Segurança com Iptables



Documentos relacionados

Obs: Endereços de Rede. Firewall em Linux Kernel 2.4 em diante. Obs: Padrões em Intranet. Instalando Interface de Rede.

Oficina de ferramentas de Gerência para Redes em Linux

Firewall Iptables. Professor: João Paulo de Brito Gonçalves. Campus - Cachoeiro Curso Técnico de Informática

Prof. Samuel Henrique Bucke Brito

Uso do iptables como ferramenta de firewall.

Iptables. Adailton Saraiva Sérgio Nery Simões

Segurança de Redes de Computadores

Firewalls, um pouco sobre...

comando parâmetro alternativo parâmetro REGRA função iptables -t tabela -N --new chain cria uma nova chain. iptables -t tabela -E --rename-chain

Segurança de Redes. Firewall. Filipe Raulino

Tipos de Firewalls. porta de origem/destino, endereço de origem/destino, estado da conexão, e outros parâmetros do pacote.

Curso de extensão em Administração de sistemas GNU/Linux: redes e serviços

Instalação e Configuração Iptables ( Firewall)

Elaboração de Script de Firewall de Fácil administração

IPTABLES. Helder Nunes

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Aula 08. Firewall. Prof. Roitier Campos Gonçalves

Firewalls em Linux. Tutorial Básico. André Luiz Rodrigues Ferreira

Firewall. Tutorial Firewall em Linux Acadêmicos: Felipe Zottis e Cleber Pivetta

Projeto e Instalação de Servidores Servidores Linux Aula 6 Firewall e Proxy

Segurança em Sistemas de Informação

PROJETO DE IMPLEMENTAÇÃO DE UM SERVIDOR FIREWALL LIVRE UTILIZANDO IPTABLES

Firewall - IPTABLES. Conceitos e Prática. Tópicos em Sistemas de Computação Prof. Dr. Adriano Mauro Cansian adriano@acmesecurity.

Firewall Iptables - Impasses

Compartilhamento da internet, firewall

Professor Claudio Silva

III WTR do POP-BA III Workshop de Tecnologias de Redes Ponto de Presença da RNP na Bahia Instrutor: Ibirisol Fontes Monitor: Jundaí Abdon.

Capítulo 4 TCP/IP FIREWALLS.

Segurança de redes com Linux. Everson Scherrer Borges Willen Borges de Deus

ADMINISTRAÇÃO DE REDES I LINUX. Firewall. Frederico Madeira LPIC 1, CCNA fred@madeira.eng.br

Orientador de Curso: Rodrigo Caetano Filgueira

Entendendo como funciona o NAT

Firewall. Professor: João Paulo de Brito Gonçalves Disciplina: Serviços de Redes. Campus Cachoeiro Curso Técnico em Informática

O que é uma firewall? É um router entre uma rede privada e uma rede pública que filtra o tráfego com base num conjunto de regras.

Linux Network Servers

01 - Entendendo um Firewall. Prof. Armando Martins de Souza armandomartins.souza@gmail.com

Autor: Armando Martins de Souza <armandomartins.souza at gmail.com> Data: 12/04/2010

Senha Admin. Nessa tela, você poderá trocar a senha do administrador para obter acesso ao NSControl. Inicialização

Curso Firewall. Sobre o Curso de Firewall. Conteúdo do Curso

Configurando Interface de Rede. IPTABLES Firewall em Linux Kernel 2.4 em diante. Regras do Iptables. Iptables. Regras do Iptables. Comandos Principais

FireWall no Linux FIREWALL COM IPTABLES. by João Eriberto Mota Filho

FIREWALL COM IPTABLES. by João Eriberto Mota Filho 3. TABELAS. Tabela Filter ESQUEMA DA TABELA FILTER

Trabalho 3 Firewalls

Gestão de Sistemas e Redes

Introdução a Firewalls no Linux (Netfilter/Iptables)

Segurança da Informação

Administração de Sistemas Operacionais

Características de Firewalls

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

Firewall. Alunos: Hélio Cândido Andersson Sales

Netfilter e Iptables

Firewall IPTables e Exemplo de Implementação no Ambiente Corporativo.

