Tutorial Firewall

download Tutorial Firewall

of 32

  • date post

    07-Jul-2015
  • Category

    Documents

  • view

    106
  • download

    1

Embed Size (px)

Transcript of Tutorial Firewall

R e l a t r i o d o Tr a b a l h o Final de Integrao de Redes e Servios

A 1 LINHA DE DEFESA

por

ANDR ONOFRE LIMAN 28838 IRS 09/10 ISEL

HTTP://PWP.NET.IPL.PT/ALUNOS.ISEL/28838/

ndiceIntroduo Instalao do Gentoo Incio da instalao Congurando opes de compilao (kernel e outras aplicaes) O novo ambiente de execuo Instalando o Kernel DNS (bind) Ficheiros de Congurao Testes efectuados Quagga Arquitectura do Sistema Cenrio de Testes Congurao do sistema Teste nal Avaliao Final Firewall Iptables O percurso de um pacote atravs do Iptables Mquina de Estados - Connection Tracking Cenrio 1 - Firewall base Single Packet Authorization - SPA Proteco contra Port Scans Cenrio 2 - Controlo Parental Cenrio 3 - Balanceamento de Carga Cenrio 4 - Falta de conana Desempenho da Firewall Concluso Bibliograa Anexo A - DNS Anexo B - iptables 1 2 2 3 3 4 5 5 6 7 7 7 8 9 11 12 13 14 15 17 17 18 18 19 19 20 21 22 27

IntroduoEste trabalho tem como base comum a todos os grupos a instalao e congurao de um sistema Gentoo; a implementao de um servidor DNS utilizando o Bind9; e a implementao de um router que separe uma rede interna (10.62.74.176/28) da rede externa (10.62.75.0/24), comunicando a existncia da rede interna atravs de OSPF, utilizando o Quagga. O desenvolvimento destes sistemas desta forma, tem a vantagem de serem bastante ecientes devido reduzida quantidade de aplicaes, estritamente necessrias, para o cumprimento das funes do servidor/router, facto esse que traz tambm outras vantagens como maior segurana e menor complexidade. Em seguida, implementada a parte do trabalho especca a cada grupo, neste caso: implementao de uma rewall utilizando o Iptables. O objectivo o de realar algumas regras essenciais preveno de ataques muito conhecidos, e tambm o de demonstrar aplicaes prticas de vrios mdulos do prprio Iptables, em forma de cenrios comuns no dia a dia de administradores de redes e sistemas.

1/30

Command (m for help): p Disk /dev/sda: 30.0 GB, 30005821440 bytes 240 heads, 63 sectors/track, 3876 cylinders Units = cylinders of 15120 * 512 = 7741440 bytes Device Boot /dev/sda1 Start 1 End 14 Blocks 105808+ Id 83 System Linux

Instalao do Gentoo

We need to make this partition bootable. Type a to toggle the bootable ag on a partition and select 1. If you press p again, you will notice Athat an * is placed in the "Boot" column. na mquina virtual, arrancando a mquina a partir da imagem do cheiro instalao do sistema foi feita

install-x86-minimal-20091020.iso. Este CD detecta o hardware contido na mquina, carrega os drivers necesCreating the Swap Partition srios, e fornece ao utilizador um ambiente Gentoo para que se proceda com a congurao da placa de rede Let's now create the swap partition. To do this, type n to create a new partition, then p to tell fdisk that you want a primary partition. Then com uma ligaosecond primarynecessria para fazer download do kernel,for the rstque se procedaWhen prompted for type 2 to create the internet, partition, /dev/sda2 in our case. When prompted e para cylinder, hit enter. com o particiothe last cylinder, type +512M to conguraes necessrias ao you've done this, sistema operativo. namento do disco e outrascreate a partition 512MB in size. After alojamento dotype t to set the partition type, 2 to select the A instalao do Gentoo divide-se em trs fases, conhecidas por stages. Na stage1 tem-se te fazer bootstrap ao sistema,Listing 3.8: Partition listing compilador swap partition Code ou seja, compilar o after creating a gcc, a biblioteca de C e mais alguns programas essenciais. Na stage2 o que se faz for help): p um emerge system para instalar os programas necessrios para se ter um sistema Command (m basicamente base funcional. No caso deste projecto, foi escolhido a instalao stage3, ou seja, os stages 1 e 2 j implemenDisk /dev/sda: 30.0 GB, 30005821440 bytes tados (no CD63 sectors/track, 3876 cylinders 240 heads, install-x86-minimal-20091020.iso) e o que se vai explicar em seguida consiste na stage3.Units = cylinders of 15120 * 512 = 7741440 bytes

partition you just created and then type in 82 to set the partition type to "Linux Swap". After completing these steps, typing p should display a partition table that looks similar to this:

