Faculdade Eniac

Graduao Tecnolgica em Redes de Computadores

Clio de Jesus Sousa
Cleiton de Jesus Sousa






Segurana em Redes Linux
Firewall Iptables









Guarulhos
2013









Segurana em Redes Linux
Firewall Iptables



Trabalho de Concluso de Curso
apresentado Faculdade Eniac, como
requisito parcial para a obteno do
ttulo de Graduao Tecnolgica em
Tecnologia em Redes de
Computadores.
Orientador: Prof. MSc. Jacques
Miranda.



Guarulhos
2013














Dedicamos nosso Trabalho de
Concluso de Curso a todos que
estiveram conosco durante essa
grande jornada de aprendizados
e luta. Nossa famlia e amigos
que nos apoiaram e
incentivaram a prosseguir at o
final mediante as dificuldades e
mantendo sempre a persistncia
e perseverana.



















Agradecemos
primeiramente a Deus por
ter nos capacitado e nos
dado fora em todas as
horas, agradecemos a
todos os amigos e
familiares que estiveram
acompanhando e
acreditando em ns
durante todo o curso.





















Voc nunca saber quais resultados viro de suas aes, mas se no
fizer nada, no existiro resultados."

(Fernanda Del R)






Sumrio

INTRODUO.................................................................................................1
1. DEFINIO DE SEGURANA.....................................................................3
2. SISTEMA OPERACIONAL ADOTADO.........................................................4
3. RAZO A QUAL UTILIZAR O FIREWALL DO LINUX..................................5
3.1 SEGURANA DO LINUX.................................................................5
4. RAZES PARA SE PREOCUPAR COM A SEGURANA...........................6
4.1 COMO O ATAQUE PODE SER FEITO............................................6
4.2 PRINCIPAIS TIPOS DE ATAQUE....................................................6
5. ENGENHARIA SOCIAL................................................................................8
6. CONCEITO E DEFINIO DE UM FIREWALL............................................10
7. FUNCIONAMENTO DE UM FIREWALL.......................................................11
8. FIREWALL IPTABLES.........................,........................................................12
9. FLUXO DO KERNEL VS NETFILTER..........................................................13
10. TABELAS DO IPTABLES...........................................................................14
11. NECESSIDADE DE UMA REDE SEGURA................................................15
12. COMANDOS BSICOS DE GERENCIAMENTO.......................................17
13. CRIANDO REGRAS BSICAS NO IPTABLES...........................................21
14. CONCLUSO..............................................................................................24
15. REFERNCIAS BIBLIOGRFICAS............................................................26
16. ANEXOS......................................................................................................27
17. REVISO BIBLIOGRFICA........................................................................31
18. APNDICE .................................................................................................33
19. TERMO DE COMPROMISSO ....................................................................41
1

Introduo
Trata-se de um trabalho de concluso de curso sob a forma de
monografia como requisito parcial para obteno de titulao em tecnlogo do
curso Tecnologia em Redes de Computadores.
O Tema escolhido para o desenvolvimento do Trabalho apresentado
como forma de mostrar sobre a segurana de dados nos sistemas, e a
segurana como um todo no mundo da informtica. Veremos tambm tipos de
situaes que envolvem o dia a dia, precaues e solues.
A segurana da informao uma disciplina relativamente nova em
comparao com as outras reas de conhecimento humano, umas disciplinas a
qual poucas pessoas se interessam em saber sobre ela e apenas se do conta
da importncia quando precisam ou h necessidade de uma mudana drstica.
Com o crescimento gradativo das redes de computadores e o grande
volume de dados das empresas cada vez mais conectadas s redes Internet, o
fator segurana imprescindvel tanto em pequenas como grandes
corporaes.
Hoje todas as empresas veem a necessidade de terem ao menos um
Servidor e um computador (Cliente) dentro da empresa, seja para acesso ao
sistema, para uma edio de texto, imagens, planilhas, e-mail, internet, etc.
Nosso trabalho abordar a desde um pouco sobre a histria das redes
de computadores, passando pela evoluo gradativa que teve durante todos
estes ano at a segurana das redes, como implementar uma rede segura,
trabalhando com uma ferramenta do sistema operacional Linux, introduzida no
kernel do sistema, o iptables, evitando assim um problema maior no futuro.
A evoluo da tecnologia periodicamente nos leva a grandes ideias e ao
mesmo tempo a grandes dificuldades de mudar, proteger e acompanhar a sua
evoluo e desenvolvimento.
A Tecnologia tende a mudar a cada dia, hoje em dia ningum mais vive
sem ela, empresas usurios, e todas as pessoas de todos os lugares.
2

Nesse trabalho tambm abordaremos assuntos como pequenas e
grandes ameaas, e outros assuntos interessantes para quem gosta e esta
envolvido no mundo da informtica.
Nosso trabalho voltado a um pblico diferenciado e um pblico
totalmente interativo com a tecnologia. Menos por seu um tema bastante
robusto e com muita abrangncia, conseguimos focar diretamente nos
principais e mais interessantes tpicos, e poder trazer ao leitor o que parece
ser mais importante para a segurana da informao, e despertar a vontade de
aprender cada vez mais.
O principal tema abordado no trabalho o Sistema operacional Linux e
sua segurana, um tema muito interessante e com muitas dicas de segurana.
Vamos ver bastante sobre o Firewall, IPTABLES e suas barreiras de
segurana, filtragem de pacotes e trfico de dados.
Com base em livros, pesquisas, estudos e contedo visto e elaborado,
desenvolvemos este trabalho como forma de aprendizagem e desenvoltura,
desta forma apresentando em forma de trabalho de concluso grande parte do
nosso aprendizado durante todo o perodo do curso.














3

1. DEFINIO DE SEGURANA


Segundo o Livro Writing Information Security Policies de Scott Barman,
publicado pela Editora New Riders nos Estados Unidos (sem traduo no
Brasil) a politica de Segurana composta por um conjunto de regras e
padres sobre o que deve ser feito para assegurar que as informaes e
servios importantes para a empresa recebam a proteo conveniente, de
modo a garantir a sua confidencialidade, integridade e disponibilidade.

A segurana da informao um conjunto de normas seguidas e
utilizadas para manter sempre a segurana de coisas que so ativos de
informao.
Esta relacionada com a proteo de um conjunto de dados, no sentido
de preservar o valor que possuem para um individuo ou uma organizao. Isto
se aplica a todos os aspectos de proteo de informaes e dados, incluindo
no apenas a segurana dos dados, mas tambm as dos sistemas em si.
(FERREIRA, 2008, p.7).

A segurana da informao se refere proteo existente
sobre as informaes de uma determinada empresa ou
pessoa, isto , aplica se tanto as informaes corporativas
quanto s pessoais, entende-se por informao todo e
qualquer contedo que tenha valor para alguma organizao
ou pessoa. Ela pode estar guardada para uso restrito ou
exposta ao pblico para consulta ou aquisio.

