A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Formação de Administradores de Redes Linux LPI – level 1 SENAC TI Fernando Costa.

Apresentações semelhantes


Apresentação em tema: "Formação de Administradores de Redes Linux LPI – level 1 SENAC TI Fernando Costa."— Transcrição da apresentação:

1 Formação de Administradores de Redes Linux LPI – level 1 SENAC TI Fernando Costa

2 Firewall proteger a máquina de acesso/tráfego indesejado Software cujo objetivo é proteger a máquina de acesso/tráfego indesejado, proteger serviços, evitar que dados sigilosos sejam acessados...

3 Firewall Iptables: - Firewall em nível de pacotes - Baseado em porta e endereços de origem/destino, prioridade, etc - Comparação de regras - Modifica e monitora tráfego de rede - Redirecionamento de pacotes - Criação de proteção contra anti-spoofing, syn flood, DoS,etc

4 IPTables - Características # Especificação de portas/endereço de origem/destino # Suporte a protocolos TCP/UDP/ICMP (incluindo tipos de mensagens icmp) # Suporte a interfaces de origem/destino de pacotes # Manipula serviços de proxy na rede # Tratamento de tráfego dividido em chains (para melhor controle do tráfego que entra/sai da máquina e tráfego redirecionado. # Permite um número ilimitado de regras por chain # Muito rápido, estável e seguro

5 IPTables - Características # Possui mecanismos internos para rejeitar automaticamente pacotes duvidosos ou mal formados. # Suporte a módulos externos para expansão das funcionalidades padrões oferecidas pelo código de firewall # Contagem de pacotes que atravessaram uma interface/regra # Limitação de passagem de pacotes/conferência de regra (muito útil para criar proteções contra, syn flood, ping flood, DoS, etc)

6 # Suporte completo a roteamento de pacotes, tratadas em uma área diferente de tráfegos padrões. # Suporte a especificação de tipo de serviço para priorizar o tráfego de determinados tipos de pacotes. # Permite especificar exceções para as regras ou parte das regras # Suporte a detecção de fragmentos IPTables - Características

7 Firewall - Quais serviços proteger? - Quais tipos de conexão permitir? - Máquinas com acesso irrestrito - Serviços com prioridade do processamento - Volume de tráfego - O que poderá trafegar entre redes -...

8 Firewall Iptables Regras Chains Tabelas

9 IPTables - Regras - São como comandos passados ao iptables para que ele realize uma determinada ação. - As regras são armazenadas dentro dos chains e processadas na ordem que são inseridas. - As regras são armazenadas no kernel

10 IPTables - Chains - São locais onde as regras do firewall definidas pelo usuário são armazenadas para operação do firewall - Embutidas e as definidas pelo usuário INPUT OUTPUT FORWARD PREROUTING POSTROUTING

11 IPTables - Tabelas - São os locais usados para armazenar os chains e conjunto de regras com uma determinada característica em comum filter nat mangle

12 IPTables - filter - INPUT - OUTPUT - FORWARD - nat - PREROUTING Consultado quando os pacotes precisam ser modificados logo que chegam (DNAT) - POSTROUTING Consultado quando os pacotes precisam ser modificados após o tratamento de roteamento (SNAT) - OUTPUT Consultado quando os pacotes gerados localmente precisam ser modificados antes de serem roteados

13 - mangle - INPUT Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chain INPUT da tabela filter. - OUTPUT Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chain OUTPUT da tabela nat. - FORWARD Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chain FORWARD da tabela filter. - PREROUTING Consultado quando os pacotes precisam ser modificados antes de ser enviados para o chain PREROUTING da tabela nat. - POSTROUTING Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chain POSTROUTING da tabela nat. IPTables

14 Adicionando regras: # ping localhost # iptables -t filter -A INPUT -d j DROP # ping localhost # iptables -t filter -I INPUT 1 -s X -d j ACCEPT IPTables

15 Removendo, refinando e listando a regra: # iptables -t filter -D INPUT -d j DROP # iptables -t filter -A INPUT -d p tcp -j DROP # iptables -t -L [opcoes] Opções: -v --line-numbers -n IPTables

16 Especificando um endereço de origem/destino # iptables -A INPUT -s /24 -j DROP # iptables -A OUTPUT -d j DROP # iptables -A INPUT -s -d j DROP IPTables

17 Especificando a interface de origem/destino # iptables -A INPUT -s i ppp0 -j DROP # iptables -A INPUT -s i ppp+ -j DROP # iptables -A OUTPUT -o ppp+ -j DROP # iptables -A FORWARD -i ppp0 -o eth1 -j DROP IPTables

18 Especificando um protocolo # iptables -A INPUT -s p udp -j DROP Especificando portas de origem/destino # iptables -A OUTPUT -d p tcp -- dport :1023 -j DROP IPTables

19 Tabela NAT (Network Address Translation) A tabela nat serve para controlar a tradução dos endereços que atravessam o código de roteamento da máquina IPTables

20 IP masquerading # iptables -t nat -A POSTROUTING -s /24 -j MASQUERADE # echo "1" >/proc/sys/net/ipv4/ip_forward IPTables

21 Fazendo SNAT Consiste em modificar o endereço de origem das máquinas clientes antes dos pacotes serem enviados. A máquina roteadora é inteligente o bastante para lembrar dos pacotes modificados e reescrever os endereços assim que obter a resposta da máquina de destino, direcionando os pacotes ao destino correto Toda operação de SNAT é feita no chain POSTROUTING. IPTables

22 Firewall # iptables -t nat -A POSTROUTING -s o eth1 -j SNAT --to

23 Fazendo DNAT iptables -t nat -A PREROUTING -s i eth0 -j DNAT --to Redirecionamento de portas iptables -t nat -A PREROUTING -i eth0 -p tcp -- dport 80 -j REDIRECT --to-port 81 IPTables

24 Caminho percorrido pelos pacotes nas tabelas e chains Nos exemplos foi assumida a seguinte configuração: - A máquina do firewall com iptables possui o endereço IP e conecta a rede interna ligada via interface eth0 a internet via a interface ppp0. - Rede interna com a faixa de endereços conectada ao firewall via interface eth0 - Interface ppp0 fazendo conexão com a Internet com o endereço IP A conexão das máquinas da rede interna (eth0) com a rede externa (ppp0) é feita via Masquerading. IPTables

25 Ping de para Conexão FTP de para Conexão FTP de para Conexão FTP de para a máquina ftp.debian.org.br ftp.debian.org.br Ping de para Conexão FTP de para Conexão FTP de para ftp.debian.org.br IPTables

26

27 Firewall Em duplas, fazer IP Masquerading sendo: Máquina A alterar o IP local (eth0) para algum da rede /24 Máquina B criar uma interface virtual eth0:0 com IP da rede /24 Máquina B definir uma rota para da rede /24 sendo o gateway o IP setado para eth0 Adicionar a rota default da máquina A o endereço IP da rede /24 da máquina B Testar conectividade (ping externos, requisições http, traceroute)

28 Firewall Ainda em duplas: Máquina A deve bloquear o acesso ao SSH (porta 22) vindo da Máquina B Máquina B deve bloquear ping para ela vindo da rede /24

29 Monitoramento Por que monitorar? O que monitorar? Como monitorar?

30 Software de monitoramento MRTG O mais antigo sistema de monitoramento de redes que gera páginas HTML com gráficos de dados coletados a partir de SNMP ou scripts externos.

31 Software de monitoramento RRDtool Evolução do MRTG, utilizado pela maioria das ferramentas de monitoramento de rede. Os dados são armazenados num banco de dados com o conceito de round-robin para que as medições fiquem constantes ao longo do tempo.

32 Software de monitoramento Nagios Robusto e base para outras ferramentas de gerenciamento / monitoramento, com ele é possível fazer o gerenciamento de toda a rede inclusive com alertas via SNMP trap, SMS, .

33 Software de monitoramento Cacti Desenvolvido para ser flexível de modo a se adaptar facilmente a diversas necessidades, bem como ser robusto e fácil de usar. Trata-se de uma interface e uma infra-estrutura para o RRDTool, que é responsável por armazenar os dados recolhidos e por gerar os gráficos.

34 Software de monitoramento Zabbix Ferramenta une o que de melhor do Nagios e do Cacti juntamente com uma excelente ferramenta web de configuração e manutenção. Possui muitos recursos para facilitar o gerenciamento centralizado dos ativos.

35 Software de monitoramento Munin Feito em Perl, produz gráficos sobre variados temas como monitoramento de CPU, carga dos discos, queries do MySQL, uso de memória, rede etc. Extremamente útil para administrar diversos servidores ao mesmo tempo.

36 Software de monitoramento Zenoss Excelente ferramenta para monitorar/gerenciar a rede baseado no Nagios, com ele é possível também fazer um inventário da rede e possui excelentes gráficos da infraestrutura. Utiliza o Google maps para mostrar graficamente a distribuição das redes.

37 Software de monitoramento NAV Avançada ferramenta para monitorar grandes redes. Ele automaticamente descobre a topologia de rede, monitora carga de banda, servidores e outros equipamentos de rede enviando alertas via SMS, .

38 Cacti Cacti - é uma interface gráfica web feita em PHP para a ferramenta RRDTool, que coleta dados via SNMP, armazena informações sobre os gráficos de estatísticas, contas de usuários e demais configurações em uma base de dados MySQL. Ports: cd /usr/ports/net/cacti && make install clean

39 Cacti - Interface

40 Cacti – Gerenciando Dispositivos

41 Cacti – Consulta por período

42 Cacti – Funções Monitoradas

43 Fernando Costa


Carregar ppt "Formação de Administradores de Redes Linux LPI – level 1 SENAC TI Fernando Costa."

Apresentações semelhantes


Anúncios Google