firewalls nat proxy

Download Firewalls NAT Proxy

Post on 24-Feb-2016

29 views

Category:

Documents

0 download

Embed Size (px)

DESCRIPTION

Firewalls NAT Proxy. Gerencia de Redes Redes de Computadores II. *Créditos: baseado no material do Prof. Dr. João Bosco M. Sobral – UFSC e também do Prof João Paulo de Brito Gonçalves – IF/ES. Por que Firewall ?. O mundo respira Internet. - PowerPoint PPT Presentation

TRANSCRIPT

Apresentao do PowerPoint

FirewallsNATProxyGerencia de RedesRedes de Computadores II*Crditos: baseado no material do Prof. Dr. Joo Bosco M. Sobral UFSC e tambm do Prof Joo Paulo de Brito Gonalves IF/ESPor que Firewall ?O mundo respira Internet.A Internet que o mundo respira no segura.60% : Internet o principal ponto de invaso.78% : ameaas, riscos e ataques tendem a aumentar nos prximos anos.32% : crackers so os principais invasores.26% : no conseguem identificar os responsveis.Por que Firewall ? Internet

Uma imensa rede descentralizada e no gerenciada, rodando sob uma sute de protocolos denominada IPv4, que no foi projetada para assegurar a integridade das informaes e realizar controles de acesso.Por que Firewall ?Existem diversas formas de se violar uma rede, mas essas formas nada mais fazem do que se aproveitar de falhas em servios de rede e protocolos.Por que Firewall ?Um Firewall no possui a funo de vasculhar pacotes a procura de assinaturas de vrus.Um Firewall poder evitar que a rede interna seja monitorada por Trojans e que os mesmos troquem informaes com outros hosts na Internet.Poder evitar que a rede interna seja vasculhada por um scanner de portas.Por que Firewall ?Um Firewall poder especificar que tipos de protocolos e servios de rede sero disponibilizados, tanto externa quanto internamente.

Por que Firewall ?Um Firewall pode controlar os pacotes de servios no confiveis: rlogin, telnet, FTP, NFS, DNS, LDAP, SMTP, Etc...

Kernel e FirewallTudo o que chega ou sai de um computador processado pelo kernel do sistema operacional desse computador.

Nos *nix, as funes de Firewall so agregadas prpria arquitetura do kernel.Firewall no *inuxNos sistemas *nix, no preciso comprar um Firewall corporativo carssimo.

Firewall open source, gratuito.

IpfilterFirewall originalmente utilizado no OpenBSD, FreeBSD e Solaris.Utilizado por muitos administradores por ser seguro e confivel.Firewall no BSD, Solaris Os firewalls existem no Linux desde o kernel 1.1, com o ipfw, originrio do BSD.

Esse filtro era userspace, ou seja, rodava como um programa comum no sistema, similarmente ao BIND (servidor de nomes).

Com o kernel 2.0 veio o ipfwadm, que ainda era uma ferramenta userspace e controlava as regras de filtragem do kernel.

Na verso 2.2 do kernel, veio o ipchains (ainda presente em algumas distribuies) e em 1999, veio o iptables 2, presente a partir do kernel 2.3.15.

Firewall no LinuxFirewall para LinuxNetfilter e IPTableskernel 2.4.x filtragem de pacotes e NATIPTables ferramenta de Front-End que permite configurar o Netfilter.

O iptables um firewall nativo do Linux e que faz parte do seu kernel e por isto tem um desempenho melhor que firewalls instalados como aplicaes. Com isso, ele bastante seguro e rpido.

Firewall no LinuxNo iptables, existem tabelas de filtragem (chains), e trs delas so bsicas e no podem ser apagadas: INPUT, OUTPUT e FORWARD.

A chain INPUT trata dos pacotes de entrada, aqueles que chegam da rede.

A chain OUTPUT trata dos pacotes de sada, aqueles que vo para a rede.

E finalmente a chain FORWARD trata do encaminhamento de pacotes, ou seja, roteamento.Cadeias e poltica padro

Funes Netfilter / IPTablesFiltro de pacotes.Mascaramento.QoS sob trfego.Suporte a SNAT e DNAT para redirecionamento de endereos e portas.MascaramentoTcnica para colocar toda uma rede interna atrs de um Firewall, usando-se IPs invlidos (classe A, 10.0.0.0), no sentido de proteger servidores de invases.Quando tm-se pouqussimos IPs e tem-se que disponibilizar o acesso para muitos servidores.Habilita uma mquina Firewall a traduzir de um IP vlido para n IPs invlidos internos.IPTables e NetfilterDeteco de fragmentos.Monitoramento de trfego.Regular a prioridade com TOS (Type of Service).Bloqueio a ataques Spoofing, Syn-Flood, DoS, scanners ocultos, pings da morte, ...Opo de utilizar mdulos externos para composio de regras.19Sntese IPTablesFlagTabelaComandoAoAlvoSntese do IPTables...>iptables [flag] [tabela] [comando] [parmetro] [alvo] [flag] : -t

[tabela] : Uma tabela uma rea na memria para armazenar as regras juntamente com os chains (parmetros das tabelas).filter (tabela padro, default se t omitido)nat (-t nat)mangle (- mangle)

Comandos no IPTables[comando] : manipula a tabela atravs das regras e chains correspondentes.-A anexa a regra ao fim da lista j existente.-D apaga a regra especificada.-L lista as regras existentes na lista.-P altera a poltica padro de uma cadeia de forma que todo pacote desta cadeia ficar sujeito a esta poltica, caso no exista nenhuma regra anterior que se aplique a mesma..-F remove todas as regras, ou remove todas as regras referentes a um determinado chain.-I insere uma nova regra, mas no incio da lista de regras.-R substitui uma regra j adicionada por outra.-N permite inserir uma nova chain na tabela especificada.-E Renomeia uma nova chain criada.-X apaga uma chain criada pelo administrador do Firewall.

