Através desta aba é possível habilitar e configurar as políticas de entrada para as portas e serviços locais do Blockbit UTM.
Além disso, esta aba permite efetuar a configuração dos parâmetros de segurança e controles de conexão do Firewall.
O item “Parâmetros de Segurança” define as configurações básicas de segurança e os parâmetros dos controles de conexão, que são responsáveis por manter as informações sobre o estado de todas as conexões e sessões do Firewall disponíveis.
Os recursos pré-configurados referente aos itens das “Configurações de conexões” desta interface referem-se aos parâmetros de controle das conexões, a alteração destes valores implica diretamente no resultado de desempenho do servidor.
Para acessar, clique em "General Settings".
Aba General Settings
Surgirá a tela “General Settings”, conforme demonstrado pela imagem abaixo:
General Settings
A tela "General Settings" é composta pelos seguintes painéis e recursos:
- Advanced Settings;
- Security Settings;
- Timeouts;
- Generic Timeout;
- ICMP Timeout;
- Max Connections;
- TCP Loose;
- TCP Max Retrans;
- TCP Timeout Close;
- TCP Timeout Close Wait;
- TCP Timeout Established;
- Timeout TCP FIN Wait;
- TCP Timeout Last ACK;
- TCP Timeout Max Retrans;
- TCP Timeout SYN Recv;
- TCP Timeout SYN Sent;
- TCP Timeout Time Wait;
- TCP Retries;
- TCP Max Retries;
- TCP SYN Retries;
- TCP Reordering;
- TCP Enhanced Retransmission Timeout (F-RTO);
- TCP Selective Acknowledgements;
- UDP Timeout;
- UDP Timeout Stream.
A seguir detalharemos cada componente dos painéis:
Advanced Settings
Permite configurar o número de processos simultâneos e threads por processo:
General Settings - Advanced options
Simultaneous Processes: Permite selecionar o número de processos simultâneos no Firewall (Mínimo de 2 e máximo de 8). É importante lembrar que os valores podem variar para cada modelo de appliance, pois dependem do número de Core de CPUs disponível.
Para verificar o número de CPUs de seu appliance no terminal digite o comando lscpu e confirme o valor na linha CPU(s).
Threads per Process: Permite selecionar o número de ramificações por processo no Firewall (Mínimo de 20 e máximo de 40).
Após selecionar o número desejado, clique em salvar [
] para gravar suas alterações.Security Settings
Serve para detalhar alguns dos itens de configurações dos parâmetros de segurança.
General Settings - Security Settings
DoS Protection
Este recurso permite o bloqueio contra-ataques de negação de serviço (também conhecido como Denial of Service - DoS), é uma tentativa de tornar os recursos de um sistema indisponíveis para os seus utilizadores. Não se trata de uma invasão do sistema, mas sim da sua invalidação por sobrecarga, as técnicas suportadas são: SYN Flood, TCP Flood, UDP Flood e ICMP Flood.
Dos Protection
Ao clicar no botão [
] a tela abaixo será exibida:Dos Protection - Janela
- SYN Flood limit (per second): Determina o limite de pacotes recebidos de modo a prevenir ataques SYN Flood. O valor mínimo é 100 e o valor padrão é 2000;
- SYN Burst: O valor mínimo é 1 e o valor padrão é 100;
- TCP Flood limit (per second): Determina o limite de acesso TCP de modo a prevenir ataques TCP Flood. O valor mínimo é 100 e o valor padrão é 2000;
- TCP Burst: O valor mínimo é 1 e o valor padrão é 100;
- UDP Flood limit (per second): Determina o limite de acesso UDP de modo a prevenir ataques UDP Flood. O valor mínimo é 100 e o valor padrão é 2000;
- UDP Burst: O valor mínimo é 1 e o valor padrão é 100;
- ICMP Flood limit (per second): Determina o limite de acesso ICMP de modo a prevenir ataques ICMP Flood. O valor mínimo é 100 e o valor padrão é 2000;
- ICMP Burst: O valor mínimo é 1 e o valor padrão é 100.
IP Spoofing Protection
Este recurso habilita a proteção de IP Spoofing na zona de rede desejada.
IP Spoofing protection.
Zonas com [Proteção IP Spoofing] não permitem o uso do SD-WAN.
Ao clicar no botão [
] a tela abaixo será exibida:IP Spoofing protection Zones
Este recurso habilita a proteção de IP Spoofing na zona de rede desejada.
Esta opção pode causar problemas com o serviço de SD-WAN
Alert: SD-WAN and IP Spoofing Protection problems.
PortScan Protection
Este recurso permite identificação e o bloqueio de aplicativos com o objetivo de mapear as portas TCP e UDP. Aplicativos PortScan tentam identificar o status das portas, se estão fechadas, escutando ou abertas. Geralmente, os port scanners são usados por pessoas mal-intencionadas para identificar portas abertas, explorar vulnerabilidades e planejar invasões. Recomendação: Ex: “[Habilitar]”.