(FERREIRA, Acesso em 08 jun.2013)







4

2. SISTEMA OPERACIONAL ADOTADO

O Software Livre j existe a muitos anos, muito tempo antes do que
muitos imaginam. Nos anos 80 os programadores trocavam softwares entre si,
podendo dividir entre si seus conhecimentos.
Quando haviam modificaes ou algumas melhorias as mesmas eram
compartilhadas umas com os outros e todos ficavam bem satisfeitos com isso.
Com a modernizao e popularizao dos computadores muitas
empresas comearam a no divulgar mais seus cdigos, ou seja elas apenas
vendiam uma licena para o uso, isso com diversas restries e sem a
possibilidade do cliente fazer cpias, (com o tempo a hbito de fazer cpias
levou o nome de piratria).
Muitos Hackers sentiram-se prejudicados com essa mudana pois isso
era contra seus principios de liberdade.
GNU significa GNU is not Unix, ou seja GNU no Unix. O projeto
obteve esse nove para mostrar ao publico que o novo sistema operaciona seria
parecido com o Unix, mas apenas parecido. No continha nenhum cdigo fonte
do mesmo, pelo motivo qual que Richard stallmam desenvolveu o aplicativo do
zero.
O termo Free significa Grtis e ao mesmo tempo Livre, mas na
realidade o termo Free no pelo fato de preo mais sim pela liberdade de
utilizar o Software.

Existem 4 liberdades bsicas no software que so:

- A liberdade de executar um programa para qualquer
propsito;
- A liberdade de estudar um programas como ele funciona e
adapt-lo para suas necessidades, acesso ao cdigo fonte
um pr requisito liberdade;
- A liberdade de redistribuir cpias de modo que possa ajudar o
prximo;
- A liberdade de aperfeioar o programa e liberar os seus
aperfeioamentos de modo que todos se beneficiem;

(THE FREE SOFTWARE DEFINITION, Acesso em 08 jun.2013)


5

3. RAZO A QUAL UTILIZAR O FIREWALL DO LINUX

O Iptables um dos firewalls em software livres mais utilizados, e como
ele j vem instalado por padro, na maioria das distribuies do Linux, e pelo
fato dele ter bom desempenho, tima segurana, estabilidade, tima
customizao e certa facilidade de configurao, claro, aps conhecer bem o
seu funcionamento, sero por estes motivos que ser utilizado o Firewall do
Linux, Iptables.
3.1 A SEGURANA DO LINUX
Qualquer distribuio Linux, tem como o administrador do sistema o
super usurio (root), com este usurio possvel fazer o que quiser no sistema,
o nico usurio que irrestrito ao sistema.
Para um melhor entendimento do usurio root, necessrio entender
que todos os processos, arquivos ou diretrios tem um usurio proprietrio que
no tem restries sob aquele arquivo, diretrio, etc. Porm todo esse poder
por ser perigoso para algum que no saiba utilizar o sistema.
Segundo Silva (2008, p. 147), possvel que outras contas de
acesso ao sistema sejam criadas com mesmo privilgio do
usurio root; como se fosse outros administradores do
sistema. Algumas organizaes adotam esta alternativa para
nomear cada usurio ao invs de usar aplicativos como o SU
ou SUDO.
No entanto, o problema quando existem contas com este
privilgio sem serem contas autorizadas, ou seja: contas
clandestinas. A primeira ao de um invasor qualquer que
tenha conseguido acesso privilegiado ao servidor
providenciar a criao de dois usurios, um com privilgio de
root, e outro no-root. Isso lhe garantir acesso futuro, a no
ser que o administrador do sistema identifique e remova estas
contas rapidamente.
O meliante criar contas com nomes no sugestivos, como
admin, PHP, OK, syst, NOP, e vrios outros nomes que
poderiam ser confundidos com algo prprio do sistema
operacional.
Outra questo que deve ser constantemente avaliada a
existncia de contas sem senha, que poderiam permitir algum
tipo de acesso no autorizado. (SILVA, 2008, p. 147).
6

4. RAZES PARA SE PREOCUPAR COM A SEGURANA

Invasores de sistema, ou os chamados Crackers buscam sempre achar
as vulnerabilidades de sistemas, redes, para poder atacar empresas, ou at
mesmo usurios domsticos desprotegidos, ou que tenham sua rede mal
configurada.
A maior parte dos ataques tem como objetivo acesso a importantes
informaes.
Exemplo: Documentos importantes, fotos, e-mails, senhas de banco,
cartes de crdito, etc.

4.1 COMO O ATAQUE PODE SER FEITO

O Invasor pode, por meio de uma rede mal configurada entrar em algum
computador da rede e a partir dai, realizar o roubo de informaes, ou alterar
configuraes na rede, como por exemplo, alterar informaes do site, ou
intranet da empresa, documentos da rede, etc.
Sempre buscando preservar o anonimato (deixando o computador
invadido como se fosse o que efetuou o ataque na rede).
4.2 PRINCIPAIS TIPOS DE ATAQUES

Com a crescente ampliao da atividade dentro das organizaes,
dificilmente ser encontrada uma empresa sujeita apenas a um tipo de risco.
Cada risco envolver caractersticas especificas, sendo necessrio um
conhecimento amplo do segmento analisado, com o objetivo de realizar uma
melhor avaliao dos riscos.

7

A seguir sero definidos alguns conceitos relativos aos principais tipos
de riscos:
Risco estratgico e Empresarial (Negcio)

Geralmente as decises estratgicas influenciavam toda uma
organizao nos seus mais variados nveis (executivo, Gerencial, Operacional,
Tcnicos etc.).
Alm disso, as informaes estratgicas so responsveis por manter e
aumentar a competitividade de uma organizao seja qual for o nicho de
negcio em que esteja inserida. Por isso, o risco estratgico deve ter uma
ateno toda especial.
Risco Humano
proveniente de aes de pessoas com intenes ou no de atingir a
organizao. Por exemplo, um funcionrio interno de uma empresa poder
causar danos, uma vez que podem possuir amplo conhecimento do
funcionamento da organizao permitindo aes mais direcionadas.
Outro exemplo seria o de danos causados por pessoas internas da
organizao que cometem involuntariamente.
Risco tecnolgico
Em virtude de seu potencial ainda no totalmente explorado e com
poucos diretores de TI com entendimento da sua real necessidade, tem sido
uma porta de entrada para muitos Hackers que enxergam nas falhas dos
sistemas uma porta de entrada para obter acesso no autorizado aos sistemas.
comum ouvir que a analise deste tipo de risco pode
ser automatizada e realizada por qualquer analista. Ai est o
maior perigo, pos uma analise mal feita, ou mesmo realizada
superficialmente, poder comprometer um sistema com
informaes valiosssimas, causando prejuzos enormes para a
organizao. Recentemente as empresas tm alinhado estas
anlises com o seu negcio, direcionando os esforos sobre os
ativos realmente relevantes. (Alberto, 2006, p. 64).
8

5. ENGENHARIA SOCIAL


A Engenharia social um termo utilizado para a obteno de
informaes importantes de uma mquina ou servidor, atravs de seus
usuarios e colaboradores, na qual essas informaes podem ser obtidas pela
ingenuidade ou confiana, e por via de telefone, Email e outros fins.

Segundo a (NBSO, 2003) a Engenharia social quando o
atacante abusa da ingenuidade de um usurio para obter
informaes importantes, muitas vezes para ter acesso a
computadores no autorizados.
Ferreira (2008 p.119), afirma que a Engenharia Social ocorre
quando os alvos so as pessoas ingnuas ou aquelas que
simplesmente desconhecem as melhores prticas de
segurana. Pouca ou nenhuma segurana deixa as
organizaes vulneraveis.
Entretanto, em exagero atrapalha a conduo e o crescimento
das atividades do negcio. No h como garantir a segurana
da informao na organizao somente envestindo em
equipamentos e recursos de tecnologia da informao, como,
por exemplo Firewalls, sistmas de deteco de intrusos,
antivirus etc.

