Formação de Administradores de Redes Linux

LPI – level 1

SENAC TI

Fernando Costa

Firewall

Software cujo objetivo é proteger a máquina de proteger a máquina de acesso/tráfego indesejadoacesso/tráfego indesejado, proteger serviços, evitar que dados sigilosos sejam acessados...

Firewall

Iptables:- Firewall em nível de pacotes

- Baseado em porta e endereços de origem/destino, prioridade, etc

- Comparação de regras

- Modifica e monitora tráfego de rede

- Redirecionamento de pacotes

- Criação de proteção contra anti-spoofing, syn flood, DoS,etc

IPTables - Características# Especificação de portas/endereço de

origem/destino

# Suporte a protocolos TCP/UDP/ICMP (incluindo tipos de mensagens icmp)

# Suporte a interfaces de origem/destino de pacotes

# Manipula serviços de proxy na rede

# Tratamento de tráfego dividido em chains (para melhor controle do tráfego que entra/sai da máquina e tráfego redirecionado.

# Permite um número ilimitado de regras por chain

# Muito rápido, estável e seguro

IPTables - Características

# Possui mecanismos internos para rejeitar automaticamente pacotes duvidosos ou mal formados.

# Suporte a módulos externos para expansão das funcionalidades padrões oferecidas pelo código de firewall

# Contagem de pacotes que atravessaram uma interface/regra

# Limitação de passagem de pacotes/conferência de regra (muito útil para criar proteções contra, syn flood, ping flood, DoS, etc)

# Suporte completo a roteamento de pacotes, tratadas em uma área diferente de tráfegos padrões.

# Suporte a especificação de tipo de serviço para priorizar o tráfego de determinados tipos de pacotes.

# Permite especificar exceções para as regras ou parte das regras

# Suporte a detecção de fragmentos

IPTables - Características

Firewall

- Quais serviços proteger?

- Quais tipos de conexão permitir?

- Máquinas com acesso irrestrito

- Serviços com prioridade do processamento

- Volume de tráfego

- O que poderá trafegar entre redes

- ...

Firewall

Iptables

Regras

Chains

Tabelas

IPTables - Regras

- São como comandos passados ao iptables para que ele realize uma determinada ação.

- As regras são armazenadas dentro dos chains e processadas na ordem que são inseridas.

- As regras são armazenadas no kernel

IPTables - Chains- São locais onde as regras do firewall definidas pelo

usuário são armazenadas para operação do firewall

- Embutidas e as definidas pelo usuário

INPUT

OUTPUT

FORWARD

PREROUTING

POSTROUTING

IPTables - Tabelas

- São os locais usados para armazenar os chains e conjunto de regras com uma determinada característica em comum

filter

nat

mangle

IPTables- filter

- INPUT

- OUTPUT

- FORWARD

- nat

- PREROUTING → Consultado quando os pacotes precisam ser modificados logo que chegam (DNAT)

- POSTROUTING → Consultado quando os pacotes precisam ser modificados após o tratamento de roteamento (SNAT)

- OUTPUT → Consultado quando os pacotes gerados localmente precisam ser modificados antes de serem roteados

- mangle

- INPUT → Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chain INPUT da tabela filter.

- OUTPUT → Consultado quando os pacotes precisam ser modificados antes

de serem enviados para o chain OUTPUT da tabela nat.

- FORWARD → Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chain FORWARD da tabela filter.

- PREROUTING → Consultado quando os pacotes precisam ser modificados antes de ser enviados para o chain PREROUTING da tabela nat.

- POSTROUTING → Consultado quando os pacotes precisam ser

modificados antes de serem enviados para o chain POSTROUTING da tabela nat.

IPTables

Adicionando regras:

# ping localhost

# iptables -t filter -A INPUT -d 127.0.0.1 -j DROP

# ping localhost

# iptables -t filter -I INPUT 1 -s 10.1.151.X -d 127.0.0.1 -j ACCEPT

IPTables

Removendo, refinando e listando a regra:

# iptables -t filter -D INPUT -d 127.0.0.1 -j DROP

# iptables -t filter -A INPUT -d 127.0.0.1 -p tcp -j DROP

# iptables -t <tabela> -L <chain> [opcoes]

Opções:

-v

--line-numbers

-n

IPTables

Especificando um endereço de origem/destino

# iptables -A INPUT -s 200.200.200.0/24 -j DROP

# iptables -A OUTPUT -d 10.1.2.3 -j DROP

# iptables -A INPUT -s www.dominio.teste.org -d 210.21.1.3 -j DROP

IPTables

Especificando a interface de origem/destino

# iptables -A INPUT -s 200.123.123.10 -i ppp0 -j DROP

# iptables -A INPUT -s 200.123.123.10 -i ppp+ -j DROP

# iptables -A OUTPUT -o ppp+ -j DROP

# iptables -A FORWARD -i ppp0 -o eth1 -j DROP

IPTables

Especificando um protocolo

# iptables -A INPUT -s 200.200.200.200 -p udp -j DROP

Especificando portas de origem/destino

# iptables -A OUTPUT -d 200.200.200.200 -p tcp --dport :1023 -j DROP

IPTables

Tabela NAT (Network Address Translation)

A tabela nat serve para controlar a tradução dos endereços que atravessam o código de

roteamento da máquina

IPTables

IP masquerading

# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

# echo "1" >/proc/sys/net/ipv4/ip_forward

IPTables

Fazendo SNAT

Consiste em modificar o endereço de origem das máquinas clientes antes dos pacotes serem enviados. A máquina roteadora é inteligente o bastante para lembrar dos pacotes modificados e reescrever os endereços assim que obter a resposta da máquina de destino, direcionando os pacotes ao destino correto

Toda operação de SNAT é feita no chain POSTROUTING.

