SlideShare une entreprise Scribd logo

Aula 8.2 - Iptables Impasses e Scripts

Andrei Carniel
Andrei Carniel

O documento discute possíveis impasses na configuração de firewalls iptables e como evitá-los. Apresenta exemplos de regras iptables que podem bloquear o tráfego de forma inesperada se não forem configuradas corretamente, como permitir o tráfego de retorno entre redes. Também fornece exemplos de extensões iptables para proteção contra ataques e instruções para criar scripts para automação das regras.

Formation
1  sur  24
Télécharger pour lire hors ligne
Firewall Iptables - Impasses Prof. Andrei Carniel Universidade Tecnológica Federal do Paraná – UTFPR E-mail: andreicarniel@utfpr.edu.br / andrei.carniel@gmail.com
Impasses • Um dos principais motivos de invasões, é erro humano na configuração do firewall. • Más que também pode gerar bloqueios inesperados na rede interna. • Vamos estudar algumas maneiras de gerar bloqueios. 2
Impasses • Por exemplo: • Ao se fazer determinadas regras, devemos prever o retorno. Assim, digamos que exista a seguinte situação: ▫ #iptables -P FORWARD DROP ▫ #iptables -A FORWARD -s 10.0.0.0/8 -d 172.29.0.0/16 -j ACCEPT • Neste caso estamos permitindo somente o tráfego entre 2 sub-redes e bloqueando o resto. Certo? 3
Impasses • Com as regras anteriores, fechamos todo o FORWARD e depois abrimos da sub-rede 10.0.0.0 para a sub-rede 172.29.0.0. • No entanto, não tornamos possível a resposta da sub-rede 172.29.0.0 para a sub-rede 10.0.0.0. • O correto, então, seria: ▫ #iptables -P FORWARD DROP ▫ #iptables -A FORWARD -s 10.0.0.0/8 -d 172.29.0.0/16 -j ACCEPT ▫ #iptables -A FORWARD -d 10.0.0.0/8 -s 172.29.0.0/16 -j ACCEPT 4
Exemplos de Regras de Firewall (1/4) • Exemplos: ▫ #iptables -A FORWARD -s 172.29.0.0/16 -d www.chat.com.br -j DROP • Os pacotes oriundos da sub-rede 172.29.0.0 (máscara 255.255.0.0) e destinados ao host www.chat.com.br deverão ser descartados. ▫ #iptables -A FORWARD -d 172.29.0.0/16 -s www.chat.com.br -j DROP • Os pacotes destinados à sub-rede 172.29.0.0/16 e oriundos do host www.chat.com.br deverão ser descartados. 5
Exemplos de Regras de Firewall (2/4) ▫ #iptables –L -n • Lista todas as regras existentes. ▫ #iptables -F • Apaga todas as regras sem alterar a política. ▫ #iptables -P FORWARD DROP • Estabelece uma política de proibição inicial de passagem de pacotes entre sub-redes. 6
Exemplos de Regras de Firewall (3/4) ▫ #iptables -A FORWARD -s 172.29.150.100 -p icmp -j ACCEPT • Os pacotes icmp oriundos do host 172.29.150.100 e destinados a qualquer lugar deverão ser aceitos. ▫ #iptables -A FORWARD -s 172.29.150.123 -p tcp --sport 80 -j LOG • O tráfego de pacotes TCP oriundos da porta 80 do host 172.29.150.123 e destinados a qualquer lugar deverá ser gravado em log. No caso /var/log/messages. ▫ #iptables -A FORWARD -p tcp --dport 25 -j ACCEPT • Os pacotes TCP destinados à porta 25 de qualquer host deverão ser aceitos. 7
Exemplos de Regras de Firewall (4/4) ▫ #iptables -A FORWARD –m iprange –-src-range 172.29.150.100-172.29.150.150 -p icmp -j ACCEPT • Os pacotes icmp oriundos do faixa 172.29.150.100 a 172.29.150.150 e destinados a qualquer lugar deverão ser aceitos. ▫ #iptables -A FORWARD –m iprange –-dst-range 172.29.150.100-172.29.150.150 -p icmp -j ACCEPT • Os pacotes icmp destinados do faixa 172.29.150.100 a 172.29.150.150 e destinados a qualquer lugar deverão ser aceitos. 8
Extensões (1/4) • As extensões permitem filtragens especiais, principalmente contra ataques de hackers. Quando necessárias, devem ser as primeiras linhas do firewall. As mais importantes são: • Contra Ping ▫ #iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP • Contra Ping of Death ▫ #iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT • Logo em seguida: ▫ #iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP 9
Extensões (2/4) • Contra ataques Syn-flood ▫ #iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT • Contra Port scanners avançados (nmap) ▫ #iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT • Lembre-se de usar a linha de bloqueio após os 2 exemplos. • Mais proteção • Existe, ainda, uma regra muito importante que não é extensão mas também pode ser utilizada como segurança. É a proteção contra pacotes danificados ou suspeitos. ▫ #iptables -A FORWARD -m unclean -j DROP 10