Administração de Redes Firewall IPTables

FIREWALL PROTEÇÃO EFICIENTE

BRUNO PEREIRA PONTES

Execícios de Revisão Redes de Computadores Edgard Jamhour. Proxy, NAT Filtros de Pacotes

Arquitetura de Rede de Computadores

I Workshop do POP MG. Firewall IPTABLES. Fernando Resende Coelho mg.rnp.br

Hackers. Seus dados podem ser inúteis, mas seu computador em si pode ainda ser um recurso valioso.

Componentes de um sistema de firewall - I

Redes de Computadores

Pós Graduação Tecnologia da Informação UNESP Firewall

Tema do Minicurso: Firewall IPTABLES. Carga horária 3h

APLICAÇÃO REDE APLICAÇÃO APRESENTAÇÃO SESSÃO TRANSPORTE REDE LINK DE DADOS FÍSICA 1/5 PROTOCOLOS DE REDE

TuxFrw 3.0 MSPF Modular Stateful Packet Filter

Controlando o tráfego de saída no firewall Netdeep

NAT com firewall - simples, rápido e funcional

DarkStat para BrazilFW

EN-3611 Segurança de Redes Aula 07 Firewalls Prof. João Henrique Kleinschmidt

Execícios de Revisão Redes de Computadores Edgard Jamhour. Filtros de Pacotes Criptografia SSL

Firewalls. Firewalls

Guia de Conectividade Worldspan Go Res! A V A N Ç A D O

Firewalls. Prática de Laboratório. Maxwell Anderson INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DA PARAÍBA

Palestra sobre Segurança de Redes - Windows NT

Firewalls. A defesa básica e essencial. SO Linux Prof. Michel Moron Munhoz AES 1

Redes de Computadores

3 SERVIÇOS IP. 3.1 Serviços IP e alguns aspectos de segurança

Segurança em Sistemas de Informação Tecnologias associadas a Firewall

IPTABLES. Universidade Federal de Minas Gerais Departamento de Ciência da Computação Laboratório de Software Livre. 4 de fevereiro de 2010

FTIN Formação Técnica em Informática Módulo de Administração de Servidores de Rede AULA 02. Prof. Gabriel Silva

Comunicando através da rede

Projeto e Instalação de Servidores IPv6. Prof.: Roberto Franciscatto

Firewall. Qual a utilidade em instalar um firewall pessoal?

Comandos Linux Comando tcpdump, guia de referência e introdução. Sobre este documento

Sistema Operacional Unidade 12 Comandos de Rede e Acesso Remoto

(In)segurança Utilizando Software Livre. Maycon Maia Vitali

Usando o Nmap. A instalação do Nmap é bem simples. Após obter o código fonte execute os comandos abaixo: tar xjvpf nmap-3.48.tar.bz2 cd nmap-3.

Modelos de Camadas. Professor Leonardo Larback

Segurança na Rede Local Redes de Computadores

Acesso Remoto Placas de captura

Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho

Ataques e Intrusões. Invasões Trashing e Engenharia Social. Classificação de Hackers

FIREWALL. Prof. Fabio de Jesus Souza. Professor Fabio Souza

O Protocolo IP (2) Prof. José Gonçalves Pereira Filho Departamento de Informática

Transcrição:

Universidade Federal de Lavras Departamento de Ciência da Computação Segurança com Iptables Alunos : Felipe Gutierrez e Ronan de Brito Mendes Lavras MG 11/2008

Sumário 1 - Introdução...1 2 Softwares de Firewall para Linux...1 3 Regras do Firewall...1 4 - Comandos Principais do IPtables... 2 5 - Parâmetros... 3 6 - Extensões... 3 7 Exemplos de Firewall... 5 8 Configurando o Firewall contra ataque... 5

