Escolar Documentos
Profissional Documentos
Cultura Documentos
br
www.4linux.com.br
Tpicos Abordados
Conceito de statefull Camadas de atuao Regras utilizadas no dia a dia Trabalhando com recursos do kernel Mascaramento de pacotes Bloqueio de pacotes Regras de icmp Nat (network address translation)
www.4linux.com.br
O que um Firewall
Mecanismo de segurana entre a rede interna e rede externa com a finalidade de liberar ou bloquear o acesso de computadores remotos aos servios que so oferecidos em um permetro ou dentro da rede corporativa, atravs do controle de pacotes que passam pelo Firewall .
Este mecanismo de segurana pode ser baseado em hardware e/ou software ou uma mistura dos dois.
(Fonte treinamento@4linux.com.br)
www.4linux.com.br
Riscos
Trs fatores esto em risco quando nos conectamos a Internet , so eles: A reputao Os Computadores As informaes guardadas Trs fatores precisam ser resguardados: Privacidade Integridade Disponibilidade
(Fonte treinamento@4linux.com.br)
www.4linux.com.br
Ponto de conexo com a Internet Aplicar as regras de segurana Autenticar usurios em funo de auditoria Logar Trfego Separar Rede Lan e Wan
(Fonte treinamento@4linux.com.br)
www.4linux.com.br
Arquiteturas
Roteador com Triagem (Screening Router); Gateway de Base Dupla (Dual Homed Gateway) Gateway Host com Triagem (Screened Host Gateway) Sub-rede com Triagem (Screened Subnet)
(Fonte treinamento@4linux.com.br)
www.4linux.com.br
Mais comum, e de fcil implementao, entretanto se as regras (ACLs) do roteador forem quebradas, a rede ficar totalmente vulnervel.
SWITCH/HUB
(Fonte treinamento@4linux.com.br)
www.4linux.com.br
(Fonte treinamento@4linux.com.br)
www.4linux.com.br
A segunda camada, a rede interna, e quem limita os acessos neste ponto um Bastion Host com um Proxy Firewall, pois nele, temos um outro filtro de pacotes alm de mecanismos de autenticao da prpria rede interna
SWITCH/HUB
(Fonte treinamento@4linux.com.br)
www.4linux.com.br
FIREWALL
SWITCH/HUB
SWITCH/HUB
www.4linux.com.br
CAMADA
APLICAO
6 APRESENT. 5
SESSO
4 TRANSPORTE
PACKET FILTER
3 2 1
REDE ENLACE FSICA IP / ICMP / IGMP REDE ENLACE FSICA
(Fonte treinamento@4linux.com.br)
www.4linux.com.br
CAMADA 7
APLICAO
6 APRESENT. 5
SESSO
STATEFULL PACKET
4 TRANSPORTE 3 2 1
REDE ENLACE FSICA
TCP/UDP
TCP/UDP
IP / ICMP / IGMP
(Fonte treinamento@4linux.com.br)
www.4linux.com.br
Aplica o Apresent.
Aplica o Apresent.
Sesso
Transporte
Sesso
Transporte
Rede
(Fonte treinamento@4linux.com.br)
www.4linux.com.br
Conceito de Statefull
Statefull uma caractersticas tambm utilizados por Firewalls , que tem por finalidade analisar o pacote TCP nos detalhes.
Isso permite co m que um Firewall de Statefull seja melhor tecnicamente do que um Packet Filter (Filtro de Pacotes), ou stateless (Menos recursos), devido sua criticidade na anlise dos pacotes de uma rede.
(Fonte treinamento@4linux.com.br)
www.4linux.com.br
Netfilter
Para o funcionamento do iptables no kernel 2.4 foi implementado um Framework chamado de Netfilter.
www.4linux.com.br
CONFIG_PACKET CONFIG_NETFILTER CONFIG-CONNTRACK CONFIG_IP_NF_FTP CONFIG_IP_NF_IRC CONFIG_IP_NF_IPTABLES CONFIG_IP_NF_FILTER CONFIG_IP_NF_NAT CONFIG_IP_NF_MATCH_STATE CONFIG_IP_NF_TARGET_LOG CONFIG_IP_NF_MATCH_LIMIT CONFIG_IP_NF_TARGET_MASQUERADE
www.4linux.com.br
Evoluo
1994 1994
Ipfwadm Melhorado por Jos Vos e outros voluntrios para o kernel 2.0
1998 1999
Ipchains Rust Russel e Michael Neuling - kernel 2.2 Iptables Kernel 2.4 Netfilter
www.4linux.com.br
OPES
-A - Adiciona uma ou mais regras no final de uma cadeia -D - Deleta uma ou mais regras -R - Altera uma regra -I - Insere uma regra -L - Lista todas as regras -F Limpa o fluxo de regras -N - Adiciona uma nova cadeia de regras -X - Deleta uma cadeia de regras -P - Configura uma Politica para uma cadeia de regras ((INPUT, OUTPUT, FORWARD) Exemplo: iptables -P INPUT ACCEPT iptables -A INPUT -p udp --dport 53 -j ACCEPT
www.4linux.com.br
www.4linux.com.br
Tabelas
Existem alguns tipos de tabelas para serem trabalhadas no iptables: filter Esta tabela o default se no declarada em nenhuma regra, ou seja ela permite a filtragem em regras de INPUT (para pacotes vindos da internet), OUTPUT (para pacotes gerados localmente) e FORWARD. nat - Esta tabela consultada, quando um pacote responsvel por criar uma nova conexo encontrado, ou seja, quando a dport (destination port) diferente dos IPs conhecidos. mangle - Esta tabela utilizada para pacotes especiais: PREROUTING - Para alterar pacotes recebidos antes do roteamento OUTPUT - (Para alterar localmente pacotes gerados antes do roteamento
www.4linux.com.br
-s Endereo IP origem dos pacotes -d - Endereo IP destino dos pacotes -j - (Jump-Alvo) Informa o que ser feito com os pacotes/ip -i - Informa a interface para pacotes recebidos via (INPUT, FORWARD e PREROUTING). -o Informa a interface para pacotes enviados via (FORWARD, OUTPUT E POSTROUTING) -f - Esta flag furta fragmentos de pacotes fragmentados -n - Habilita sadas numricas. Endereos IP's e nmeros de portas so exibidos em forma numrica.