Extensões (3/4) • Logando tentativa de acesso a determinadas portas ▫ #iptables -A INPUT -p tcp --dport 21 -i eth0 -j LOG -- log-level 6 --log-prefix “FIREWALL:ftp: “ ▫ #iptables -A INPUT -p tcp --dport 23 -i eth0 -j LOG -- log-level 6 --log-prefix “FIREWALL:telnet: “ ▫ #iptables -A INPUT -p tcp --dport 110 -i eth0 -j LOG - -log-level 6 --log-prefix “FIREWAL:pop3: “ 11
Extensões (4/4) • --log-level, define um nível para o log, seguido de um número de nível ou nome. ▫ Os nome válidos (sensíveis a maiúsculas/minúsculas) são `debug', `info', `notice', `warning', `err', `crit', `alert' and `emerg', correspondendo a números de 7 até 0. • --log-prefix, define um prefixo para o log de até 29 caracteres. 12
Scripts • O Iptables não salva em nenhum local as regras. • Ou seja se reiniciarmos o servidor as regras criadas não estarão mais ativas. • Para resolver essa situação teremos de usar um script. • Exemplo: 13
Scripts - Firewall #! /bin/sh regras(){ iptables -A INPUT -p TCP -s 192.168.4.6 - -dport 22 -j ACCEPT iptables -A INPUT -p TCP --dport 22 -j DROP } case "$1" in start) regras echo "Iniciando firewall!!" ;; stop) echo "Parando o serviço de firewall" echo iptables -F ;; status) iptables -L -n ;; *) echo echo "Uso: firewall (restart|stop|status)" ;; esac exit 0 14
Scripts • Esse script deve ser colocado dentro da pasta usr/bin, dessa forma você poderá executar o mesmo de qualquer diretório da máquina. • Obs: lembre de mudar a permissão do arquivo (chmod 755). • Logo em seguida crie um novo script chamado inicializar dentro da pasta usr/bin. • Dentro desse arquivo coloque os serviços que deseja inicializar no boot do sistema. 15
Scripts - Inicializar #! /bin/sh firewall start # colque nesse arquivo o que deseja inicializar no boot do sistema 16
Scripts • Depois de criarmos o script inicializar devemos criar um link simbólico para a pasta /etc/init.d, que o local que ficam os serviços que devem ser inicializados no boot da máquina. ▫ #ln -s /usr/bin/inicializar /etc/init.d • Para ativar o script inicializar na inicialização do sistema agora devemos utilizar o comando: ▫ #update-rc.d -f inicializar defaults 17
Dúvidas? 18
Exercício 19
Exercício • 1 - Considere o seguinte esquema. 20
Exercício a) Crie regras para R (policy = ACCEPT). • 1 – Proibir a utilização do DNS 8.8.8.8 somente para as máquinas das sub- redes. • 2 – A rede 172.29/16 só poderá enviar e-mails. • 3 – A rede 192.168/24 só poderá receber e-mails. • 4 – Só será possível efetuar telnet pela máquina B e somente para o Servidor S. Todos os outros devem estar bloqueados. iptables -A FORWARD -s 192.168.0.0/24 -d 8.8.8.8 -p udp --dport 53 -j DROP iptables -A FORWARD -s 172.29.0.0/16 -d 8.8.8.8 -p udp --dport 53 -j DROP iptables -A FORWARD -d 172.29.0.0/16 -p tcp --dport 110 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 25 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 587 -j DROP iptables -A FORWARD ! -s 172.29.0.3 -d 200.143.81.25 -p tcp --dport 22 -j DROP 21
Exercício b) Crie regras para S (policy = DROP). • 1 – Permita conexões via telnet de B. • 2 – Liberar conexões de SSH somente para as sub-redes e o IP 182.29.10.30. • 3 – Permitir somente o envio de e-mails. • 4 – Permitir o funcionamento do protocolo FTP. iptables -A INPUT -p TCP --dport 23 - j ACCEPT iptables -A INPUT-s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT iptables -A INPUT-s 172.29.0.0/16 -p tcp --dport 22 -j ACCEPT iptables -A INPUT-s 182.29.10.30 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 25 -j ACCEPT iptables -A INPUT -p tcp --dport 587 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT 22
Exercício • 2 - Criar um script com as regras anteriores e testar seu funcionamento. 23
Firewall Iptables - Impasses Prof. Andrei Carniel Universidade Tecnológica Federal do Paraná – UTFPR E-mail: andreicarniel@utfpr.edu.br / andrei.carniel@gmail.com