Os tipos de ataques mais frequentes so no local de trabalho, por
telefone e On line.
Existem algumas formas de preveno para evitar de cair em alguma
cilada da engenharia social, tais como:

- Implementar formalmente a Politica de Segurana da informao.
Quando possivel, efetuar palestras para os colaboradores para conscientizar
sobre seu uso.
- Classificar as informaes de forma a esclarecer a cada colaborador
sobre o que pode ser divulgado e o que no pode.

- Desconfiar de grandes promoes, preos baixos e das ofertas
veiculadas na internet.
- Desconfiar sempre que for surpreendido por um telefonema de algum
que no conhea. Nunca divulgar nada e pedir um nmero de retorno para
verificar se a ligao verdadeira.
Engenheiros sociais que utilizam o telefone para obter informaes
9

possuem como objetivo ou passar se por algum funcionrio e colega de
trabalho, ou algum tipo de autoridade externa, como um auditor por exemplo.
Os primeiros alvos so secretrias, recepcionistas e seguranas, pois
esses funcionrios esto sempre em contato direto ou indireto com pessoas
que detm cargos de poder dentro da empresa, os verdadeiros alvos.
Assim atravs de pessoas mais acessiveis e com cargos menores
possivel obter informaes sobre aquelas mais bem posicionadas na
hierarquia.
(MARTINS, acesso em 09/06/13)

Por fim, a engenharia social o ato de conseguir informaes de uma
forma inusitada, a autoconfiana, facilidade de comunicao, aptido
profissional e grande capacidade de persuaso so caracteristicas de um
engenheiro social.
Muitas vitimas do ataque, afirmam no saber que passaram informaes
que no deveriam devido ao talento da pessoa com quem conversou, e esse
caso no to improvavel quanto pensamos.

















10

6. CONCEITO E DEFINIO DE UM FIREWALL

Um Firewall pode ser definido como um sistema que controla
os pacotes e conexes de rede que passam por ele;seja no
sentido de entrada, seja no sentido de saida. Uma definio
mais bsica diz que o Firewall objetiva proteger uma ou mais
redes internas de outras redes. Existem vrios tipos de
Firewalls, incluindo os packt filters, statefull inspection,
aplication firewall e outros.
Como o IPTABLES um dos Firewalls em software livre mais
utilizado, e como ele j vem instalado por padro na maioria
das distribuies Linux e pelo fato dele ser de bom
desempenho e segurana, por ser de facil configurao ele
ser utilizado para proteger o sistema operacional. (SILVA,
2008 p.201).

O Linux de uma forma geral relativamente imune a virus, worms e
trojans, que so a principal causa de invases e dores de cabea em geral no
windows. Isto no ocorre apenas porque o windows usado em mais
maquinas e por isso um alvo maior, mas tambm por que o aplicativos
disponiveis no Linux so pela mdia bem mais seguros.
Veja o caso do Apache, por exemplo. Ele usado em quase 70% dos
servidores web, contra os 11% do IIS. Mesmo assim, o nmero de falhas
criticas de segurana e invases bem-sucedidas registradas contra servidores
web rodando o IIS bem maior do que nos 7 vezes mais numerosos servidores
Apache.
Mesmo assim, brechas de segurana podem surgir onde menos se
espera. Por exemplo, em 2004 foi descobertoum buffer overlow no servidor
SSH, que poderia ser usado para desenvolver um exploit. Esta brecha no
chegou a ser explorada, pois assim que a possivel vulnerabilidade foi
descoberta, uma correo foi rapidamente disponibilizada e a noticia se
espalhou pela web. Antes que algum tivesse tempo de escrever um exploit, a
maior parte dos servidores do mundo j estavam seguros.
Imagine o Firewall como a muralha que cercava muitas cidades
na idade mdia. Mesmo que as casas no sejam muito
seguras, uma muralha forte em torno da cidade garante a
segurana. Se ningum consegue passar pela muralha, no
possivel chegar at as casas vulnerveis. Se por acaso as
casas j so seguras, ento a muralha aumenta ainda mais a
segurana.

(MORIMOTO, 2005, p.285)
11

7. FUNCIONAMENTO DE UM FIREWALL

A idia mais comum de um firewall como um dispositivo que fica entre
o switch ou Hub em que esto ligados os micros da rede e a internet. Nesta
posio usado um PC com duas placas de rede (eth0 e eth1, por exemplo),
onde uma ligada internet e outra rede local.
O Firewall aceita as conexes vindas dos micros da rede local e roteia
os acessos a internet. De dentro da rede voc consegue acessar quase tudo,
mas todas as tentativas de conexo vindas de fora so bloqueadas antes de
chegarem aos clientes.
Imagine um micro com o windows XP, onde o sistema acabou de ser
instalado, sem nenhuma atualizao de segurana e com o Firewall inativo.
Conectando este micro na internet diretamente, ser questo de segundos at
que ele comece a ser infectado por Worms e se transforme num zumbi a atacar
outras mquinas ligadas a ele.
Mas, se houver um Firewall no caminho, os pacotes nocivos no
chegam at ele, de forma que ele seja mantido relativamente seguro. Ele ainda
pode ser infectado de forma indiretas, como ao acessar uma pgina que
explore uma vulnerabilidade do IE, ou receber um E-mail infectado atravs do
Outlook, mas no mais diretamente, simplesmente por estar conectado a
internet. Substituindo o IE e o Outlook por programas mais seguros como o
Firefox e o Thunderbird, est mquina pode manter-se a salvo por um bom
tempo, mesmo sem as atualizaes.
Opcionalmente, o servidor rodando o Firewall pode ser equipado com
um servidor Squid configurado para remover arquivos executveis das pginas
acessadas e um servidor Postfix, encarregado de bloquear mensagens
infectadas, o que adiciona mais um nivel de proteo.
No Linux, o firewall incluido no proprio Kernel do sistema, na
forma do IPtables, encontrado no Kernel 2.4 em diante.
Embora seja sempre mais seguro ter um servidor dedicado,
voc pode ter um nivel de segurana muito simplesmente
habilitando o firewall localmente. Todos os pacotes
provenientes da internet passam primeiro pelo IPtables antes
de serem encaminhados para os aplicativos. Por isso um
Firewall local, bem configurado, garante uma segurana muito
proxima de um firewall dedicado.
(MORIMOTO, 2005, p. 286)

