Aula Firewall

Firewall
Paulo Manoel Mafra Senai - Florianopolis

paulo.mafra@sc.senai.br
Firewall p. 1/23
Firewall
Usado para fazer o controle de trfego entre as redes Nele so denidas as polticas de segurana da rede Baseado nas polticas, so geradas regras de ltragem de pacotes Tambm pode ser usado localmente na mquina do usurio
Firewall p. 2/23
Firewall - Perguntas
O que voc est tentando proteger ? De quem ? O que um rewall pode fazer ? O que um rewall no pode fazer ? Qual mquina usar ? Onde coloc-lo sicamente ?
Firewall p. 3/23
Firewall - Aspectos de Segurana

Denir como ser o acesso ao rewall No permitir contas de usurios Fazer uma instalao mnima Denir uma poltica de atualizao da mquina (crontab ajuda) Desabilitar servios desnecessrios na mquina Montar alguns sistemas de arquivo como somente leitura Vericar o uso de MFS (memory le system)
Firewall p. 4/23
Firewall - Aspectos de Segurana

Denio das regras: Bloquear tudo e liberar o necessrio Bloquear o que for necessrio
Firewall p. 5/23
Firewall
Congurao bsica (2 redes):
Internet
Firewall
Rede interna Servidores
Firewall p. 6/23
Firewall
Congurao melhorada (3 redes):
Internet
Rede Wireless
Firewall
Servidores Rede DHCP Rede interna
Firewall p. 7/23
Firewall com iptables

Caractersticas: Suporte aos protocolos TCP, UDP, ICMP Manipula servios de proxy na rede Tratamento de trfego dividido em cadeias Permite nmero ilimitado de regras por cadeia Rejeita automaticamente pacotes mal formados Permite priorizao de trfego Permite o redirecionamento de portas Permite o mascaramento de pacotes possvel estabelecer limites de pacotes por tempo
Firewall p. 8/23

O iptables funciona em nvel de pacotes, baseado no endereo/porta de origem/destino O iptables usa a ideia de cadeias: Cadeias bsicas:
INPUT:
aplica a ltragem na entrada de dados (conexes entrantes com destino o rewall)

FORWARD:
aplica a ltragem no trnsito de dados (conexes no destinadas ao rewall)

OUTPUT:
aplica a ltragem na sada de dados (conexes santes com origem o rewall)
Firewall p. 9/23

Outras cadeias:
PREROUTING:
o pacote chega e modicado, isso acontece antes do roteamento do pacote. usado em regras de Redirecionamento de porta
POSTROUTING:
os pacotes precisam ser modicados aps o roteamento. usado em regras de IP MASQUERADING
Firewall p. 10/23

O iptables usa tabelas: A tabela lter refere-se s atividades de ltragem A tabela nat permite o uso das cadeias: (PREROUTING, POSTROUTING) A tabela mangle (despedaar) usada para marcar pacotes permitindo, por exemplo, o controle de uxo nas interfaces de entrada/sada. Com isso possvel priorizar um determinado tipo de trfego
Firewall p. 11/23

Aes suportadas: ACCEPT - Aceita o pacote. REJECT - Rejeita o pacote e notica o emissor. DROP - Rejeita o pacote. LOG - Registra o pacote e continua processando as regras da cadeia.
Firewall p. 12/23

[cadeia] [dados] -j [ac Regra: iptables [-t tabela] [opc ao] ao]
Exemplo: iptables -A FORWARD -d 192.168.1.1 -j DROP Se no especicado, usa a tabela lter
Firewall p. 13/23

Opes: -P - Dene a poltica padro
iptables -P FORWARD DROP iptables -P INPUT ACCEPT
-A - Adiciona a regra na cadeia

iptables -A OUTPUT -d 172.10.20.10 -j ACCEPT iptables -A FORWARD -s 192.20.10.20 -j DROP iptables -A FORWARD -d www.redes.edu.br -j DROP
Firewall p. 14/23

Opes: -D - Remove a regra na cadeia
iptables -D OUTPUT -d 10.1.1.10 -j ACCEPT iptables -D FORWARD -s 10.0.0.1 -j DROP iptables -D FORWARD -d www.redes.edu.br -j DROP
-L - lista as regras correntes

iptables -L iptables -L FORWARD
-F - Remove as regras da cadeia

iptables -F iptables -L FORWARD
Firewall p. 15/23

Opes: -s - especica a origem
-s 10.0.0.1 -s 10.0.0.0/24 -s www.redes.edu.br
-i - especica a interface de entrada