Recommandé

Aula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela Filter
Andrei Carniel
 
Aula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NAT
Andrei Carniel
 
Tutorial sobre iptables
Tutorial sobre iptablesTutorial sobre iptables
Tutorial sobre iptables
Marcelo Barros de Almeida
 
Iptables Completo Oliver
Iptables Completo OliverIptables Completo Oliver
Iptables Completo Oliver
marcosserva
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linux
guest4e5ab
 
Iptables Básico
Iptables BásicoIptables Básico
Iptables Básico
Leonardo Damasceno
 
Administração de Redes Linux - III
Administração de Redes Linux - IIIAdministração de Redes Linux - III
Administração de Redes Linux - III
Marcelo Barros de Almeida
 
Entendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoalEntendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoal
Almir Mendes
 

Recommandé

Aula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela FilterAula 8.1 - Iptables tabela Filter
Aula 8.1 - Iptables tabela Filter
Andrei Carniel
 
Aula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NATAula 8.3 - Iptables Tabela NAT
Aula 8.3 - Iptables Tabela NAT
Andrei Carniel
 
Tutorial sobre iptables
Tutorial sobre iptablesTutorial sobre iptables
Tutorial sobre iptables
Marcelo Barros de Almeida
 
Iptables Completo Oliver
Iptables Completo OliverIptables Completo Oliver
Iptables Completo Oliver
marcosserva
 
Firewall em Linux
Firewall em LinuxFirewall em Linux
Firewall em Linux
guest4e5ab
 
Iptables Básico
Iptables BásicoIptables Básico
Iptables Básico
Leonardo Damasceno
 
Administração de Redes Linux - III
Administração de Redes Linux - IIIAdministração de Redes Linux - III
Administração de Redes Linux - III
Marcelo Barros de Almeida
 
Entendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoalEntendendo como fazer um firewall pessoal
Entendendo como fazer um firewall pessoal
Almir Mendes
 
IPTables na prática
IPTables na práticaIPTables na prática
IPTables na prática
aptans
 
Servidor de internet (NAT, Squid, Sarg)
Servidor de internet (NAT, Squid, Sarg)Servidor de internet (NAT, Squid, Sarg)
Servidor de internet (NAT, Squid, Sarg)
Danilo Filitto
 
Seguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesSeguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptables
Luiz Arthur
 
Segurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | IptablesSegurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | Iptables
Ministério Público da Paraíba
 
Apostila firewall-consulta
Apostila firewall-consultaApostila firewall-consulta
Apostila firewall-consulta
rafael informática
 
Segurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFSegurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PF
Luiz Arthur
 
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
Tchelinux
 
02-Flowspec_GTER29
02-Flowspec_GTER2902-Flowspec_GTER29
02-Flowspec_GTER29
Gustavo Rodrigues Ramos
 
Workshop iptables uern_stacruz_14_dez2010_v1
Workshop iptables uern_stacruz_14_dez2010_v1Workshop iptables uern_stacruz_14_dez2010_v1
Workshop iptables uern_stacruz_14_dez2010_v1
Matheus Araújo
 
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxConfigurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
jrrsouzaj
 
Project HA
Project HAProject HA
Project HA
Karpv
 
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSLPalestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
fgsl
 
Ferramentas para Detecção de Problemas em Redes
Ferramentas para Detecção de Problemas em RedesFerramentas para Detecção de Problemas em Redes
Ferramentas para Detecção de Problemas em Redes
Frederico Madeira
 
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
Tchelinux
 
Atividade acl extendida
Atividade acl extendidaAtividade acl extendida
Atividade acl extendida
Arlimar Jacinto
 
Dhcp com controle_ip_compartilhamento
Dhcp com controle_ip_compartilhamentoDhcp com controle_ip_compartilhamento
Dhcp com controle_ip_compartilhamento
Instituto Federal Sertão Pernambucano
 
Seguranca da Informação - Filtros/tcpd
Seguranca da Informação - Filtros/tcpdSeguranca da Informação - Filtros/tcpd
Seguranca da Informação - Filtros/tcpd
Luiz Arthur
 
SENAI - Segurança firewall
SENAI - Segurança firewall SENAI - Segurança firewall
SENAI - Segurança firewall
Carlos Melo
 
