Trabalho 2 de Redes

Leocir Rudolfo Reiss - Diego Barros e Silva

Faculdade de Computao ca Universidade Federal de Mato Grosso do Sul

Hana Karina Rubinsztejn

Campo Grande, 2 de Dezembro de 2010

Conte do u
0.1 Consideraes Iniciais . . . . . . . . . . . . . . . . . . . . . . . . co 2 3 3 4 4 4 4 5 6 6 8 8 8 8 9 9 10 10 10 11 11 12 14 14 14 14 14

1 Ambiente 1 1.1 IPs, Gateways e DNS . . . 1.2 Disposioes Gerais . . . . c 1.3 IPTABLES . . . . . . . . 1.3.1 IPTABLES www . 1.3.2 IPTABLES vpn . . 1.3.3 IPTABLES mail . 1.3.4 IPTABLES banco . 1.3.5 IPTABLES rewall 1.4 Tabelas de Roteamento . . 1.4.1 Servidores da DMZ 1.4.2 Rede interna . . . . 1.4.3 Firewall . . . . . . 2 Ambiente 2 2.1 IPs, Gateways e DNS . . . 2.2 Disposioes Gerais . . . . c 2.3 IPTABLES . . . . . . . . 2.3.1 IPTABLES www . 2.3.2 IPTABLES VoIP . 2.3.3 IPTABLES banco . 2.3.4 IPTABLES rewall 2.4 Tabelas de Roteamento . . 2.4.1 Servidores da DMZ 2.4.2 Rede interna . . . . 2.4.3 Rede VoIP . . . . . 2.4.4 Firewall . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

. . . . . . . . . . . .

0.1 Consideraoes Iniciais c

0.1

Consideraoes Iniciais c

Cada servidor da DMZ e o Firewall tero um no-break prprio e haver um a o a gerador. Para resolver outros problemas de segurana, ser usado um IDS para analisar c a a rede, o Snort. a Alm disso, nos servidores da DMZ e no Firewall a ag rp lter estar ativada. e Cada servidor da DMZ ter um rewall prprio. a o Outras medidas de segurana sero tomadas atravs das regras dos rewalls. c a e A pol tica padro dos rewalls permitir sa de dados e bloquear entrada e a e da encaminhamento de dados. Todas as mquinas da DMZ permitem SSH vindo da rede interna, para login a remoto do administrador no servidor. Todos os Firewalls esto com o trfego na interface de loopback liberado. a a Todos os Firewalls sero congurados da seguinte forma: a #Carrega os mdulos apropriados o /sbin/modprobe ip conntrack /sbin/modprobe ipt LOG #Ativa IP forwarding echo 1 >/proc/sys/net/ipv4/ip forward #Habilita proteao echo broadcast c echo 1 >/proc/sys/net/ipv4/icmp echo ignore broadcasts #Habilita Proteao TCP SYN Cookie c echo 1 >/proc/sys/net/ipv4/tcp syncookies

Parte 1 Ambiente 1

1.1

IPs, Gateways e DNS

DNS: DNS: DNS: DNS:

www - IP: 200.129.202.34/27 - GW: 200.129.202.33/27 200.129.202.33/27 vpn IP: 200.129.202.35/27 GW: 200.129.202.33/27 200.129.202.33/27 mail IP: 200.129.202.36/27 GW: 200.129.202.33/27 200.129.202.33/27 banco IP: 200.129.202.37/27 GW: 200.129.202.33/27 200.129.202.33/27 Firewall IP eth0: 200.129.202.66/27 IP eth1: 200.129.202.33/27
3

1.2 Disposies Gerais co

Ambiente 1

IP eth2: 172.16.0.1/22 Rede interna IPs: 172.16.0.2/22 a 172.16.3.254/22 GW: 172.16.3.1/22 DNS: 172.16.3.1/22

1.2

Disposies Gerais co

Haver um rewall principal que atuar neste ambiente como servidor DHCP a a da rede interna e como servidor DNS para a rede interna e DMZ.