12

8. FIREWALL IPTABLES
O firewall do Linux trata-se de uma ferramenta de Front-End que permite
gerenciar tabelas do Netfilter. O Netfilter uma verso mais robusta que suas
verses anteriores, que so: IPFWADM e IPCHAINS implementados no kernel
2.0 e 2.2 respectivamente.
As principais caractersticas do Firewall Iptables, a velocidade de
leitura de pacotes, sua segurana, eficcia, economia tanto no aspecto
financeiro quanto em hardware, o suporte a e desenvolvimento avanado em
controle de QOS sobre trfego, suporte a SNAT, NAT, DNAT, redirecionamento
de trfego, portas, mascaramento de conexes, deteco de fragmentos,
controle e armazenamento de Logs (trafego da rede), TOS, bloqueio a ataques
Spoofing, Synflood, DOS, scanners ocultos, pings da morte entre muitos
outros.
Ainda existe a possibilidade de utilizar mdulos externos na composio
de regras ainda mais avanadas.
Para a implementao de um servidor Firewall Iptables, no preciso
muito gasto com hardware, com uma mquina com a seguinte configurao:
Arquitetura 386 com aproximadamente 7 MB, rodando com um kernel
acima da verso 2.4 j possvel implementar uma ferramenta de segurana
em sua rede.
Composio do Iptables
Iptables: Principal aplicativo do iptables para protocolos ipv4.
Ip6tables: Principal aplicativo do iptables para protocolos ipv6.
Iptables-save: Tem a funo de salvar todas as regras
criadas, em memria RAM e direciona-las a um arquivo
especificado.
Iptables-restore: Tem a funo de restaurar todas as regras
salvas pelo software iptables-save.
possvel substituir o Iptables-save por qualquer outro arquivo,
criando assim um script, com permisso de execuo,
colocando-o para iniciar junto ao sistema dentro do diretrio
/etc/rc.d/rc.local na ltima linha do arquivo. (NETO, 2004, p.
26.)

13

9. FLUXO KERNEL VS NETFILTER
O Linux utiliza um recurso independente em termos de kernel para
controlar e monitorar todo o tipo de fluxo de dados dentro de sua estrutura
operacional. Essa funo trabalha ao lado de processos e tarefas to somente.
Para que o kernel pudesse trabalhar ainda melhor o controle de trafego
foi agregada uma ferramenta batizada de Netfilter.
Esta ferramenta criada por Marc Boucher, James Morris, Harald Welte e
Rusty Russel, um conjunto de situaes de fluxo de dados agregadas
inicialmente ao Kernel do Linux e dividida em tabelas.
O Netfilter pode ser comparado a um grande banco de dados contendo
as trs tabelas que so: Filter, Nat e Mangle. Cada uma dessas tabelas tratam
os pacote dentro de suas respectivas cadeias.
O netfilter em si um conjunto de ganchos que ficam dentro do kernel
do Linux, dando permisso para os mdulos do kernel registrar as funes de
retorno de chamada com a pilha de rede.
As vantagens do Netfilter so muitas e existem muitas coisas que podem
ser feitas com ele, como por exemplo:
- Construir firewalls de internet baseados em filtragem de pacotes
- Fazer manipulao de pacotes e alterar o TOS/DSCP/ECN bits do
cabealho IP.
(AYUSO, acesso em 09/06/2013)
O Netfilter / Iptables trabalha com 4 tabelas distintas, a FILTER / NAT /
MANGLE / RAW.
Existem tambm os Chains que so usadas para o controle de fluxo dos
pacotes dentro das tabelas como entrada de FILTER, e sada de NAT, e entre
eles existem 5 principais Chains que so: INPUT / OUTPUT / FORWARD /
PREROUTING / POSTROUTING.

14

10. TABELAS DO IPTABLES

O Iptables trabalha com trs tabelas de inspeo filter, NAT, mangle,
conforme segue, a tabela indicada pelo parmetro -t -table. A tabela padro a
filter.
Como funciona a tabela filter: a tabela padro. Quando nada for especificado
no comando, a tabela filter utilizada. Refere-se s atividades normais de
trafego de dados, sem a ocorrncia de NAT. Possui trs correntes INPUTS,
OUTPUT E FORWARD.
Funcionamento da tabela NAT: Utilizada quando a traduo de
endereos. Exemplo: Passagem de dados de uma rede privada para a internet.
Admite as correntes PREROUTING E POSTROUTING.
Funcionamento da tabela mangle: utilizada para alteraes especiais em
pacotes. Raramente utilizada. Admite as correntes PREROUTING e OUTPUT.

Funcionamento das cadeias da tabela filter

INPUT, a cadeia INPUT trata todos os pacotes que entram no
servidor, isso quer dizer: Pacotes que tenham sido originados
em qualquer outra mquina, em qualquer outra rede, e com
destino final o prprio servidor onde o Firewall est instalado.
OUTPUT, a cadeia OUTPUT o inverso do INPUT, trata todos
os pacotes originados na mquina onde o Firewall est
instalado e com destino a qualquer outra mquina.
FORWARD, j esta cadeia, trata todos os pacotes que
atravessam o Firewall, seja no sentido da rede externa para a
interna, como da rede interna para a externa, nenhum destes
pacotes foi originado ou destinado ao Firewall, eles
simplesmente atravessam o Firewall. (SILVA, 2008, p. 35).
15

11. NECESSIDADE DE UMA REDE SEGURA

O conceito segurana significa no dicionrio Houaiss, "conjunto de
processos, de dispositivos, de medidas de precauo que asseguram o
sucesso de um empreendimento, do funcionamento preciso de um objeto, do
cumprimento de algum plano etc..
No mundo informatizado, segurana significa, segundo a
Norma ISO/IEC 17799 (cdigo de melhores prticas para
implementao da segurana da informao) "a proteo da
informao que, como qualquer outro ativo importante para ser
adequadamente salvaguardada". (ALBERTO, 2006, p. 1.)

A segurana hoje no s um complemento, como tambm uma
necessidade, se pensarmos bem, tudo hoje precisa de segurana, por
exemplo, quando adquirimos um veiculo, seja automvel ou algo do tipo,
necessidade de colocarmos no seguro, prevenindo de qualquer dano, roubo,
etc. Contudo a segurana aplicada nunca ser 100% de segura, porm
podemos minimizar as vulnerabilidades de bens, e recursos.

Vulnerabilidades
Falha e/ou conjunto de falhas que podem ser exploradas por ameaas.
Exemplos:
Contas sem senha, ou senhas fracas;
Falhas em programas (buffer overflow em servios DNS, FTP, SMTP,
etc.);
SQL Injection;

16

Principais Ataques
Ataque Dos: O ataque de DoS, um tipo de ataque, que se utilizado
de conexes mltiplas e simultneas ao servidor, gerando uma sobrecarga na
rede de forma a tira-lo do ar, deixando-o indisponvel.
Ataque DDoS: Este tipo de ataque muito parecido com o ataque de
DoS, na verdade um ataque de DoS, porm com maior ampliao, onde o
cracker utiliza vrios computadores escravos para efetuar ataques a uma
determinada estao/mquina.
Hoje com a facilidade da banda larga, e abaixo de valor nos
computadores, a grande maioria dos usurios j tem seu computador pessoal,
o que permite que os usurios, caso queiram, possam facilmente derrubar
grandes servidores com este tipo de ataque.
Neste trabalho ser ainda apresentada uma configurao de firewall que
bloqueia o servidor Firewall deste tipo de ataque.

Consideraes importantes a serem adotadas:
No existe sistema de segurana totalmente seguro e sem
falhas;
No existe sistema operacional totalmente seguro, e sem
falhas;
No existe ferramentas de segurana das quais um cracker ou
hacker nunca conseguir detectar uma brecha para quebrar;
No existe segurana plena, 100 por cento ou definitiva;
(ALBERTO, 2006, p3.)







