FACULDADE PITÁGORAS – BELO HORIZONTEADMINISTRAÇÃO DE SERVIÇOS EM SISTEMAS DE ARQUITETURA ABERTA                           ...
ALLAN S. REIS, ELVIS DE SOUZA, MARCO ANTONIO & THIAGO GEORGE     MECANISMOS DE SEGURANÇA EM DISTRIBUIÇÕES LINUX           ...
SUMÁRIO   1 INTRODUÇÃO.......................................................................................................
LISTA DE FIGURAS                   4
1 INTRODUÇÃO      Estamos em um mundo globalizado, onde a informação, independente do seuformato, é um dos maiores patrimô...
2 FIREWALL2.1 Conceito     Firewall é um dispositivo de rede que tem a função de aplicar uma política desegurança a um det...
administrador. Com a filtragem é possível restringir o acesso a serviços como: telnet,chat ou sites da internet.     O fir...
processo as regras seqüencialmente, após encontrar um dado pacote, ele atuará com aação par daquela regra.2.3.1 Tabelas   ...
Figura 2: Cadeias2.3.3 Regras      O uso de regras é necessário para selecionar em quais pacotes uma dita açãoirá atuar. N...
2.3.4 Alvo      As ações podem ser similares as regras acima, sendo ela padrão ou umaextensão, e especifica a ação a ser t...
3   PROXY3.1 Conceito       Proxy é um intermediário que desempenha a função de conexão do computador(local) à rede extern...
protocolos FTP, HTTP e Gopher. Também suporta SSL, listas de acesso complexas elogging completo. Por utilizar o Internet C...
As configurações do Squid estão concentradas no arquivo /etc/squid/squid.conf.Após configurar as ACLs no arquivo e criar o...
4    VPN4.1 Conceito       Rede Privada Virtual, ou Virtual Private Network (VPN), é uma rede privativa       construída s...
5   CONCLUSÃO       Infelizmente o que vemos na prática é que muitas empresas não dão o devidovalor a estas ferramentas, d...
REFERÊNCIASLinuxMan. Disponível em http://www.linuxman.pro.br. Acesso em 06 de Março de2010.Clube do Hardware. Disponível ...
Próximos SlideShares
Carregando em…5
×

Mecanismos de segurança linux

1.207 visualizações

Publicada em

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
1.207
No SlideShare
0
A partir de incorporações
0
Número de incorporações
2
Ações
Compartilhamentos
0
Downloads
25
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Mecanismos de segurança linux

