Configuração da rede

Nesse ponto, talvez você já tenha criado usuários que possam assumir funções e criado as funções. Somente a função root pode modificar os arquivos do sistema.

Com base nas tarefas de rede a seguir, execute aquelas que fornecem segurança adicional de acordo com os requisitos da sua empresa. Essas tarefas de rede fortalecem os protocolos IP, ARP e TCP, e informam aos usuários conectados remotamente que o sistema está protegido.

Tarefa	Descrição	Instruções
Exiba mensagens de aviso que reflitam a política de segurança da sua empresa.	Notifica os usuários e possíveis invasores de que o sistema é monitorado.	Exibir Mensagem de Segurança para Usuários `ssh` e `ftp`
Desativar o daemon de roteamento de rede.	Limita o acesso de possíveis sniffers de rede aos sistemas.	Desativar o daemon de roteamento de rede
Impedir a disseminação das informações sobre a topologia de rede.	Impede a difusão de pacotes.	Desativar o encaminhamento de pacotes de difusão
	Impede a geração de respostas para solicitações de eco resultantes de operações de difusão e multicast.	Desativar respostas para solicitações de eco
Para sistemas que são gateways de outros domínios, como um firewall ou um nó VPN, ative a hospedagem múltipla estrita para origem e destino.	Impede que os pacotes que não tenham o endereço do gateway no cabeçalho ultrapassem o gateway.	Definir hospedagem múltipla estrita
Impedir ataques de negação de serviço controlando o número de conexões de sistema incompletas.	Limita o número permitido de conexões TCP incompletas para um listener TCP.	Definir o número máximo de conexões TCP incompletas
Impedir ataques de negação de serviço controlando o número de conexões recebidas permitidas.	Especifica o número máximo padrão de conexões TCP pendentes para uma escuta TCP.	Definir o número máximo de conexões TCP pendentes
Gerar números aleatórios fortes para conexões TCP iniciais.	É compatível com o valor de geração de número de sequência especificado pelo RFC 1948.	Especificar um Número Aleatório Forte para a Conexão TCP Inicial
Recuperar os valores padrão seguros dos parâmetros de rede.	Aumenta a segurança reduzida por ações administrativas.	Redefinir os parâmetros de rede com valores seguros
Adicionar wrappers TCP aos serviços de rede para limitar os aplicativos a usuários legítimos.	Especifica sistemas que podem acessar serviços de rede, como FTP. Por padrão, o aplicativo `sendmail` é protegido por wrappers TCP, como descrito em Support for TCP Wrappers From Version 8.12 of sendmail no Oracle Solaris Administration: Network Services.	Para ativar wrappers TCP para todos os serviços `inetd`, consulte How to Use TCP Wrappers to Control Access to TCP Services no Oracle Solaris Administration: IP Services. Para obter um exemplo de wrappers TCP protegendo o serviço de rede FTP, consulte How to Start an FTP Server Using SMF no Oracle Solaris Administration: Network Services.

Exibir Mensagem de Segurança para Usuários `ssh` e `ftp`

Use este procedimento para exibir avisos no login remoto e na transferência de arquivos.

Antes de começar

É necessário estar na função root. Você criou o arquivo /etc/issue na Etapa 1de Colocar uma Mensagem de Segurança em Arquivos de Banner.

Para exibir uma mensagem de segurança aos usuários que efetuaram login usando ssh, faça o seguinte:
1. Remova o comentário da diretiva Banner no arquivo /etc/sshd_config.
```
# vi /etc/ssh/sshd_config
# Banner to be printed before authentication starts.
Banner /etc/issue
```
2. Atualize o serviço ssh.
```
# svcadm refresh ssh
  
```
Para obter mais informações, consulte as páginas man issue(4) e sshd_config(4).
Para exibir uma mensagem de segurança aos usuários que efetuaram login usando ftp, faça o seguinte:
1. Adicione a diretiva DisplayConnect ao arquivo proftpd.conf.
```
# vi /etc/proftpd.conf
# Banner to be printed before authentication starts.
DisplayConnect /etc/issue
```
2. Reinicie o serviço ftp.
```
# svcadm restart ftp
```
  Para obter informações, consulte o site ProFTPD.

Desativar o daemon de roteamento de rede

Siga este procedimento para impedir o roteamento de rede após a instalação, especificando um roteador padrão. Caso contrário, siga este procedimento depois de confirmar o roteamento manualmente.

Observação - Muitos procedimentos de configuração de rede requerem que o daemon de roteamento seja desativado. Dessa forma, você pode ter desativado esse daemon como parte de um procedimento de configuração mais abrangente.

Antes de começar

É necessário ter o perfil de direitos Gerenciamento de rede.

Verifique se o daemon de roteamento está sendo executado.

# svcs -x svc:/network/routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: online since April 10, 2011 05:15:35 AM PDT
   See: in.routed(1M)
   See: /var/svc/log/network-routing-route:default.log
Impact: None.

Se o serviço não estiver em execução, você poderá parar aqui.