17

12. COMANDOS BSICOS DE GERENCIAMENTO

Neto, (2004, p. 33), afirma quea tabela filter a tabela padro
do Iptables.
Se for adicionado uma regra sem ser adicionado a flag t
[tabela] a regra se aplicar a tabela filter.
J no caso das tabelas NAT e Mangle quando for adicionar as
regras preciso especificar adicionando a flag t.

COMANDOS

A sintaxe genrica usada pelo comando iptables :
Iptables comando regras extenses
-A cadeia Anexa regras ao final de uma cadeia. Se um nome de host
fornecido, como fonte ou como destino, uma regra adicionada para cada IP
relacionado a este host.
-D cadeia Apaga uma ou mais regras da cadeia especificada
-D cadeia regra_num Apaga a regra residente na posio indicada por
regra_num da cadeia especificada. A primeira regra na cadeia a de nmero
1.
-R cadeia regra_num Substitu a regra regra_num da cadeia
especificada pela regra dada
-I cadeia regra_num Insere uma ou mais regras no comeo da cadeia.
Se um nome de host fornecido, como fonte ou como destino, uma regra
adicionada para cada IP relacionado a este host.
-L [cadeia] Lista todas as regras em uma cadeia. Caso no haja
nenhuma cadeia especificada, todas as regras em todas as cadeias so
listadas.
-F [cadeia] Remove todas as regras de uma cadeia. Se nenhuma
cadeia for especificada, remove as regras de todas as cadeias existentes,
inclusive as do usurio.
18

-Z [cadeia] Restaura os contadores de datagramas e de bytes em
todas as regras das cadeias especificadas para zero, ou para todas as cadeias
se nenhuma for especificada.
-N cadeia Cria uma cadeia definida pelo usurio com o nome
especificado.
-X [cadeia] Apaga a cadeia definida pelo usurio ou todas se no for
especificada uma.
-C cadeia Verifica o datagrama descrito pela regra especificada contra
a cadeia especificada. Este comando retorna uma mensagem descrevendo
como a cadeia processou o datagrama. Isto muito til para testar a
configuraco do firewall, e para uma anlise posterior.
-P cadeia poltica Define a poltica padro para uma cadeia dentro de
uma poltica especificada. As polticas vlidas: ACCEPT, DROP, QUEUE e
RETURN. ACCEPT permite a passagem do datagrama. DROP descarta o
datagrama. QUEUE passa o datagrama para rea do usurio para posterior
processamento. RETURN fora o cdigo do firewall a retornar para a cadeia
anterior e continua o processamento na regra seguinte que retornou.

Regras
As seguintes regras podem ser usadas:
-p Protocol Define o protocolo ao qual a regra se aplica. O parmetro
protocol pode ser qualquer valor numrico do arquivo /etc/protocol ou uma das
palavras chave: tcp,udp ou icmp
-s addres[/mask] Define a origem do pacote ao qual a regra se aplica.
O parmetro address pode ser um nome de host, um nome de rede ou um
endereo IP com uma mscara de rede opcional.
-d address[/mask] Define o destino do pacote ao qual a regra se aplica.
O endereo e a porta so definidos usando-se as mesmas regras utilizadas
para definir esses valores para a origem do pacote.
-j alvo Define um alvo para o pacote caso ele se encaixe nesta regra.
19

Os alvos possveis so ACCEPT, DROP, QUEUE ou RETURN.
possvel especificar uma cadeia do usurio. Tambm possvel
especificar uma extenso.
-i interface_name Define o nome da interface por onde o datagrama foi
recebido. Um nome de interface parcial pode ser usado encerrando-o com um
sinal de +; por exemplo, eth+ corresponderia a todas as interfaces Ethernet
iniciadas com eth.
-o interface_name Define o nome da interface por onde o datagrama
ser transmitido.
-f Indica que a regra somente se refere ao segundo fragmento e aos
subseqentes de pacotes fragamentados.
Observao: O smbolo ! usado na regras como uma negao da
expresso.
Exemplo: -s 192.168.0.10/32 equivale ao endereo de origem
192.168.0.10, -s !192.168.0.10/32 equivale a todos os endereos exceto o
192.168.0.10.

Opes que podem ser utilizadas

-v Sada em modo verbose. Mais rico em termos de detalhes sobre o
que est acontecendo ou sendo feito.
-n Sada em modo numrico e no por nome de host, rede ou porta.
-x Exibe o valor exato do pacote e dos contadores de bytes em vez de
arrendond-los para o milhar, milho ou bilho mais prximo.
line-numbers Quando lista as regras, adiciona um nmero de linha ao
comeo de cada regra, correspondendo posio da regra dentro da cadeia.
Extenses que podem ser utilizadas
Para fazer uso das extenses preciso especificar o seu nome usando
o parmetro -m [argumento] para o que o iptables carregue este mdulo.
20

Extenso TCP: usada com -m tcp -p tcp
sport [!] [port[:port]] Especifica a porta que a origem do datagrama
usa. Portas podem ser especificadas com um conjunto especificando-se o seu
limite superior e inferior separados por dois pontos (:). Por exemplo, 20:25
descreve todas as portas numeradas de 20 at 25 inclusive. Tambm
possvel usar o caracter ! para inverter a expresso.
dport [!] [port[:port]] Especifica a porta que o destino do datagrama
usa.
tcp-flags [!] mask comp Especifica que esta regra somente ser
validada quando os flags do datagrama TCP coincidirem com o especificado
em mask e comp. Mask uma lista separada por vrgulas dos flags que devem
ser examinados quando for feito o teste. Comp uma lista separada por
vrgulas dos flas que devem ser configurados. Os flags vlidos so: SYN, ACK,
FIN, RST, URG, PSH, ALL ou NONE.
syn Especifica que a regra deve encontrar somente datagramas com
o bit SYN ligado e os bits ACK e FIN desligados. Datagramas com essas
opes so usados para requisitar incio de conexo TCP.
Extenso UDP: usada com -m udp -p udp
sport[!][port[:port]] Este parmetro tem funcionamento idntico ao da
extenso TCP.
dport[!][port[:port]] Este parmetro tem funcionamento idntico ao da
extenso TCP.
Extenso ICMP: usada com -m icmp -p icmp
icmp-type [!] typername Especifica o tipo de mensagem ICMP que a
regra deve satisfazer. O tipo pode ser determinado por um nmero ou nome.
Alguns nomes vlidos so: echo-request, echo-reply, source-quench, time-
exceeded, destionation-unreachable, network-unreachable, host-unreanchable,
protocol-unreachable e port-unreachable.
(SILVA, 2008, p. 204)

21

13. CRIANDO REGRAS BSICAS NO IPTABLES

Morimoto (2002 P. 541) diz que, existem vrios programas
grficos para configurao de Firewalls, como o GuarDog e
Shorewall, para distribuies Debian, Red Hat, Mandrake, etc.
Estes softwares trabalham em cima do Iptables, e servem para
facilitar a configurao. O Iptables muito verstil, e pode ser
usado para prticamente tudo relacionado a inspeo,
encaminhamento e at alterao de pacotes. Caso ele no
faa algo prontamente, possvel criar um mdulo que faa.