1.3
1.3.1

IPTABLES
IPTABLES www

Neste servidor, apenas permitido trfego de entrada nas portas de HTTP e a e HTTPS (alm do acesso ssh e o trfego na interface de loopback - que no e a a mais citaremos). #Pol ticas padro a iptables -P OUTPUT ACCEPT iptables -P INPUT DROP iptables P FORWARD DROP #Permite trfego na interface de loopback a iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #Libera conexes j estabelecidas o a iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT #Libera acesso as portas de http e https iptables A INPUT p tcp tcp-ags SYN dport 80 j ACCEPT #HTTP iptables A INPUT p tcp tcp-ags SYN dport 443 j ACCEPT #HTTPS #Libera SSH vindo da rede interna para login remoto no servidor iptables A INPUT p tcp -s 172.16.0.0/22 dport ssh j ACCEPT

1.3.2

IPTABLES vpn

Neste servidor, apenas permitido trfego de entrada na porta de vpn e uxo e a do protocolo gre (necessrio para funcionamento da vpn). a

1.3 IPTABLES

Ambiente 1

#Pol ticas padro a iptables -P OUTPUT ACCEPT iptables -P INPUT DROP iptables P FORWARD DROP #Permite trfego na interface de loopback a iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #Libera conexes j estabelecidas o a iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT #Libera acesso ao vpn iptables A INPUT p tcp tcp-ags SYN dport 1723 j ACCEPT #VPN iptables A INPUT p gre tcp-ags SYN -j ACCEPT #Protocolo da VPN #Libera SSH vindo da rede interna para login remoto no servidor iptables A INPUT p tcp -s 172.16.0.0/22 dport ssh j ACCEPT

1.3.3

IPTABLES mail

Neste servidor, apenas permitido trfego de entrada nas portas de POP e e a SMTP. #Pol ticas padro a iptables -P OUTPUT ACCEPT iptables -P INPUT DROP iptables P FORWARD DROP #Permite trfego na interface de loopback a iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #Libera conexes j estabelecidas o a iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT #Libera acesso as portas de POP e SMTP iptables A INPUT p tcp tcp-ags SYN dport 110 j ACCEPT #POP iptables A INPUT p tcp tcp-ags SYN dport 25 j ACCEPT #SMTP #Libera SSH vindo da rede interna para login remoto no servidor iptables A INPUT p tcp -s 172.16.0.0/22 dport ssh j ACCEPT

1.3 IPTABLES

Ambiente 1

1.3.4

IPTABLES banco

Neste servidor, apenas permitido trfego de entrada na porta do postgres, de e a origem do servidor www. #Pol ticas padro a iptables -P OUTPUT ACCEPT iptables -P INPUT DROP iptables P FORWARD DROP #Permite trfego na interface de loopback a iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #Libera conexes j estabelecidas o a iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT #Libera acesso a porta do postgres para o www iptables A INPUT s 200.129.202.34 p tcp tcp-ags SYN dport 5432 j ACCEPT #postgres #Libera SSH vindo da rede interna para login remoto no servidor iptables A INPUT p tcp -s 172.16.0.0/22 dport ssh j ACCEPT

1.3.5

IPTABLES rewall

Neste servidor, o rewall principal, apenas liberado: e trfego de sa a todas as redes (permitindo o acesso web); a da acesso ao DHCP pela rede interna; acesso ao DNS; acesso aos servios pblicos (www, mail e vpn); c u trfego iniciado pela rede interna para a DMZ (caindo o oposto na pol a tica padro de DROP). a #Deniao de variveis c a MY IP=200.129.202.66/27#IP externo da mquina de rewall a IP WWW=200.129.202.34/27#IP da mquina www a IP VPN=200.129.202.35/27#IP da mquina de vpn a IP MAIL=200.129.202.36/27#IP da mquina de e-mail a LOOPBACK=127.0.0.0/8 EXTERNAL INT=eth0
6