Desative o daemon de roteamento.

# routeadm -d ipv4-forwarding -d ipv6-forwarding
# routeadm -d ipv4-routing -d ipv6-routing
# routeadm -u

Verifique se o daemon de roteamento está desativado.

# svcs -x routing/route:default
svc:/network/routing/route:default (in.routed network routing daemon)
 State: disabled since April 11, 2011 10:10:10 AM PDT
Reason: Disabled by an administrator.
   See: http://sun.com/msg/SMF-8000-05
   See: in.routed(1M)
Impact: This service is not running.

Consulte também

Página man routeadm(1M)

Desativar o encaminhamento de pacotes de difusão

Por padrão, o Oracle Solaris encaminha pacotes de difusão. Se a política de segurança da sua empresa exigir a redução da possibilidade de inundação de difusão, altere o padrão com este procedimento.

Observação - Ao desativar a propriedade de rede _forward_directed_broadcasts, você também desativará os pings de difusão.

Antes de começar

É necessário ter o perfil de direitos Gerenciamento de rede.

Defina a propriedade de encaminhamento de pacotes de difusão como 0 para pacotes IP.
```
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
```

Verifique o valor atual.

# ipadm show-prop -p _forward_directed_broadcasts ip
PROTO  PROPERTY                     PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _forward_directed_broadcasts  rw   0         --           0         0,1

Consulte também

Página man ipadm(1M)

Desativar respostas para solicitações de eco

Siga este procedimento para impedir a disseminação de informações sobre a topologia de rede.

Antes de começar

É necessário ter o perfil de direitos Gerenciamento de rede.

Defina a propriedade de resposta para solicitações de eco de difusão como 0 para pacotes IP e, em seguida, confirme o valor atual.

# ipadm set-prop -p _respond_to_echo_broadcast=0 ip

# ipadm show-prop -p _respond_to_echo_broadcast ip
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_echo_broadcast rw   0         --           1         0,1

Defina a propriedade de resposta para solicitações de eco multicast como 0 para pacotes IP e, em seguida, confirme o valor atual.

# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv6

# ipadm show-prop -p _respond_to_echo_multicast ipv4
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _respond_to_echo_multicast rw   0         --           1         0,1
# ipadm show-prop -p _respond_to_echo_multicast ipv6
PROTO  PROPERTY                  PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _respond_to_echo_multicast rw   0         --           1         0,1

Consulte também

Para obter mais informações, consulte _respond_to_echo_broadcast and _respond_to_echo_multicast (ipv4 or ipv6) no Oracle Solaris Tunable Parameters Reference Manual e a página man ipadm(1M).

Definir hospedagem múltipla estrita

Para sistemas que são gateways de outros domínios, como um firewall ou um nó VPN, siga este procedimento para ativar a hospedagem múltipla estrita.

A versão do Oracle Solaris 11 introduz uma nova propriedade, hostmodel, para IPv4 e IPv6. Essa propriedade controla o comportamento de envio e de recebimento de pacotes IP em um sistema de hospedagem múltipla.

Antes de começar

É necessário ter o perfil de direitos Gerenciamento de rede.

Defina a propriedade hostmodel como forte para pacotes IP.

# ipadm set-prop -p hostmodel=strong ipv4
# ipadm set-prop -p hostmodel=strong ipv6

Verifique o valor atual e observe os valores possíveis.

# ipadm show-prop -p hostmodel ip
PROTO  PROPERTY    PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   hostmodel   rw   strong    strong       weak      strong,src-priority,weak
ipv4   hostmodel   rw   strong    strong       weak      strong,src-priority,weak

Consulte também

Para obter mais informações, consultehostmodel (ipv4 or ipv6) no Oracle Solaris Tunable Parameters Reference Manual e a página man ipadm(1M).

Para obter mais informações sobre o uso de hospedagem múltipla estrita, consulte How to Protect a VPN With IPsec in Tunnel Mode no Oracle Solaris Administration: IP Services.

Definir o número máximo de conexões TCP incompletas

Siga este procedimento para impedir ataques de negação de serviço (DOS), controlando o número de conexões pendentes incompletas.

Antes de começar

É necessário ter o perfil de direitos Gerenciamento de rede.

Defina o número máximo de conexões de entrada.
```
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
```

Verifique o valor atual.

# ipadm show-prop -p _conn_req_max_q0 tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q0  rw   4096      --           128       1-4294967295

Consulte também

Para obter mais informações, consulte _conn_req_max_q0 no Oracle Solaris Tunable Parameters Reference Manual e a página man ipadm(1M).

Definir o número máximo de conexões TCP pendentes

Siga este procedimento para evitar ataques de negação de serviço, controlando o número de conexões de entrada permitidas.

Antes de começar

É necessário ter o perfil de direitos Gerenciamento de rede.

Defina o número máximo de conexões de entrada.
```
# ipadm set-prop -p _conn_req_max_q=1024 tcp
```

Verifique o valor atual.

