1) O documento discute segurança perimetral através do uso de filtros de pacotes no kernel Linux NETFILTER e da ferramenta IPTABLES. 2) IPTABLES permite configurar regras de filtragem, tradução de endereços de rede (NAT) e manipulação de pacotes nas tabelas Filter, Nat e Mangle. 3) As especificações de filtragem podem ser baseadas nas camadas 2, 3 e 4 do modelo OSI, enquanto o alvo pode ser ACCEPT, DROP, REJECT ou LOG.

1. Curso Superior de Tecnologia em Redes de Computadores
Disciplina - Segurança de Redes
Unidade 3 – Segurança Perimetral(Filtro de Pacotes)
Prof. Leandro Cavalcanti de Almeida
lcavalcanti.almeida@gmail.com
@leandrocalmeida

2. Segurança
Perimetral
Filtro de Pacotes
Proxy
Hardening
VPN
IDS/IPS

3. Netfilter
Filtro de Pacotes
Iptables

4. Software
Aplicativos
IPTABLES
Kernel
NETFILTER
Hardware

5. Tabelas Chains
Filter input / foward /
output
Nat prerouting / postrouting /
output
Mangle prerouting / input / forward
output / postrouting

6. Internet
Filter input / foward /
output
Nat prerouting / postrouting /
output
Mangle prerouting / input / forward
output / postrouting

8. Execute ...
# iptables ­L
# iptables ­L ­t filter
# iptables ­L ­t nat
# iptables ­L ­t mangle

9. Observe...
# iptables ­A (adiciona
uma regra)
# iptables ­I (insere uma
regra)
# iptables ­R(sobreescreve
uma regra)
# iptables ­D (remove uma
regra)

10. Qual a diferença entre
adicionar e inserir?

11. - A opção ' -I ' é utilizada em tempo de
execução, ou seja, regras temporárias
- A opção ' -A ' coloca a sempre no final da
chain
- A opção ' -I ' coloca a regra no início da
chain
- Entretanto, é possível específicar a
posição (# iptables ­I CHAIN 4)

12. Especificações de
Filtragem:
Camadas 2,3 e 4

13. Camada 2
Opções:
' i' --in-interface
-
' o' –out-interface
-
Pacotes analizados pelas chains OUTPUT e POSTROUTING
não trabalham com interface de entrada, logo não é
permitido utilizar a opção -i nestas chains.
Da mesma forma, as chains INPUT e PREROUTING não
trabalham com interface de saída, logo não é permitido
utilizar a opção -o nestas chains

14. Camada 3
Opções:
-s , --src, --source
-d, --dst, --destination
Origem e Destino podem ser endereços IP,
subredes ou nomes DNS

15. Camada 4
Opções:
-p , --protocol
tcp, udp, icmp
Para icmp, você pode especificar tipos de mensagens:
--icmp-type
Para udp você pode especificar: --sourceport / -sport ou
--destination-port / -dport
Para tcp você pode especificar: -sport ou -dport e além
dos flags(SYN ACK FIN RST URG PSH ALL NONE) com a
opção –tcp-flags

16. Já existe um projeto para o
netfilter trabalhar com a
Camada 7(aplicação)
Application Layer Packet Classifier for Linux
http://l7-filter.sourceforge.net/

17. Especificações do
Alvo (target)

18. ACCEPT
DROP
REJECT
LOG

19. Qual a diferença entre DROP
e REJECT?

20. O alvo DROP, descarta o pacote
imediatamente
O alvo REJECT descarta e pacote e envia
uma resposta ao ip de origem:
icmp port unreachable
Sendo possível customizar com
­­reject­with

21. NAT – Network
Address Translation
-O roteador altera o cabeçalho do
pacote no campo endereço
de origem, colocando seu IP
- O roteador guarda as informações
destas alterações no arquivo
/proc/net/ip_conntrack
- Quando o pacote volta o
roteador desfaz a alteração

22. SNAT – Source Network Address
Translations

23. DNAT – Destination Network Address
Translations