SlideShare uma empresa Scribd logo

Firewall - Introducao.pdf

S
ssusere0b5a8

Firewall Iptables

Tecnologia
1 de 25
Baixar para ler offline
Segurança de Redes Firewall Filipe Raulino filipe.raulino@ifrn.edu.br
Introdução ! • O firewall é uma combinação de hardware e software que isola a rede local de uma organização da internet; • Com ele é possível implementar uma política de controle de acesso, bloqueando ou permitindo a passagem de pacotes; 2
Firewalls • Topologia 3
Firewalls • Topologia 4
Características • Pelo firewall devem passar todos os pacotes que chegam ou saem de uma rede. - Somente o tráfego autorizado na política de segurança da organização será encaminhado. • O firewall deve prover ferramentas para registro e monitoramento do tráfego, como logs e envios de alertas. • O firewall também é adequado para: - Implementação de serviços como NAT e VPN; - Realização de auditorias; e - Geração de estatísticas do uso da rede. 5
• Conversão de endereços privados para endereços públicos: - As máquinas internas utilizam endereços privados. • Esconde a topologia interna da rede: - Isola as máquinas da rede interna. • O gateway faz a tradução de endereços. NAT - Network Address Translations 6
Tipos de Firewall • Firewalls de filtragem de pacotes: Este tipo de firewall toma as decisões baseadas nos parâmetros do pacote, como porta/endereço de origem/ destino, estado da conexão, e outros parâmetros do pacote. O firewall então pode negar o pacote (DROP) ou deixar o pacote passar (ACCEPT). O iptables é um excelente firewall que se encaixa nesta categoria. • Gateways de camada de aplicação: Firewalls deste tipo são mais intrusivos e permitem um controle relacionado com o conteúdo do tráfego. Alguns firewalls em nível de aplicação combinam recursos básicos existentes em firewalls de filtragem de pacotes combinando as funcionalidade de controle de tráfego/controle de acesso em uma só ferramenta. 7 Os dois tipos de firewalls podem ser usados em conjunto
Filtragem de Pacotes • Aplica sequencialmente uma série de regras de filtragem aos pacotes e então encaminha ou descarta os mesmos; • As regras são baseadas nas informações contidas nos cabeçalhos dos pacotes: - Endereço IP de origem; - Endereço IP de destino; - Interface de rede; - Protocolos (TCP, UDP, ICMP, …). 8
• Em geral, são implementados junto com o processo de roteamento; • Alguns tipos de firewall de filtragem de pacotes podem guardar o estado da conexão: - Pacotes que pertençam a uma conexão já conhecida podem ser encaminhados sem uma nova consulta às regras de filtragem; - Dificultam diversos tipos de ataques, e possibilitam o funcionamento de serviços problemáticos para a filtragem de pacote convencional como SIP, H323, FTP… 9 Filtragem de Pacotes
• Ao final do conjunto de regras será aplicada uma ação (política) padrão: descartar ou encaminhar - Em Firewalls cuja política padrão é descartar as regras devem ser de liberação, pois tudo que não for permitido estará proibido. - Em Firewalls cuja política padrão é encaminhar as regras devem ser de bloqueio, pois tudo que não for proibido será permitido. 10 Filtragem de Pacotes
Firewall de Camada de Aplicação • São também conhecidos como servidores proxy; • Age como um intermediário das conexões em nível de aplicação; • Apesar de poderem ser implementados para qualquer aplicação, historicamente são utilizados para os serviços de HTTP e FTP. • Não protegem o sistema operacional da própria máquina • Desempenho inferior ao de filtro de pacote 11
Limitações de Firewalls e Gateways 12 • IP spoofing: roteador não pode saber se os dados realmente vêm da fonte declarada • Se múltiplas aplicações requerem um tratamento especial, cada uma deve ter seu próprio gateway de aplicação • O software cliente deve saber como contatar o gateway Ex., deve configurar o endereço IP do proxy no browser Web • Filtros muitas vezes usam uma regra radical para UDP: bloqueiam tudo ou deixam passar tudo • Compromisso: grau de comunicação com mundo exterior versus nível de segurança
O que Proteger? • Quais serviços precisa proteger. • Que tipo de conexões eu posso deixar passar e quais bloquear. • Que máquinas terão acesso livre e quais serão restritas. • Que serviços deverão ter prioridade no processamento. • Que máquinas/redes NUNCA deverão ter acesso a certas/todas máquinas. • Etc… 13
