A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Firewall – Introdução ao Netfilter

PublicouThereza Camelo Stachinski Alterado mais de 8 anos atrás

Apresentações semelhantes

Apresentação em tema: "Firewall – Introdução ao Netfilter"— Transcrição da apresentação:

1 Firewall – Introdução ao Netfilter
Segurança de Rede Firewall – Introdução ao Netfilter (iptables) Prof. Sales Filho

2 Objetivos Apresentar um firewall de filtro de pacotes
NetFilter Iptables Estrutura Modelo de funcionamento Tratamento de filtro stateful Exercício prático Montagem de firewall básico Montagem de firewall intermediário

3 Introdução Os kernels Linux têm tido filtros de pacotes desde a série 1.1 Ipfw (Migrado do BSD) Linux 2.0 Ipfwadm Linux 2.2 Ipchains Linux 2.4 iptables 1ª Geração 2ª Geração 3ª Geração 4ª Geração

4 iptables O iptables, assim como a maioria (ou todos) dos filtros de pacotes, baseia-se em ACL´s (Access Control List), que servem para representar a política de segurança desejada As ACL´s do iptables possuem várias peculiaridades, porque vários elementos sofisticados são utilizados para formar uma regra dentro do contexto da política desejada O iptables utiliza os conceitos de Cadeias (chains) Tabelas (Tables) Regras (rules)

5 iptables Cadeias (Chains) Regras (Rules) Tabelas
Podem ser classificadas como estruturas para comportar regras (rules) Regras (Rules) São as regras aplicadas/configuradas nas cadeias Tabelas Selecionam os níveis/tipos de atuação das regras Chain 1 Rule 1 Rule 2 Rule 3 Table 1 Table 2

6 iptables Cadeias padrão (Chains) PREROUTING INPUT FORWARD OUTPUT
Tráfego ingressante na máquina (incluindo tráfego gerado localmente com destino local)‏ INPUT Tráfego que tem como destino a própria máquina FORWARD Tráfego passante pela máquina OUTPUT Tráfego gerado localmente (tanto com destino local como remoto)‏ POSTROUTING Todo tráfego que "sai" da máquina (incluindo tráfego gerado localmente com destino local)‏

7 iptables

8 iptables Criação de cadeias (user-chain) iptables –N <OP>
-N Create a new chain -X Delete an EMPTY chain -P Change the Policy for a built-in chain -L Lists the chain rules -F Flushes the rules of a chain -Z Sets the counters to zero on all the rules in a chain iptables –N allow iptables –L allow

9 iptables Tabelas padrão Raw Filter Nat Mangle
onde são feitas algumas alterações em mais baixo nível nos pacotes Filter nesta tabela cabem as regras responsáveis pela filtragem de pacotes Nat mudanças nos cabeçalhos dos pacotes (incluindo NAT e IP Masquerade)‏ Mangle usada para alterações específicas nos pacotes

10 iptables Tabela filter

11 iptables Tabela nat Mascaramento (masquerading) SNAT
Redirecionamento de portas (port forwarding ou PAT) Redirecionamento de servidores (forwarding) As chains PREROUTING e OUTPUT fazem DNAT. O redirecionamento de porta O redirecionamento de servidor

12 iptables Tabela nat

13 iptables Tabela nat Mascaramento 1º Cliente solicita
2º Servidor responde SNAT: alterar o endereço de origem do pacote (Somente a chain POSTROUTING) Mascaramento é um exemplo de SNAT

14 iptables Criação de cadeias (user-chain) iptables –N <OP>
-N Create a new chain -X Delete an EMPTY chain -P Change the Policy for a built-in chain -L Lists the chain rules -F Flushes the rules of a chain -Z Sets the counters to zero on all the rules in a chain iptables –N allow iptables –L allow

15 iptables Target (Alvo)
São os destinos dados ao pacote quando o pacote coincide com a regra Target padrão ACCEPT DROP REJECT LOG Target personalizada Implementado com chains personalizadas

16 iptables Rules (regras) Implementam, na prática, as ACL´s Opções
iptables -t TABLE -A CADEIA REGRAS -j ALVO Opções -j Specify the target (--jump) -i Specify the input interface (--in-interface) -o Specify the output interface (--out-interface) -p Specify the protocol (--proto) -s Specify the source (--source) -d Specify the destination (--destination) ! Specifies an inversion (match addresses NOT equal to)

