo TCP sem que o protocolo assuma que haja perca destes pacotes e tenha o desempenho da sua inicialização reduzido. O valor padrão é 3.


ATENÇÃO: Não altere este valor sem ter completa certeza do que está fazendo. Ele atua detectando a reordenação dos pacotes e serve para minimizar retransmissões (necessárias ou não) causadas pelo reordenamento dos pacotes da conexão.


TCP reordering


TCP Enhanced Retransmission Timeout (F-RTO)


F-RTO significa Forward Retransmission TimeOut, trata-se de um algoritmo cuja função é detectar e melhorar o limite de tempo na retransmissão ilegítima usando o protocolo TCP e SCTP (controle de fluxo).


Para mais detalhes a respeito deste recurso, consulte o RFC 4138.


TCP enhanced retransmission timeout (F-RTO)


TCP Selective Acknowledgements


Este campo permite ativar ou desativar o recurso TCP Selective Acknowledgements (SACK). Esta funcionalidade atua enviando ao remetente um informe de tudo que foi recebido com sucesso de modo que todos os pacotes de dados e segmentos que foram perdidos, possam ser enviados novamente pelo remetente, garantindo a integridade dos pacotes de dados e limitando a quantia de retransmissões. Por padrão, este campo fica habilitado.


Para mais detalhes a respeito deste recurso, consulte o RFC 2018.


TCP selective acknowledgements


UDP Timeout


Esse recurso define o tempo máximo que uma conexão permanece ativa em estado ocioso, ou seja, sem nenhum tráfego. Uma vez atingido o tempo limite configurado, o sistema remove todas as conexões do protocolo UDP, que estão no estado ocioso com o tempo limite configurado excedido. O valor mínimo é 0 e o valor padrão é 30 segundos


UDP timeout


UDP Timeout Stream


Define o timeout em segundos para conexões UDP STREAM (ASSURED). O valor mínimo é 0 e o valor padrão é 180 segundos.


UDP timeout stream

  • No labels