Ferramentas hack wifi aircrack
Ferramentas hack wifi aircrackFerramentas hack wifi aircrack
Ferramentas hack wifi aircrack
Pedro Verissimo
 
Linux network administration | Curso de Redes | 3Way Networks
Linux network administration | Curso de Redes | 3Way NetworksLinux network administration | Curso de Redes | 3Way Networks
Linux network administration | Curso de Redes | 3Way Networks
3Way Networks
 
Unidade3 seg perimetral
Unidade3 seg perimetralUnidade3 seg perimetral
Unidade3 seg perimetral
Leandro Almeida
 
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdfGiovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
EwersonLuizOliveira
 

Contenu connexe

Tendances

Seguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesSeguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptables
Luiz Arthur
 
Segurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFSegurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PF
Luiz Arthur
 
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
Tchelinux
 
Workshop iptables uern_stacruz_14_dez2010_v1
Workshop iptables uern_stacruz_14_dez2010_v1Workshop iptables uern_stacruz_14_dez2010_v1
Workshop iptables uern_stacruz_14_dez2010_v1
Matheus Araújo
 
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSLPalestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
fgsl
 
Seguranca da Informação - Filtros/tcpd
Seguranca da Informação - Filtros/tcpdSeguranca da Informação - Filtros/tcpd
Seguranca da Informação - Filtros/tcpd
Luiz Arthur
 
SENAI - Segurança firewall
SENAI - Segurança firewall SENAI - Segurança firewall
SENAI - Segurança firewall
Carlos Melo
 

Tendances (20)

IPTables na prática
IPTables na práticaIPTables na prática
IPTables na prática
 
Servidor de internet (NAT, Squid, Sarg)
Servidor de internet (NAT, Squid, Sarg)Servidor de internet (NAT, Squid, Sarg)
Servidor de internet (NAT, Squid, Sarg)
 
Seguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptablesSeguranca da Informação - Firewall iptables
Seguranca da Informação - Firewall iptables
 
Segurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | IptablesSegurança de Dados e Informações - Aula 5 - Firewall | Iptables
Segurança de Dados e Informações - Aula 5 - Firewall | Iptables
 
Apostila firewall-consulta
Apostila firewall-consultaApostila firewall-consulta
Apostila firewall-consulta
 
Segurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PFSegurança da Informação - Firewall OpenBSD PF
Segurança da Informação - Firewall OpenBSD PF
 
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
Técnicas avancadas de seguranca com iptables - Marcus Augustus Pereira Burgh...
 
02-Flowspec_GTER29
02-Flowspec_GTER2902-Flowspec_GTER29
02-Flowspec_GTER29
 
Workshop iptables uern_stacruz_14_dez2010_v1
Workshop iptables uern_stacruz_14_dez2010_v1Workshop iptables uern_stacruz_14_dez2010_v1
Workshop iptables uern_stacruz_14_dez2010_v1
 
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lxConfigurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
Configurando ambiente ltsp_4.2_com_mt1000_lx_ta2000lx
 
Project HA
Project HAProject HA
Project HA
 
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSLPalestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
Palestra Hardening Linux - Por Juliano Bento - V FGSL e I SGSL
 
Ferramentas para Detecção de Problemas em Redes
Ferramentas para Detecção de Problemas em RedesFerramentas para Detecção de Problemas em Redes
Ferramentas para Detecção de Problemas em Redes
 
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
Gerenciamento de Firewall com shorewall - Rafael Padilha da silva(DELETE)
 
Atividade acl extendida
Atividade acl extendidaAtividade acl extendida
Atividade acl extendida
 
Dhcp com controle_ip_compartilhamento
Dhcp com controle_ip_compartilhamentoDhcp com controle_ip_compartilhamento
Dhcp com controle_ip_compartilhamento
 
Seguranca da Informação - Filtros/tcpd
Seguranca da Informação - Filtros/tcpdSeguranca da Informação - Filtros/tcpd
Seguranca da Informação - Filtros/tcpd
 
SENAI - Segurança firewall
SENAI - Segurança firewall SENAI - Segurança firewall
SENAI - Segurança firewall
 
Ferramentas hack wifi aircrack
Ferramentas hack wifi aircrackFerramentas hack wifi aircrack
Ferramentas hack wifi aircrack
 
Linux network administration | Curso de Redes | 3Way Networks
Linux network administration | Curso de Redes | 3Way NetworksLinux network administration | Curso de Redes | 3Way Networks
Linux network administration | Curso de Redes | 3Way Networks
 