Iptables • O iptables, assim como a maioria (ou todos) dos filtros de pacotes, baseia-se em ACL´s (Access Control List), que servem para representar a política de segurança desejada • As ACL´s do iptables possuem várias peculiaridades, porque vários elementos sofisticados são utilizados para formar uma regra dentro do contexto da política desejada • O iptables utiliza os conceitos de - Cadeias (chains) - Tabelas (Tables) - Regras (rules) 14 Chain 1 Rule 1 Rule 2 Rule 3 Table 1 Table 2
Iptables - Regras • As regras são como comandos passados ao iptables para que ele realize uma determinada ação (como bloquear ou deixar passar um pacote). • As regras são armazenadas dentro dos chains e processadas na ordem que são inseridas. • As regras são armazenadas no kernel, o que significa que quando o computador for reiniciado tudo o que fez será perdido. Por este motivo elas deverão ser gravadas em um arquivo para serem carregadas a cada inicialização. 15 Um exemplo de regra: iptables -A INPUT -s 123.123.123.1 -j DROP.
Iptables - Cadeias • É onde podemos especificar a situação do tratamento dos pacotes, seja qual tabela for; • Podem ser classificadas como estruturas para comportar regras; • Existem dois tipos de cadeias: - Cadeias padrão ; e - Cadeias criadas pelo usuário. 16
Cadeias Padrão 17 • PREROUTING - Tráfego ingressante na máquina (incluindo tráfego gerado localmente com destino local) • INPUT - Tráfego que tem como destino a própria máquina • FORWARD - Tráfego passante pela máquina • OUTPUT - Tráfego gerado localmente (tanto com destino local como remoto) • POSTROUTING - Todo tráfego que "sai" da máquina (incluindo tráfego gerado localmente com destino local)
Criando uma Cadeia 18 •Criação de cadeias (user-chain) - iptables –N <OP> -N Create a new chain -X Delete an EMPTY chain -P Change the Policy for a built-in chain -L Lists the chain rules -F Flushes the rules of a chain -Z Sets the counters to zero on all the rules in a chain ! - iptables –N allow - iptables –L allow
Iptables - Tabelas • Tabelas são os locais usados para armazenar os chains e conjunto de regras com uma determinada característica em comum. As tabelas podem ser referenciadas com a opção -t tabela; • Existem 3 tabelas disponíveis no iptables: - FILTER - responsável pela filtragem de todos os pacotes que passam pelo host, não importando origem e destino; - NAT - responsável pelo controle dos pacotes que passam pelo host, mas cuja origem ou destino não é o mesmo. - MANGLE - ermite alterar características específicas do pacote, como por exemplo: o TOS (Tipo de Serviço) o que permite implementar um sistema simples de QOS ( qualidade de serviço). 19
Fluxos do Iptables A tabela FILTER - É a tabela padrão do Netfilter e trata das situações implementadas por um Firewall filtro de pacotes. Estas situações são: INPUT, FORWARD e OUTPUT. ! A tabela NAT - Usada para dados que gera outra conexão (masquerading, source nat, destination nat, port forwarding, proxy transparente são alguns exemplos). Possui 3 chains padrões: PREROUTING, OUTPUT e POSTROUTING! A tabela MANGLE - Implementa alterações especiais em pacotes em um nível mais complexo. A tabela mangle é capaz, por exemplo, de alterar a prioridade de entrada e saída de um pacote baseado no tipo de serviço (TOS) o qual o pacote se destinava. Suas situações são: PREROUTING e OUTPUT. 20
Iptables - Ações • São os destinos dados ao pacote quando o pacote coincide com a regra • Target padrão - ACCEPT - DROP - REJECT - LOG • Target personalizada - Implementado com chains personalizadas 21
Iptables - Política Padrão As chains INPUT, OUTPUT e FORWARD possuem também políticas • Política ACCEPT - Tudo que não estiver bloqueado será permitido - Regras serão de bloqueio • Política DROP - Tudo que não estiver liberado será bloqueado - Regras serão de liberação 22 Sintaxe: iptables -P <chain> <politica>
23 •Ordem de aplicação das regras • São avaliadas na ordem em que são inseridas, seqüencialmente ! ! ! ! ! ! ! • Após avaliadas todas as regras, sem ocorrência de ‘match’, a política padrão será aplicada
Iptables - Sintaxe básica • Inserir uma regra no início de uma chain • iptables [-t <tabela>] -I <chain> <regra> -j <acao> • Inserir uma regra no final de uma chain • iptables [-t <tabela>] -A <chain> <regra> -j <acao> • Remover uma regra de uma chain • iptables [-t <tabela>] -D <chain> <regra> -j <acao> 24
• Alterar a política de uma chain • iptables -P <chain> <politica> • Listar as regras de uma chain • iptables [-t <tabela>] -L [-n] <chain> • Remover todas as regras de uma chain • iptables -F <chain> 25 Iptables - Sintaxe básica

