O firewall do Wireless Router inspecciona os pacotes na camada da aplicação, mantém a informação de sessão TCP e UDP, incluindo os tempos de espera e o número de sessões activas, além de oferecer a possibilidade de detectar e prevenir determinados tipos de ataques à rede.
A página Intrusion Detection (Detecção de intrusão) conta com as seguintes secções:
Proceda a definir os parâmetros de detecção de intrusão e não se esqueça de clicar em Save Settings (Guardar definições) depois de concluir.
Funcionalidade de Intrusion Detection
Utilize esta secção da página Intrusion Detection para activar os seguintes tipos e protecção:
SPI and Anti-DoS firewall protection—Limita o acesso de tráfego de entrada na porta WAN. Quando a função SPI está activada, todos os pacotes de entrada são bloqueados, excepto os tipos de pacotes marcados na secção Stateful Packet Inspection (SPI).
RIP Defect—Impede a acumulação de filas de entrada devido à acumulação de pacotes. Quando um pacote de pedido RIP não é reconhecido pelo router, normalmente, permanece na fila de entrada e não é libertado. Os pacotes acumulados poderão esgotar a capacidade da fila de entrada, causando problemas sérios a todos os protocolos. Activar RIP Defect previne a acumulação de pacotes.
Discard Ping to WAN—Impede que um ping na porta WAN do Wireless Router seja encaminhado para a rede.
Inspecção de pacotes
A Stateful Packet Inspection (SPI) ajuda a proteger a sua rede contra tráfego não solicitado, executando as seguintes tarefas:
Verifica todos os pacotes de dados para determinar se o computador de destino indicado pediu a comunicação antes de permitir a passagem do pacote pelo firewall.
Fecha as portas até que seja pedida uma ligação a uma porta específica.
Para activar o SPI,
Em Instrusion Detection Feature, seleccione SPI and Anti-DoS firewall protection.
Seleccione o tipo ou tipos de tráfego com passagem permitida pelo firewall: Packet Fragmentation (Fragmentação de Pacotes),
TCP Connection (Ligação TCP), UDP Session (Sessão UDP), FTP Service (Serviço FTP) ou TFTP Service (Serviço TFTP).
Apenas os tipos seleccionados de tráfego, iniciados a partir da LAN interna, são permitidos. Por exemplo, se seleccionar apenas FTP Service, todo o tráfego de entrada será bloqueado, excepto as ligações a FTP iniciadas a partir da LAN local.
Clique em Save Settings (Guardar definições).
Quando os piratas tentam entrar na sua rede, podemos avisá-lo por correio electrónico.
Utilize esta secção para configurar um endereço de correio electrónico, no qual pretende receber as notificações quando existirem tentativas de acesso não autorizado.
Preencha todos os campos que se apliquem à configuração de correio electrónico:
Your email address—O endereço de correio electrónico no qual receberá os alertas enviados pelo firewall.
SMTP Server address—O endereço do servidor de SMTP.
POP3 Sever address—O endereço do servidor POP3. Só é necessário se o servidor de correio tiver de autenticar a sua identidade para enviar correio.
User name:O nome de utilizador no seu servidor POP3. Só é necessário se o servidor de correio tiver de autenticar a sua identidade para enviar correio.
Password—A palavra-passe pedida pelo seu servidor POP3. Só é necessária se o servidor de correio tiver de autenticar a sua identidade para enviar correio.
Clique em Save Settings (Guardar definições).
Connection Policy (Política de ligação)
Introduza os valores adequados para as sessões TCP/UDP:
Fragmentation half-open wait—Configura o número de segundos que uma estrutura de estado de pacote permanece activa. Quando o tempo de espera expira, o router abandona o pacote não agrupado, libertando essa estrutura para utilização por outro pacote.
TCP SYN wait—Define o período de espera pela sincronização de uma sessão TCP, antes de abandonar a sessão.
TCP FIN wait—Especifica a duração de uma sessão de TCP depois do firewall detectar um pacote FIN.
TCP connection idle timeout—O período de tempo durante o qual uma sessão TCP será gerida, no caso de inactividade.
UDP session idle timeout—O período de tempo durante o qual uma sessão UDP será gerida, no caso de inactividade.
H.323 data channel idle timeout—A duração de tempo durante o qual uma sessão H.323 será mantida se não existir actividade.
Clique em Save Settings (Guardar definições).
DoS Detect Criteria
Os ataques à rede que negam o acesso a um determinado dispositivo de rede são denominados ataques DOS (Negação de Serviço). Os ataques DoS têm como alvo os dispositivos e redes com uma ligação à Internet. O seu objectivo não é roubar informação, mas sim desactivar o dispositivo ou rede, de modo a que os utilizadores deixem de poder aceder aos recursos de rede. O Wireless Router protege contra os seguintes tipos de ataques DoS:
• IP Spoofing
• Land Attack
• Ping of Death
• IP with zero length
• Smurf Attack
• UDP port loopback
• Snork Attack
• TCP null scan
• TCP SYN flooding
Introduza os valores adequados para a detecção de Denial of Service (DoS) e para os critérios de análise da porta:
Total incomplete TCP/UDP sessions HIGH: Define a taxa de sessões novas não estabelecidas que farão com que o software comece a eliminar sessões semi-abertas.
Total incomplete TCP/UDP sessions LOW: Define a taxa de sessões novas não estabelecidas que farão com que o software pare de eliminar sessões semi-abertas.
Incomplete TCP/UDP sessions (per min) HIGH: Número máximo de sessões TCP/UDP incompletas permitidas por minuto.
Incomplete TCP/UDP sessions (per min) LOW: Número mínimo de sessões TCP/UDP incompletas permitidas por minuto.
Maximum incomplete TCP/UDP sessions number from same host: Número máximo de sessões de TCP/UDP incompletas a partir do mesmo anfitrião.
Incomplete TCP/UDP sessions detect sensitive time period: Período de tempo antes de uma sessão de TCP/UDP incompleta ser identificada como incompleta.
Maximum half-open fragmentation packet number from same host: Número máximo de pacotes de fragmentação semi-abertos a partir do mesmo anfitrião.
Half-open fragmentation detect sensitive time period: Período de tempo antes de uma sessão de fragmentação semi-aberta ser identificada como semi-aberta.
Flooding cracker block time: Período de tempo decorrido entre a detecção de um ataque de inundação e o bloqueio do mesmo.