1.3 IPTABLES

Ambiente 1

DMZ INT=eth1 INTERNAL INT=eth2 CLASS A=10.0.0.0/8 CLASS B=172.16.0.0/12 CLASS C=192.168.0.0/16 CLASS D MULTICAST=224.0.0.0/4 CLASS E RESERVED NET=240.0.0.0/5 INTERNAL NET=172.16.0.0/22 DMZ NET=200.129.202.32/27 #Pol ticas padro a iptables -P OUTPUT ACCEPT iptables -P INPUT DROP iptables -P FORWARD DROP #Permite trfego na interface de loopback a iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #Libera conexes j estabelecidas o a iptables -A FORWARD -m state state ESTABLISHED,RELATED -j ACCEPT #Libera SSH vindo da rede interna para login remoto no servidor iptables A INPUT i $INTERNAL INT p tcp dport ssh j ACCEPT #Libera trfego de sa de toda a rede a da iptables A FORWARD o $EXTERNAL INT j ACCEPT #Libera DHCP para a rede interna iptables A INPUT i $INTERNAL INT p udp dport 67 j ACCEPT #Libera DNS iptables A INPUT p udp dport 53 j ACCEPT #Permite trfego iniciado pela rede interna para a DMZ a iptables -A FORWARD -i $INTERNAL INT -o $DMZ INT -j ACCEPT #Permite acesso aos servios pblicos c u iptables A FORWARD d $IP WWW p tcp tcp-ags SYN dport 80 j ACCEPT iptables A FORWARD d $IP WWW p tcp tcp-ags SYN dport 443 j ACCEPT iptables A FORWARD d $IP MAIL p tcp tcp-ags SYN dport 110 j ACCEPT iptables A FORWARD d $IP MAIL p tcp tcp-ags SYN dport 25 j ACCEPT
7

1.4 Tabelas de Roteamento

Ambiente 1

iptables A FORWARD d $IP VPN p tcp tcp-ags SYN dport 1723 j ACCEPT iptables A FORWARD d $IP VPN p gre tcp-ags SYN j ACCEPT #Recusa pacotes dizendo vir de voc ou de redes indevidas e iptables -A INPUT i $EXTERNAL INT -s $MY IP -j DROP iptables A INPUT i $EXTERNAL INT s $DMZ NET j DROP iptables A INPUT i $EXTERNAL INT s $INTERNAL NET j DROP iptables -A INPUT -i $EXTERNAL INT -s $CLASS A -j DROP iptables -A INPUT -i $EXTERNAL INT -s $CLASS B -j DROP iptables -A INPUT -i $EXTERNAL INT -s $CLASS C -j DROP iptables -A INPUT -i $EXTERNAL INT -s $CLASS D MULTICAST -j DROP iptables -A INPUT -i $EXTERNAL INT -s $CLASS E RESERVED NET -j DROP iptables -A INPUT -i $EXTERNAL INT -s $LOOPBACK -j DROP #Aplica regras contra ags iptables -A INPUT -p tcp tcp-ags ALL NONE -j DROP iptables -A INPUT -p tcp tcp-ags SYN,FIN SYN,FIN -j DROP iptables -A INPUT -p tcp tcp-ags SYN,RST SYN,RST -j DROP iptables -A INPUT -p tcp tcp-ags FIN,RST FIN,RST -j DROP iptables -A INPUT -p tcp tcp-ags ACK,FIN FIN -j DROP iptables -A INPUT -p tcp tcp-ags ACK,PSH PSH -j DROP iptables -A INPUT -p tcp tcp-ags ACK,URG URG -j DROP

1.4
1.4.1

Tabelas de Roteamento
Servidores da DMZ

0.0.0.0 0.0.0.0 200.129.202.33 1.4.2 Rede interna

0.0.0.0 0.0.0.0 172.16.0.1 1.4.3 Firewall 200.129.202.65 200.129.202.32 172.16.0.0 0.0.0.0 diretamente eth0 diretamente eth1 diretamente eth2 200.129.202.66

255.255.255.224 255.255.255.224 255.255.252.0 0.0.0.0

Parte 2 Ambiente 2

2.1

IPs, Gateways e DNS

DNS: DNS: DNS:

www IP: 200.129.202.34/27 GW: 200.129.202.33/27 200.129.202.33/27 VoIP IP: 200.129.202.35/27 GW: 200.129.202.33/27 200.129.202.33/27 banco IP: 200.129.202.37/27 GW: 200.129.202.33/27 200.129.202.33/27 Firewall IP eth0: 200.129.202.66/27
9

