01 - Entendendo um Firewall. Prof. Armando Martins de Souza armandomartins.souza@gmail.com

Transcrição

1 01 - Entendendo um Firewall. Prof. Armando Martins de Souza armandomartins.souza@gmail.com

2 O que são Firewalls? São dispositivos constituídos por componentes de hardware (roteador capaz de filtrar pacotes) e softwares (proxy server), que: Controlam o fluxo de pacotes entre a rede local (privada) e a rede pública (Internet). Armando Martins 2

3 Linux como roteador: É responsável pelo roteamento e filtragem de pacotes; Ele lê os cabeçalhos dos pacotes e decide o que pode ou não passar por ele. Armando Martins 3

4 O programa IPTABLES: Fornece uma interface para o usuário manipular as regras de filtragem de pacotes do kernel do Linux. Armando Martins 4

5 Iptables/Firewall/Tabelas básicas: O funcionamento do firewall é basicamente o seguinte: 1. Os pacotes que chegam ao firewall são filtrados através das regras que foram definidas. 2. Roteamento interno (dentro do kernel). Com base no destino do pacote, ele é encaminhado para o "filtro" (chain) apropriado ao roteamento. Armando Martins 5

6 Firewall Antes de iniciarmos o detalhamento das chains, iremos mostrar a relação entre firewall e kernel Linux. Ifwadm --> kernel 2.0 Ipchains --> Kernel 2.2 Iptables --> A partir do kernel 2.4 É importante deixar claro que trabalharemos apenas com o firewall iptables. Armando Martins 6

7 As tabelas básicas Filter É composta de 3 chains: INPUT, OUTPUT e FORWARD. É a tabela default, isto significa que quando não referenciamos nenhuma chain no comando iptables, a chain filter é chamada. Armando Martins 7

8 As tabelas básicas Filter Essa chain trata do tráfego normal de dados, isto significa que não há nenhum tipo de mascaramento (NAT) nela. Armando Martins 8

9 As tabelas básicas Nat É quando temos que mascarar algum endereço IP ou rede. O Nat acontece tanto da rede externa (Internet), para a rede interna (Lan), quanto da Lan para Internet. A tabela "Nat" é composta pelas Armando Martins 9

10 As tabelas básicas Mangle Basicamente utilizada para fazer QoS. Não trataremos desse assunto neste tutorial. Armando Martins 10

11 Ilustração das tabelas com suas respectivas chains. Armando Martins 11

12 Representação visual do posicionamento das chains em relação a passagem dos pacotes de dados da tabela "FILTER". Armando Martins 12

13 Funcionamento de cada uma das chains descritas anteriomente: INPUT (Pacotes de Entrada): Os pacotes são encaminhados para esta chain quando a origem não é o firewall, mas o destino é o firewall. FORWARD (Pacotes de Passagem): No caso da FORWARD os encaminhamentos são feitos quando a origem não é o firewall e o destino também não é o firewall. Isto é, o pacote de dados esta apenas passando pelo firewall. Armando Martins 13

14 Funcionamento de cada uma das chains descritas anteriomente: OUTPUT (Pacotes de Saída): Chain responsável pelos pacotes que tem origem no firewall e destino não firewall. Armando Martins 14

15 Funcionamento de cada uma das chains descritas anteriomente: Armando Martins 15

16 A tabela filter só pode tratar do que passa ou não passa: Armando Martins 16

17 Políticas de acesso / DROP e REJECT. Políticas de acesso No que se refere a políticas de acesso temos ACCEPT e DROP. ACCEPT passa tudo, para que o pacote seja bloqueado temos que ter inserido um comando dizendo que pacotes com aquelas características devem ser bloqueados. Armando Martins 17

18 Políticas de acesso / DROP e REJECT. Políticas de acesso No que se refere a políticas de acesso temos ACCEPT e DROP. DROP É exatamente o inverso do ACCEPT. Bloqueia tudo, deixando passar somente os pacotes que batem exatamente com as características passadas pelo comando de liberação. Armando Martins 18

19 Políticas de acesso / DROP e REJECT. Políticas de acesso Normalmente usamos o critério de bloquear tudo, liberando apenas o que tem que passar, isso tem inúmeras vantagens: Evitar o trafego na rede desnecessário; Deixar portas abertas sem necessidade, impedindo com isso a possibilidade que uma falha de segurança seja utilizada por um indivíduo mau intencionado. Armando Martins 19