Recomendados

Firewall no linux
Firewall no linuxFirewall no linux
Firewall no linuxKagi Adrian Zinelli
 
Aula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAndrei Carniel
 
Apostila firewall-consulta
Apostila firewall-consultaApostila firewall-consulta
Apostila firewall-consultarafael informática
 
IPTables na prática
IPTables na práticaIPTables na prática
IPTables na práticaaptans
 
Iptables Completo Oliver
Iptables Completo OliverIptables Completo Oliver
Iptables Completo Olivermarcosserva
 
SENAI - Segurança firewall
SENAI - Segurança firewall SENAI - Segurança firewall
SENAI - Segurança firewall Carlos Melo
 
5 - segurança - firewall
5 - segurança - firewall5 - segurança - firewall
5 - segurança - firewallAndre Peres
 
Netfilter + Iptables
Netfilter + IptablesNetfilter + Iptables
Netfilter + IptablesRodrigo Piovesana
 

Recomendados

Firewall no linux
Firewall no linuxFirewall no linux
Firewall no linuxKagi Adrian Zinelli
 
Aula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAndrei Carniel
 
Apostila firewall-consulta
Apostila firewall-consultaApostila firewall-consulta
Apostila firewall-consultarafael informática
 
IPTables na prática
IPTables na práticaIPTables na prática
IPTables na práticaaptans
 
Iptables Completo Oliver
Iptables Completo OliverIptables Completo Oliver
Iptables Completo Olivermarcosserva
 
SENAI - Segurança firewall
SENAI - Segurança firewall SENAI - Segurança firewall
SENAI - Segurança firewall Carlos Melo
 
5 - segurança - firewall
5 - segurança - firewall5 - segurança - firewall
5 - segurança - firewallAndre Peres
 
Netfilter + Iptables
Netfilter + IptablesNetfilter + Iptables
Netfilter + IptablesRodrigo Piovesana
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linuxguest4e5ab
 
Apresentação - Mecanismos de segurança linux
Apresentação - Mecanismos de segurança linuxApresentação - Mecanismos de segurança linux
Apresentação - Mecanismos de segurança linuxAllan Reis
 
Workshop iptables uern_stacruz_14_dez2010_v1
Workshop iptables uern_stacruz_14_dez2010_v1Workshop iptables uern_stacruz_14_dez2010_v1
Workshop iptables uern_stacruz_14_dez2010_v1Matheus Araújo
 
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS2206-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS22Gustavo Rodrigues Ramos
 
Aula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosAula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosCarlos Veiga
 
Seguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesSeguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesLuiz Arthur
 
Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos parte 01Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos parte 01Carlos Veiga
 
Aula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAndrei Carniel
 
Tutorial sobre iptables
Tutorial sobre iptablesTutorial sobre iptables
Tutorial sobre iptablesMarcelo Barros de Almeida
 
Firewall
FirewallFirewall
Firewallmauricio souza
 
Aula 1.PPTX
Aula 1.PPTXAula 1.PPTX
Aula 1.PPTXMilton Aguiar
 
Aula 05
Aula 05Aula 05
Aula 05Jorge Ávila Miranda
 
Roteamento
RoteamentoRoteamento
RoteamentoAlberto Felipe Friderichs Barros
 
Redes Avançadas - 1.Aspectos de Interconexão
Redes Avançadas - 1.Aspectos de InterconexãoRedes Avançadas - 1.Aspectos de Interconexão
Redes Avançadas - 1.Aspectos de InterconexãoMauro Tapajós
 
Componentes de uma Rede de computadores
Componentes de uma Rede de computadoresComponentes de uma Rede de computadores
Componentes de uma Rede de computadoresFelipe Silva
 
Roteamento
RoteamentoRoteamento
RoteamentoEvandro Júnior
 
Modelo osi
Modelo osiModelo osi
Modelo osiCristiano Esperto Lage
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores LinuxAlessandro Silva
 
Segurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | IptablesSegurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | IptablesMinistério Público da Paraíba
 
Aula 04 qs - sistemas embarcados
Aula 04 qs - sistemas embarcadosAula 04 qs - sistemas embarcados
Aula 04 qs - sistemas embarcadosJunior Gomes
 