# ipadm show-prop -p _conn_req_max_q tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _conn_req_max_q   rw   1024      --           128       1-4294967295

Consulte também

Para obter mais informações, consulte _conn_req_max_q no Oracle Solaris Tunable Parameters Reference Manual e a página man ipadm(1M).

Especificar um Número Aleatório Forte para a Conexão TCP Inicial

Este procedimento define o parâmetro de geração do número de sequência inicial TCP para que seja compatível com o RFC 1948.

Antes de começar

É necessário estar na função root para modificar um arquivo do sistema.

Altere o valor padrão da variável TCP_STRONG_ISS.

# vi /etc/default/inetinit
# TCP_STRONG_ISS=1
TCP_STRONG_ISS=2

Redefinir os parâmetros de rede com valores seguros

Muitos parâmetros de rede, que são protegidos por padrão, são ajustáveis e, portanto, podem ser alterados. Se as condições da empresa permitirem, redefina os parâmetros ajustáveis a seguir com seus valores padrão.

Antes de começar

É necessário ter o perfil de direitos Gerenciamento de rede. O valor atual do parâmetro é menos seguro que o valor padrão.

Defina a propriedade de encaminhamento de pacote de origem como 0 para pacotes IP e, em seguida, confirme o valor atual.

O valor padrão impede ataques de negação de serviço de pacotes falsificados.

# ipadm set-prop -p _forward_src_routed=0 ipv4
# ipadm set-prop -p _forward_src_routed=0 ipv6
# ipadm show-prop -p _forward_src_routed ipv4
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _forward_src_routed   rw   0         --           0         0,1
# ipadm show-prop -p _forward_src_routed ipv6
PROTO  PROPERTY             PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _forward_src_routed   rw   0         --           0         0,1

Para obter mais informações, consulte forwarding (ipv4 or ipv6) no Oracle Solaris Tunable Parameters Reference Manual.

Defina a propriedade de resposta de máscara de rede como 0 para pacotes IP e, em seguida, verifique o valor atual.

O valor padrão impede a disseminação de informações sobre a topologia de rede.

# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip
# ipadm show-prop -p _respond_to_address_mask_broadcast ip
PROTO PROPERTY                           PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_address_mask_broadcast rw   0         --           0         0,1

Defina a propriedade de resposta de carimbo de data/hora como 0 para pacotes IP e, em seguida, verifique o valor atual.

O valor padrão remove demandas adicionais de CPU em sistemas e impede a disseminação de informações sobre a rede.

# ipadm set-prop -p _respond_to_timestamp=0 ip
# ipadm show-prop -p _respond_to_timestamp ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp            rw   0         --           0         0,1

Defina a propriedade de resposta de carimbo de data/hora de difusão como 0 para pacotes IP e, em seguida, verifique o valor atual.

O valor padrão remove demandas adicionais de CPU em sistemas e evita a disseminação de informações sobre a rede.

# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip
# ipadm show-prop -p _respond_to_timestamp_broadcast ip
PROTO  PROPERTY                        PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ip    _respond_to_timestamp_broadcast  rw   0         --           0         0,1

Defina a propriedade ignorar redirecionamentos como 0 para pacotes IP e, em seguida, verifique o valor atual.

O valor padrão impede demandas adicionais de CPU em sistemas.

# ipadm set-prop -p _ignore_redirect=0 ipv4
# ipadm set-prop -p _ignore_redirect=0 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4  _ignore_redirect  rw   0         --           0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6  _ignore_redirect  rw   0         --           0         0,1

Impeça o roteamento de origem de IP.
Se você precisar de roteamento de origem de IP para fins de diagnóstico, não desative esse parâmetro de rede.
```
# ipadm set-prop -p _rev_src_routes=0 tcp
# ipadm show-prop -p _rev_src_routes tcp
PROTO  PROPERTY         PERM CURRENT   PERSISTENT   DEFAULT   POSSIBLE
tcp   _rev_src_routes   rw   0         --           0         0,1
```
Para obter mais informações, consulte _rev_src_routes no Oracle Solaris Tunable Parameters Reference Manual .

Defina a propriedade ignorar redirecionamentos como 0 para pacotes IP e, em seguida, verifique o valor atual.

O valor padrão impede demandas adicionais de CPU em sistemas. Em geral, redirecionamentos não são necessários em uma rede bem projetada.

# ipadm set-prop -p _ignore_redirect=0 ipv4
# ipadm set-prop -p _ignore_redirect=0 ipv6
# ipadm show-prop -p _ignore_redirect ipv4
PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv4   _ignore_redirect   rw    0         --           0         0,1
# ipadm show-prop -p _ignore_redirect ipv6
PROTO  PROPERTY           PERM  CURRENT   PERSISTENT   DEFAULT   POSSIBLE
ipv6   _ignore_redirect   rw    0         --           0         0,1

Consulte também

Página man ipadm(1M)

Ignorar Links de Navegao
Sair do Modo de Exibio de Impresso
	Diretrizes de segurança do Oracle Solaris 11 Oracle Solaris 11 Information Library (Português (Brasil))