Segurança1 Política de Segurança Uma política de segurança é um conjunto de regras e práticas que regulam como uma organização gerencia, protege e distribui suas informações e recursos. A implementação de uma política de segurança baseia- se na aplicação de regras que limitam o acesso às informações e recursos de uma determinada organização. Essa política define o que é, e o que não é permitido em termos de segurança, durante a operação e acesso de um sistema.

Segurança2 Firewall Em edifícios, as paredes corta-fogo servem para impedir que o fogo se propague de uma parte do edifício para outra. Uma Internet firewall serve a um fim semelhante, isto é, impede que os perigos da Internet se propaguem para a rede local da instituição. Firewall é o nome dado ao dispositivo de rede que tem por função regular o tráfego de rede entre redes distintas, impedir a transmissão de dados nocivos ou não autorizados de uma rede a outra. Devem inspecionar o tráfego de acordo com a política de segurança estabelecida.

Segurança3 Firewall - 2 Na prática um firewall é mais parecida com o fosso e a ponte levadiça de um castelo medieval, servindo vários fins: a)obriga a que todas as entradas se efetuem via um ponto cuidadosamente controlado e monitorado; b)impede os atacantes de se aproximarem das defesas internas; c)obriga a que todas as saídas se efetuem via um ponto cuidadosamente controlado e monitorado.

Segurança4 Firewall Um firewall consistindo de dois filtros de pacotes e um gateway de aplicação

Segurança5 Iptables Ferramenta do Linux para realização de filtragem de pacotes e NAT. Permite criar, manter e inspecionar regras de filtragem de pacotes IP. Uma regra de firewall especifica critérios para o pacote e o que fazer com ele: – Se o pacote não casa com a regra, a próxima regra da cadeia será inspecionada; –Se o pacote casa com a regra, verificar o que fazer com o pacote (target). Os targets que usaremos: ACCEPT, DROP.

Segurança6 Iptables Quando um pacote chega o firewall verifica se há alguma regra que se aplica a ele. Caso não haja, é aplicada a política defaut. Constituído por 3 cadeias chains: –INPUT – Pacote entrando na máquina de firewall. –OUTPUT – Pacote saindo da máquina de firewall. –FORWARD – Pacote que entram em uma interface do firewall e saem por outra. É altamente recomendado que a política default seja DROP, ou seja, tudo o que não for expressamente permitido será silenciosamente descartado.

Segurança7 Iptables - chains Formato do comando: iptables - Alguns comandos úteis: -L [chain] lista as regras de uma chain -F [chain] apaga todas as regras de um chain -Z [chain] limpa todos os contadores de bytes e pacotes de uma chain Para manipular regras de chains -A chain rulespecacrescenta uma regra a uma chain -I chain [rulenum] insere regra numa posição da chain -R chain rulenum troca posição de regra na chain -D chain apaga regra de uma chain

Segurança8 Iptables - Passos Definir variáveis; Iniciar chains; Definir políticas default; Aplicar regras contra spoofings; Aplicar regras contra flags; Aplicar regras de conexões estabelecidas; Adicionar regras desejadas.

Segurança9 Iptables - Variáveis Exemplo de variáveis interessantes: MY_IP= xxx.xxx.xxx.xxx #IP externo do firewall LOOPBACK=" /8 #End. da interface de loopback EXTERNAL_INT= eth0 #interf. do frw ligada à Internet CLASS_A=" /8" #class A private network CLASS_B=" /12" #class B private network CLASS_C=" /16" #class C private network INTERNAL_NET= xxx.xxx.xxx.xxx/xx

Segurança10 Iptables – Iniciar chains #Flush any existing rules from all chains iptables -F #Delete all chains (user-defined, not default) iptables -X #Reset the packet and byte counters associated with all chains iptables -Z

Segurança11 Iptables – Políticas default #Set up the default policy # -P chain target: define a política objetivo para determinada chain iptables -P OUTPUT ACCEPT iptables -P INPUT DROP iptables -P FORWARD DROP #Allowing unlimited traffic on the loopback interface # -j target: o que fazer se a regra casar; -i interface: a interface na qual o pacote foi recebido -o interface: a interface na qual o pacote será enviado iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT

Segurança12 Iptables – Regras #liberar acesso ssh vindo da Intranet iptables –A INPUT –s $INTERNAL_NET –p tcp –dport ssh – j ACCEPT ou iptables –A INPUT –i $INTERNAL_INT –p tcp –dport ssh –j ACCEPT #Allows already stablished connections # -m : casa se há módulo com este nome # --state : casa se há esta opção no módulo – permite rastrear estado da conexão. iptables –A INPUT –m state --state ESTABLISHED,RELATED –j ACCEPT