Similaire à Aula 8.2 - Iptables Impasses e Scripts

Disciplina_Redes e Segurança de Sistemas - Mapeamento de Redes
Disciplina_Redes e Segurança de Sistemas - Mapeamento de RedesDisciplina_Redes e Segurança de Sistemas - Mapeamento de Redes
Disciplina_Redes e Segurança de Sistemas - Mapeamento de Redes
Rogério Almeida
 
Debian 6: Instalação e Hardening
Debian 6: Instalação e HardeningDebian 6: Instalação e Hardening
Debian 6: Instalação e Hardening
Bruna Griebeler
 

Similaire à Aula 8.2 - Iptables Impasses e Scripts (20)

Unidade3 seg perimetral
Unidade3 seg perimetralUnidade3 seg perimetral
Unidade3 seg perimetral
 
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdfGiovaneli_-_Apresentação_ DNS ANYCAST.pdf
Giovaneli_-_Apresentação_ DNS ANYCAST.pdf
 
Seguranca em Servidores Linux
Seguranca em Servidores LinuxSeguranca em Servidores Linux
Seguranca em Servidores Linux
 
Firewall - Introducao.pdf
Firewall - Introducao.pdfFirewall - Introducao.pdf
Firewall - Introducao.pdf
 
Ultrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueandoUltrasurf - Entendendo e bloqueando
Ultrasurf - Entendendo e bloqueando
 
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
Minicurso GNU/Linux básico - Aula2 - Semana Sistemas de Informação 2015 - UNI...
 
Segurança em servidores Linux
Segurança em servidores LinuxSegurança em servidores Linux
Segurança em servidores Linux
 
Firewall no linux
Firewall no linuxFirewall no linux
Firewall no linux
 
Mini Curso - Pen Test - Univem
Mini Curso - Pen Test - UnivemMini Curso - Pen Test - Univem
Mini Curso - Pen Test - Univem
 
Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...
Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...
Instalação do Squid3 através da compilação do código fonte no Ubuntu 12.04/14...
 
Roteamento avançado em Linux - GTER
Roteamento avançado em Linux - GTERRoteamento avançado em Linux - GTER
Roteamento avançado em Linux - GTER
 
Netfilter + Iptables
Netfilter + IptablesNetfilter + Iptables
Netfilter + Iptables
 
Sistemas operacionais 14
Sistemas operacionais 14Sistemas operacionais 14
Sistemas operacionais 14
 
Linux - Network
Linux - NetworkLinux - Network
Linux - Network
 
Alta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBDAlta Disponibilidade utilizando Pacemaker e DRBD
Alta Disponibilidade utilizando Pacemaker e DRBD
 
Disciplina_Redes e Segurança de Sistemas - Mapeamento de Redes
Disciplina_Redes e Segurança de Sistemas - Mapeamento de RedesDisciplina_Redes e Segurança de Sistemas - Mapeamento de Redes
Disciplina_Redes e Segurança de Sistemas - Mapeamento de Redes
 
Debian 6: Instalação e Hardening
Debian 6: Instalação e HardeningDebian 6: Instalação e Hardening
Debian 6: Instalação e Hardening
 
Multiplos links, multiplas rotas
Multiplos links, multiplas rotasMultiplos links, multiplas rotas
Multiplos links, multiplas rotas
 
Pipeline
PipelinePipeline
Pipeline
 
Unidade5 roteiro
Unidade5 roteiroUnidade5 roteiro
Unidade5 roteiro
 

Dernier

Aula 03 - Filogenia14+4134684516498481.pptx
Aula 03 - Filogenia14+4134684516498481.pptxAula 03 - Filogenia14+4134684516498481.pptx
Aula 03 - Filogenia14+4134684516498481.pptx
andrenespoli3
 
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdfApresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
comercial400681
 
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
PatriciaCaetano18
 
8 Aula de predicado verbal e nominal - Predicativo do sujeito
8 Aula de predicado verbal e nominal - Predicativo do sujeito8 Aula de predicado verbal e nominal - Predicativo do sujeito
8 Aula de predicado verbal e nominal - Predicativo do sujeito
tatianehilda
 
Os editoriais, reportagens e entrevistas.pptx
Os editoriais, reportagens e entrevistas.pptxOs editoriais, reportagens e entrevistas.pptx
Os editoriais, reportagens e entrevistas.pptx
TailsonSantos1
 
matematica aula didatica prática e tecni
matematica aula didatica prática e tecnimatematica aula didatica prática e tecni
matematica aula didatica prática e tecni
CleidianeCarvalhoPer
 

Dernier (20)

