Scribd Logo
Hochladen

Willkommen bei Scribd!

  • Apostila Firewall Parte1 PDF

    Hochgeladen von

    LeandroVillela
    41 Ansichten5 Seiten

    Originaltitel

    apostila_firewall_parte1.pdf

    Copyright

    © © All Rights Reserved

    Verfügbare Formate

    PDF, TXT oder online auf Scribd lesen

    Stufen Sie dieses Dokument als nützlich ein?

    Sind diese Inhalte unangemessen?

    Dieses Dokument melden

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    41 Ansichten5 Seiten

    Apostila Firewall Parte1 PDF

    Hochgeladen von

    LeandroVillela

    Copyright:

    © All Rights Reserved
    Als PDF, TXT herunterladen oder online auf Scribd lesen
    Markieren Sie unangemessene Inhalte
    von 5

    Linux Network Servers

    Firewall
    Nos tempos atuais tem se falado muito em segurana, pois a internet se tornou um
    ambiente perigoso. Todos nossos servidores que esto expostos para a internet necessitam de
    uma proteo para que no exponha os servios que esto ali rodando e muito menos
    informaes importantes sobre a empresa. A configurao de um firewall depende diretamente
    da disponibilidade de servios de rede e roteamento.
    Criar um estrutura de configurao para um firewall nem sempre uma tarefa simples. Se
    voc ainda no tem um conhecimento bsico slido em Redes necessrio estudar mais para
    que no ocorra maiores dificuldades na implementao do mesmo. Para configurar um
    firewall, necessrio o conhecimento sobre a estrutura da rede em questo e dos diferentes
    protocolos envolvidos na comunicao, isto , dos servios que a rede usa para que eles no
    percam a comunicao.
    O objetivo em ter uma mquina fazendo o papel de Firewall Gateway em nossa rede
    minimizar as tentativas de ataques que nossas redes recebem, tentando impedir possveis
    invases e levantamento de informaes. Os sistemas GNU/Linux com Kernel srie 2.4 e 2.6
    trabalham com o Iptables para fazer o gerenciamente de regras de Firewall. Lembrando que o
    Iptables apenas um Front-End que gerencia o suporte Netfilter no Kernel. Um firewall faz o
    filtro de pacotes que passam na rede.
    Caractersticas do iptables:

    Filtro de pacotes statefull: isso significa que o iptables capaz de atuar sobre as
    camadas do protocolo TCP;
    Modularidade: a configurao do kernel modular e com o netfilter no
    diferente, pois novas funcionalidades podem ser adicionadas em muito esforo. Um
    mdulo s ser usado se for da necessidade do administrador;
    O Iptables possui as seguintes tabelas, sendo elas: filter, nat, mangle. A tabela
    filter a tabela padro do Iptables. Cada uma dessas tabelas possui o que
    chamamos de CHAINS. As CHAINS so onde vo ser definidos as regras para o
    nosso firewall.

    A tabela filter serve para atribuir permisses de acessos essenciais (permitir/negar). A


    tabela NAT, que significa Network Address Translation, um recurso que permite compartilhar
    acessos de Internet ou redirecionar conexes. J a table mangle utilizada para modificar uma
    propriedade de um pacote e seu uso avanado, como por exemplo influenciar na deciso de
    roteamento ou controle de banda.

    Linux Network Servers


    As CHAINS da tabela filter so as seguintes:
    INPUT

    Regras de entrada de pacotes.

    OUTPUT

    Regras de sada de pacotes.

    FORWARD

    Regras de passagem de pacotes pelo firewall.

    As CHAINS da tabela nat so as seguintes:


    PREROUTING

    Regras que sero processadas antes do roteamento dos pacotes nas


    interfaces do firewall.

    POSTROUTING

    Regras que sero precessadas ps roteamento dos pacotes nas interfaces


    do firewall.

    OUTPUT

    Regras de sada de pacotes.

