Академический Документы
Профессиональный Документы
Культура Документы
Sandro Wambier
Firewall o mecanismo de segurana interposto entre a rede interna e a rede externa com a finalidade de liberar ou bloquear o acesso de computadores remotos aos servios que so oferecidos em um permetro ou dentro da rede corporativa.
no protege contra ataques internos e usurios mal intencionados; No protege contra vrus; no protege contra portas dos fundos abertas (backdoors) por exemplo o uso de modens.
Filtros de pacote
# regra
#1
origem
qualquer
destino
interno
protocolo
TCP
porta de origem
qualquer
porta de destino
23
ao
bloqueia
#2
#3 #4
IP x.x.x.x
Interna qualquer
interno
qualquer interna
TCP
TCP TCP
qualquer
qualquer qualquer
23
21 21
permite
Permite bloqueia
O IPTables um sistema que realiza filtragem de pacotes para ambientes Linux. Ele passou a estar integrado ao sistema operacional a partir das verses 2.4.X do kernel. O Iptables em sua estrutura possui 3 tabelas principais:
Filter (padro): Usada para as regras ligadas operao do filtro de pacotes; NAT: Usada para regras que implementam a funo de NAT/NAPT; Mangle: Implementa alteraes especiais em pacotes.
INPUT: pacotes cujo destino o prprio computador OUTPUT: pacotes emitidos pelo prprio computador FORWARD: pacotes que esto sendo roteados
Iptables h
Invoca a ajuda dos comandos.
Iptables L
Lista as regras do iptables
Iptables F
Limpa todas a regras e deixa a regra padro.
Iptables C
Checa as regras bsicas do firewall.
-A :
-R : substitui uma regra em uma posio da cadeia. iptables R FORWARD 2 s 192.168.7.105 192.168.1.0/8 j DROP Substitui a segunda regra referente a chan.
-I : inserir uma nova regra ao nicio da lista de regras ( parecido com A) ex.: iptables I OUTPUT
-N : Cria uma nova regra com um nome especfico. ex.: iptables t filter N internet Cria uma nova chains internet sobre a tabela filter.
-E : Renomeia uma nova chain Ex. iptables e internet intranet -X : Apaga um chain criado Ex. iptables x intranet
-p (protocolo)
-i (interface)
Define qual o protocolo TCP/IP dever ser tratado. (TCP, UDP, ICMP ...) Define o nome da interface de rede de onde trafegaro os pacotes de entrada e sada do firewall. Parecido com a regra i, porm, somente as chains OUTPUT e FORWARD se aplica.
-o (interface)
-s (origem) / -d(destino)
Define qual o endereo de origem e de destino que a regra atuar. Significa excluso e utilizado quando se deseja aplicar uma exceo a uma regra. Usa-se juntamente s, -d, -p, -i, -o e outros. Serve para especificar uma ao.
-f (fragmento)
--sport
Trata datagramas fragmentos. Porta de origem, com esta regra possvel aplicar filtros com base na porta de origem do pacote. Porta de destino, especifica a porta de destino do pacote e funciona de forma similar a regra sport Especifica quais os tipo de pacote ICMP pode passar ou no.
--dport
--icmp-type
-m (mdulo)
Carrega mdulo especial do Netfilter
-m state
Habilita o enquadramento pelo estado da conexo
--state <estado>[,<estado>...]
Aps -m state, descreve os estados aceitveis para a conexo do pacote
-m limit
Habilita o enquadramento por um limite temporal, com suporte a rajadas Determina o limite em nmero de pacotes por unidade de tempo. A unidade de tempo pode ser s[econd], m[inute], h[our] ou d[ay]. Determina o tamanho da rajada aceitvel, acima do qual o limite de pacotes por unidade de tempo ser imposto.
-m mac
Habilita o enquadramento por endereo de enlace MAC (s faz sentido nas cadeias INPUT e FORWARD, e em pacotes vindos de redes com endereos 802.2)
--mac-sorce
Especifica qual placa de rede atravs de seu endereo MAC, ir transmitir pacotes.
-m multiport
--source-ports <n1>[,<n2>][,...]
Habilita a extenso de filtragem por mltiplas portas Filtra pelas portas de origem especificadas, separadas por vrgula Filtra pelas portas de destino
--destination-ports <n1>[,...]
--ports <n1>[,...]
-m owner
Habilita filtragem por dono do pacote. S faz sentido para OUTPUT.
--uid-owner <uid>
Filtra pelo UID (nmero do usurio UNIX) efetivo do processo que gerou o pacote.
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Esta regra costuma encabear qualquer script de firewall iptables, pois j aprecia todos os pacotes pertencentes a conexes vlidas. Cabe s demais regras evitar que novas conexes indesejaveis aconteam.
iptables -A INPUT -p icmp --icmp-type echoreply -m limit --limit 2/s -j ACCEPT iptables -A INPUT -p icmp --icmp-type echoreply -j DROP
Essas duas regras, nesta ordem, limitam a aceitao de pacotes ICMP ECHO REPLY taxa de 2 por segundo. O excesso descartado
iptables -A FORWARD -s 10.0.2.0/24 -m limit --limit 10/s -j ACCEPT iptables -A FORWARD -s 10.0.2.0/24 -j DROP
Essas duas regras estabelecem um controle de trfego, que atinge os IPs da faixa 10.0.2.0/24. Apenas 10 pacotes por segundo sero roteados, os demais sero perdidos, o que simular um congestionamento de rede. uma providncia crua e precria, porm funcional, para castigar usurios mal-comportados no uso da rede (e.g. que usem programas estilo Emule).
A arquitetura DMZ implementa uma camada de segurana extra atravs da adio de uma rede de permetro que isola a rede interna da rede externa . Isto alcanado pela colocao dos bastion hosts nesta rede de permetro, tambm comumente chamada de Zona Desmilitarizada.
Nesta verso simples, h dois dispositivos fazendo filtragem, denominados, nesta figura, Roteador Interno e Roteador Externo.
O Roteador Interno protege a rede interna da rede externa e da rede de permetro. O Roteador Externo protege a rede interna e a rede de permetro da rede externa.
Monte uma tabela similar aquela apresentada no exemplo considerando a implementao da seguinte poltica:
O servidor DNS interno deve poder se comunicar com outros servidores DNS na Internet;
O servidor de email interno deve poder receber e-mails vindos de outros servidores de email da Internet;