PortScan Protection
Invalid Packet Protection
São considerados pacotes inválidos os que não respeitam o padrão do diagrama de estado TCP (handshake). Recomendação: Ex: “[Habilitar]”. O serviço de firewall descarta os pacotes considerados inválidos.
Invalid Packet Protection
Allow Ping
Este recurso permite que todas as solicitações de PING (Echo Request e Echo Reply) sejam respondidas através de qualquer interface de rede do sistema. Recomendação: Ex: “[Desabilitar]”.
Allow Ping
Allows ICMP Redirect
Este recurso é um tipo mensagem utilizada por roteadores para notificar hosts do mesmo segmento de rede, que existe um caminho (rota) melhor para um determinado destino. Recomendação: Ex: “[Desabilitar]”.
Allows ICMP Redirect
Este item vem com padrão [Habilitado] por identificação de inúmeras estruturas de rede mal definidas.
Ignore ICMP Broadcast
Esse recurso ignora o tráfego ICMP Broadcast, usado para fazer com que servidores participem involuntariamente de ataques DOS, enviando grande quantidade de pings aumentando exponencialmente o tráfego NETBIOS da rede e tornando os serviços reais indisponíveis.
Recomendação: Ex: “[Habilitar]” Ignore ICMP Broadcast.
Ignore ICMP Broadcast
Source Routing
Este recurso permite aplicar testes de roteamento atrás do firewall, permitem ao emissor do pacote especificar o caminho de ida e volta do pacote. Recomendação: Ex: “[Desabilitado]”.
Source Routing - Roteamento de origem
O roteamento de origem consiste em um mecanismo de protocolo que permite o transporte de informações por um pacote IP. Informações como listas de endereços, informando ao roteador o caminho que o pacote deve seguir. Conta também com opção para gravar os saltos à medida que a rota é percorrida. O registro de rota, que lista os saltos realizados, fornece ao destino um caminho de retorno para a origem. Isso permite que a origem (o host de envio) especifique a rota, de maneira vaga ou estrita, ignorando as tabelas de roteamento de alguns ou de todos os roteadores. Permite também que um usuário redirecione o tráfego de rede para fins maliciosos. Logo, o roteamento baseado na origem deve ser desabilitado.
A opção "Roteamente de Origem" faz com que as interfaces de rede aceitem pacotes com o conjunto de opções Strict Source Route (SSR) ou Loose Source Routing (LSR). A aceitação dos pacotes roteados de origem é controlada pelas configurações do kernel. Portanto, para emitir o comando de descarte dos pacotes com o conjunto de opções SSR ou LSR, deve-se manter o checkbox desabilitado.
Checksum
Pacotes com checksums ruins ficam em estado inválido. Com esta opção ativada, tais pacotes não serão considerados para rastreamento de conexão na session tracking.
Checksum
Invalid Log
Habilita logs de pacotes com estado INVÁLIDO.
Invalid Log
Forward Error Correction
Consiste em um método de controle de erros em uma transmissão de dados. Durante uma transmissão de dados de uma determinada fonte a um destino, normalmente os dados são reconhecidos sem erro, ainda que uma parte dos dados seja perdida. Com esta opção, os pacotes de dados são recebidos duas vezes e aceitos somente com validação em ao menos uma instância.
FEC - Forward error correction
Max Connections
Número máximo de conexões.
Max connections
TCP Max Orphans
Número máximo de TCP sockets não associados a processos ou serviços, que são executados pelo OS no user space. Caso este número seja excedido, as conexões são imediatamente resetadas.
TCP Max Connections
Timeouts
Os demais recursos pré-configurados referente os itens das “Configurações de conexões” desta interface referem-se aos parâmetros da “Session Track”, a alteração destes valores implica diretamente no resultado de desempenho do servidor.
General Settings - Timeout
Generic Timeout
Este parâmetro é usado para informar em segundos a session tracking o tempo limite genérico caso não seja possível determinar o protocolo usado e nem usar valores mais específicos. Qualquer fluxo ou pacote que entra no firewall que não pode ser totalmente identificado como qualquer outro tipo de protocolo receberá um tempo limite genérico definido neste parâmetro. O valor mínimo é 0 e o valor padrão é 600 segundos.
Generic Timeout
ICMP Timeout
Usada para definir em segundos o tempo limite para os pacotes ICMP que resultarão no tráfego de retorno. Em outras palavras, incluir ECHO REQUEST and REPLY, TIMESTAMP REQUEST and REPLY, INFORMATION REQUEST and REPLY e ADDRESS MASK REQUEST and REPLY. Uma vez que é feito um dos pedidos, deve haver um pacote de retorno, e é quando o tempo limite do ICMP é contabilizado. Normalmente uma resposta ICMP é bastante rápida, a menos que seja utilizada uma conexão muito lenta. O valor mínimo é 0 e o valor padrão é 30.