Aes no IPTables[parmetro] : especifica o protocolo, as interfaces de rede, endereo de origem do pacote (IP) e mscara de sub-rede, endereo de destino do pacote (IP), exceo a uma determinada regra, para onde um pacote pode ser direcionado (alvo),aplicar filtros com base na porta de origem,aplicar filtros com base na porta de destino.Alvos IPTables[alvo] : quando um pacote se adequa a uma regra, ele deve ser direcionado a um alvo e quem especifica a prpria regra. Os alvos aplicveis so:ACCEPTDROP simplesmente descarta, sem avisoREJECT avisa emissor pacote de respostaLOGRETURNQUEUESNATDNATREDIRECTTOS

24Exemplos Parmetros para a filtragem de pacotes-p especifica o protocolo aplicado regra. Se enquadra aos protocolos da camada de transporte, como tcp, udp e icmpEx: iptables - A INPUT p tcp j ACCEPT

Parmetros para a filtragem de pacotes-s especifica a origem (source) do pacote ao qual a regra deve ser aplicada. A origem pode ser um host ou uma rede. Nesta opo geralmente utilizamos o IP seguido de sua sub-rede:

Ex: iptables A INPUT s 172.16.53.1 j DROPiptables A INPUT s 172.16.53.1 j ACCEPTEste comando descarta todo pacote de entrada vindo da origem 172.16.53.1O segundo comando aceita todo pacote de entrada vindo da origem 172.16.53.1Parmetros para a filtragem de pacotes-d especifica o destino do pacote (destination) ao qual a regra deve ser aplicada. Sua utilizao se d da mesma maneira que a ao s.

Ex: iptables A OUTPUT d 172.16.53.1 j DROPiptables A OUTPUT d 172.16.53.1 j ACCEPT Este comando descarta todo pacote de sada com destino mquina 172.16.53.1O segundo comando aceita todo pacote de sada com destino mquina 172.16.53.1Parmetros para a filtragem de pacotes-i especifica a interface de entrada a ser utilizada e como um Firewall possui mais de uma interface esta regra acaba sendo muito importante para distinguir a qual interface de rede o filtro deve ser aplicado.

Ex: iptables A INPUT i eth0 j DROPO comando permite que todo pacote que entra pela interface eth0 seja selecionado para ser descartado pelas regras do firewall.Parmetros para a filtragem de pacotes-o especifica a interface de sada a ser utilizada e se aplica da mesma forma que a regra i, mas este parmetro menos usado, pois normalmente nos preocupamos em impedir que o firewall aceite conexes em determinadas portas, ao invs de tentar interceptar as respostas.

Ex: iptables A FORWARD o eth0 j DROPO comando permite que todo pacote que sai pela interface eth0 seja selecionado para ser descartado pelas regras do firewall.Parmetros para a filtragem de pacotes--sport porta de origem (source port). Com esta regra possvel aplicar filtros com base na porta de origem do pacote.Ex: iptables A INPUT p tcp -sport 22 j DROPO comando permite que todo pacote de entrada usando o protocolo TCP e com origem na porta 22 seja descartado.Parmetros para a filtragem de pacotes--dport porta de destino (destination port) especifica a porta de destino do pacote e funciona de forma similar regra sport.Ex: iptables A OUTPUT p tcp -dport 22 j DROPO comando permite que todo pacote de sada usando o protocolo TCP e com destino na porta 22 seja descartado.

Parmetros para a filtragem de pacotes-m mac --mac-source a regra que permite especificar endereos MAC dentro de regras do iptables. Ele uma forma de dificultar o uso de endereos IP falseados para ganhar acesso ao servidor, pois permite relacionar o IP ao endereo MAC da placa instalada. No 100% eficaz pois o endereo MAC pode ser trocado via ifconfig e ele no vlido para a camada de rede, ou seja, quando sai da rede local, ele descartado.

iptables -A INPUT p tcp --dport 22 m mac --mac-source 00:1B:24:46:29:88 j DROP

Parmetros para a filtragem de pacotesComando faz com que qualquer pacote de entrada com destino na porta 22 advindo da mquina que possua MAC 00:1B:24:46:29:88 seja descartado.

Ex:iptables -A INPUT p tcp --dport 22 m mac --mac-source 00:1B:24:46:29:88 j REJECT

Comando faz com que qualquer pacote de entrada com destino na porta 22 advindo da mquina que possua MAC 00:1B:24:46:29:88 seja rejeitado.Parmetros para a filtragem de pacotesmultiport - com o modulo multiport possvel que especifiquemos mltiplas portas a serem afetadas pela regra, sob o limite mximo de 15. EX: iptables A INPUT p tcp i eth0 m multiport -dport 80,25,53,110 j DROPEste comando indica em uma s regra por via de multiport que o firewall descartar (-J DROP) qualquer pacote que entre pela interface eth0 (-i eth0) destinado s portas 80,25, 53, 110. Bloqueando domnios possvel ainda permitir ou bloquear com base no domnio, tanto para entrada como para sada. Isto permite bloquear sites e programas diretamente a partir do firewall, sem precisar instalar um servidor Squid e configur-lo.

Ex:Ip