-i eth0
(no pode ser usada com a cadeia OUTPUT)
Firewall p. 16/23

Opes: -o - especica a interface de sada
-o eth0
(no pode ser usada com a cadeia INPUT)
-p - especica o protocolo usado (tcp, udp, icmp)

-p icmp
--sport - dene a porta de origem

--sport 80
Firewall p. 17/23

Opes: --dport - dene a porta de destino
--dport 22
-j - especica a ao a ser tomada:

-j DROP -j ACCEPT
Para saber mais regras, man iptables
Firewall p. 18/23
Firewall - Exemplos
Monitorar o trfego na interface eth0: tcpdump -i eth0 Habilitar IP forwarding: sysctl net.ipv4.conf.all.forwarding=1 ou echo 1 >
/proc/sys/net/ipv4/ip forward
Listar as regras: iptables -L Habilitar encaminhamento de porta: iptables -P FORWARD ACCEPT Habilitar NAT: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Liberar porta para servio: iptables -A INPUT -p tcp -i eth0 --dport 80 -j
ACCEPT
Liberar trfego na interface lo: iptables -I INPUT 2 -i lo -j ACCEPT Redirecionar portas: iptables -t nat -A PREROUTING -p tcp -i eth0 -d
192.168.2.X --dport 22 -j DNAT --to 10.0.0.2:22
Firewall p. 19/23
Firewall - Exemplos
Redirecionar portas (regra): iptables -A FORWARD -p tcp -i eth0 -d 10.0.0.2
--dport 22 -j ACCEPT
Bloquear o resto: iptables -A INPUT -j DROP Evitar ataques Syn-ood (limita a um pedido de conexo por segundo): iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT Remover a regra 2 da cadeira INPUT: iptables -D INPUT 2 Poltica padro: iptables -P INPUT DROP Poltica padro: iptables -P FORWARD ACCEPT Poltica padro: iptables -P OUTPUT ACCEPT Salvar as regras: iptables-save > /etc/iptables.up.rules Desativar as regras da cadeia INPUT: iptables -F INPUT
Firewall p. 20/23
Firewall
Para carregar as regras no boot (arquivo /etc/network/interfaces):
auto eth0 iface eth0 inet dhcp pre-up iptables-restore < /etc/iptables.up.rules
Firewall p. 21/23
Exerccios
1. Repetir a congurao da ltima aula.
eth0
Servidor SSH
eth0 eth1
eth0
Servidor Web LAN1
2. Criar regras no servidor SSH, permitindo acesso apenas ao ssh. 3. Criar regras no rewall, permitindo acesso externo apenas aos servios ssh e web. 4. Criar regras no rewall, liberando o trfego de sada da rede LAN1 para os protocolos tcp e udp e bloqueando o resto. 5. Criar regras no rewall, limitando o acesso ao mesmo apenas por ssh.
Firewall p. 22/23
Referncias
http://www.guiaubuntupt.org/wiki/index.php?title=Iptables
http://www.linuxforums.org/forum/networking/36934-port-forwarding-iptables.htm
Livro Building Internet Firewalls http://www.dtic.co.cu/FTP/libros/1565928717.pdf
Firewall p. 23/23

Aula Firewall

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Aula Firewall

Încărcat de

Drepturi de autor:

Formate disponibile

Firewall

Paulo Manoel Mafra Senai - Florianopolis

Firewall - Aspectos de Segurana

Firewall - Aspectos de Segurana

Rede interna Servidores

Servidores Rede DHCP Rede interna

Firewall com iptables

Firewall com iptables

aplica a ltragem na entrada de dados (conexes entrantes com destino o rewall)

aplica a ltragem no trnsito de dados (conexes no destinadas ao rewall)

aplica a ltragem na sada de dados (conexes santes com origem o rewall)

Firewall com iptables

os pacotes precisam ser modicados aps o roteamento. usado em regras de IP MASQUERADING

Firewall com iptables

Firewall com iptables

Firewall com iptables

Exemplo: iptables -A FORWARD -d 192.168.1.1 -j DROP Se no especicado, usa a tabela lter

Firewall com iptables

-A - Adiciona a regra na cadeia

Firewall com iptables

-L - lista as regras correntes

-F - Remove as regras da cadeia

Firewall com iptables

-i - especica a interface de entrada

(no pode ser usada com a cadeia OUTPUT)

Firewall com iptables

(no pode ser usada com a cadeia INPUT)

-p - especica o protocolo usado (tcp, udp, icmp)

--sport - dene a porta de origem

Firewall com iptables

-j - especica a ao a ser tomada:

Para saber mais regras, man iptables

Servidor Web LAN1

Livro Building Internet Firewalls http://www.dtic.co.cu/FTP/libros/1565928717.pdf

S-ar putea să vă placă și