Aula 03 - Filogenia14+4134684516498481.pptx
Aula 03 - Filogenia14+4134684516498481.pptxAula 03 - Filogenia14+4134684516498481.pptx
Aula 03 - Filogenia14+4134684516498481.pptx
 
PROJETO DE EXTENSÃO I - SERVIÇOS JURÍDICOS, CARTORÁRIOS E NOTARIAIS.pdf
PROJETO DE EXTENSÃO I - SERVIÇOS JURÍDICOS, CARTORÁRIOS E NOTARIAIS.pdfPROJETO DE EXTENSÃO I - SERVIÇOS JURÍDICOS, CARTORÁRIOS E NOTARIAIS.pdf
PROJETO DE EXTENSÃO I - SERVIÇOS JURÍDICOS, CARTORÁRIOS E NOTARIAIS.pdf
 
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdfApresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
Apresentação ISBET Jovem Aprendiz e Estágio 2023.pdf
 
Cartão de crédito e fatura do cartão.pptx
Cartão de crédito e fatura do cartão.pptxCartão de crédito e fatura do cartão.pptx
Cartão de crédito e fatura do cartão.pptx
 
P P P 2024 - *CIEJA Santana / Tucuruvi*
P P P 2024 - *CIEJA Santana / Tucuruvi*P P P 2024 - *CIEJA Santana / Tucuruvi*
P P P 2024 - *CIEJA Santana / Tucuruvi*
 
6ano variação linguística ensino fundamental.pptx
6ano variação linguística ensino fundamental.pptx6ano variação linguística ensino fundamental.pptx
6ano variação linguística ensino fundamental.pptx
 
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
A EDUCAÇÃO FÍSICA NO NOVO ENSINO MÉDIO: IMPLICAÇÕES E TENDÊNCIAS PROMOVIDAS P...
 
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
E a chuva ... (Livro pedagógico para ser usado na educação infantil e trabal...
 
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
DeClara n.º 75 Abril 2024 - O Jornal digital do Agrupamento de Escolas Clara ...
 
Projeto de Extensão - DESENVOLVIMENTO BACK-END.pdf
Projeto de Extensão - DESENVOLVIMENTO BACK-END.pdfProjeto de Extensão - DESENVOLVIMENTO BACK-END.pdf
Projeto de Extensão - DESENVOLVIMENTO BACK-END.pdf
 
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptxSlides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
 
Slides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptx
Slides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptxSlides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptx
Slides Lição 6, CPAD, As Nossas Armas Espirituais, 2Tr24.pptx
 
aula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.pptaula de bioquímica bioquímica dos carboidratos.ppt
aula de bioquímica bioquímica dos carboidratos.ppt
 
migração e trabalho 2º ano.pptx fenomenos
migração e trabalho 2º ano.pptx fenomenosmigração e trabalho 2º ano.pptx fenomenos
migração e trabalho 2º ano.pptx fenomenos
 
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdf
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdfProjeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdf
Projeto_de_Extensão_Agronomia_adquira_ja_(91)_98764-0830.pdf
 
Aula de jornada de trabalho - reforma.ppt
Aula de jornada de trabalho - reforma.pptAula de jornada de trabalho - reforma.ppt
Aula de jornada de trabalho - reforma.ppt
 
8 Aula de predicado verbal e nominal - Predicativo do sujeito
8 Aula de predicado verbal e nominal - Predicativo do sujeito8 Aula de predicado verbal e nominal - Predicativo do sujeito
8 Aula de predicado verbal e nominal - Predicativo do sujeito
 
Os editoriais, reportagens e entrevistas.pptx
Os editoriais, reportagens e entrevistas.pptxOs editoriais, reportagens e entrevistas.pptx
Os editoriais, reportagens e entrevistas.pptx
 
matematica aula didatica prática e tecni
matematica aula didatica prática e tecnimatematica aula didatica prática e tecni
matematica aula didatica prática e tecni
 
LISTA DE EXERCICIOS envolveto grandezas e medidas e notação cientifica 1 ANO ...
LISTA DE EXERCICIOS envolveto grandezas e medidas e notação cientifica 1 ANO ...LISTA DE EXERCICIOS envolveto grandezas e medidas e notação cientifica 1 ANO ...
LISTA DE EXERCICIOS envolveto grandezas e medidas e notação cientifica 1 ANO ...
 