2.2 Disposies Gerais co

Ambiente 2

IP eth1: 200.129.202.33/27 IP eth2: 172.16.0.1/22 IP eth3: 10.0.0.1/8 IP Torre de telefonia: 10.0.0.2/8 Rede interna IPs: 172.16.0.2/22 a 172.16.3.254/22 GW: 172.16.3.1/22 DNS: 172.16.3.1/22 Rede de telefonia - IPs: 10.0.0.3/8 a 10.255.255.254/8 - GW: 10.0.0.2/8

2.2

Disposies Gerais co

Haver um rewall principal que atuar neste ambiente como servidor DHCP a a da rede interna e como servidor DNS para a rede interna e DMZ. O sistema web para cadastro de clientes encontra-se na mquina www. a O servio de VoIP apenas interno, no tendo acesso a internet. Sendo assim c e a os aparelhos de telefonia apenas podem conversar entre si na rede servida pela torre de telefonia.

2.3
2.3.1

IPTABLES
IPTABLES www

Neste servidor, apenas permitido trfego de entrada nas portas de HTTP e e a HTTPS. #Pol ticas padro a iptables -P OUTPUT ACCEPT iptables -P INPUT DROP iptables P FORWARD DROP #Permite trfego na interface de loopback a iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #Libera conexes j estabelecidas o a iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT #Libera acesso as portas de http e https iptables A INPUT p tcp tcp-ags SYN dport 80 j ACCEPT #HTTP iptables A INPUT p tcp tcp-ags SYN dport 443 j ACCEPT #HTTPS
10

2.3 IPTABLES

Ambiente 2

#Libera SSH vindo da rede interna para login remoto no servidor iptables A INPUT p tcp -s 172.16.0.0/22 dport ssh j ACCEPT

2.3.2

IPTABLES VoIP

Neste servidor, apenas permitido trfego de entrada na porta de VoIP (SIP). e a #Pol ticas padro a iptables -P OUTPUT ACCEPT iptables -P INPUT DROP iptables P FORWARD DROP #Permite trfego na interface de loopback a iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #Libera conexes j estabelecidas o a iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT #Libera acesso a porta do VoIP iptables A INPUT dport 5060 j ACCEPT #VoIP SIP #Libera SSH vindo da rede interna para login remoto no servidor iptables A INPUT p tcp -s 172.16.0.0/22 dport ssh j ACCEPT

2.3.3

IPTABLES banco

Neste servidor, apenas permitido trfego de entrada na porta do postgres, de e a origem do servidor www ou do servidor VoIP. #Pol ticas padro a iptables -P OUTPUT ACCEPT iptables -P INPUT DROP iptables P FORWARD DROP #Permite trfego na interface de loopback a iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #Libera conexes j estabelecidas o a iptables -A INPUT -m state state ESTABLISHED,RELATED -j ACCEPT #Libera acesso a porta do postgres para o www e o VoIP iptables A INPUT s 200.129.202.34 p tcp tcp-ags SYN dport 5432 j ACCEPT #postgres
11

2.3 IPTABLES

Ambiente 2

iptables A INPUT s 200.129.202.35 p tcp tcp-ags SYN dport 5432 j ACCEPT #postgres #Libera SSH vindo da rede interna para login remoto no servidor iptables A INPUT p tcp -s 172.16.0.0/22 dport ssh j ACCEPT

