Segurança 1

Política de Segurança• Uma política de segurança é um conjunto de regras e

práticas que regulam como uma organização gerencia, protege e distribui suas informações e recursos. A implementação de uma política de segurança baseia-se na aplicação de regras que limitam o acesso às informações e recursos de uma determinada organização.

• Essa política define o que é, e o que não é permitido em termos de segurança, durante a operação e acesso de um sistema.

Segurança 2

FirewallEm edifícios, as paredes corta-fogo servem

para impedir que o fogo se propague de uma parte do edifício para outra. Uma Internet firewall serve a um fim semelhante, isto é, impede que os perigos da Internet se propaguem para a rede local da instituição.

Firewall é o nome dado ao dispositivo de rede que tem por função regular o tráfego de rede entre redes distintas, impedir a transmissão de dados nocivos ou não autorizados de uma rede a outra.

Devem inspecionar o tráfego de acordo com a política de segurança estabelecida.

Segurança 3

Firewall - 2Na prática um firewall é mais parecida com o fosso e a

ponte levadiça de um castelo medieval, servindo vários fins:

a) obriga a que todas as entradas se efetuem via um ponto cuidadosamente controlado e monitorado;

b) impede os atacantes de se aproximarem das defesas internas;

c) obriga a que todas as saídas se efetuem via um ponto cuidadosamente controlado e monitorado.

Segurança 4

FirewallUm firewall consistindo de dois filtros de pacotes e um gateway de

aplicação

Segurança 5

Iptables• Ferramenta do Linux para realização de

filtragem de pacotes e NAT.• Permite criar, manter e inspecionar regras de

filtragem de pacotes IP. • Uma regra de firewall especifica critérios para o

pacote e o que fazer com ele:– Se o pacote não casa com a regra, a próxima regra

da cadeia será inspecionada;– Se o pacote casa com a regra, verificar o que fazer

com o pacote (target). Os targets que usaremos: ACCEPT, DROP.

Segurança 6

Iptables• Quando um pacote chega o firewall verifica se há

alguma regra que se aplica a ele. Caso não haja, é aplicada a política defaut.

• Constituído por 3 cadeias “chains”:– INPUT – Pacote entrando na máquina de firewall.– OUTPUT – Pacote saindo da máquina de firewall.– FORWARD – Pacote que entram em uma interface do firewall

e saem por outra.

• É altamente recomendado que a política default seja DROP, ou seja, tudo o que não for expressamente permitido será silenciosamente descartado.

Segurança 7

Iptables - chainsFormato do comando:

iptables -<comando> <chain> <rulenum> <rule-spec> <options>

Alguns comandos úteis:

-L [chain] lista as regras de uma chain

-F [chain] apaga todas as regras de um chain

-Z [chain] limpa todos os contadores de bytes e pacotes de uma chain

Para manipular regras de chains

-A chain rulespec acrescenta uma regra a uma chain

-I chain [rulenum] insere regra numa posição da chain

-R chain rulenum troca posição de regra na chain

-D chain apaga regra de uma chain

Segurança 8

Iptables - Passos

• Definir variáveis;• Iniciar chains;• Definir políticas default;• Aplicar regras contra spoofings;• Aplicar regras contra flags;• Aplicar regras de conexões estabelecidas;• Adicionar regras desejadas.

Segurança 9

Iptables - VariáveisExemplo de variáveis interessantes:

MY_IP=“ xxx.xxx.xxx.xxx“ #IP externo do firewall

LOOPBACK="127.0.0.1/8“ #End. da interface de loopback

EXTERNAL_INT=“ eth0“ #interf. do frw ligada à Internet

CLASS_A="10.0.0.0/8" #class A private network

CLASS_B="172.16.0.0/12" #class B private network

CLASS_C="192.168.0.0/16" #class C private network

INTERNAL_NET=“ xxx.xxx.xxx.xxx/xx”

Segurança 10

Iptables – Iniciar chains#Flush any existing rules from all chains

iptables -F

#Delete all chains (user-defined, not default)

iptables -X

#Reset the packet and byte counters associated with all chains

iptables -Z

Segurança 11

Iptables – Políticas default#Set up the default policy

# -P chain target: define a política objetivo para determinada chain

iptables -P OUTPUT ACCEPT

iptables -P INPUT DROP

iptables -P FORWARD DROP

#Allowing unlimited traffic on the loopback interface

# -j target: o que fazer se a regra casar; -i interface: a interface na qual o pacote foi recebido -o interface: a interface na qual o pacote será enviado

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

Segurança 12

Iptables – Regras#liberar acesso ssh vindo da Intranetiptables –A INPUT –s $INTERNAL_NET –p tcp –dport ssh –

j ACCEPTouiptables –A INPUT –i $INTERNAL_INT –p tcp –dport ssh –j

ACCEPT

#Allows already stablished connections# -m <módulo>: casa se há módulo com este nome# --state <opção do módulo>: casa se há esta opção no

módulo – permite rastrear estado da conexão.iptables –A INPUT –m state --state

ESTABLISHED,RELATED –j ACCEPT