Firewall – Introdução ao Netfilter

Slides:

Advertisements

Apresentações semelhantes

Disciplina deTópicos em Engenharia de Computação

Advertisements

3. Mapeamento de Endereço Físico em endereço de rede

Microsoft® ISA Server 2006 Recursos Avançados

Administração de Sistemas (ASIST)

Firewall Campus Cachoeiro Curso Técnico em Informática

Professor: João Paulo de Brito Gonçalves Curso Técnico de Informática

Proxy SQUID Campus Cachoeiro Curso Técnico em Informática

Profa. Ana Cristina Benso da Silva Disciplina: Redes de Computadores

Roteamento Parte #1 Profa. Ana Cristina Benso da Silva Disciplina: Redes de Computadores.

Mecanismo de Proteção (Prevenção e Detecção)

Segurança de Perímetro

1 Segurança em Redes Elmar Melcher Universidade Federal de Campina Grande

Formação de Administradores de Redes Linux LPI – level 1

Segurança em Ambientes de Redes e Internet

Modelo de Segurança para Ambientes Cooperativos

O Uso de Firewalls na Segurança de Redes

BLOQUEANDO comunicação entre clientes de uma rede local

Utilitários de Redes Prof. Andréa Chicri Torga Adaptações

Netfilter/Iptables Cenário 2.

Prof. João Bosco M. Sobral

Sistemas de Detecção de Intrusão

Firewall – Segurança nas redes

PRÁTICA Endereçamento Privado NAT

Endereçamento Privado Proxy e NAT

Linux como um roteador doméstico

Redes Aula 7 Professor: Marcelo Maia.

SMB - Server Message Block.

Gerencia de Redes Redes de Computadores II

Curso: Segurança da Informação

Redes de Comunicação – Módulo 3

FIREWALL Prof. Celso Cardoso Neto.

1.4 – Sistemas de Detecção de Intrusão Conceitos; Arquitetura; Técnicas; Classificações;

Introdução a IPTables Resumo da apresentação efectuada na aula de ASI2

Visão Geral de Equipamentos de Rede

Segurança e Auditoria de Sistemas

Elite TI Enhanced ISP Services with Mikrotik RouterOS.

Exercícios IPsec e LDAP

Iptables Netfilter ≠ Iptables Diferenciação »NETFILTER [módulo do kernel] »IPTABLES [ferramenta usuário]

ACL Nomes: ANDERSON HIGA RGM: Matéria: Estratégias e Topologias de Segurança Lógica Professor Luciano Gonçalves de Carvalho.

Firewalls usando Linux. 1 IPChainsIPChains Sucessor do ipfwadmSucessor do ipfwadm Presente no Linux a partir do kernel Presente no Linux a partir.

Administração de Redes Firewall de Rede

2008, Edgard Jamhour Endereçamento Privado Proxy e NAT.

STUN – Simple Traversal of UDP Through NATs

Firewall INPUT FORWARD Internet.

Netfilter/Iptables Introdução e Cenário 1.

Capítulo 11 DoS - Denial of Service DDoS - Distributed Denial of Service DRDoS - Distributed Reflection Denial of Service.

Execícios de Revisão Redes de Computadores Edgard Jamhour

DHCP Dynamic Host Configutation Protocol Charles Felipe Oliveira Viegas Douglas Xavier T. de Oliveira.

Prof. João Bosco M. Sobral

Ana Claudia Dutra Claudia Calegari Sandra Maia Thábita Sepulvida.

Firewalls NAT Proxy Gerencia de Redes Redes de Computadores II *Créditos: baseado no material do Prof. Dr. João Bosco M. Sobral – UFSC e também do Prof.

Gerencia de Redes Redes de Computadores II

Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 1 Firewall e Proxy.

Segurança Perimetral - Firewall

Escola de Ciência e Tecnologia Curso: Bacharelado SI Disciplina: Segurança em Redes 1 IPTABLES Teórico e Prático.

Segurança de Rede Prof. Sales Filho Segurança da Informação.

Segurança de Rede Prof. Sales Filho Infra-estrutura de chaves públicas.

Segurança de Rede Prof. Sales Filho VPN. 2 Objetivos Apresentar o IPSec Uso do IPSec para criação de VPN´s Realizar a configuração de VPN utilizando roteadores.

Redes de Computadores Endereçamento IP Básico Prof. Sales Filho.

Segurança da Informação

Curso Superior em Redes de Computadores Roteamento IP ACL – Access Control List Prof. Sales Filho.

Segurança de Rede Prof. Sales Filho Pretty Good Privace - PGP.

Curso Superior em Redes de Computadores Camada de Aplicação Prof. Sales Filho.

Prof. Eduardo Maroñas Monks

Redes de computadores II

Firewall no Mikrotik 4Tik.com.br.

Campus - Cachoeiro Curso Técnico de Informática Firewall Iptables Professor: João Paulo de Brito Gonçalves.

Transcrição da apresentação:

Firewall – Introdução ao Netfilter Segurança de Rede Firewall – Introdução ao Netfilter (iptables) Prof. Sales Filho <salesfilho@cefetrn.br>

Objetivos Apresentar um firewall de filtro de pacotes NetFilter Iptables Estrutura Modelo de funcionamento Tratamento de filtro stateful Exercício prático Montagem de firewall básico Montagem de firewall intermediário

Introdução Os kernels Linux têm tido filtros de pacotes desde a série 1.1 Ipfw (Migrado do BSD) Linux 2.0 Ipfwadm Linux 2.2 Ipchains Linux 2.4 iptables 1ª Geração 2ª Geração 3ª Geração 4ª Geração

iptables O iptables, assim como a maioria (ou todos) dos filtros de pacotes, baseia-se em ACL´s (Access Control List), que servem para representar a política de segurança desejada As ACL´s do iptables possuem várias peculiaridades, porque vários elementos sofisticados são utilizados para formar uma regra dentro do contexto da política desejada O iptables utiliza os conceitos de Cadeias (chains) Tabelas (Tables) Regras (rules)

iptables Cadeias (Chains) Regras (Rules) Tabelas Podem ser classificadas como estruturas para comportar regras (rules) Regras (Rules) São as regras aplicadas/configuradas nas cadeias Tabelas Selecionam os níveis/tipos de atuação das regras Chain 1 Rule 1 Rule 2 Rule 3 Table 1 Table 2

iptables Cadeias padrão (Chains) PREROUTING INPUT FORWARD OUTPUT Tráfego ingressante na máquina (incluindo tráfego gerado localmente com destino local)‏ INPUT Tráfego que tem como destino a própria máquina FORWARD Tráfego passante pela máquina OUTPUT Tráfego gerado localmente (tanto com destino local como remoto)‏ POSTROUTING Todo tráfego que "sai" da máquina (incluindo tráfego gerado localmente com destino local)‏

iptables

iptables Criação de cadeias (user-chain) iptables –N <OP> -N Create a new chain -X Delete an EMPTY chain -P Change the Policy for a built-in chain -L Lists the chain rules -F Flushes the rules of a chain -Z Sets the counters to zero on all the rules in a chain iptables –N allow iptables –L allow

iptables Tabelas padrão Raw Filter Nat Mangle onde são feitas algumas alterações em mais baixo nível nos pacotes Filter nesta tabela cabem as regras responsáveis pela filtragem de pacotes Nat mudanças nos cabeçalhos dos pacotes (incluindo NAT e IP Masquerade)‏ Mangle usada para alterações específicas nos pacotes

iptables Tabela filter

iptables Tabela nat Mascaramento (masquerading) SNAT Redirecionamento de portas (port forwarding ou PAT) Redirecionamento de servidores (forwarding) As chains PREROUTING e OUTPUT fazem DNAT. O redirecionamento de porta O redirecionamento de servidor

iptables Tabela nat

iptables Tabela nat Mascaramento 1º Cliente solicita 2º Servidor responde SNAT: alterar o endereço de origem do pacote (Somente a chain POSTROUTING) Mascaramento é um exemplo de SNAT

iptables Criação de cadeias (user-chain) iptables –N <OP> -N Create a new chain -X Delete an EMPTY chain -P Change the Policy for a built-in chain -L Lists the chain rules -F Flushes the rules of a chain -Z Sets the counters to zero on all the rules in a chain iptables –N allow iptables –L allow

iptables Target (Alvo) São os destinos dados ao pacote quando o pacote coincide com a regra Target padrão ACCEPT DROP REJECT LOG Target personalizada Implementado com chains personalizadas

iptables Rules (regras) Implementam, na prática, as ACL´s Opções iptables -t TABLE -A CADEIA REGRAS -j ALVO Opções -j Specify the target (--jump) -i Specify the input interface (--in-interface) -o Specify the output interface (--out-interface) -p Specify the protocol (--proto) -s Specify the source (--source) -d Specify the destination (--destination) ! Specifies an inversion (match addresses NOT equal to)

iptables Exemplos de configuração Bloqueando a entrada para a porta 80 iptables -A INPUT --dport 80 -j DROP Liberando o acesso a internet iptables -t nat -A POSTROUTING –o eth0 -j MASQUERADE Redirecionando a porta 666 para a porta 80 iptables -t nat -A PREROUTING -s 10.0.0.0/8 -p tcp --dport 666 -j REDIRECT --to-port 80

iptables Ordem de aplicação das regras São avaliadas na ordem em que são inseridas, seqüencialmente Após avaliadas todas as regras, sem ocorrência de ‘match’, a política padrão será aplicada

iptables -P INPUT DROP iptables -A INPUT -s 10.0.0.1 -j DROP iptables -A INPUT -s 10.0.0.2 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 172.20.0.0/16 -j ACCEPT

iptables -P INPUT DROP iptables -A INPUT -s 10.0.0.1 -j DROP iptables -A INPUT -s 10.0.0.2 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 172.20.0.0/16 -j ACCEPT

iptables Stateful filtering (TCP) Estados reconhecidos pelo iptables New ESTABLISHED RELATED CLOSE

iptables Stateful filtering (TCP) Estados reconhecidos pelo iptables State New / ESTABLISHED

iptables Stateful filtering (TCP) Estados reconhecidos pelo iptables ESTABLISHED / CLOSED

iptables Stateful filtering (TCP/UDP) Estados reconhecidos pelo iptables NEW/ RELATED

iptables Stateful filtering (TCP/UDP) Exemplos de configuração iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Bibliografias [Stallings 2008] Stallings, William. Criptografia e segurança de redes, 4. Ed. São Paulo: Pearson Prentice Hall, 2008. [Minasi 2003] Minasi, Mark et al. Dominando o Windows Server 2003 - a bíblia. Pearson, 2003. [ESR] Segurança de Redes e Sistemas http://www.eriberto.pro.br/iptables/