Mais conteúdo relacionado

Semelhante a Firewall - Introducao.pdf

Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linuxguest4e5ab
 
Apresentação - Mecanismos de segurança linux
Apresentação - Mecanismos de segurança linuxApresentação - Mecanismos de segurança linux
Apresentação - Mecanismos de segurança linuxAllan Reis
 
Workshop iptables uern_stacruz_14_dez2010_v1
Workshop iptables uern_stacruz_14_dez2010_v1Workshop iptables uern_stacruz_14_dez2010_v1
Workshop iptables uern_stacruz_14_dez2010_v1Matheus Araújo
 
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS2206-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS22Gustavo Rodrigues Ramos
 
Aula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosAula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosCarlos Veiga
 
Seguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesSeguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesLuiz Arthur
 
Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos parte 01Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos parte 01Carlos Veiga
 
Aula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAndrei Carniel
 
Redes Avançadas - 1.Aspectos de Interconexão
Redes Avançadas - 1.Aspectos de InterconexãoRedes Avançadas - 1.Aspectos de Interconexão
Redes Avançadas - 1.Aspectos de InterconexãoMauro Tapajós
 
Componentes de uma Rede de computadores
Componentes de uma Rede de computadoresComponentes de uma Rede de computadores
Componentes de uma Rede de computadoresFelipe Silva
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores LinuxAlessandro Silva
 
Segurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | IptablesSegurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | IptablesMinistério Público da Paraíba
 
Aula 04 qs - sistemas embarcados
Aula 04 qs - sistemas embarcadosAula 04 qs - sistemas embarcados
Aula 04 qs - sistemas embarcadosJunior Gomes
 

Semelhante a Firewall - Introducao.pdf (20)

Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linux
 
Apresentação - Mecanismos de segurança linux
Apresentação - Mecanismos de segurança linuxApresentação - Mecanismos de segurança linux
Apresentação - Mecanismos de segurança linux
 
Workshop iptables uern_stacruz_14_dez2010_v1
Workshop iptables uern_stacruz_14_dez2010_v1Workshop iptables uern_stacruz_14_dez2010_v1
Workshop iptables uern_stacruz_14_dez2010_v1
 
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS2206-GestaoEquipamentosRedeOlharSeguranca_GTS22
06-GestaoEquipamentosRedeOlharSeguranca_GTS22
 
Aula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivosAula06 – sistemas de proteção de dispositivos
Aula06 – sistemas de proteção de dispositivos
 
Seguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesSeguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptables
 
Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos parte 01Aula04 – sistemas de proteção de dispositivos parte 01
Aula04 – sistemas de proteção de dispositivos parte 01
 
Aula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e ScriptsAula 8.2 - Iptables Impasses e Scripts
Aula 8.2 - Iptables Impasses e Scripts
 
Tutorial sobre iptables
Tutorial sobre iptablesTutorial sobre iptables
Tutorial sobre iptables
 
Firewall
FirewallFirewall
Firewall
 
Aula 1.PPTX
Aula 1.PPTXAula 1.PPTX
Aula 1.PPTX
 
Aula 05
Aula 05Aula 05
Aula 05
 
Roteamento
RoteamentoRoteamento
Roteamento
 
Redes Avançadas - 1.Aspectos de Interconexão
Redes Avançadas - 1.Aspectos de InterconexãoRedes Avançadas - 1.Aspectos de Interconexão
Redes Avançadas - 1.Aspectos de Interconexão
 
Componentes de uma Rede de computadores
Componentes de uma Rede de computadoresComponentes de uma Rede de computadores
Componentes de uma Rede de computadores
 
Roteamento
RoteamentoRoteamento
Roteamento
 
Modelo osi
Modelo osiModelo osi
Modelo osi
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores Linux
 
Segurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | IptablesSegurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | Iptables
 
Aula 04 qs - sistemas embarcados
Aula 04 qs - sistemas embarcadosAula 04 qs - sistemas embarcados
Aula 04 qs - sistemas embarcados
 