  1. 1. FACULDADE PITÁGORAS – BELO HORIZONTEADMINISTRAÇÃO DE SERVIÇOS EM SISTEMAS DE ARQUITETURA ABERTA Allan S. Reis Elvis de Souza Marco Antonio Thiago George Belo Horizonte 2010
  2. 2. ALLAN S. REIS, ELVIS DE SOUZA, MARCO ANTONIO & THIAGO GEORGE MECANISMOS DE SEGURANÇA EM DISTRIBUIÇÕES LINUX Trabalho apresentado à disciplina Administração de Serviços em Sistemas de Arquitetura Aberta do curso Superior de Tecnologia em Redes de Computadores da Faculdade Pitágoras – Belo Horizonte como requisito parcial de obtenção de pontos na disciplina. Professor: Thiago Moraes Belo Horizonte 2010 2
  3. 3. SUMÁRIO 1 INTRODUÇÃO......................................................................................................................52 FIREWALL...................................................................................................................................6 2.1 Conceito..................................................................................................................................6 2.2 Filtros de Pacotes....................................................................................................................6 2.3 IPTABLES..............................................................................................................................7 2.3.1 Tabelas.............................................................................................................................8 2.3.2 Cadeias.............................................................................................................................8 2.3.3 Regras..............................................................................................................................9 2.3.4 Alvo...............................................................................................................................103 PROXY........................................................................................................................................11 3.1 Conceito................................................................................................................................11 3.2 SQUID..................................................................................................................................11 4.1 Conceito................................................................................................................................14 Rede Privada Virtual, ou Virtual Private Network (VPN), é uma rede privativa construída sobre a infra-estrutura de uma rede pública, geralmente a Internet que assegura a privacidade e integridade das comunicações, utilizando as mais avançadas tecnologias de criptografia e substituindo os links dedicados e de longa distância .................................................................14 Permite que as empresas criem uma rede totalmente integrada que pode tráfegar voz, dados e vídeo além da reduzir os custos com links.................................................................................14 4.2 Open VPN.............................................................................................................................14 O OpenVPN oferece vários recursos de segurança internos. Tem a habilidade de bloquear os privilégios de acesso root, e oferece suporte a smart card através de criptografia baseada em token PKCS#11..........................................................................................................................14 3
  4. 4. LISTA DE FIGURAS 4
  5. 5. 1 INTRODUÇÃO Estamos em um mundo globalizado, onde a informação, independente do seuformato, é um dos maiores patrimônios de uma organização moderna. Considerada umativo importantíssimo para a realização do negócio a informação deve ser protegida egerenciada. Percebemos que nos últimos anos as tecnologias de informação e comunicaçãotêm evoluído de forma rápida, fazendo com que as organizações tenham maioreficiência e rapidez nas tomadas de decisões, devido a este fato as chances de umaempresa não usar sistemas de informação tornou-se praticamente nula. Neste contextoa importância de se utilizar mecanismos de segurança é vital para a sobrevivência ecompetitividade destas organizações. 5
  6. 6. 2 FIREWALL2.1 Conceito Firewall é um dispositivo de rede que tem a função de aplicar uma política desegurança a um determinado ponto de controle da rede. Seu objetivo é regular otráfego de dados entre várias redes, impedindo o envio e/ou recebimento de dadosnocivos ou não autorizados entre elas. Neste conceito estão contemplados osequipamentos que realizam filtragem de pacotes e de Proxy de aplicações, sempreligados às redes TCP/IP. Um firewall pode ser um roteador, uma estação PC ou UNIX, ou a combinaçãodestes que determine qual informação ou serviços podem ser acessados de fora e aquem é permitido usar a informação e os serviços de fora. Geralmente, um firewall éinstalado no ponto onde possa realizar a intermediação da rede interna segura com arede externa não-confiável. O firewall é projetado para proteger as fontes de informação de uma organização,permitindo que dados confiáveis passem negar serviços vulneráveis e proteger a redeinterna contra ataques externos. Os registros de eventos e alarmes gerados pelofirewall devem ser examinados regularmente pelo administrador Os firewalls podem serdivididos em duas grandes classes: Filtros de pacote e servidores Proxy.2.2 Filtros de Pacotes A filtragem de pacotes é um dos principais mecanismos, na qual permite ou não apassagem de datagramas IP em uma rede, mediante regras configuradas pelo 6
  7. 7. administrador. Com a filtragem é possível restringir o acesso a serviços como: telnet,chat ou sites da internet. O firewall tem funções essenciais no Linux, sendo elas:- Registros complementares;- Distinção de rede;- Filtragem de IP e de portas;- Redirecionamento de pacotes;- Conservação de endereço IP e encaminhamento de tráfego;- Autenticação e criptografia mais fortes;- Proteção contra ataques denial-of-service (DoS) ou negação de serviços, análises efarejadores (sniffers); Figura 1: Modelo simples firewall2.3 IPTABLES Iptables é a atual ferramenta para firewall no Linux. O Iptables é constituído deuma série de aplicativos existentes que interagem com o Netfilter, que é aimplementação de firewall em nível de kernel. O Iptables se baseia em pares de regras e ações. As regras os pacotes a atuar ea ação a atitude que deve ser tomada quando um pacote bater com a regra. O Netfilter 7
  8. 8. processo as regras seqüencialmente, após encontrar um dado pacote, ele atuará com aação par daquela regra.2.3.1 Tabelas O Iptables funciona em cima de tabelas, cada uma especializada num tipo detratamento de pacotes. As tabelas existentes são: *raw: onde são feitas algumas alterações em mais baixo nível nos pacotes; *filter: nesta tabela cabem as regras responsáveis pela filtragem de pacotes; *nat: mudanças nos cabeçalhos dos pacotes (incluindo NAT e IP Masquerade); *mangle: usada para alterações específicas nos pacotes.2.3.2 Cadeias Existem diversas cadeias no Iptables, cada uma vinculada a um tipo de tráfego.São elas: * PREROUTING: tráfego ingressante na máquina (incluindo tráfego geradolocalmente com destino local); * INPUT: tráfego que tem como destino a própria máquina; * FORWARD: tráfego passante pela máquina; * OUTPUT: tráfego gerado localmente (tanto com destino local como remoto); * POSTROUTING: todo tráfego que "sai" da máquina (incluindo tráfego geradolocalmente com destino local). 8
  9. 9. Figura 2: Cadeias2.3.3 Regras O uso de regras é necessário para selecionar em quais pacotes uma dita açãoirá atuar. Nem todas as regras se aplicam a todas as cadeias. Existem regras gerais eexistem extensões. A existência e variedade das regras extras dependem da versão doKernel do Iptables em uso. As regras gerais são: * -p PROTOCOLO: especifica um protocolo (por exemplo TCP ou UDP); * -s ENDEREÇO: especifica um endereço de origem; * -d ENDEREÇO: especifica um endereço de destino; * -i INTERFACE: especifica a interface de rede na qual o pacote ingressou; * -o INTERFACE: especifica a interface de rede na qual o pacote irá sair damáquina. 9
  10. 10. 2.3.4 Alvo As ações podem ser similares as regras acima, sendo ela padrão ou umaextensão, e especifica a ação a ser tomada quando um pacote casar com uma dadaregra de seleção. As ações são: * ACCEPT: aceita o pacote, e diz ao Netfilter para continuar o processamento dopacote na próxima cadeia/tabela * DROP: diz ao Netfilter para ignorar completamente o pacote; * QUEUE: indica que o pacote deve ser passado ao userspace; * RETURN: instrui o Netfilter para parar de processar a cadeia em questão econtinuar na próxima regra na cadeia anterior 10
  11. 11. 3 PROXY3.1 Conceito Proxy é um intermediário que desempenha a função de conexão do computador(local) à rede externa (Internet). Pode ser utilizado para registrar o uso da Internet etambém para bloquear o acesso a um site da Web. Esses servidores têm uma série deusos, como filtrar conteúdo, providenciar anonimato, entre outros. Figura 3 – Servidor Proxy Fonte: Holistica (2010)3.2 SQUID Squid é um proxy-cache para clientes web, gratuito e muito utilizado emdistribuições Linux. O Squid permite compartilhar o acesso a Web com outroscomputadores da rede, e melhora a velocidade de acesso através do cache. Suporta 11
  12. 12. protocolos FTP, HTTP e Gopher. Também suporta SSL, listas de acesso complexas elogging completo. Por utilizar o Internet Cache Protocol, o Squid pode ser configuradopara trabalhar de forma hierárquica ou mista para melhor aproveitamento da banda. O Squid possui muitos recursos, incluindo autenticação de usuários, restriçõesde acesso, auditoria, etc. Dentre os benefícios do squid, podemos citas os seguintes:- Velocidade de acesso- Disponibilidade- Transparência ou Ostensividade- Capacidade de trabalhar com redes heterogêneas.- Simplicidade O Squid pode ser utilizado nas principais plataformas do mercado, como Linux,Unixes e Windows. Sua estrutura é baseada em listas de acessos. Todas asconfigurações de usuários, grupos, horários e SITES são configurados em ACLs(Access Control Lists), permitindo trabalhar com níveis de acesso baseados emdiversas informações.Figura 4 – Arquivo de configuração Squid. 12
  13. 13. As configurações do Squid estão concentradas no arquivo /etc/squid/squid.conf.Após configurar as ACLs no arquivo e criar os arquivos referencias na ACLs, bastaconfigurar o navegador para acesso. Figura 5: Configuração navegador. 13
  14. 14. 4 VPN4.1 Conceito Rede Privada Virtual, ou Virtual Private Network (VPN), é uma rede privativa construída sobre a infra-estrutura de uma rede pública, geralmente a Internet que assegura a privacidade e integridade das comunicações, utilizando as mais avançadas tecnologias de criptografia e substituindo os links dedicados e de longa distância Permite que as empresas criem uma rede totalmente integrada que pode tráfegar voz, dados e vídeo além da reduzir os custos com links.4.2 Open VPN O OpenVPN é um software livre e open-source capaz de estabelecer conexõesdiretas entre computadores mesmo que estes estejam atrás de Nat Firewalls através deuma VPN, sem necessidade de reconfiguração da sua rede. Foi escrito por JamesYonan e publicado sob licença GNU General Pulic Licence (GPL). Permite autenticaçãoponto-a-ponto através de chaves secretas compartilhadas. Esta disponível para Solaris,Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X, e Windows 2000/XP/Vista. O OpenVPN utiliza a biblioteca OpenSSL para prover criptografia entre ambos oscanais de controle de dados. Ele pode rodar sobre UDP ou TCP como uma alternativaao IPsec, multiplexando toda a comunicação em cima de uma porta (1194). Possuihabilidade de trabalhar com a maioria dos proxy e com NAT para passar por firewalls.Ele oferece dois tipos de interfaces, uma de layer-3 (TUN) ou uma de layer-2 (TAP),que pode carregar quaçquer tipo de trafégo ethernet. O OpenVPN oferece vários recursos de segurança internos. Tem a habilidade de bloquear os privilégios de acesso root, e oferece suporte a smart card através de criptografia baseada em token PKCS#11. 14
  15. 15. 5 CONCLUSÃO Infelizmente o que vemos na prática é que muitas empresas não dão o devidovalor a estas ferramentas, deixando de reduzir custos e trazendo riscos as informações,integridade dos dados e a disponibilidade dos sistemas de informação. Para se implantar uma eficaz segurança da informação dentro de umaorganização devemos ficar atentos para algumas questões como uma boa análise deriscos, a definição da Política de Segurança e por fim um plano de contingência. 15
  16. 16. REFERÊNCIASLinuxMan. Disponível em http://www.linuxman.pro.br. Acesso em 06 de Março de2010.Clube do Hardware. Disponível em http://www.clubedohardware.com.br. Acesso em 06de Março de 2010.Wikipédia. Disponível em http://pt.wikipedia.org/. Acesso em 06 de Março de 2010. 16

×