Orientador:

Mirla Rocha de Oliveira Ferreira

Bacharel em Engenharia da Computao

Orientadora do Curso de Formao Profissional em

Redes de Computadores - SENAC

Tema do Minicurso:

Firewall IPTABLES

Carga horria 3h

Linux - Reviso

Sistema Operacional operante desde de 1991,criado por Linus Torvalds, na de Helsinki na

Finlndia.

Possui cdigo aberto (open source), liberado comosoftware livre (free software).

Linux - Reviso

Cdigo aberto X software livre:

A diferena est nos objetivos, filosofia e modo de agir,

no nos softwares ou licenas.

O cdigo aberto regido pela organizao

Open Source Initiative (OSI).

O software livre caracterizado pelo

movimento Free Software Foundation (FSF).

Linux - Reviso

Cdigo aberto: Distribuio livre;

Acesso ao cdigo-fonte;

Permisso para criao de trabalhos derivados;

Integridade do autor do cdigo-fonte;

No discriminao contra pessoas ou grupos;

No discriminao contra reas de atuao;

Distribuio da licena;

Licena no especfica a um produto;

Licena no restritiva a outros programas;

Licena neutra em relao tecnologia.

Linux - Reviso

Software livre: liberdade de executar o programa, para qualquer

propsito (liberdade 0);

liberdade de estudar como o programa funciona eadapt-lo s suas necessidades (liberdade 1), sendo o

acesso ao cdigo-fonte um pr-requisito para esta

aspecto;

liberdade de distribuir cpias de forma que voc possaajudar ao seu prximo (liberdade 2);

liberdade de melhorar o programa e liberar os seusaperfeioamentos, de modo que toda a comunidade se

beneficie (liberdade 3). Novamente, aqui o acesso ao

cdigo-fonte um pr-requisito.

Linux - Reviso

Sendo assim, tem-se maior estabilidade,velocidade e novos recursos adicionados ao

sistema.

Linux - Reviso

O LINUX NO VULNERVEL A VRUS!

H maior dificuldade de ao de vrus devido srestries de acesso ao sistema de arquivos e

execuo, onde a separao de privilgios entre

processos rigorosa e as recomendaes do

padro de poltica de segurana so respeitadas.

Arquivos de Log

Encontram-se em /var/log

Registram tudo o que acontecem com o kernel,com os daemons e utilitrios do sistema.

Kernel: o ncleo do sistema operacional. Controla todo o hardwaredo computador. a interface entre os programas e o hardware,

permitindo a execuo dos processos e compartilhamento da

memria.

Daemons: programa que no precisa do controle do usurio pararodar no sistema. Funciona em background, ou seja, em segundo

plano, junto com o sistema. Normalmente, so iniciados no

processo de boot e lidam com requisies diversas, como de rede,

servios e atividades do hardware.

).

Firewall

Programa que aplica uma poltica de seguranaimpedindo a recepo de dados no autorizados

em uma rede/computador.

Atua como uma defesa, controlando o acesso aosistema por meio de regras e a filtragem de dados.

O Iptables o firewall do Linux.

Firewall - Iptables

Regras:

Comandos passados realizar uma determinada ao (como

bloquear ou deixar passar um pacote) de acordo com o

endereo/porta de origem/destino, interface de origem/destino, etc.

So armazenadas dentro dos chains e processadas na ordem que

so inseridas.

Como as regras se perdem a cada vez que o computador for

reiniciado, devem-se ser gravadas em um arquivo para serem

carregadas a cada inicializao.

Um exemplo de regra:

iptables -A INPUT -s 192.168.102.15 -j DROP

Firewall - Iptables

Chains:

Locais onde as regras so armazenadas para operao

do firewall.

Existem dois tipos de chains: os embutidos (como os

chains INPUT, OUTPUT e FORWARD) e os criados pelo

usurio. Os nomes dos chains embutidos devem ser

especificados sempre em maisculas (chain input

completamente diferente de INPUT).

Firewall - Iptables

Tabela:

Locais usados para armazenar os chains e conjunto de

regras com uma determinada caracterstica em comum.

As tabelas podem ser referenciadas com a opo -t

tabela. Para facilitar o funcionamento e a gerncia, o

iptables divide as ACLs em tabelas, cada qual com um

funo especfica.

Existem 3 tabelas disponveis no iptables: filter, nat e

mangle.

Daremos enfoque tabela filter.

Firewall - Iptables

Tabela filter

Tabela padro do Iptables, composto por 3 chains:

INPUT - Consultado para dados que chegam mquina.

OUTPUT - Consultado para dados que saem da mquina.