1 1 - Introdução Nos sabemos que nos dias de hoje é essencial o firewall, em servidores corporativos como servidores de web, e-mail e gateways, devido a demanda de hackers e lammers. Mas sabemos que assim mesmo não basta montar um firewall e por em mente que nunca vai ser invadido, lembra-se de que é primordial verificar Bugs e falhas de sistema. Tenha em mente além de configurar um sistema de firewall, também administratar por Logs e IDS, e que tenha administrar os logs para verificar possíveis erros e de uma forma fácil e ágil, e IDS para verificar a Detecção de Intrusos. Quando falamos em sistemas operacional linux como firewall você encontra ferramentas capazes e eficazes para efetuar esta função. E o melhor de tudo como que o Linux é free, você pode adquirir qualquer distribuição Linux, pedindo em sites por exemplo, e instalar em seu pc sem nenhum problema. Recomendamos a distribuição Ubuntu, por ser de fácil instalação e fácil manuseio. 2 Softwares de Firewall para o Linux Conheça os Firewalls conforme a versão do kernel : Ipfwadm - O IP Firewall Administration, ou simplesmente ipfwadmin foi a ferramenta padrão para construção de regras de firewall, para o Kernel anterior à versão 2.2.0. Dizem que o Ipfwadm era extremamente complexo. Ipchains - O ipchains foi a solução, ou melhor, a atualização, feita para o kernel 2.2 do ipfwadm. A idéia do ipchains foi ter o poder do ipfwadm, mas com uma simplicidade e facilidade no que diz respeito à criação de regras. Além de prover sua facilidades, é criar uma compatibilidade com o ipfwadm através do utilitário ipfwadm-wrapper. Iptables e o Netfilter - A nova geração de ferramentas de firewall para o Kernel 2.4 do Linux. Além de possuir as facilidade do ipchains, e implementar a facilidade do NAT e filtragem de pacotes mais flexíveis que o IPchains. Para saber mais informações do Iptables acessem http://www.netfilter.org/. 3 Regras do Firewall Na configuração do Firewall com o iptables, é preciso saber quais são as regras a serem utilizadas para rodar o Firewall.

2 Regras do Firewall : INPUT : È utilizada quando o destino final é a própria máquina firewall. OUTPUT : Qualquer pacote gerado pela máquina firewall e que deva sair para a rede será tratado pela regra OUTPUT. FORWARD : Qualquer pacote que atravessa o firewall, de uma máquina e direcionado à outra, será tratado pela chain FORWARD. Basicamente o IPTABLES tem as seguintes políticas: DROP : Nega pacote e não manda um pacote de volta para o emitente. ACCEPT : Aceita o pacote REJECT : Nega pacote e manda um pacote de volta do tipo host-unreachable (Host Inalcançável) 4 - Comandos Principais do IPtables -A : Este comando acrescenta uma regra às existentes no sistema, ou seja, permite atualizar regras já existentes na estrutura do firewall. -I : Este comando insere uma nova regra dentro das existentes no firewall. -D : Este comando exclui uma regra específica no firewall. -P : Este comando define a regra padrão do firewall. -L : Este comando lista as regras existentes no firewall. -F : Este comando ZERA todas as regras criadas no Firewall (o chamado flush). -h : Este comando mostrará o help, ajuda de comando. -R : Este comando substitui um regra no firewall. -C : Este comando basicamente checa as regras. -Z : Este comando zera uma regra específica. -N : Este comando cria uma nova regra com um nome. -X : Este comando exclui uma regra específica por seu nome.