Aula 8.2 - Iptables Impasses e Scripts

  • 1. Firewall Iptables - Impasses Prof. Andrei Carniel Universidade Tecnológica Federal do Paraná – UTFPR E-mail: andreicarniel@utfpr.edu.br / andrei.carniel@gmail.com
  • 2. Impasses • Um dos principais motivos de invasões, é erro humano na configuração do firewall. • Más que também pode gerar bloqueios inesperados na rede interna. • Vamos estudar algumas maneiras de gerar bloqueios. 2
  • 3. Impasses • Por exemplo: • Ao se fazer determinadas regras, devemos prever o retorno. Assim, digamos que exista a seguinte situação: ▫ #iptables -P FORWARD DROP ▫ #iptables -A FORWARD -s 10.0.0.0/8 -d 172.29.0.0/16 -j ACCEPT • Neste caso estamos permitindo somente o tráfego entre 2 sub-redes e bloqueando o resto. Certo? 3
  • 4. Impasses • Com as regras anteriores, fechamos todo o FORWARD e depois abrimos da sub-rede 10.0.0.0 para a sub-rede 172.29.0.0. • No entanto, não tornamos possível a resposta da sub-rede 172.29.0.0 para a sub-rede 10.0.0.0. • O correto, então, seria: ▫ #iptables -P FORWARD DROP ▫ #iptables -A FORWARD -s 10.0.0.0/8 -d 172.29.0.0/16 -j ACCEPT ▫ #iptables -A FORWARD -d 10.0.0.0/8 -s 172.29.0.0/16 -j ACCEPT 4
  • 5. Exemplos de Regras de Firewall (1/4) • Exemplos: ▫ #iptables -A FORWARD -s 172.29.0.0/16 -d www.chat.com.br -j DROP • Os pacotes oriundos da sub-rede 172.29.0.0 (máscara 255.255.0.0) e destinados ao host www.chat.com.br deverão ser descartados. ▫ #iptables -A FORWARD -d 172.29.0.0/16 -s www.chat.com.br -j DROP • Os pacotes destinados à sub-rede 172.29.0.0/16 e oriundos do host www.chat.com.br deverão ser descartados. 5
  • 6. Exemplos de Regras de Firewall (2/4) ▫ #iptables –L -n • Lista todas as regras existentes. ▫ #iptables -F • Apaga todas as regras sem alterar a política. ▫ #iptables -P FORWARD DROP • Estabelece uma política de proibição inicial de passagem de pacotes entre sub-redes. 6
  • 7. Exemplos de Regras de Firewall (3/4) ▫ #iptables -A FORWARD -s 172.29.150.100 -p icmp -j ACCEPT • Os pacotes icmp oriundos do host 172.29.150.100 e destinados a qualquer lugar deverão ser aceitos. ▫ #iptables -A FORWARD -s 172.29.150.123 -p tcp --sport 80 -j LOG • O tráfego de pacotes TCP oriundos da porta 80 do host 172.29.150.123 e destinados a qualquer lugar deverá ser gravado em log. No caso /var/log/messages. ▫ #iptables -A FORWARD -p tcp --dport 25 -j ACCEPT • Os pacotes TCP destinados à porta 25 de qualquer host deverão ser aceitos. 7
  • 8. Exemplos de Regras de Firewall (4/4) ▫ #iptables -A FORWARD –m iprange –-src-range 172.29.150.100-172.29.150.150 -p icmp -j ACCEPT • Os pacotes icmp oriundos do faixa 172.29.150.100 a 172.29.150.150 e destinados a qualquer lugar deverão ser aceitos. ▫ #iptables -A FORWARD –m iprange –-dst-range 172.29.150.100-172.29.150.150 -p icmp -j ACCEPT • Os pacotes icmp destinados do faixa 172.29.150.100 a 172.29.150.150 e destinados a qualquer lugar deverão ser aceitos. 8
  • 9. Extensões (1/4) • As extensões permitem filtragens especiais, principalmente contra ataques de hackers. Quando necessárias, devem ser as primeiras linhas do firewall. As mais importantes são: • Contra Ping ▫ #iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP • Contra Ping of Death ▫ #iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT • Logo em seguida: ▫ #iptables -A FORWARD -p icmp --icmp-type echo-request -j DROP 9
  • 10. Extensões (2/4) • Contra ataques Syn-flood ▫ #iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT • Contra Port scanners avançados (nmap) ▫ #iptables -A FORWARD -p tcp --tcp-flags ALL SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT • Lembre-se de usar a linha de bloqueio após os 2 exemplos. • Mais proteção • Existe, ainda, uma regra muito importante que não é extensão mas também pode ser utilizada como segurança. É a proteção contra pacotes danificados ou suspeitos. ▫ #iptables -A FORWARD -m unclean -j DROP 10