Incio da instalao Device Boot Start

End

Blocks

Id

System

/dev/sda1 * 1 14 105808+ 83 Linux Aps constatar que a 15 rede j se encontrava congurada (#/sbin/ifcong eth0), procedeu-se partio do /dev/sda2 81 506520 82 Linux swap disco /dev/sda que alojar o sistema. Este block device constitui uma interface que abstrai o administrador e as aplicaes Rootespecicidades do disco, nomeadamente se so SCSI, IDE, ou outro tipo. Parties so diCreating the das Partition vises lgicas do disco e existem trs tipos: primrio, estendido e lgico. As parties primrias tm a sua Finally, let's create the root partition. To do this, type n to create a new partition, then p to tell fdisk that you want a primary partition. Then informao armazenada nopartition, /dev/sda3 in our case. When prompted for the rst cylinder, hit enter. When prompteds potype 3 to create the third primary Master Boot Record (MBR), e como este tem tamanho reduzido (512 bytes), for the last ser denidos quatro parties primrias. rest of the remaining space on your parties primrias especiais, na dem cylinder, hit enter to create a partition that takes up theAs parties estendidas so disk. After completing these steps, typing p should display a medida em que,partition a necessidade de se this: dada table that looks similar to terem mais do que quatro parties, estas permitem a criao de mais parties dentro delas, after creating the root partition sendo essas ltimas conhecidas por parties lgicas, cujos dados no so manCode Listing 3.9: Partition listing tidos no MBR. help): p Command (m for Disk /dev/sda: 30.0 GB, 30005821440 bytes Com base no que at ento foi explicado, criaram-se as seguintes parties (/sbin/fdisk /dev/sda): 240 heads, 63 sectors/track, 3876 cylinders Units = cylinders of 15120 * 512 = 7741440 bytes Device Boot /dev/sda1 * /dev/sda2 /dev/sda3 Start 1 15 82 End 14 81 3876 Blocks 105808+ 506520 28690200

Id 83 82 83

System Linux Linux swap Linux

A partio sda1 tem 32MB e a partio de boot, ou seja, onde se armazena o kernel utilizado pelo sistema To save the partition layout and exit das primeiras aplicaes a serem executadas no arranque do computador. operativo e o boot loader, quefdisk, type w. Neste caso, mais especicamente, o BIOS tenta encontrar o boot sector do primeiro dispositivo de arranque, Code Listing 3.10: Save and exit fdisk ou seja, o disco utilizado. Isto signica que o BIOS executar o boot loader que se situa no MBR, boot loader Command (m for help): w esse que d ao utilizador a opo do sistema operativo a arrancar. Para esta instalao optou-se, de entre os boot loaders LILO e GRUB, peloyou can continue withpara essa escolha remete-nos s vrias vantagens que o GRUB GRUB. A razo Creating Filesystems. Now that your partitions are created, tem sobre o LILO. A primeira, e provavelmente a de maior importncia, consiste no facto do GRUB permitir 4.d. Creating Filesystems que se aceda a uma linha de comandos e se carregue outro kernel que no apenas os especicados no seu cheiro de congurao. Isto particularmente til quando se altera a congurao do LILO para carregar um Introduction kernel novo e esquece-se de manter a velha congurao. Se o novo kernel rebentar, -se obrigado a reiniciar a Now do CD/DVD/disquete. Outra vantagem do GRUB you don't care about what lesystem to choose and nica partirthat your partitions are created, it is time to place a lesystem on them.aIf de esta apenas ter de ser instalada uma are happy with what we use as default in this handbook, continue with Applying a Filesystem to a Partition. Otherwise read on to learn about vez, available lesystems... em caso de necessidade apenas o respectivo cheiro de congurao. O LILO obrithe tendo-se que alterar ga a que a cada alterao na congurao, se tenha de voltar a instalar o boot loader no MBR visto ser l que Filesystems se armazena a informao relativa s suas conguraes. Alesystems on Linux systems. e a partio de swap que serve como memria virtual quando a RAM se esgota. partio sda2 tem 512MB Finalmente, a and true Linux lesystem but doesn't have metadataresto do disco means that atribudo lesystem checks at ext2 is the tried partio sda3, cujo tamanho ocupou o journaling, which de 8GB routine ext2 mquina virtual, startup time can be quite time-consuming. There is now quite a selection of newer-generation onde ser montado (mount) a raiz do sistema de cheiros utilizado (root). journaled lesystems that can be checked Em seguida, foram formatadas as parties sda1 (mke2fs /dev/sda2) e sda3 (mke2fs -j /dev/sda3) com os sistemas de cheiros ext2 e ext3 respectivamente. Apesar do ext3 j ser um sistema de cheiros bastante tes15 of 72 tado e consequentemente convel, visto que o sda1 tem apenas 32MB, optou-se por utilizar o ext2 para no 8:35 PM 10/19/09 desperdiar o espao necessrio ao armazenamento da metadata referente ao journaling.The Linux kernel supports various lesystems. We'll explain ext2, ext3, ReiserFS, XFS and JFS as these are the most commonly used

Saving the Partition Layout

2/30

A seguir, foram montadas as parties sda3 e sda1 para posteriormente se criar toda a estrutura do sistema de cheiros. Essa estrutura ser criada com a ajuda dos dois seguintes cheiros: stage3-i686.tar.bz2 e portage-latest.tar.bz2 obtidos no site http://www.gentoo.org/main/en/mirrors.xml com o comando links. O stage3 tarball contm a estrutura bsica do sistema de cheiros usado no Gentoo Linux. Essa estrutura a necessria para prosseguir com a instalao do sistema. Quanto ao portage, este consiste numa aplicao de gesto de software, tida para muitos como o melhor gestor de software para ambientes Linux,