3 5 Parâmetros Os parâmetros padrão do iptables são os seguintes: -p! (protocolo): define qual o protocolo TCP/IP deverá ser tratado. São eles: TCP, UDP e ICMP -s! (origem)/ -d! (destino): Define qual o endereço de origem (-S) e de destino (-D) que a regra atuará. Este comando possui dois argumentos: endereço/máscara e porta. -i! (interface): define o nome da interface de rede onde trafegará os pacotes de entrada e saída do firewall. Muito utilizado em mascaramento e técnicas de NAT. Exemplo: -W eth1. -j! (ir para): Serve para redirecionar uma ação desde que as regras sejam similares. -f! (fragmento): Trata datagrama fragmentados. 6 - Extensões Novidade do iptables que facilita as regras. sport[!] [port:port] -dport[!] [port:port] : Normalmente estas extensões são utilizadas com o comando -m do iptables. Trata-se de um direcionamento de porta(s) origem (-sport), para porta(s) destino (-dport). Pode-se inclusive definir um número padrão de portas para o acesso (port:port). Este comando pode ser utilizado tanto para portas TCP ou UDP. mac-source[!] endereço : especifica qual a placa de rede, através de seu endereço MAC, que irá transmitir pacotes através do firewall, limitado pela política do mesmo.

4 icmp-type[1] tipo : especifica quais os tipos de pacotes ICMP pode passar ou não pelo firewall, São eles: Mensagem Tipo Código Echo-request 8 0 Echo-reply 3 0 Source-quench 4 0 Time-exceed 11 0 Destination-unreachable 3 0 Network-unreachable 3 0 Host-unreachable 3 1 Protocol-unreachable 3 2 Port-unreachable 3 3 Com isto podemos bloquear alguns ataques do tipo ping flood, bloquear ping e etc [!] -- syn : especifica o uso dos bits ACK e FIN em requisições SYN TCP. Especificamente, a opção `-m state' aceita uma opção adicional `--state', que é uma lista de estados de ativação separados por vírgula. (a flag '!' não indica a ativação desses estados). Esses estados são: - NEW : um pacote que cria uma nova conexão. - ESTABLISHED : um pacote que pertence a uma conexão existente (isto é, um pacote de resposta). - RELATED : um pacote que está relacionado com (mas não faz parte de) uma conexão existente, como um ICMP error, ou (com o módulo FTP inserido),um pacote que é estabelecido por uma conexão de dados ftp. INVALID : Um pacote que não poderia ser identificado por alguma razão: isto inclui execução fora da memória e erros de ICMP que não correspondam a nenhuma conexão existente. Geralmente estes pacotes devem ser barrados (drop).

5 7 Exemplo do Firewall # iptables -A INPUT -p icmp -j DROP Esta regra nega todos os pacotes ICMP vindos do servidor, em que se encontra o firewall. # iptables -D INPUT -p icmp -j DROP Esta regra exclui a regra criar acima. # iptables -A INPUT -s 192.168.1.0/24 -j DROP Esta regra acima faz com que todos os pacotes vindo de qualquer endereço da classe de ip 192.168.1.1 á 192.168.1.255 nega os pacotes. # iptables -A OUTPUT -p icmp -d! 192.168.1.0/24 -j ACCEPT Esta regra acima faz com que todos os pacotes vindo de qualquer endereço da classe de ip 192.168.1.1 á 192.168.1.255 aceita os pacotes. #echo 1 > /proc/sys/net/ipv4/ip_forward Habilitando o recurso de IP forwarding 8 Configurando o Firewall contra ataque Proteção contra Syn-floods # iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT Port scanners ocultos # iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT Ping da morte # iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT Proteção Contra IP Spoofing # iptables -A INPUT -s 10.0.0.0/8 -i Interface da NET -j DROP # iptables -A INPUT -s 172.16.0.0/16 -i Interface da NET -j DROP # iptables -A INPUT -s 192.168.0.0/24 -i Interface da NET -j DROP <u>obs.: Interface da NET pode ser ppp0, ethx e etc.</u> Log a portas proibidas e alguns backdoors Porta FTP

6 # iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "Serviço: FTP" Porta Wincrash # iptables -A INPUT -p tcp --dport 5042 -j LOG --log-prefix "Serviço: Wincrash" Portas BackOrifice # iptables -A INPUT -p tcp --dport 12345 -j LOG --log-prefix "Serviço: BackOrifice" # iptables -A INPUT -p tcp --dport 123456 -j LOG --log-prefix "Serviço: BackOrifice"

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback