Curso Superior de Tecnologia em Redes de ComputadoresDisciplina - Segurança de RedesUnidade 3 – Segurança Perimetral(Filtr...
SegurançaPerimetral             Filtro de Pacotes                         Proxy                    Hardening              ...
NetfilterFiltro de Pacotes                    Iptables
SoftwareAplicativos          IPTABLESKernel         NETFILTER  Hardware
Tabelas             ChainsFilter          input / foward /                outputNat      prerouting / postrouting /       ...
Internet           Filter     input / foward /                      output           Nat prerouting / postrouting /       ...
Execute ...# iptables ­L # iptables ­L ­t filter# iptables ­L ­t nat# iptables ­L ­t mangle
Observe...# iptables ­A (adiciona uma regra)# iptables ­I (insere uma regra)# iptables ­R(sobreescreve uma regra)# iptable...
Qual a diferença entreadicionar e inserir?
- A opção  -I  é utilizada em tempo deexecução, ou seja, regras temporárias- A opção  -A  coloca a sempre no final dachain...
Especificações deFiltragem:Camadas 2,3 e 4
Camada 2                     Opções:                        i --in-interface                       -                      ...
Camada 3                Opções:                 -s , --src, --source                 -d, --dst, --destinationOrigem e Dest...
Camada 4                       Opções:                        -p , --protocol                        tcp, udp, icmpPara ic...
Já existe um projeto para o  netfilter trabalhar com a  Camada 7(aplicação)Application Layer Packet Classifier for Linuxht...
Especificações doAlvo (target)
ACCEPTDROPREJECTLOG
Qual a diferença entre DROPe REJECT?
O alvo DROP, descarta o pacoteimediatamenteO alvo REJECT descarta e pacote e enviauma resposta ao ip de origem:icmp port u...
NAT – NetworkAddress Translation-O roteador altera o cabeçalho do pacote no campo endereçode origem, colocando seu IP- O r...
SNAT – Source Network AddressTranslations
DNAT – Destination Network AddressTranslations
Unidade3 seg perimetral
Próximos SlideShares
Carregando em…5
×

Unidade3 seg perimetral

679 visualizações

Publicada em

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
679
No SlideShare
0
A partir de incorporações
0
Número de incorporações
4
Ações
Compartilhamentos
0
Downloads
28
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Unidade3 seg perimetral

  1. 1. Curso Superior de Tecnologia em Redes de ComputadoresDisciplina - Segurança de RedesUnidade 3 – Segurança Perimetral(Filtro de Pacotes) Prof. Leandro Cavalcanti de Almeida lcavalcanti.almeida@gmail.com @leandrocalmeida
  2. 2. SegurançaPerimetral Filtro de Pacotes Proxy Hardening VPN IDS/IPS
  3. 3. NetfilterFiltro de Pacotes Iptables
  4. 4. SoftwareAplicativos IPTABLESKernel NETFILTER Hardware
  5. 5. Tabelas ChainsFilter input / foward / outputNat prerouting / postrouting / outputMangle prerouting / input / forward output / postrouting
  6. 6. Internet Filter input / foward / output Nat prerouting / postrouting / output Mangle prerouting / input / forward output / postrouting
  7. 7. Execute ...# iptables ­L # iptables ­L ­t filter# iptables ­L ­t nat# iptables ­L ­t mangle
  8. 8. Observe...# iptables ­A (adiciona uma regra)# iptables ­I (insere uma regra)# iptables ­R(sobreescreve uma regra)# iptables ­D (remove uma regra)
  9. 9. Qual a diferença entreadicionar e inserir?
  10. 10. - A opção -I é utilizada em tempo deexecução, ou seja, regras temporárias- A opção -A coloca a sempre no final dachain- A opção -I coloca a regra no início dachain- Entretanto, é possível específicar aposição (# iptables ­I CHAIN 4)
  11. 11. Especificações deFiltragem:Camadas 2,3 e 4
  12. 12. Camada 2 Opções: i --in-interface - o –out-interface -Pacotes analizados pelas chains OUTPUT e POSTROUTINGnão trabalham com interface de entrada, logo não épermitido utilizar a opção -i nestas chains.Da mesma forma, as chains INPUT e PREROUTING nãotrabalham com interface de saída, logo não é permitidoutilizar a opção -o nestas chains
  13. 13. Camada 3 Opções: -s , --src, --source -d, --dst, --destinationOrigem e Destino podem ser endereços IP,subredes ou nomes DNS
  14. 14. Camada 4 Opções: -p , --protocol tcp, udp, icmpPara icmp, você pode especificar tipos de mensagens:--icmp-typePara udp você pode especificar: --sourceport / -sport ou--destination-port / -dportPara tcp você pode especificar: -sport ou -dport e alémdos flags(SYN ACK FIN RST URG PSH ALL NONE) com aopção –tcp-flags
  15. 15. Já existe um projeto para o netfilter trabalhar com a Camada 7(aplicação)Application Layer Packet Classifier for Linuxhttp://l7-filter.sourceforge.net/
  16. 16. Especificações doAlvo (target)
  17. 17. ACCEPTDROPREJECTLOG
  18. 18. Qual a diferença entre DROPe REJECT?
  19. 19. O alvo DROP, descarta o pacoteimediatamenteO alvo REJECT descarta e pacote e enviauma resposta ao ip de origem:icmp port unreachableSendo possível customizar com­­reject­with
  20. 20. NAT – NetworkAddress Translation-O roteador altera o cabeçalho do pacote no campo endereçode origem, colocando seu IP- O roteador guarda as informaçõesdestas alterações no arquivo/proc/net/ip_conntrack- Quando o pacote volta oroteador desfaz a alteração
  21. 21. SNAT – Source Network AddressTranslations
  22. 22. DNAT – Destination Network AddressTranslations

×