A partir deste ponto, seram criadas algumas regras bsicas a serem
adicionadas no Host, visando resolver os problemas mais simples, trabalharei
em cima de regras adicionadas diretamente no terminal, sem interface grfica.
Para garantir que o Iptables est carregado preciso rodar o comando a
seguir:

# Modprobe iptables

Para adicionar as regras dentro do Firewall Iptables simples, dentro do
terminal, s preciso estar logado como super usurio (root) e digitar o
comando utilizando a sintaxe correta:

Iptables comando regras extenses
# iptables filter A INPUT s 0/0 p tcp syn j DROP

A regra acima vai ignorar qualquer conexo com destino a qualquer
porta TCP, sem enviar qualquer confirmao de recebimento de pacote. Essa
regra no bloqueia o acesso do usurio a internet, porm ele no ir aceitar
qualquer conexo, em qualquer porta, agora somente conexes inicadas deste
computadores so aceitas.
Para aceitar conexes originadas de uma mesma rede (Local) a est
mqiuna que esta sendo configurada, preciso criar uma regra que aceite
22

pacotes destinados a mquina. Na regra ser liberado a rede de classe C IP:
192.168.0.0/24.

# iptables filter A INPUT s 192.168.0.0/24 p tcp j ACCEPT
# iptables filter A INPUT p tcp syn j DROP
A regra est aceitando conexes originadas pela rede 192.168.0.0/24 e
a segunda regra bloqueia, rejeita qualquer outra tentativa de conexo.
O Iptables processa os comandos em sequncia. Ento todos
os pacotes passam pela primeira instruo antes de ir para a
segunda. Quando um pacote vem de um dos endereos da
rede local imediatamente aceito, os demais vo para as duas
ltimas linhas e acabam recusados.
uma simples questo de sim ou no. A primeira linha diz sim
para os pacotes da rede local enquanto a segunda linha diz
no para todos os demais.
(MORIMOTO. 2002 p. 542).
Agora ser adicionada uma regra que vai permitir conexes externas
com destino a porta 22 (SSH) somente, e deixando o restante das portas
dropadas, mantendo as regras anteriores.

# iptables t filter A INPUT syn s 192.168.0.0/24 p tcp j
ACCEPT
# iptables t filter A INPUT p tcp dport 22 s 0/0 j ACCEPT
# iptables t filter A INPUT p tcp syn j DROP
# iptables t filter A INPUT p udp j DROP

A leitura das regras e resultado destas regras, ser uma aceitao de
pacotes originados pela rede 192.168.0.0/24, aceitando conexo de qualquer
origem na porta 22, dropando todo o restante de pacotes com protocolo tcp, e
udp.
A prxima regra vai aceitar pacotes de IMCP (ping) originados pela rede
local.
23

# iptables t filter A INPUT s 192.168.0.0/24 p icmp j ACCEPT.

Morimoto (2002 P. 543) ensina em seu livro Entendendo e
dominando o Linux, que para compartilhar a conexo com a
internet, preciso primeiramente configurar as placas de rede
da mquina, a mquina precisa ter duas placas de rede, onde
uma ser conectada diretamente com o Modem ADSL, ou
roteador da operadora de internet, e a outra placa precisa estar
se comunicando com a rede interna que ter acesso a internet
a partir do compartilhamento.

Para compartilhar a conexo internet ADSL instalada na placa eth0:

# modprobe iptable_nat
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# echo 1 > /proc/sys/net/ipv4/ip_forward

As trs linhas respectivamente ativam o mdulo NAT do iptables,
responsvel pela traduo de endereos, avisam para o iptables que ele deve
direcionar todas as conexes recebidas para a interface eth0 (a primeira placa
de rede configurada) e devolver as respostas para os clientes, e confirmam a
ativao no arquivo de configurao do TCP/IP.









24

14. CONCLUSO

Com todo o avano e crescimento na rea tecnolgica, houve a
necessidade de se abordar nesse trabalho algumas das ferramentas de maior
importncia na informtica, que se foi originada e criada, com viso de acabar
com problemas e falhas na tecnologia.
Esse trabalho teve como alvo mostra para os leitores um pouco sobre
cada coisa na tecnologia, desde o incio das redes ao seu alge e seus avanos
e suas falhas.
Como foco esse trabalho teve a necessidade de falar mais
especificamente sobre a segurana em redes Linux, onde h muitas dvidas
em cada usurio sobre a suposta to falada segurana no Sistema Operacional
Linux.
de fato conclusivo que de acordo com o estudo realizado e do trabalho
concludo que o Firewall iptables, pode se comportar de maneira muito eficiente
e estvel, porm mesmo com todos os recursos de segurana vinculados a
essa ferramenta no de segura forma ser utilizado como nica forma de
proteo contra intruses, pois no possivel obter um controle completo com
apenas essa ferramenta agindo.
O iptables por sua vez uma ferramenta poderosa porm h sua
limitao, pois no possui como padro a propriedade de verificar o contedo
de pacotes, verificar por completo se h cdigos maliciosos.
O trabalho em si por sua vez representa um pouco da essncia da
tecnologia e sua segurana, como foco a proteo a dados e segurana na
rede.
O trabalho como um todo teve como ensinamento durante o seu
processo de concluso, um estudo que propiciou a reflexo de grandes fatores
que devem ser considerados de fato na questo da segurana.
25

O Sistema operacional Linux hoje em dia considerado o Sistema mais
seguro entre os seus concorrentes, porm nesse trabalho mostramos um
pouco sobre suas falhas, ameaas e precauo.
Conseguimos com o desenvolvimento de esse trabalho transmitir um
pouco do nosso conhecimento e aprender mais, passar nossas ideias de
segurana e ainda ter uma ampla viso com um foco diferenciado sobre o tema
abordado.
A tecnologia algo que com o piscar de olhos podemos ver que seu
crescimento algo muito rpido, e que estamos vivendo em uma era na qual
ningum pode viver sem, por mais que a pessoa tente viver sem algo hoje
indispensvel, no tem como viver fora da tecnologia.
E com isso a Segurana se faz cada vez mais necessria, e com isso foi
elaborado esse trabalho com foco nessa situao.















26

15. REFERNCIAS BIBLIOGRFICAS
Referncias Impressas:
ALVES, Gustavo Alberto. Segurana da informao - Uma viso inovadora da
gesto. Rio de janeiro, Editora Cincia Moderna LTDA, 2006.


FERREIRA, Fernando Nicolau. ARAUJO, Mrcio. Ltica de segurana da
informao - guia prtico para elaborao e implementao, 2 edio
revisada. Rio de janeiro. Editora Cincia moderna LTDA. 2008.


MORIMOTO, Carlos Eduardo. Redes e servidores Linux: Guia prtico. Porto
Alegre: Sul Editores. 2005.

MORIMOTO, Carlos Eduardo. Entendendo e dominando o Linux. 7 Edio.
So Paulo, GDH Press. 2002.

NETO, Urubatan. Dominado o Linux firewall Iptables. RJ, Editora Cincia
Moderna LTDA, 2004.
SILVA, Gilson. Segurana em sistemas Linux. Rio de janeiro. Editora moderna
LTDA. 2008.