    Fluxo de verificaes em que um pacote submetido


    Quando um pacote chega ao firewall, a primeira chain verificada a PREROUTING.
    exatamente nesse momento que algumas decises de roteamento podem acontecer, exemplo:
    um redirecionamento de conexo ou de porta. Dependendo do destino, o pacote pode ser
    verificado na chain INPUT ou FORWARD. A chain INPUT usada quando o destino o prprio
    firewall, seno usada a chain FORWARD que um encaminhamento (roteamento). Se a
    chain INPUT executada, o prximo passo que chain OUTPUT seja processada, pois a que
    vai a resposta. A chain POSTROUTING a ltima a ser processada, que o momento antes de
    o pacote ser entregue ao destino.
    Importante: A chain PREROUTING a primeira a ser analisada e a POSTROUTING a ltima.
    No possivel utilizar as chains PREROUTING e POSTROUTING na tabela filter. Na tabela nat
    o redirecionamento de conexes feita na chain PREROUTING e para compartilhar acesso
    usa-se a chain POSTROUTING.

    Linux Network Servers


    Compreendendo as polticas BSICAS e o conceito das EXCEES
    A metodologia utilizada para implementao do firewall ser a seguinte:
    Iremos negar todo o trfego para as CHAINS de INPUT, OUTPUT e FORWARD da
    tabela filter, posteriormente iremos definir a relao dos servios que devem ser liberados no
    firewall, a estes, iremos chamar de excees. Todo o trfego de pacotes que as nossas
    excees no cobrir sero bloqueado por padro. Em suma, o que no for oficialmente
    permitido j est expressamente negado.

    Linux Network Servers


    Sintaxe do comando iptables:
    # iptables [-t tabela] [opo] [chain] [dados] -j [alvo]
    Parmetros para o iptables Descrio do parmetro
    -P

    --policy

    Estabelece a poltica de acesso de uma chain

    -t

    --table

    Seleciona tabela

    -A

    --append

    Adiciona como ltima regra da sequncia de uma chain

    -I

    --insert

    Insere como primeira regra da sequncia de uma chain

    -N

    --new-chain

    Cria uma nova chain

    -D

    --delete

    Remove uma regra

    -X

    --delete-chain

    Elimina todas as regras presentes em chains de usurio

    -F

    --flush

    Elimina todas as regras presentes em uma chain padro


    (INPUT, FORWARD etc) ou tabela (para todas as chains)

    -s

    --source

    Determina a origem do pacote

    -d

    --destination

    Determina o destino do pacote

    --dport

    --destination-port

    Define a porta de destino

    --sport

    --source-port

    Define a porta de origem

    -i

    --in-interface

    Define a interface de entrada (input), exemplos: eth0, eth1,


    ppp0 etc.

    -o

    --out-interface

    Define a interface de sada (output)

    -p

    --protocol
    Alvos:

    Seleciona protocolo (tcp, udp, icmp etc)

    Alvo (target)

    Descrio do alvo

    ACCEPT

    O pacote aceito

    REJECT

    O pacote rejeitado imediatamente

    DROP

    O pacote negado silenciosamente (mais interessante, pois


    diminui a eficincia de um ataque DOS/DDOS, isto , o host
    de origem fica sem resposta at cair por tempo esgotado.

    Linux Network Servers


    Exemplos:
    Verifique como esto configuradas as polticas bsicas que esto definidas por padro:
    # iptables -n -L
    Modifique as polticas bsicas para DROP ALL:
    # iptables -P INPUT DROP
    # iptables -P OUTPUT DROP
    # iptables -P FORWARD DROP
    Verifique se a nova poltica foi assumida:
    # iptables -n -L
    Agora que percebemos que temos um firewall ativo, devemos pensar nas demais
    polticas, uma vez que, por mais seguro que seja um firewall, cuja poltica base seja negar
    tudo, no um firewall prtico, pois precisamos realizar comunicaes. Dessa forma,
    precisamos definir polticas de excees para o Firewall.
    Realize o teste usando o comando ping na sua interface loopback:
    # ping 127.0.0.1
    O teste anterior nos permitiu verificar que devemos definir uma poltica de exceo para
    a interface loopback. Criaremos uma poltica que possibilite isso:
    # iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT
    # iptables -A INPUT -d 127.0.0.1 -j ACCEPT
    Liste as polticas ativas:
    # iptables -n -L
    Liste as polticas ativas:
    # iptables -n -L
    Vejamos se agora conseguimos fazer um ping na intreface de loopback:
    # ping 127.0.0.1

    Das könnte Ihnen auch gefallen