2.3.4

IPTABLES rewall

Neste servidor, o rewall principal, liberado: e trfego de sa apenas ao rewall e a DMZ (restringindo o acesso web); a da acesso ao DHCP pela rede interna; acesso ao DNS acesso aos sistemas web da www; trfego da rede VoIP para o servidor VoIP. a #Deniao de variveis c a MY IP=200.129.202.66/27#IP externo da mquina de rewall a IP WWW=200.129.202.34/27#IP da mquina www a IP VoIP=200.129.202.35/27#IP da mquina de VoIP a IP BANCO=200.129.202.37/27#IP da mquina de banco de dados a LOOPBACK=127.0.0.0/8 EXTERNAL INT=eth0 DMZ INT=eth1 INTERNAL INT=eth2 VOIP INT=eth3 CLASS A=10.0.0.0/8 CLASS B=172.16.0.0/12 CLASS C=192.168.0.0/16 CLASS D MULTICAST=224.0.0.0/4 CLASS E RESERVED NET=240.0.0.0/5 INTERNAL NET=172.16.0.0/22 DMZ NET=200.129.202.32/27 VOIP NET=10.0.0.0/8 #Pol ticas padro a iptables -P OUTPUT ACCEPT iptables -P INPUT DROP iptables -P FORWARD DROP #Permite trfego na interface de loopback a
12

2.3 IPTABLES

Ambiente 2

iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #Libera conexes j estabelecidas o a iptables -A FORWARD -m state state ESTABLISHED,RELATED -j ACCEPT #Libera trfego de sa apenas da rede DMZ a da iptables A FORWARD -i $DMZ INT o $EXTERNAL INT j ACCEPT #Libera acesso ao servidor VoIP para a rede VoIP iptables A FORWARD -i $VOIP NET d $IP VoIP p tcp tcp-ags SYN dport 5060 j ACCEPT #Libera SSH vindo da rede interna para login remoto no servidor iptables A INPUT i $INTERNAL INT p tcp dport ssh j ACCEPT iptables A INPUT p udp dport 53 j ACCEPT #Permite acesso aos sistemas web da www iptables A FORWARD d $IP WWW p tcp tcp-ags SYN dport 80 j ACCEPT iptables A FORWARD d $IP WWW p tcp tcp-ags SYN dport 443 j ACCEPT #Libera DHCP para a rede interna iptables A INPUT i $INTERNAL INT p udp dport 67 j ACCEPT #Recusa pacotes dizendo vir de voc ou de redes indevidas e iptables -A INPUT i $EXTERNAL INT -s $MY IP -j DROP iptables A INPUT i $EXTERNAL INT s $DMZ NET j DROP iptables A INPUT i $EXTERNAL INT s $INTERNAL NET j DROP iptables -A INPUT -i $EXTERNAL INT -s $CLASS A -j DROP iptables -A INPUT -i $EXTERNAL INT -s $CLASS B -j DROP iptables -A INPUT -i $EXTERNAL INT -s $CLASS C -j DROP iptables -A INPUT -i $EXTERNAL INT -s $CLASS D MULTICAST -j DROP iptables -A INPUT -i $EXTERNAL INT -s $CLASS E RESERVED NET -j DROP iptables -A INPUT -i $EXTERNAL INT -s $LOOPBACK -j DROP #Aplica regras contra ags iptables -A INPUT -p tcp tcp-ags ALL NONE -j DROP iptables -A INPUT -p tcp tcp-ags SYN,FIN SYN,FIN -j DROP iptables -A INPUT -p tcp tcp-ags SYN,RST SYN,RST -j DROP iptables -A INPUT -p tcp tcp-ags FIN,RST FIN,RST -j DROP iptables -A INPUT -p tcp tcp-ags ACK,FIN FIN -j DROP iptables -A INPUT -p tcp tcp-ags ACK,PSH PSH -j DROP iptables -A INPUT -p tcp tcp-ags ACK,URG URG -j DROP
13

2.4 Tabelas de Roteamento

Ambiente 2

2.4
2.4.1

Tabelas de Roteamento
Servidores da DMZ

0.0.0.0 0.0.0.0 200.129.202.33 2.4.2 Rede interna

0.0.0.0 0.0.0.0 172.16.0.1 2.4.3 Rede VoIP

0.0.0.0 0.0.0.0 10.0.0.1 2.4.4 Firewall 200.129.202.65 200.129.202.32 172.16.0.0 10.0.0.0 0.0.0.0 diretamente eth0 diretamente eth1 diretamente eth2 diretamente eth3 200.129.202.66

255.255.255.224 255.255.255.224 255.255.252.0 255.0.0.0 0.0.0.0

14