Firewall IPTables e Exemplo de Implementação no Ambiente Corporativo.

Transcrição

1 Firewall IPTables e Exemplo de Implementação no Ambiente Corporativo. Guilherme de C. Ferrarezi 1, Igor Rafael F. Del Grossi 1, Késsia Rita Marchi 1 1Universidade Paranaense (UNIPAR) Paranavaí PR Brasil [email protected] [email protected] [email protected] Resumo. Neste artigo serão abordadas as principais características que envolvem segurança da informação no que diz respeito ao contexto de redes de computadores, tendo o conceito de firewall de rede como temática principal. O presente artigo aborda a construção de um firewall IPTables, a configuração deste toma por base um cenário de rede fictício, embora fictício, o cenário proposto mostra situações que ocorrem em redes reais. Dessa forma através da configuração do firewall a partir do cenário proposto, o leitor poderá entender as principais funcionalidades do firewall IPTables, e assim adquirir conhecimento para fazer uma configuração IPTables de acordo com suas necessidades. 1. Introdução Para grande maioria das pessoas a aplicabilidade das redes de computadores no dia a dia gera uma imensa facilidade, tendo em vista a possibilidade de executar tarefas do cotidiano de forma muito mais ágil, no entanto, essa extrema conectividade pode gerar sérios problemas de segurança, tanto no ambiente doméstico quanto no corporativo, por este motivo quando falamos principalmente de ambientes corporativos, constata-se a necessidade de medidas que garantam a segurança da rede de computadores da empresa em questão. O presente artigo científico visa realizar explanações teóricas e práticas acerca do filtro de pacotes IPTables [NETO;2004], adotando-o dessa forma como solução para o aumento da segurança de uma rede de computadores, tal filtro de pacotes foi escolhido como tema para este artigo devido ao fato de estar presente de forma nativa em praticamente todas as distribuições Linux [WELSH;1997]. As explanações práticas sobre IPTables serão feitas da seguinte forma: será elaborado um cenário de rede e através deste cenário mostraremos a aplicabilidade do filtro de pacotes IPTables, tendo em vista a indisponibilidade de máquinas físicas será feito uso de máquinas virtuais através da implementação do software VMWare [VMWARE;2011]. É importante ressaltar que o cenário elaborado será baseado no layout de redes de computadores de empresas reais, buscando mostrar a real aplicabilidade do filtro IPTables, visando dessa forma garantir real utilidade deste artigo para os leitores interessados.

2 2. IPTables: Conceito É muito comum o IPTables ser confundido com um firewall por si só, no entanto, ele é apenas uma ferramenta para manipulação das tabelas do Netfilter [NETO;2004], portanto quem realmente faz o trabalho de Firewall é o Netfilter, este software nada mais é do que um conjunto de situações de fluxo de dados agregadas ao Kernel [KERNEL;2011] do Linux. O IPTables é responsável pela edição de regras de controle de dados, estas por sua vez são implementadas sobre as tabelas de controle do Netfilter, tabela filter, forward e mangle, cada uma dessas tabelas tem funções específicas que serão explanadas em momento oportuno, através da combinação das formas de controle de cada uma dessas tabelas podemos implementar inúmeras regras de filtragem, visando garantir a segurança da rede de computadores na qual o firewall está vinculado IPTables: tabela filter A tabela Filter é a principal tabela do Netfilter, esta por sua vez trata de situações de filtragem de pacotes de dados, são as seguintes situações: INPUT: refere-se a dados que entram na máquina Firewall, ou seja, conexões de entrada [NETO;2004]; FORWARD: refere-se a dados que chegam ao host Firewall e que devem ser destinados a outro host [NETO;2004]; OUTPUT: refere-se a dados que saem da máquina Firewall e são enviados a outro host [NETO;2004]; 2.2. IPTables: tabela nat Esta tabela implementa funções de NAT (Network Address Translation) [TANENBAUM;2003], ou seja, redirecionamento de pacotes e alteração de pacotes, a tabela NAT implementa as seguintes situações: PREROUTING: tal situação é utilizada quando existe a necessidade de se fazer alterações em pacotes de dados antes que os mesmos sejam roteados [NETO;2004]; OUTPUT: tal situação refere-se a pacotes que são originariamente emitidos pelo Firewall [NETO;2004]; POSTROUTING: tal situação é utilizada quando existe a necessidade de se fazer alterações em pacotes de dados após o tratamento de roteamento [NETO;2004]; 2.3. IPTables: tabela mangle Faz implementação de alterações especiais em pacotes de dados, podendo alterar a prioridade de um pacote de dados baseado no tipo de serviço, por exemplo, podemos dar maior prioridade a pacotes HTTP (Hypertext Transfer Protocol) [TANENBAUM;2003] do que a pacotes ICMP (Internet Control Message Protocol) [TANENBAUM;2003], as situações possíveis nessa tabela são: PREROUTING: faz a modificação de pacotes dando-lhes tratamento especial antes que sejam roteados [NETO;2004]; OUTPUT: faz a modificação de pacotes de forma especial, esses são pacotes gerados localmente e essa modificação obviamente é feita antes do roteamento dos mesmos [NETO;2004];