20 Políticas de acesso / DROP e REJECT. Políticas de acesso Exemplos de mudança de política: iptables -t <tabela> -P <chain> -j ACCEPT/DROP Mudando todas as chains da tabela "filter" para DROP: # iptables -t filter -P INPUT DROP # iptables -P FORWARD DROP # iptables -t filter -P OUTPUT DROP Armando Martins 20

21 Políticas de acesso / DROP e REJECT. Políticas de acesso Reparem que em um dos exemplos anteriores não especifiquei qual tabela estou usando (iptables -P FORWARD DROP); Isso porque a tabela filter não precisa ser referenciada, pois ela é a tabela padrão do iptables. Armando Martins 21

22 Políticas de acesso / DROP e REJECT. Políticas de acesso Para colocarmos as políticas das chains novamente para ACCEPT, basta substituirmos o "DROP" por "ACCEPT". # iptables -t filter -P INPUT ACCEPT # iptables -P FORWARD ACCEPT # iptables -t filter -P OUTPUT ACCEPT Armando Martins 22

23 Políticas de acesso / DROP e REJECT. DROP e REJECT Muitas pessoas acham que o "DROP" tem a mesma funcionalidade do "REJECT", contudo há uma sutil diferença. No DROP o pacote é sumariamente bloqueado não dando a mínima importância para o pacote enviado, ele apenas o ignora. No caso do REJECT é enviado um pacote de retorno informando que o pacote foi rejeitado. Armando Martins 23

24 Políticas de acesso / DROP e REJECT. DROP e REJECT Se usarmos o DROP, o host A não saberá se o pacote foi ignorado ou o host B não esta acessível. Se usarmos o REJECT, o host A receberá uma mensagem informando que o host B rejeitou sua tentativa de acesso. Armando Martins 24

25 Políticas de acesso / DROP e REJECT. DROP e REJECT Exemplo: # iptables P INPUT DROP # iptables P INPUT REJECT Armando Martins 25

26 Sintaxe iptables e suas opções Sintaxe iptables e suas opções: Pacotes de dados da tabela filter; Criação de regras para liberar, bloquear ou rejeitar os pacotes de dados de trafego normal, sem a utilização de mascaramento (tabela NAT). Sintaxe: iptables -t [tabela] <ordem> <chain> [condições] -j <ação> Tabela: Nesse caso estamos tratando da tabela filter, como já falamos anteriormente, esta tabela é a padrão e não é necessário explicitá-la. Armando Martins 26

27 Sintaxe iptables e suas opções Sintaxe iptables e suas opções: Ordem: -I Insere a regra no início da chain. -A Insere a regra no final da chain. PS: O chain é analisada da primeira regra para a última, isso quer dizer que a analise da regra é feita do inicio da chain para o final, essa análise se segue até encontrar uma regra se enquadre ao pacote. Ao localizar essa regra ele entra e é processado, deixando as regras subsequentes sem serem analisadas. Por isso é importante tratar as regras da mais restritiva para a menos restritiva. Armando Martins 27

28 Sintaxe iptables e suas opções Sintaxe iptables e suas opções: Ordem: Abaixo colocamos 3 regras: Regra coloca a política da chain INPUT como DROP, isso quer dizer que só passa um pacote se ele estiver explicito em uma regra. # iptables -P INPUT DROP A segunda regra libera acesso a porta 22 para a rede /24. # iptables -A INPUT -p tcp -s /24 --dport 22 -j ACCEPT Armando Martins 28

29 Sintaxe iptables e suas opções Ordem: Abaixo colocamos 3 regras: A terceira libera acesso do host a porta 22 do host. # iptables -A INPUT -p tcp -s dport 22 -j ACCEPT No exemplo acima a terceira regra nunca fará match (nenhum pacote irá utilizá-la), pois a segunda regra fará match (regra mais genérica) caso o host de IP tente acessar o host na porta 22. Armando Martins 29

30 Sintaxe iptables e suas opções Chain: Iremos dizer a que chain a regra se refere (INPUT, OUTPUT, FORWARD). Condição (match): -p = protocolo (all, tcp, udp, icmp etc) --sport = porta origem --dport = porta destino -s = IP origem -d = IP destino -i = interface de entrada -o = interface de saída -m = match Armando Martins 30