Referncias Eletrnicas:
APINFO, artigo. Definio de segurana. So Paulo. Disponvel em:
<http://www.apinfo.com/artigo81.html/> Acesso em 08 jun.2013.
A definio de Software livre. Disponvel em:
<http://www.gnu.org/philosophy/freesw.html>e<http://www.fsf.org/licensing/essa
ys/free-sw.html> Acesso em 08 jun.2013.
Linux, under. Disponvel em:
< https://under-linux.org/entry.php?b=9/> Acesso em 09 jun.2013
CANALTECH, artigo. Engenharia Social. Disponvel em:
http://www.canaltech.com.br/o-que-e/seguranca/O-que-e-Engenharia-Social/
Acesso em 09 jun.2013.
AYUSO, Filter. NETFILTER/IPTABLES. Disponvel em:
http://www.netfilter.org/ Acesso em 09 jun.2013.


27

16. ANEXOS

ANEXO A: Estrutura das tabelas Filter, Mangle, e NAT
Fonte: onlytutorials, 2008

ANEXO B: Fluxo da tabela Filter
Fonte: Eriberto.pro
28


ANEXO C: Fluxo tabela NAT
Fonte: Eriberto.pro

29


ANEXO D: Rede com Firewall
Fonte: howtoforge
30



ANEXO E: Esquema da rede praticada na apndice













31

17. REVISO BIBLIOGRFICA

FERREIRA (2008, p.119, p. 7), em sua obra Politica da segurana da
informao, referenciado nos captulos 1 e 5, que define a definio de
segurana e engenharia social. Resolvemos referenciar esse escritor, pois, em
seus livros conseguimos enxergar grandes coisas, na qual vimos que seria de
extrema importncia tambm em nosso trabalho.

SILVA (2008, p.147, p. 201, 35) Segurana em sistemas Linux,
referenciados nos captulos 3.1, 6, 10, fala um pouco sobre a segurana das
contas do sistema operacional Linux, no capitulo 6, fala sobre a definio de
um Firewall.
J o capitulo 10, aborda o funcionamento das cadeias INPUT, OUTPUT
e FORWARD da tabela filter.
Referenciamos esse grande escritor e mestre nos tpicos listados, pois
trabalho no poderia ficar sem algo desse grande mestre da informtica que
aborda em seu livro com grande clareza o funcionamento das principais tabelas
e suas cadeias.

ALVES (2006, p. 3) Segurana da informao : uma viso inovadora da
gesto, referenciado no captulo 11, aborda um pouco sobre a governana de
TI.
Bom o autor do livro no qual pegamos grande parte do contedo dos
tpicos mostra com bastante clareza como manter uma rede segura e se livrar
de ataques, e tambm qual a necessidade de se manter a rede segura, por
isso nos identificamos com o seu trabalho e referenciamos aqui, conseguimos
absorver uma quantidade enorme de contedo com suas obras e no
poderamos deixar de referencia-lo aqui.

32


MORIMOTTO (2005, p 285, 286, 541) Redes e servidores Linux (Guia
prtico) e Entendendo e dominando o Linux, referenciado nos captulos 6, 7,
13, aborda o conceito de firewall que includo no kernel do sistema
operacional Linux.
O grande escritor, autor, profissional, criador de sites, brasileiro, e
grande motivador do uso do de software livre, Carlos E. Morimotto, no poderia
deixar de fazer parte do nosso trabalho assim como outros grandes
profissionais e autores, porm o contedo referenciado desse autor foi muito
importante para o desenvolvimento do projeto, e desde o inicio sabamos que
iriamos utilizar grandes tpicos de suas grandes obras.














33

18. APNDICE
ESTUDO PRTICO
Este capitulo tem a proposta de criar algumas regra de segurana e
liberao de alguns servios que seram restritos a rede local, bloqueando todo
o restante, visando a implementao de uma rede segura, as regras criadas
podem ser utilizadas em um script de firewall em qualquer emresa, claro
alterando as configuraes de ip, interface etc.
A seguir, ser mostrado alguns importantes conceitos para aplicao e
que serviro como parmetro para um bom entendimento.

Caracteristicas
Para simularmos uma rede corporativa, onde preciso um servidor
firewall, e que contem alguns computadores em rede, foi considerada uma
rede, hipottica, com os seguintes aspectos:

7 estaes de trabalho com 1 placa de rede ethernet;
1 servidor rodando os servis de (FTP, SSH, WEB);
1 SWITCH;
1 Computador com sistema operacional Linux Debian, verso do
kernel 2.6, com duas interfaces de rede, uma para LAN, e outra
para WAN, que ser o gateway da rede;
E um link de internet ligado a interface eth0 do
computador/servidor com linux;
Apartir deste esquema, ser apresentado as configuraes necessrias
para se garantir uma rede segura, permitindo a conexo com a internet das
estaes e permitindo o acessos somente aos servios aprentados acima.
Na anexo contido na pgina 49 (Mapa da rede, Anexos) apresentado
modelo de rede proposta.

34

Requisitos para o funcionamento
A rede como consta no anexo 3, pgina 49, possui 8 terminais, sendo
um servidor de servios e sete estaes de trabalho comuns. O servidor
Firewall ser o gateway da rede, onde estar ligado diretamente no roteador
ADSL, a interface de rede que ser interligada tem a nomenclatura Eth0, e a
Eth1 ser a segunda interface de rede do servidor, que estar ligada no switch
onde ser compartilhado o acesso a internet e os servios apresentados, com
a rede Local.
Configuraes e requisitos necessrios
A rede precisa estar protegida contra os principais tipos de ataques;
Deve-se liberar o procedimento de troca de endereo IP privado do
firewall para o IP vlido, no momento em que ele se conecta com a
internet;
Tentivas de checagem de host utilizando ping dever ser limitado tanto
para a rede interna como externa para que o servidor no venha a
sobrecarregar;
Permitir acesso a rede Local aos servios disponiveis na internet;
No servidor com os servios de SSH E FTP configurados, preciso
liberar o acesso as estaes locais;
Gerar um registro das conexes no autorizadaas;
Descartar todas as outras tentativas de conexes com destino ao
Firewall.

Soluo apresentada
Nesta prxima fase, ser apresentada a soluo de firewall traduzidos
para a linguagem entendida pelo compuador, utilizando o Iptables no Linux,
S.O Debian 6. Todas as regras pertinentes aos parmetros e requisitos citados
anteriormente, foram formuladas para que se garantisse a funcionalidade da
rede considerada como modelo experimental.
Por padro os mdulos do iptables nesta verso de Kernel utilizada 2.6
j vem ativas, mas mesmo assim por desencargo, irei ativalos.
Ativando o principal mdulo do iptables:
# modprobe iptables
35

Ativando os mdulos das tabelas filter e NAT:
# modprobe iptables_filter
# modprobe iptables_nat
Ativando o mdulo reject:
modprobe iptables_REJECT

Ativando o mdulo multport:
# modprobe ipt_multport

Ativando o mdulo responsvel pelo mascaramento da conexo;
# modprobe ipt_MASQUERADE

Ativando o mdulo gerador de LOG do iptables:
# modprobe ipt_LOG

Os mdulos do iptables necessrios para configurao do firewall j
esto ativos. Agora preciso preparar as chains para receber as regras de
configurao.

10.5 Preparando as chains e tabelas
Os prximos comandos so de grande importncia por que limpam as
tabelas do iptables, visto que o mesmo possa ter alguma regra j adicionada
anteriormente.
Limpando as regras residuais das tabelas filter e nat:
# iptables -t filter -F
# iptables -t nat -F

36

O prximo comando zeram os contadores das tabelas:
# iptables -t filter -Z
# iptables -t nat -Z

Agora adotarei a politica de filtragem padro para as tabelas nat e filter.