ICMP Timeout
Max Connections
Tamanho máximo da tabela de session tracking, ou seja, de conexões estabelecidas simultaneamente. O valor padrão é 300.000 segundos.
Max
TCP Loose
Habilita/Desabilita o levantamento de novas entradas de conexões já estabelecidas na tabela session tracking. O valor mínimo é 0 e o valor padrão é 1 (habilitado), para desabilitar, definir o valor 0.
TCP Loose
TCP Max Retrans
Define o número máximo de pacotes TCP que podem ser retransmitidos sem receber um ACK aceitável do destino. O valor mínimo é 0 e o valor padrão é 3.
TCP max retrans
TCP Timeout Close
Define o valor padrão de timeout em segundos para conexões TCP no estado CLOSE, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o padrão é 10 segundos.
TCP timeout close
TCP Timeout Close Wait
Define o valor padrão de timeout em segundos para conexões TCP com estado CLOSE-WAIT, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o padrão é 30 segundos.
TCP timeout close wait
TCP Timeout Established
Define o timeout em segundos para conexões TCP estabelecidas, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 180000 segundos (equivalente a 2,08 dias).
TCP timeout established
TCP Timeout FIN Wait
Define o timeout em segundos para conexões TCP com estado FIN-WAIT-1 e FIN-WAIT-2, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 30 segundos.
Timeout TCP FIN wait
TCP Timeout Last ACK
Define o timeout em segundos para conexões TCP com o estado LAST-ACK, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 30 segundos.
TCP timeout last ACK
TCP Timeout Max Retrans
Define o timeout em segundos para as conexões TCP que atingem o número máximo de retransmissões definido na opção "TCP max retrans" sem receber um ACK aceitável dos destinos. O valor mínimo é 0 e o valor padrão é 300 segundos.
TCP timeout max retrans
TCP Timeout SYN Recv
Define o timeout em segundos para conexões TCP com o estado SYN RECV, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 60 segundos.
TCP timeout SYN recv
TCP Timeout SYN Sent
Define o timeout em segundos para conexões TCP com o estado SYN SENT, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 120 segundos.
TCP timeout SYN sent
TCP Timeout Time Wait
Define o timeout em segundos para conexões TCP com o estado TIME WAIT, para serem removidas da tabela de session tracking. O valor mínimo é 0 e o valor padrão é 60 segundos.
TCP timeout time wait
TCP Retries
Define quantas vezes se tentará efetuar a retransmissão de pacotes TCP em uma conexão estabelecida. Quando esse limite é excedido, antes de cada nova retransmissão a camada de rede terá sua rota atualizada. O valor padrão é 3.
TCP retries
TCP Max Retries
Define o máximo de vezes que a retransmissão de pacotes TCP será efetuada antes de interromper esse processo. O valor padrão é 15 (equivale a cerca de 13 a 30 minutos).
TCP max retries
TCP SYN Retries
Determina no máximo quantas vezes serão retransmitidos os SYNs iniciais em uma tentativa de conexão TCP ativa. O valor padrão é 5 (equivale à cerca de 180 segundos) e o valor máximo é 255.
TCP SYN retries
TCP Reordering
Este valor define o limite máximo para que a reordenação seja efetuada em pacotes de um fluxo TCP sem que o protocolo assuma que haja perca destes pacotes e tenha o desempenho da sua inicialização reduzido. O valor padrão é 3.
ATENÇÃO: Não altere este valor sem ter completa certeza do que está fazendo. Ele atua detectando a reordenação dos pacotes e serve para minimizar retransmissões (necessárias ou não) causadas pelo reordenamento dos pacotes da conexão.
TCP reordering
TCP Enhanced Retransmission Timeout (F-RTO)
F-RTO significa Forward Retransmission TimeOut, trata-se de um algoritmo cuja função é detectar e melhorar o limite de tempo na retransmissão ilegítima usando o protocolo TCP e SCTP (controle de fluxo).
TCP enhanced retransmission timeout (F-RTO)
TCP Selective Acknowledgements
Este campo permite ativar ou desativar o recurso TCP Selective Acknowledgements (SACK). Esta funcionalidade atua enviando ao remetente um informe de tudo que foi recebido com sucesso de modo que todos os pacotes de dados e segmentos que foram perdidos, possam ser enviados novamente pelo remetente, garantindo a integridade dos pacotes de dados e limitando a quantia de retransmissões. Por padrão, este campo fica habilitado.
TCP selective acknowledgements
UDP Timeout
Esse recurso define o tempo máximo que uma conexão permanece ativa em estado ocioso, ou seja, sem nenhum tráfego. Uma vez atingido o tempo limite configurado, o sistema remove todas as conexões do protocolo UDP, que estão no estado ocioso com o tempo limite configurado excedido. O valor mínimo é 0 e o valor padrão é 30 segundos
UDP timeout
UDP Timeout Stream
Define o timeout em segundos para conexões UDP STREAM (ASSURED). O valor mínimo é 0 e o valor padrão é 180 segundos.
UDP timeout stream