31 Sintaxe iptables e suas opções Arquitetura para exemplo: Armando Martins 31

32 Sintaxe iptables e suas opções Ação: É onde informamos o que devemos fazer com o pacote, ignorar (DROP), aceitar (ACCEPT) ou rejeitar (REJECT). Alguns exemplos de regras: Bloquear o protocolo icmp (ping): # iptables -A INPUT -p icmp --icmp-type ping -j DROP Só vai liberar o acesso via ssh para o host , avisando que o pacote foi rejeitado para os outros hosts: # iptables -A INPUT -p tcp --dport 22 -s! j REJECT Armando Martins 32

33 Sintaxe iptables e suas opções Ação: Alguns exemplos de regras: PS: O símbolo de "!" significa uma exceção a regra. Nosso anterior exemplo ele esta tratando o host de IP como exceção a regra. Isso quer dizer que o único host que pode acessar o "firewall" é o A regra irá rejeitas qualquer outro host. Só vai liberar o protocolo icmp (ping) para o host Ignorando o ping para qualquer outro host: # iptables -A INPUT -p icmp --icmptype ping -s! j DROP Armando Martins 33

34 Sintaxe iptables e suas opções Ação: Alguns exemplos de regras: Exemplo de liberação do smtp (tcp 25) , impedir que um servidor de interno envie e- mail para fora da empresa. Normalmente isso evita que spammers, que por algum motivo tenham conseguido "acesso" a um de seus servidores, instale um servidor de e o utilize para enviar spam. # iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 25 -j REJECT Essa regra se traduz em: os pacotes tcp que tiverem vierem através da interface eth1 e destino de saída a eth0 porta 25 deverão ser rejeitados. Armando Martins 34

35 Sintaxe iptables e suas opções Trabalhando com duas redes: Armando Martins 35

36 Sintaxe iptables e suas opções Ação: Basta incluir as interfaces referentes a segunda rede: # iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 25 -j REJECT # iptables -A FORWARD -i eth2 -o eth0 -p tcp --dport 25 -j REJECT Armando Martins 36

37 Sintaxe iptables e suas opções Ação: Bloquear acesso através do endereço físico da placa de rede (MAC): # iptables -A FORWARD -m mac --macsource 00:00:AA:BB:11:12 -p tcp --dport 80 -j DROP Armando Martins 37

38 Sintaxe iptables e suas opções Ação: Match (condição) OUTPUT: Armando Martins 38

39 Sintaxe iptables e suas opções Ação: Match (condição) OUTPUT: Não deixa o host acessar a porta 80: # iptables -A OUTPUT -p tcp --dport 80 -j REJECT Libera somente o superuser (root) para fazer testes via icmp (ping): # iptables -A OUTPUT -p icmp --icmptype ping -m owner! --uid-owner root -j REJECT Armando Martins 39

40 Sintaxe iptables e suas opções Ação: Esses foram alguns exemplos do que podemos fazer com o iptables, no que se refere aos pacotes de dados de tráfego normal (sem utilização de mascaramento - NAT). Ainda existem inúmeras formas de filtrarmos os pacotes, contudo são formas mais pontuais, normalmente não utilizaremos nada a mais que essas para esse tipo de filtro. Armando Martins 40

41 NAT - Network Address Translation SNAT - Source NAT (mascaramento de IP) O SNAT é utilizado para que os hosts internos a rede, isto é, endereços IP não válidos na internet, consigam sair para a Internet como se tivessem um endereço válido em sua interface de rede. Armando Martins 41

42 NAT - Network Address Translation SNAT - Source NAT (mascaramento de IP) Em nosso exemplo vamos imaginar que o host de IP queira acessar o site Viva o Linux Quando o pacote chega no host (firewall) é feito o SNAT, isso acontece da seguinte maneira: É criada uma tabela chamada "Connection tracking", onde são gravadas as informações de origem e destino do pacote. Isto possibilita o servidor saber quem enviou e para quem foi enviado o pacote que teve seu endereço IP de origem mascarado. Armando Martins 42

43 NAT - Network Address Translation SNAT - Source NAT (mascaramento de IP) Representação de uma comunicação entre dois hosts, onde o IP de origem esta sendo mascarado. Armando Martins 43

44 NAT - Network Address Translation SNAT - Source NAT (mascaramento de IP) Como é feito o SNAT para que seja possível a comunicação mostrada anteriormente. # iptables -t nat -A POSTROUTING -s /16 -d! /16 -j SNAT --tosource Onde: -s /16 - é a origem. -d! /16 - "não" /16 é o destino. Armando Martins 44