Firewall - Introducao.pdf

  • 1. Segurança de Redes Firewall Filipe Raulino filipe.raulino@ifrn.edu.br
  • 2. Introdução ! • O firewall é uma combinação de hardware e software que isola a rede local de uma organização da internet; • Com ele é possível implementar uma política de controle de acesso, bloqueando ou permitindo a passagem de pacotes; 2
  • 5. Características • Pelo firewall devem passar todos os pacotes que chegam ou saem de uma rede. - Somente o tráfego autorizado na política de segurança da organização será encaminhado. • O firewall deve prover ferramentas para registro e monitoramento do tráfego, como logs e envios de alertas. • O firewall também é adequado para: - Implementação de serviços como NAT e VPN; - Realização de auditorias; e - Geração de estatísticas do uso da rede. 5
  • 6. • Conversão de endereços privados para endereços públicos: - As máquinas internas utilizam endereços privados. • Esconde a topologia interna da rede: - Isola as máquinas da rede interna. • O gateway faz a tradução de endereços. NAT - Network Address Translations 6
  • 7. Tipos de Firewall • Firewalls de filtragem de pacotes: Este tipo de firewall toma as decisões baseadas nos parâmetros do pacote, como porta/endereço de origem/ destino, estado da conexão, e outros parâmetros do pacote. O firewall então pode negar o pacote (DROP) ou deixar o pacote passar (ACCEPT). O iptables é um excelente firewall que se encaixa nesta categoria. • Gateways de camada de aplicação: Firewalls deste tipo são mais intrusivos e permitem um controle relacionado com o conteúdo do tráfego. Alguns firewalls em nível de aplicação combinam recursos básicos existentes em firewalls de filtragem de pacotes combinando as funcionalidade de controle de tráfego/controle de acesso em uma só ferramenta. 7 Os dois tipos de firewalls podem ser usados em conjunto
  • 8. Filtragem de Pacotes • Aplica sequencialmente uma série de regras de filtragem aos pacotes e então encaminha ou descarta os mesmos; • As regras são baseadas nas informações contidas nos cabeçalhos dos pacotes: - Endereço IP de origem; - Endereço IP de destino; - Interface de rede; - Protocolos (TCP, UDP, ICMP, …). 8
  • 9. • Em geral, são implementados junto com o processo de roteamento; • Alguns tipos de firewall de filtragem de pacotes podem guardar o estado da conexão: - Pacotes que pertençam a uma conexão já conhecida podem ser encaminhados sem uma nova consulta às regras de filtragem; - Dificultam diversos tipos de ataques, e possibilitam o funcionamento de serviços problemáticos para a filtragem de pacote convencional como SIP, H323, FTP… 9 Filtragem de Pacotes
  • 10. • Ao final do conjunto de regras será aplicada uma ação (política) padrão: descartar ou encaminhar - Em Firewalls cuja política padrão é descartar as regras devem ser de liberação, pois tudo que não for permitido estará proibido. - Em Firewalls cuja política padrão é encaminhar as regras devem ser de bloqueio, pois tudo que não for proibido será permitido. 10 Filtragem de Pacotes
  • 11. Firewall de Camada de Aplicação • São também conhecidos como servidores proxy; • Age como um intermediário das conexões em nível de aplicação; • Apesar de poderem ser implementados para qualquer aplicação, historicamente são utilizados para os serviços de HTTP e FTP. • Não protegem o sistema operacional da própria máquina • Desempenho inferior ao de filtro de pacote 11
  • 12. Limitações de Firewalls e Gateways 12 • IP spoofing: roteador não pode saber se os dados realmente vêm da fonte declarada • Se múltiplas aplicações requerem um tratamento especial, cada uma deve ter seu próprio gateway de aplicação • O software cliente deve saber como contatar o gateway Ex., deve configurar o endereço IP do proxy no browser Web • Filtros muitas vezes usam uma regra radical para UDP: bloqueiam tudo ou deixam passar tudo • Compromisso: grau de comunicação com mundo exterior versus nível de segurança
  • 13. O que Proteger? • Quais serviços precisa proteger. • Que tipo de conexões eu posso deixar passar e quais bloquear. • Que máquinas terão acesso livre e quais serão restritas. • Que serviços deverão ter prioridade no processamento. • Que máquinas/redes NUNCA deverão ter acesso a certas/todas máquinas. • Etc… 13
