O documento discute mecanismos de segurança em distribuições Linux, incluindo firewalls (Iptables), proxy (Squid) e VPN (OpenVPN). Iptables é a ferramenta de firewall padrão no Linux e usa tabelas e regras para filtrar pacotes de rede. Squid é um proxy de cache web gratuito e popular que melhora o desempenho e permite controle de acesso. OpenVPN fornece VPN para conectar redes de forma segura através da Internet.

1. Mecanismos de segurança em distribuições Linux Allan S. Reis Elvis de Souza Marco Antonio Thiago George

2. Um firewall é um sistema (ou grupo de sistemas) que reforçam a norma de segurança entre uma rede interna segura e uma rede não-confiável como a Internet. Os firewalls tendem a serem vistos como uma proteção entre a Internet e a rede privada. Firewall Um firewall pode ser um PC, um roteador, um computador de tamanho intermediário, um mainframe, uma estação de trabalho UNIX ou a combinação destes.

3. Iptables é a atual ferramenta para firewall no Linux. Ele é constituído de uma série de aplicativos existentes que interagem com o netfilter, que é a implementação de firewall em nível de Kernel. IPTABLES O Iptables se baseia em pares de regras e ações. As regras definem em quais pacotes atuar e a ação define qual atitude deve ser tomada quando um pacote bater com a regra em questão.

4. O nome Iptables vem do fato de internamente o Iptables funcionar em cima de tabelas, cada uma especializada num tipo de tratamento de pacotes. As tabelas existentes são: IPTABLES * raw: onde são feitas algumas alterações em mais baixo nível nos pacot es; * filter: nesta tabela cabem as regras responsáveis pela filtragem de pacotes; * nat: mudanças nos cabeçalhos dos pacotes (incluindo NAT e IP Mascarado); * mangle: usada para alterações específicas nos pacotes.

5. IPTABLES

6. IPTABLES

7. Existem diversas cadeias no Iptables, cada uma associada a um tipo de tráfego. São elas: IPTABLES * PREROUTING: tráfego ingressante na máquina (incluindo tráfego gerado localmente com destino local); * INPUT : tráfego que tem como destino a própria máquina; * FORWARD: tráfego passante pela máquina; * OUTPUT: tráfego gerado localmente (tanto com destino local como remoto); * POSTROUTING: todo tráfego que "sai" da máquina (incluindo tráfego gerado localmente com destino local).

8. O uso de regras é necessário para selecionar em quais pacotes uma dita ação irá atuar. Nem todas as regras se aplicam a todas as cadeias. IPTABLES * -p PROTOCOLO : especifica um protocolo (por exemplo tcp ou udp); * -s ENDEREÇO: especifica um endereço de origem; * -d ENDEREÇO : especifica um endereço de destino; * -i INTERFACE: especifica a interface de rede na qual o pacote ingressou; * -o INTERFACE : especifica a interface de rede na qual o pacote irá sair da máquina.

9. Especifica a ação a ser tomada quando um pacote casar com uma dada regra de seleção. Esta ação pode ser padrão ou uma extensão (similares ao caso das regras anteriores). As ações padrão são: IPTABLES * ACCEPT: aceita o pacote, e diz ao netfilter para continuar o processamento do pacote na próxima cadeia/tabela * DROP: diz ao netfilter para ignorar completamente o pacote; * QUEUE: indica que o pacote deve ser passado ao userspace; * RETURN: instrui o netfilter para parar de processar a cadeia em questão e continuar na próxima regra na cadeia anterior

10. Proxy é um intermediário (servidor) que desempenha a função de conexão do computador (local) à rede externa (Internet). Pode ser utilizado para registrar o uso da Internet e também para bloquear o acesso a um site da Web. Esses servidores têm uma série de usos, como filtrar conteúdo, providenciar anonimato, entre outros. PROXY

11. Squid é um proxy-cache para clientes web, gratuito e muito utilizado em distribuições Linux. O Squid permite compartilhar o acesso a Web com outros computadores da rede, e melhora a velocidade de acesso através do cache. SQUID O Squid possui muitos recursos, incluindo autenticação de usuários, restrições de acesso, auditoria, etc. Dentre os benefícios do Squid, podemos citas os seguintes: - Velocidade de acesso; - Disponibilidade; - Transparência ou Ostensividade; - Capacidade de trabalhar com redes heterogêneas; - Simplicidade.

12. Todas as configurações de usuários, grupos, horários e SITES são configurados em ACLs (Access Control Lists), permitindo trabalhar com níveis de acesso baseados em diversas informações. SQUID As configurações do Squid estão concentradas no arquivo /etc/squid/squid.conf . Após configurar as ACLs e criar os arquivos que serão referenciados, basta configurar o navegador para acesso.

13. SQUID

14. SQUID

15. Virtual Private Network (VPN), ou Rede Privada Virtual, é uma rede privativa (com acesso restrito) construída sobre a infra-estrutura de uma rede pública, geralmente a Internet. VPN Permite que as empresas criem uma rede totalmente integrada, conectando escritórios, filiais e fábricas, com tráfego de voz, dados e vídeo além da redução dos custos com links.

16. O OpenVPN é um software livre e open-source capaz de estabelecer conexões diretas entre computadores - mesmo que estes estejam atrás de Nat Firewalls - através de uma VPN, sem necessidade de reconfiguração da sua rede. Open VPN Está disponível para Solaris, Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X, e Windows 2000/XP/Vista.

17. O OpenVPN utiliza a biblioteca OpenSSL para prover criptografia entre ambos os canais de controle de dados. Ele pode rodar sobre UDP ou TCP como uma alternativa ao IPsec, multiplexando toda a comunicação em cima de uma porta (1194). Open VPN Possui habilidade de trabalhar com a maioria dos proxy e com NAT para passar por firewalls. Ele oferece dois tipos de interfaces, uma de layer-3 (TUN) ou uma de layer-2 (TAP), que pode carregar qualquer tipo de trafégo ethernet, além de oferece vários recursos de segurança internos.