45 NAT - Network Address Translation SNAT - Source NAT (mascaramento de IP) Essa regra de NAT, na realidade SNAT, significa que sempre que a origem for a rede /16 e o destino não for ela mesma, o pacote ira sair para a Internet com o endereço ; isto quer dizer que o host que estiver sendo acessado "pensará" que quem está enviando os pacotes é o IP e não o IP 10.3.x.x. Armando Martins 45

46 NAT - Network Address Translation SNAT - Source NAT (mascaramento de IP) Se estivermos trabalhando com IP dinâmico na Internet, por exemplo Velox ou Virtua, poderemos utilizar o comando abaixo: # iptables -t nat -A POSTROUTING -s /16 -d! /16 -j MASQUERADE PS: O MASQUERADE significa que ele irá mascarar todas as solicitações a rede externa. O IP de saída será aquele que estiver ligado diretamente ao gateway default do host (firewall). Via modem, normalmente utilizamos a interface ppp0: # iptables -t nat -A POSTROUTING -i eth0 -o ppp0 -j MASQUERADE Armando Martins 46

47 NAT - Network Address Translation DNAT (Destination NAT) No caso do DNAT o mascaramento é feito de forma inversa ao SNAT. Ele propicia acessos que tem como origem a Internet e destino um IP interno da sua rede. Exemplo: Imaginemos que um host que tem o IP e quer acessar o servidor web de sua empresa através do IP Esse endereço IP é na realidade um dos IPs válidos de seu firewall, só que fazermos um DNAT dizendo que quando um pacote tiver destino o IP , ele deverá ser encaminhado o IP Armando Martins 47

48 NAT - Network Address Translation DNAT (Destination NAT) Armando Martins 48

49 NAT - Network Address Translation DNAT (Destination NAT) Comando para realização do DNAT visto anteriormente: # iptables -t nat -A PREROUTING -d p tcp --dport 80 -j DNAT --to-destination Armando Martins 49

50 Script básico de firewall Agora mostraremos como criar um script de firewall básico. Antes de tudo vamos ativar o roteamento via kernel da seguinte maneira: # echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf # sysctl -p /etc/sysctl.conf Armando Martins 50

51 Script básico de firewall Pronto, com os comandos anteriores acabamos de habilitar o roteamento via kernel o que possibilita o encaminhamento dos pacotes de dados de uma rede para outra. Muitos administradores habilitam o roteamento diretamente através do script de firewall, contudo eu prefiro fazer isso apenas uma vez. Armando Martins 51

52 Script básico de firewall Script para firewall: # mkdir /etc/firewall # vi /etc/firewall/firewall.sh Armando Martins 52

53 Script básico de firewall #!/bin/sh # Mudando as políticas para ACCEPT iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT # Limpando as regras em memória iptables -F -t filter iptables -F -t mangle iptables -F -t nat iptables -X -t filter iptables -X -t mangle iptables -X -t nat iptables -Z -t filter iptables -Z -t mangle iptables -Z -t nat # Libera conexões já estabilizadas. iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT Armando Martins 53

54 Script básico de firewall #!/bin/sh # Entre com as regras de PREROUTING (DNAT)... # Entre com as regras de POSTROUTING (SNAT)... # Entre com as regras de INPUT... # Entre com as regras de FORWARD... # Entre com as regras de OUTPUT... Armando Martins 54

55 Script básico de firewall Script para firewall: Agora iremos cuidar para que toda vez que o servidor bootar as regras subam de forma automática. 1. Criar um link simbólico do arquivo que acabamos de criar para dentro de /etc/init.d/: # ln -s /etc/init.d/firewall /etc/firewall/firewall.sh 2. Vamos ligar o bit de execução do script: # chmod +x /etc/firewall/firewall.sh Armando Martins 55

56 Script básico de firewall Script para firewall: 3. Incluindo o script para inicialização no boot. Quando a máquina for rebootada o script será carregado: No Debian GNU/Linux: # update-rc.d firewall defaults Uma outra forma é salvar as regras que estão na memória para um arquivo. Em nosso exemplo utilizaremos o arquivo firewall.txt: # iptables-save > firewall.txt Armando Martins 56

57 Script básico de firewall Script para firewall: Restaura as configurações da iptables que se encontram no arquivo firewall.txt: # iptables-restore < firewall.txt Com isso terminamos as explicações básicas de um firewall em GNU/Linux. Armando Martins 57

58 Configurando Firewall FIM Entendendo Firewall Armando Martins 58