Obs: Caso o nome da interface termine com o sinal + , significa que todas as interfaces sero utilizadas .
www.4linux.com.br
www.4linux.com.br
www.4linux.com.br
Registrando pacotes
Descartando pacotes considerados INVLIDOS. Exemplo:
iiptables A INPUT -p icmp -j LOG log-level warning log-prefix Pacotes ICMP: Obs: Este log ser gerado no nvel de warning conforme configurao do syslog.conf.
www.4linux.com.br
Bloqueando traceroute
iptables -A INPUT -i eth0 -p tcp -s 0.0.0.0/0 -d 200.204.10.36 --dport 33434:33523 -j DROP iptables -A INPUT -i eth0 -p udp -s 0.0.0.0/0 -d 200.204.10.36 --dport 33434:33523 -j DROP
www.4linux.com.br
Mascaramento de Pacotes
IP-Masquerade echo 1 > /proc/sys/net/ipv4/ip_forward
www.4linux.com.br
Router
SWITCH/HUB
Rede DMZ
SWITCH/HUB
Estaes
Rede Lan
www.4linux.com.br
www.4linux.com.br
www.4linux.com.br
www.4linux.com.br
Parmetros
- - source-port - Porta origem ou a flag (--sport). Tambm pode ser usado o nome do servio ou um range de IP's. Se a primeira porta omitida ela ser assumida como 0 . Se a ltima omitida ser assumida como 65535 . Formato: port:port - - destination-port - Porta destino ou a flag (--dport). Mesmas regras de sport. --tcp-flags - Informa como as flags do tcp sero especificadas SYN ACK FIN RST URG PSH ou ALL
www.4linux.com.br
Parmetros
Exemplo: iptables -A INPUT - p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j ACCEPT No exemplo, somente os pacotes com a flag SYN setada e as flags ACK, FIN, e RST no setadas, passaro pelo ACCEPT.
www.4linux.com.br
Parmetros
--syn - Somente os pacotes TCP, com o bit SYN setados e com os bits ACK e FIN no setados. Esse tipo de pacote solicitado em uma requisio TCP por uma conexo. --tcp-option - Habilita uma flag tcp icmp-type - Esta opo habilita o tipo de icmp. Pode ser especificado numericamente. --mac-source - Habilita trabalhar com MAC adress para pacotes recebidos via PREROUTING, FORWARD e INPUT. O formato XX:XX:XX:XX:XX:XX l -- snat - Origem do nat. S poder ser usado, quando a tabela nat estiver ativada e POSTROUTING. -- dnat - Destino do nat S poder ser usado quando a tabela nat estiver ativada e PREROUTING e OUTPUT.
www.4linux.com.br
Onde chegaremos...
Embora o Firewall seja a parte mais importante em um programa de segurana, no devemos esquecer a importncia de se utilizar ferramentas que auxiliam na deteco de brechas e vulnerabilidades dos sistemas operacionais que esto em uso na rede, bem como, o uso de programas que detectam intrusos ou ataques.
www.4linux.com.br
Concluso
importante tambm, saber qual ao a ser tomada quando uma violao ou um servio importante parar. Tudo isso tem que estar somando a METODOLOGIA e casado com NEGCIO da empresa.
www.4linux.com.br
Obrigado
Executar o software para qualquer uso. Estudar o funcionamento do cdigo e adapt-lo as suas necessidades. Redistribuio das cpias. Melhorarem o programa e tornarem essas melhorias pblicas.
www.4linux.com.br
Fontes
http://www.conectividade.com.br/download.html http://www.inf.ufrgs.br/~gseg/producao/jai-sbc-seguranca-slides-p2-2002.pdf http://www.ipsobcontrole.hpg.ig.com.br/metodo.html http://netfilter.gnumonks.org/ http://www.networkdesigners.com.br/Artigos/incidente/incidente.html http://www.spyket.com.br/ficha.html http://distro2.conectiva.com.br/pipermail/seguranca/2000-September/000308.html http://members.lycos.co.uk/paulogryfo/ssi2002/Artigos/umaferramenta.pdf http://zeus.atua.com.br/~pedro/site/faculdade/tc/docs/ http://200.171.155.61/zago/iptables.txt RFC 792 - ou http://www.ee.siue.edu/~rwalden/networking/icmp.html