FORWARD - Consultado para dados que so redirecionados

para outra mquina

Firewall IPTABLES

Introduo

O Iptables um firewall em nvel de pacotes efunciona baseado no endereo/porta de

origem/destino do pacote, prioridade, etc. Nvel de pacotes: muito utilizado em redes pequenas ou de

porte mdio. Por meio de um conjunto de regras estabelecidas,

determina que endereos IPs e dados podem estabelecer

comunicao e/ou transmitir/receber dados. Sendo assim, pode

negar o pacote (DROP) ou deix-lo passar (ACCEPT).

Nvel de aplicao usado em computadores servidores e nopermite comunicao direta entre a rede e a Internet. Analisam o

contedo do pacote para tomar suas decises de filtragem.

Firewall IPTABLES

Introduo

Funciona atravs da comparao de regras para saberse um pacote tem ou no permisso para passar.

Em firewalls mais restritivos, o pacote bloqueado eregistrado para que o administrador do sistema tenha

conhecimento sobre o que est acontecendo em seu

sistema.

Totalmente implementado no kernel do sistemaoperacional, garantindo maior nvel de segurana na

filtragem.

Firewall IPTABLES

Introduo

Pode ser usado para modificar e monitorar otrfego da rede, fazer NAT (masquerading, source

nat, destination nat), redirecionamento de pacotes,

marcao de pacotes, modificar a prioridade de

pacotes que chegam/saem do seu sistema,

contagem de bytes, dividir trfego entre mquinas,

criar protees anti-spoofing, contra syn flood,

DoS, etc.

Firewall IPTABLES

Introduo

IP Masquerading: permite usar o computador como um roteadorpara redes de pequeno porte.

SNAT (Source Network Address Translation): reescreve a fonte e/ ou destino de pacotes IP quando passam por um routeador ou

firewall.

DNAT (Destination Network Address Translation): muda o IP dedestino de um pacote em rota para outro IP. Usada para publicar

um servio a partir de uma rede interna de um IP acessvel ao

pblico.

Firewall IPTABLES

Introduo

O trfego vindo de mquinas desconhecidas darede pode ser bloqueado/registrado atravs do uso

de simples regras.

O iptables garante grande flexibilidade namanipulao das regras de acesso ao sistema,

precisando apenas conhecer quais interfaces o

sistema possui, o que deseja bloquear, o que tem

acesso garantido, quais servios devem estar

acessveis para cada rede.

Firewall IPTABLES

Introduo

Para o bom funcionamento, necessrioconhecimentos bsicos de rede tcp/ip, roteamento

e portas, para criar as regras que faro a

segurana do sistema. A segurana depende do

controle das regras que sero criadas.

importante lembrar que as falhas humanas so

garantia de mais de 95% de sucesso nas invases.

Firewall IPTABLES

O que proteger?

preciso ter conhecimento de quais serviosdevem ter acesso garantido a usurios externos e

quais sero bloqueados a todas/determinadas

mquinas recomendvel bloquear o acesso a

todas portas menores que 1024, por executarem

servios que rodam com privilgio de usurio root,

e autorizar somente o acesso as portas que

realmente deseja.

Firewall IPTABLES

O que proteger?

Servios com autenticao em texto plano epotencialmente inseguros como rlogin, telnet, ftp,

NFS, DNS, LDAP, SMTP RCP, X-Window so

servios que devem ser ter acesso garantido

somente para mquinas/redes que voc confia.

Estes servios podem ser usados para tentativa de

acesso ao seu sistema e tambm como mscara

de ataques a outros sistemas.

Firewall IPTABLES

O que proteger?

A configurao do firewall ajuda a impedir o enviode pacotes mesmo quando um servio estiver mal

configurado. Se, por exemplo, uma mquina

Windows da rede for infectada por um trojan, o

firewall poder estar configurado para bloquear

qualquer tentativa de conexo vinda da internet

(cracker) para as mquinas da rede.

Firewall IPTABLES

O que proteger?

Deve-se saber quais mquinas tero acesso livre equais sero restritas.

Deve-se saber quais servios devero terprioridade no processamento.

Deve-se saber quais mquinas/redes NUNCAdevero ter acesso a certas/todas mquinas.

Firewall IPTABLES

O que proteger?

Deve-se saber o volume de trfego que o servidormanipular. Atravs disso, pode-se balancear o

trfego entre outras mquinas, configurar

protees contra DoS, syn flood, etc.

Deve-se saber o que tem permisso de passar deuma rede para outra (em mquinas que atuam

como roteadores/gateways de uma rede interna).

Etc.

Firewall IPTABLES

Prtica

Para a manipulao das regras armazenadas nas suastabelas, o iptables fornece os