17 iptables Exemplos de configuração Bloqueando a entrada para a porta 80
iptables -A INPUT --dport 80 -j DROP Liberando o acesso a internet iptables -t nat -A POSTROUTING –o eth0 -j MASQUERADE Redirecionando a porta 666 para a porta 80 iptables -t nat -A PREROUTING -s /8 -p tcp --dport 666 -j REDIRECT --to-port 80

18 iptables Ordem de aplicação das regras
São avaliadas na ordem em que são inseridas, seqüencialmente Após avaliadas todas as regras, sem ocorrência de ‘match’, a política padrão será aplicada

19 iptables -P INPUT DROP iptables -A INPUT -s j DROP iptables -A INPUT -s p tcp --dport 80 -j ACCEPT iptables -A INPUT -s /16 -j ACCEPT

20 iptables -P INPUT DROP iptables -A INPUT -s j DROP iptables -A INPUT -s p tcp --dport 80 -j ACCEPT iptables -A INPUT -s /16 -j ACCEPT

21 iptables Stateful filtering (TCP) Estados reconhecidos pelo iptables
New ESTABLISHED RELATED CLOSE

22 iptables Stateful filtering (TCP) Estados reconhecidos pelo iptables
State New / ESTABLISHED

23 iptables Stateful filtering (TCP) Estados reconhecidos pelo iptables
ESTABLISHED / CLOSED

24 iptables Stateful filtering (TCP/UDP)
Estados reconhecidos pelo iptables NEW/ RELATED

25 iptables Stateful filtering (TCP/UDP) Exemplos de configuração
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

26 Bibliografias [Stallings 2008] Stallings, William. Criptografia e segurança de redes, 4. Ed. São Paulo: Pearson Prentice Hall, 2008. [Minasi 2003] Minasi, Mark et al. Dominando o Windows Server a bíblia. Pearson, 2003. [ESR] Segurança de Redes e Sistemas

Carregar ppt "Firewall – Introdução ao Netfilter"

Apresentações semelhantes

Disciplina deTópicos em Engenharia de Computação

Disciplina deTópicos em Engenharia de Computação
3. Mapeamento de Endereço Físico em endereço de rede

3. Mapeamento de Endereço Físico em endereço de rede
Microsoft® ISA Server 2006 Recursos Avançados

Microsoft® ISA Server 2006 Recursos Avançados
Firewalls IDS profa_samaris@yahoo.com.br.

Firewalls IDS
Administração de Sistemas (ASIST)

Administração de Sistemas (ASIST)
Firewall Campus Cachoeiro Curso Técnico em Informática

Firewall Campus Cachoeiro Curso Técnico em Informática
Professor: João Paulo de Brito Gonçalves Curso Técnico de Informática

Professor: João Paulo de Brito Gonçalves Curso Técnico de Informática
Proxy SQUID Campus Cachoeiro Curso Técnico em Informática

Proxy SQUID Campus Cachoeiro Curso Técnico em Informática
Profa. Ana Cristina Benso da Silva Disciplina: Redes de Computadores

Profa. Ana Cristina Benso da Silva Disciplina: Redes de Computadores
Roteamento Parte #1 Profa. Ana Cristina Benso da Silva Disciplina: Redes de Computadores.

Roteamento Parte #1 Profa. Ana Cristina Benso da Silva Disciplina: Redes de Computadores.
Mecanismo de Proteção (Prevenção e Detecção)

Mecanismo de Proteção (Prevenção e Detecção)
Segurança de Perímetro

Segurança de Perímetro
1 Segurança em Redes Elmar Melcher Universidade Federal de Campina Grande

1 Segurança em Redes Elmar Melcher Universidade Federal de Campina Grande
Formação de Administradores de Redes Linux LPI – level 1

Formação de Administradores de Redes Linux LPI – level 1
Segurança em Ambientes de Redes e Internet

Segurança em Ambientes de Redes e Internet
Modelo de Segurança para Ambientes Cooperativos

Modelo de Segurança para Ambientes Cooperativos
O Uso de Firewalls na Segurança de Redes

O Uso de Firewalls na Segurança de Redes
BLOQUEANDO comunicação entre clientes de uma rede local

BLOQUEANDO comunicação entre clientes de uma rede local
Utilitários de Redes Prof. Andréa Chicri Torga Adaptações

Utilitários de Redes Prof. Andréa Chicri Torga Adaptações
Netfilter/Iptables Cenário 2.

Netfilter/Iptables Cenário 2.

Apresentações semelhantes

Anúncios Google