Professional Documents
Culture Documents
whoami
Tcnico
em Informtica - IFRN
Graduado em Redes IFRN
Certificado CCNA, ITILv3
CCAI
em andamento
Conteudista:
Segurana de Redes
IMD
Conteudista: Redes de Computadores
Instituto Federal de Educao,
IMD
Cincia e Tecnologia do RN 7/1/15
IFRN
Professor
de Redes
de Computadores
Agenda
Conhecer
o netfilter
Entender o funcionamento e
sintaxe do iptables
Conhecer as principais opes
Testar
7/1/15
O que um firewall ?
um mecanismo que
atua controlando o
acesso a recursos
Como recursos
entenda sites,
servidores, servios
Motivao
Ele
surgiu da necessidade de se
limitar o acesso a determinados
recursos
Necessita-se
proteger informaes
necessrio proteger os usurios
internos contra ameaas
Tambm necessrio proteger as
empresas dos atacantes externos
Objetivos de um firewall
Deve
Potenciais limitaes
Configuraes
consequncias
Nem toda aplicao opera de forma
satisfatria quando interceptada por
firewalls
Existe a possibilidade do tunelamento de
aplicaes
Usar
Posicionamento do firewall
Em
Posicionamento do firewall
Caso haja algum caminho pelo qual
o trfego escape do firewall, toda
a segurana pode ir por gua abaixo
Outro ponto crucial: devido ao
firewall concentrar todo o trfego da
Instituio, ele deve possuir
mecanismos de redundncia
Se
Tipos de firewall
Firewall Stateless
Firewall statefull
Firewall de Inspeo de
Aplicao
Firewall stateless
Benefcios
Baseado em um simples
conjunto de entradas para
permitir ou negar
Tem um impacto mnimo na
performance da rede
So simples de
implementar
Configurvel na maioria dos
roteadores
Pode realizar diversas
filtragens sem necessitar de
um firewall high-end
Desvantagens
Susceptvel a IP Spoofing
No opera bem com
pacotes fragmentados
Listas de regras muito
extensas dificultam a
sua manuteno
Algumas aplicaes
operam com diversas
portas, o que aumenta
ainda mais o tamano das
listas
Firewall Statefull
Vantagens
Desvantagens
Firewall de inspeo de
aplicao
Vantagens
Desvantagens
Qualquer desvio do
padro que a
aplicao realizar, j
pode ser considerado
um ataque (possvel
falso positivo)
Uso intenso de
recursos
Possvel invaso de
privacidade
Segurana em
profundidade
Ter
Firewall no linux
O
7/1/15
Netfilter
o software para filtragem de
pacotes padro do kernel 2.4 em
diante
O software utilizado para adicionar
regras no netfilter o iptables
Suporta filtragem de pacotes,
Network Address Translation (NAT)
e outras funes de marcao
Principais funes
Filtragem stateless
Filtragem Statefull
Suporta diversos tipos de NAT
Infraestrutura flexvel
Suporta Qualidade de Servio (QoS)
Tabelas padro
O
Mdulos
O
7/1/15
Mdulos
/sbin/modprobeip_tables
/sbin/modprobeiptable_filter
/sbin/modprobenf_nat_ftp
/sbin/modprobeiptable_nat
root@fw:~#lsmod|grepiip_tables
ip_tables220420
x_tables191181
ip_tables
root@fw:~#
Instituto Federal de Educao,
7/1/15
Ativando o
encaminhamento
Temos
root@fw:~#echo1>/proc/sys/net/ipv4/ip_forward
root@fw:~#
7/1/15
Poltica padro
Por
root@fw:~#iptablesL
ChainINPUT(policyACCEPT)
targetprotoptsourcedestination
ChainFORWARD(policyACCEPT)
targetprotoptsourcedestination
ChainOUTPUT(policyACCEPT)
targetprotoptsourcedestination
Instituto Federal de Educao,
Poltica padro
O
root@fw:~#iptablesPFORWARDDROP
root@fw:~#iptablesPINPUTDROP
root@fw:~#iptablesPOUTPUTDROP
root@fw:~#
7/1/15
Opes bsicas
Opo
Descrio
-D
-L
-F
Inverte o teste
-A
-I
7/1/15
Exemplos de regra
Onde:
Iptables: comando empregado para adicionar regras
-A: adiciona no final da sequncia de regras
OUTPUT: tabela de regras, por padro, so 3 (INPUT, OUTPUT,
FORWARD)
-p tcp: especifica o protocolo que ser filtrado
--dport 80: especifica qual porta ser filtrada
-d : informa o IP de destino
-j : ao que ser tomada. Existem quatro possibilidades (ACCEPT,
DROP, REJECT, QUEUE)
Exemplos de regras
Exemplos de regra
Onde:
-A FORWARD: diz que a regra deve ser adicionada a tabela
FORWARD
-i eth0: especifica a interface de rede de origem do trfego
-o eth1: especifica a interface de rede de sada do trfego
-s ! 192.168.1.100: informa todos os Ips de origem , menos o
192.168.1.100
7/1/15
Ativando statefull
Por
7/1/15
Apenas
as regras adicionadas abaixo dessas que sero
7/1/15
Mltiplas portas
Vale
7/1/15
DNAT:
Quando
externo
7/1/15
SNAT
root@fw:/tmp#iptablestnatA
POSTROUTINGs192.168.1.0/24oeth1
jSNATto200.14.1.20
root@fw:/tmp#
7/1/15
DNAT
root@fw:/tmp#iptablestnatA
PREROUTINGs177.20.128.20i
eth2jDNATto172.16.2.2
root@fw:/tmp#
7/1/15
Salvando
O
root@fw:/tmp#iptablessave>firewall
root@fw:/tmp#
7/1/15
Restaurando
O
root@fw:~#iptablesrestore</tmp/firewall
root@fw:~#
7/1/15
Cuidado!
A
7/1/15