3 3. Estudo de Caso Visando explanar as situações mais comuns ocorridas no dia a dia da manipulação do IPTables, será montado um cenário de rede através do uso de máquinas virtuais, tais máquinas serão criados a partir do software VMWare Workstation, o cenário montado será o seguinte: Figura 01: Diagrama do Cenário de Rede Adotado Os detalhes do estudo de caso são os seguintes: A Rede 01 funciona sobre o IP (Internet Protocol) [TANENBAUM;2003] de rede /24 e se comunica com o firewall através de um Switch [TANENBAUM;2003] ao qual o firewall está ligado através da interface denominada eth2, a Rede 01 apenas poderá se conectar a Internet, não podendo de forma alguma acessar o servidor de backup através do protocolo SSH (Secure Shell) [TANENBAUM;2003]; A Rede 02 funciona sobre o IP de rede /16 e se comunica com o firewall através de um Switch ao qual o firewall está ligado através da interface denominada eth1, a Rede 02 apenas poderá se conectar ao servidor de backup, através do protocolo SSH, não podendo de maneira alguma ter acesso a Internet; O firewall possuí 04 (quatro) interfaces de rede que se intercomunicam, a interface eth0 serve para ligar tal host ao modem ADSL que por sua vez é ligado a Internet, tal interface opera sobre o endereço IP /8 e o modem sobre o endereço IP /8, a interface eth1 opera sobre o endereço IP /16 e faz a comunicação do firewall com a Rede 02, a interface eth2 opera sobre o endereço IP /24 e faz a comunicação do firewall com a Rede 01, por fim a interface eth3 faz a comunicação do firewall com o servidor de backup, tal interface opera sobre o IP /8, enquanto o servidor de backup opera sobre a interface eth0 com o endereço de IP /8, é importante ressaltar que o servidor de backup aceita conexões SSH;

4 4. Aplicação IPTables Conforme Estudo de Caso Neste capítulo será mostrada a configuração necessária para que o IPTables faça com que as redes trabalhem da forma explanada no capítulo Configuração do iptables A figura a seguir mostra quais são as linhas de comando necessárias para que o firewall IPTables trabalhe da maneira proposta pelo capítulo 3: Figura 02: Linhas de Comando IPTables A seguir serão dadas explicações acerca das linhas de comando que foram mostradas pela figura 02: A Linha 01 faz com que o firewall descarte (DROP) todos os pacotes de dados que sejam de entrada (INPUT); A Linha 02 faz com que o firewall descarte (DROP) todos os pacotes de dados que sejam de saída (OUTPUT); A Linha 03 faz com que o firewall descarte (DROP) todos os pacotes de dados que passem por ele com outro destino (FORWARD); A Linha 04 faz com que exista o compartilhamento da Internet com a rede local; A Linha 05 faz com que dados que passem pelo firewall, que tenham como origem a rede /24, que estejam orientados sobre o protocolo TCP (Transmission Control Protocol) [TANENBAUM;2003] e que tenham como destino a porta 80 (HTTP) sejam aceitos (ACCEPT); A Linha 06 faz com que dados que passem pelo firewall, que tenham como destino a rede /24, que estejam orientados sobre o protocolo TCP e que tenham como origem a porta 80 (HTTP) sejam aceitos (ACCEPT); A Linha 07 faz com que pacotes que passem pelo firewall que estejam orientados sobre o protocolo UDP (User Datagram Protocol)

5 [TANENBAUM;2003] e que tenha como destino a porta 53 (DNS Domain Name Server) [TANENBAUM;2003] sejam aceitos (ACCEPT); A Linha 08 faz com que pacotes que passem pelo firewall que estejam orientados sobre o protocolo UDP e que tenha como origem a porta 53 (DNS) sejam aceitos (ACCEPT); A Linha 09 faz com que dados que passem pelo firewall, que tenham como origem a rede /16, que estejam orientados sobre o protocolo TCP e que tenham como destino a porta 22 (SSH) sejam aceitos (ACCEPT); A Linha 10 faz com que dados que passem pelo firewall, que tenham como destino a rede /16, que estejam orientados sobre o protocolo TCP e que tenham como origem a porta 22 (SSH) sejam aceitos (ACCEPT); Através das configurações citadas anteriormente conseguimos garantir que a rede /24 consiga apenas acessar a Internet não conseguindo de maneira alguma acessar o servidor de backup por SSH enquanto a rede /16 não consegue acessar a Internet de maneira alguma, restando apenas o acesso ao servidor de backup. 5. Metodologia A metodologia utilizada envolveu o uso de máquinas virtuais interconectadas, fazendo com que dessa forma fosse possível à realização de testes de rede, da mesma maneira como se estivessem sendo utilizadas máquinas e equipamentos reais. 6. Conclusão Através das explanações feitas neste artigo, o leitor poderá fazer inúmeras configurações no firewall IPTables, podendo dessa forma moldar as configurações de acordo com o cenário de rede ao qual o mesmo está vinculado, é importante ressaltar que existem diversas ferramentas que podem ser agregadas a ferramenta básica do IPTables. Tendo em vista as vulnerabilidades que são geradas por conta do uso da Internet, torna-se cada vez mais necessário o uso de sistemas de segurança, isso mesmo quando falamos em redes de pequeno porte, sistemas estes que visam a proteção da informação e a restrição com relação ao uso da Internet e da rede local de dados, é exatamente nesse contexto que o firewall IPTables se enquadra. Referências NETO, Urubatan, [2004] Linux Firewall IPTables, Editora Ciência Moderna, Rio de Janeiro; TANENBAUM, [2003] Andrew S., Redes de Computadores, Editora Elsevier, Rio de Janeiro; WELSH, Matt, [1997] Dominando Linux, Editora Ciência Moderna, São Paulo; VMWARE, [2011] VMWare Workstation, Julho; KERNEL, [2011] Kernel Linux, Julho;