# iptables -filter -P INPUT DROP
# iptables -filter -P FORWARD DROP
# iptables -filter -P OUTPUT DROP
# iptables -nat -P POSTROUTING DROP
# iptables -nat -P PREROUTING DROP
# iptables -nat -PN OUTPUT DROP

A partir da aplicao destas regras o iptables j est preparado para ser
utilizado. Feito isso j possvel iniciar a criao das regras de acordo com o
esquema proposto anteriormente.

Construo das regras necessrias
As regras a seguir correspondem s regras da tabela filter com as chains
(cadeias), INPUT, FORWARD e OUTPUT.
A regra a seguir aceita conexo loopback de entrada do firewall ele
mesmo:
# iptables -filter -A INPUT -i lo -j ACCEPT

A regra a seguir permite pacotes TCP e UDP com destino ao Firewall
que j esto estabelecidos ou relacionado uma outra conexo, feito a partir
dele anteriormente:
# iptables -t filter -A INPUT -p tcp -m state --state
37

ESTABLISHED,RELATED -j ACCEPT
# iptables -t filter -A INPUT -p udp -m state --state
ESTABLISHED,RELATED -j ACCEPT

A prxima regra limita a tolerncia de resposta do servidor a um pacote
por segundo, esta regra protege o servidor contra ping da morte:
# iptables -t filter -A INPUT -p icmp -m limit --limit 1/s -j ACCEPT

A regra a seguir habilita a funo de roteamento de pacotes no kernel:
# echo "1" > /proc/sys/net/ipv4/ip_forward
Agora a prxima regra faz o repasse de pacote entre as interfaces eth0
(WAN) eth1 (LAN) j registrando os dados do trfego referente elas.
As portas que sero liberadas so 443, 80 (HTTP, HTTPS) e 20, 21, 22
(FTP, SSH) que deveram estar disponiveis para a rede local:
# iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp -m multiport --
dports 20,21,22,443,80 -j ACCEPT
# iptables -t filter -A FORWARD -d 192.168.0.0/24 -i eth0 -o eth1 -m
state --state ESTABLISHED,RELATED -j ACCCEPT
# iptables -t filter -A FORWARD -j LOG --log-prefix "FIREWALL:
FORWARD "

Liberando acessos ao servidor FTP e SSH todas as estaes da rede:
# iptables -t filter -A FORWARD -p tcp -s 192.168.0.0/24 -d
192.168.0.10 --dport 20 -j ACCEPT
# iptables -t filter -A FORWARD -p tcp -s 192.168.0.0/24 -d
192.168.0.10 --dport 21 -j ACCEPT
# iptables -t filter -A FORWARD -p tcp -s 192.168.0.0/24 -d
192.168.0.10 --dport 22 -j ACCEPT
38

Regras de Output na tabela filter
Liberando conexes TCP e UDP originadas pelo prprio Firewall so
aceitas:
# iptables -t filter -A OUTPUT -p tcp -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
# iptables -t filter -A OUTPUT -p udp -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
A regra a seguir aceita conexo loopback de sada do Firewall ele
mesmo:
# iptables -t filter -A OUTPUT -o lo -j ACCEPT

A prxima regra estabelece um limite de tempo de 1 pacote ping por
segundo de resposta de conexes origindas pela internet:
# iptables -t filter -A INPUT -p icmp -m limit --limit 1/s j ACCEPT

A prxima regra registra nos LOGS do sistema as tentativas de conexo
no autorizadas ao servidor Firewall vindos da internet:
# iptables -t filter -A INPUT -p udp --dport 53 -j LOG --log-prefix
"FIREWALL: dns "
# iptables -t filter -A INPUT -p tcp --dport 113 -j LOG --log-prefix
"FIREWALL: identd "
# iptables -t filter -A INPUT -p udp --dport 111 -j LOG --log-prefix
"FIREWALL: rpc "
# iptables -t filter -A INPUT -p tcp --dport 111 -j LOG --log-prefix
"FIREWALL: rpc "
# iptables -t filter -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix
"FIREWALL: samba "
# iptables -t filter -A INPUT -p udp --dport 137:139 -j LOG --log-prefix
"FIREWALL: samba "
39


As prximas regras tratam da tabela NAT com as cadeias
(POSTROUTING, PREROUTING, OUTPUT).
Cadeias postrouting e masquerade

# iptables -t nat -A POSTROUTING -p tcp -m multiport --dports
80,443 -s 192.168.0.0/24 -o eth0 -j MASQUERADE
A regra acima mascara o IP da rede local liberando acesso a internet,
porm restringindo somente aos servios HTTP, HTTPS.
Agora preciso liberar conexo da rede local internet, porm limitando
aos servios HTTP, HTTPS, mas trabalhando na cadeia PREROUTING da
tabela NAT:
# iptables -t nat -A PREROUTING -i eth0 -p tcp -s 200.140.2.45 --
dport 80 -j SNAT --to 192.168.0.10:80
# iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.10 --
dport 80 -j ACCEPT
# iptables -t nat -A PREROUTING -i eth0 -p tcp -s 200.140.2.45 --
dport 443 -j SNAT --to 192.168.0.10:80
# iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.10 --
dport 443 -j ACCEPT
A regra a seguir ir registrar todas as tentativas externas de conexo s
estaes locais:
# iptables -t nat -A POSTROUTING -o eth1 -d 192.168.0.10/24 -j LOG
--log-prefix "FIREWALL: SNAT unknown "
Agora para que o firewall seja o gateway da rede, necessrio
configurar nas estaes o IP: 192.168.0.1 como gateway da rede.
Para verificar as regras aplicadas no servidor, preciso rodar o
comando "iptables -L".
Para salvar as regras aplicadas em um arquivo, para utilizar como script,
40

pode ser utilizado o comando do iptables, "iptables-save" da seguinte forma.
# iptables-save > /etc/init.d/script_firewall.sh

Com este comando ser salvo todas as regras aplicadas at o momento
dentro do arquivo "script_firewall.sh" que ser criado, dentro do diretrio
/etc/init.d .
Aps salvar estas regras necessrio dar permisso de execuo no
arquivo, caso queira utiliza-lo como script.
# chmod +x /etc/init.d/script_firewall.sh

Consideraes finais
O sucesso da implementao de uma rede segura por meio deste
recurso, depende to somente de uma boa previso de incidentes e uma
cuidadosa interpretao dos fatores que devem ser considerados para que se
garanta a disponibilizao de acesso, recursos e servios dos quais uma
organizao pode necessitar.
Todas as regras foram testadas, simulando um senrio de uma pequena
rede.









41

19. TERMO DE COMPROMISSO

Autenticidade e exclusividade sob as penas da Lei 9610/98

Pelo presente, o abaixo assinado declara, sob as penas da lei, que o
presente trabalho indito e original, desenvolvido especialmente para os fins
educacionais a que se destina e que, sob nenhuma hiptese, fere o direito de
autoria de outrem.

Para maior clareza, firmamos o presente termo de originalidade.


Guarulhos, 09 de junho de 2013


Nome e assinatura
Clio de Jesus Sousa.


Cleiton de Jesus Sousa