  • 11. Extensões (3/4) • Logando tentativa de acesso a determinadas portas ▫ #iptables -A INPUT -p tcp --dport 21 -i eth0 -j LOG -- log-level 6 --log-prefix “FIREWALL:ftp: “ ▫ #iptables -A INPUT -p tcp --dport 23 -i eth0 -j LOG -- log-level 6 --log-prefix “FIREWALL:telnet: “ ▫ #iptables -A INPUT -p tcp --dport 110 -i eth0 -j LOG - -log-level 6 --log-prefix “FIREWAL:pop3: “ 11
  • 12. Extensões (4/4) • --log-level, define um nível para o log, seguido de um número de nível ou nome. ▫ Os nome válidos (sensíveis a maiúsculas/minúsculas) são `debug', `info', `notice', `warning', `err', `crit', `alert' and `emerg', correspondendo a números de 7 até 0. • --log-prefix, define um prefixo para o log de até 29 caracteres. 12
  • 13. Scripts • O Iptables não salva em nenhum local as regras. • Ou seja se reiniciarmos o servidor as regras criadas não estarão mais ativas. • Para resolver essa situação teremos de usar um script. • Exemplo: 13
  • 14. Scripts - Firewall #! /bin/sh regras(){ iptables -A INPUT -p TCP -s 192.168.4.6 - -dport 22 -j ACCEPT iptables -A INPUT -p TCP --dport 22 -j DROP } case "$1" in start) regras echo "Iniciando firewall!!" ;; stop) echo "Parando o serviço de firewall" echo iptables -F ;; status) iptables -L -n ;; *) echo echo "Uso: firewall (restart|stop|status)" ;; esac exit 0 14
  • 15. Scripts • Esse script deve ser colocado dentro da pasta usr/bin, dessa forma você poderá executar o mesmo de qualquer diretório da máquina. • Obs: lembre de mudar a permissão do arquivo (chmod 755). • Logo em seguida crie um novo script chamado inicializar dentro da pasta usr/bin. • Dentro desse arquivo coloque os serviços que deseja inicializar no boot do sistema. 15
  • 16. Scripts - Inicializar #! /bin/sh firewall start # colque nesse arquivo o que deseja inicializar no boot do sistema 16
  • 17. Scripts • Depois de criarmos o script inicializar devemos criar um link simbólico para a pasta /etc/init.d, que o local que ficam os serviços que devem ser inicializados no boot da máquina. ▫ #ln -s /usr/bin/inicializar /etc/init.d • Para ativar o script inicializar na inicialização do sistema agora devemos utilizar o comando: ▫ #update-rc.d -f inicializar defaults 17
  • 20. Exercício • 1 - Considere o seguinte esquema. 20
  • 21. Exercício a) Crie regras para R (policy = ACCEPT). • 1 – Proibir a utilização do DNS 8.8.8.8 somente para as máquinas das sub- redes. • 2 – A rede 172.29/16 só poderá enviar e-mails. • 3 – A rede 192.168/24 só poderá receber e-mails. • 4 – Só será possível efetuar telnet pela máquina B e somente para o Servidor S. Todos os outros devem estar bloqueados. iptables -A FORWARD -s 192.168.0.0/24 -d 8.8.8.8 -p udp --dport 53 -j DROP iptables -A FORWARD -s 172.29.0.0/16 -d 8.8.8.8 -p udp --dport 53 -j DROP iptables -A FORWARD -d 172.29.0.0/16 -p tcp --dport 110 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 25 -j DROP iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 587 -j DROP iptables -A FORWARD ! -s 172.29.0.3 -d 200.143.81.25 -p tcp --dport 22 -j DROP 21
  • 22. Exercício b) Crie regras para S (policy = DROP). • 1 – Permita conexões via telnet de B. • 2 – Liberar conexões de SSH somente para as sub-redes e o IP 182.29.10.30. • 3 – Permitir somente o envio de e-mails. • 4 – Permitir o funcionamento do protocolo FTP. iptables -A INPUT -p TCP --dport 23 - j ACCEPT iptables -A INPUT-s 192.168.0.0/24 -p tcp --dport 22 -j ACCEPT iptables -A INPUT-s 172.29.0.0/16 -p tcp --dport 22 -j ACCEPT iptables -A INPUT-s 182.29.10.30 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 25 -j ACCEPT iptables -A INPUT -p tcp --dport 587 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT 22
  • 23. Exercício • 2 - Criar um script com as regras anteriores e testar seu funcionamento. 23
  • 24. Firewall Iptables - Impasses Prof. Andrei Carniel Universidade Tecnológica Federal do Paraná – UTFPR E-mail: andreicarniel@utfpr.edu.br / andrei.carniel@gmail.com