  • 14. Iptables • O iptables, assim como a maioria (ou todos) dos filtros de pacotes, baseia-se em ACL´s (Access Control List), que servem para representar a política de segurança desejada • As ACL´s do iptables possuem várias peculiaridades, porque vários elementos sofisticados são utilizados para formar uma regra dentro do contexto da política desejada • O iptables utiliza os conceitos de - Cadeias (chains) - Tabelas (Tables) - Regras (rules) 14 Chain 1 Rule 1 Rule 2 Rule 3 Table 1 Table 2
  • 15. Iptables - Regras • As regras são como comandos passados ao iptables para que ele realize uma determinada ação (como bloquear ou deixar passar um pacote). • As regras são armazenadas dentro dos chains e processadas na ordem que são inseridas. • As regras são armazenadas no kernel, o que significa que quando o computador for reiniciado tudo o que fez será perdido. Por este motivo elas deverão ser gravadas em um arquivo para serem carregadas a cada inicialização. 15 Um exemplo de regra: iptables -A INPUT -s 123.123.123.1 -j DROP.
  • 16. Iptables - Cadeias • É onde podemos especificar a situação do tratamento dos pacotes, seja qual tabela for; • Podem ser classificadas como estruturas para comportar regras; • Existem dois tipos de cadeias: - Cadeias padrão ; e - Cadeias criadas pelo usuário. 16
  • 17. Cadeias Padrão 17 • PREROUTING - Tráfego ingressante na máquina (incluindo tráfego gerado localmente com destino local) • INPUT - Tráfego que tem como destino a própria máquina • FORWARD - Tráfego passante pela máquina • OUTPUT - Tráfego gerado localmente (tanto com destino local como remoto) • POSTROUTING - Todo tráfego que "sai" da máquina (incluindo tráfego gerado localmente com destino local)
  • 18. Criando uma Cadeia 18 •Criação de cadeias (user-chain) - iptables –N <OP> -N Create a new chain -X Delete an EMPTY chain -P Change the Policy for a built-in chain -L Lists the chain rules -F Flushes the rules of a chain -Z Sets the counters to zero on all the rules in a chain ! - iptables –N allow - iptables –L allow
  • 19. Iptables - Tabelas • Tabelas são os locais usados para armazenar os chains e conjunto de regras com uma determinada característica em comum. As tabelas podem ser referenciadas com a opção -t tabela; • Existem 3 tabelas disponíveis no iptables: - FILTER - responsável pela filtragem de todos os pacotes que passam pelo host, não importando origem e destino; - NAT - responsável pelo controle dos pacotes que passam pelo host, mas cuja origem ou destino não é o mesmo. - MANGLE - ermite alterar características específicas do pacote, como por exemplo: o TOS (Tipo de Serviço) o que permite implementar um sistema simples de QOS ( qualidade de serviço). 19
  • 20. Fluxos do Iptables A tabela FILTER - É a tabela padrão do Netfilter e trata das situações implementadas por um Firewall filtro de pacotes. Estas situações são: INPUT, FORWARD e OUTPUT. ! A tabela NAT - Usada para dados que gera outra conexão (masquerading, source nat, destination nat, port forwarding, proxy transparente são alguns exemplos). Possui 3 chains padrões: PREROUTING, OUTPUT e POSTROUTING! A tabela MANGLE - Implementa alterações especiais em pacotes em um nível mais complexo. A tabela mangle é capaz, por exemplo, de alterar a prioridade de entrada e saída de um pacote baseado no tipo de serviço (TOS) o qual o pacote se destinava. Suas situações são: PREROUTING e OUTPUT. 20
  • 21. Iptables - Ações • São os destinos dados ao pacote quando o pacote coincide com a regra • Target padrão - ACCEPT - DROP - REJECT - LOG • Target personalizada - Implementado com chains personalizadas 21
  • 22. Iptables - Política Padrão As chains INPUT, OUTPUT e FORWARD possuem também políticas • Política ACCEPT - Tudo que não estiver bloqueado será permitido - Regras serão de bloqueio • Política DROP - Tudo que não estiver liberado será bloqueado - Regras serão de liberação 22 Sintaxe: iptables -P <chain> <politica>
  • 23. 23 •Ordem de aplicação das regras • São avaliadas na ordem em que são inseridas, seqüencialmente ! ! ! ! ! ! ! • Após avaliadas todas as regras, sem ocorrência de ‘match’, a política padrão será aplicada
  • 24. Iptables - Sintaxe básica • Inserir uma regra no início de uma chain • iptables [-t <tabela>] -I <chain> <regra> -j <acao> • Inserir uma regra no final de uma chain • iptables [-t <tabela>] -A <chain> <regra> -j <acao> • Remover uma regra de uma chain • iptables [-t <tabela>] -D <chain> <regra> -j <acao> 24
  • 25. • Alterar a política de uma chain • iptables -P <chain> <politica> • Listar as regras de uma chain • iptables [-t <tabela>] -L [-n] <chain> • Remover todas as regras de uma chain • iptables -F <chain> 25 Iptables - Sintaxe básica