IPTables

Firewall# iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth1 -j SNAT --to

200.200.217.40

Fazendo DNAT

iptables -t nat -A PREROUTING -s 200.200.217.40 -i eth0 -j DNAT --to 192.168.1.2

Redirecionamento de portas

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 81

IPTables

Caminho percorrido pelos pacotes nas tabelas e chains

Nos exemplos foi assumida a seguinte configuração:

- A máquina do firewall com iptables possui o endereço IP 192.168.1.1 e conecta a rede interna ligada via interface eth0 a internet via a interface ppp0.

- Rede interna com a faixa de endereços 192.168.1.0 conectada ao firewall via interface eth0

- Interface ppp0 fazendo conexão com a Internet com o endereço IP 200.217.29.67.

- A conexão das máquinas da rede interna (eth0) com a rede externa (ppp0) é feita via Masquerading.

IPTables

Ping de 192.168.1.1 para 192.168.1.1

Conexão FTP de 192.168.1.1 para 192.168.1.1

Conexão FTP de 192.168.1.1 para 192.168.1.4

Conexão FTP de 200.217.29.67 para a máquina ftp.debian.org.br

Ping de 192.168.1.4 para 192.168.1.1

Conexão FTP de 192.168.1.4 para 192.168.1.1

Conexão FTP de 192.168.1.4 para ftp.debian.org.br

IPTables

Firewall

Em duplas, fazer IP Masquerading sendo:

Máquina A alterar o IP local (eth0) para algum da rede 10.5.151.0/24

Máquina B criar uma interface virtual eth0:0 com IP da rede 10.5.151.0/24

Máquina B definir uma rota para da rede 10.5.151.0/24 sendo o gateway o IP setado para eth0

Adicionar a rota default da máquina A o endereço IP da rede 10.5.151.0/24 da máquina B

Testar conectividade (ping externos, requisições http, traceroute)

Firewall

Ainda em duplas:

Máquina A deve bloquear o acesso ao SSH (porta 22) vindo da Máquina B

Máquina B deve bloquear ping para ela vindo da rede 10.5.151.0/24

Monitoramento

Por que monitorar?

O que monitorar?

Como monitorar?

Software de monitoramento

MRTGO mais antigo sistema de monitoramento de redes que gera páginas HTML com gráficos de dados coletados a partir de SNMP ou scripts externos.

http://oss.oetiker.ch/mrtg/

Software de monitoramento

RRDtoolEvolução do MRTG, utilizado pela maioria das ferramentas de monitoramento de rede. Os dados são armazenados num banco de dados com o conceito de round-robin para que as medições fiquem constantes ao longo do tempo.

http://oss.oetiker.ch/rrdtool/

Software de monitoramento

NagiosRobusto e base para outras ferramentas de gerenciamento / monitoramento, com ele é possível fazer o gerenciamento de toda a rede inclusive com alertas via SNMP trap, SMS, email.

http://www.nagios.org

Software de monitoramento

CactiDesenvolvido para ser flexível de modo a se adaptar facilmente a diversas necessidades, bem como ser robusto e fácil de usar. Trata-se de uma interface e uma infra-estrutura para o RRDTool, que é responsável por armazenar os dados recolhidos e por gerar os gráficos.

http://cacti.net

Software de monitoramento

ZabbixFerramenta une o que de melhor do Nagios e do Cacti juntamente com uma excelente ferramenta web de configuração e manutenção.

Possui muitos recursos para facilitar o gerenciamento centralizado dos ativos.

http://www.zabbix.org

Software de monitoramento

MuninFeito em Perl, produz gráficos sobre variados temas como monitoramento de CPU, carga dos discos, queries do MySQL, uso de memória, rede etc.

Extremamente útil para administrar diversos servidores ao mesmo tempo.

http://munin.projects.linpro.no/

Software de monitoramento

ZenossExcelente ferramenta para monitorar/gerenciar a rede baseado no Nagios, com ele é possível também fazer um inventário da rede e possui excelentes gráficos da infraestrutura. Utiliza o Google maps para mostrar graficamente a distribuição das redes.

http://www.zenoss.com

Software de monitoramento

NAVAvançada ferramenta para monitorar grandes redes. Ele automaticamente descobre a topologia de rede, monitora carga de banda, servidores e outros equipamentos de rede enviando alertas via SMS, email.

http://metanav.uninett.no/

Cactihttp://www.cacti.net

Cacti - é uma interface gráfica web feita em PHP para a ferramenta RRDTool, que coleta dados via SNMP, armazena informações sobre os gráficos de estatísticas, contas de usuários e demais configurações em uma base de dados MySQL.

Ports:cd /usr/ports/net/cacti && make install clean

Cacti - Interface

Cacti – Gerenciando Dispositivos

Cacti – Consulta por período

Fernando Costawww.fernandocosta.com.brfernandocosta@gmail.com