segurança1 política de segurança uma política de segurança é um conjunto de regras e práticas...
TRANSCRIPT
Segurança 1
Política de Segurança• Uma política de segurança é um conjunto de regras e
práticas que regulam como uma organização gerencia, protege e distribui suas informações e recursos. A implementação de uma política de segurança baseia-se na aplicação de regras que limitam o acesso às informações e recursos de uma determinada organização.
• Essa política define o que é, e o que não é permitido em termos de segurança, durante a operação e acesso de um sistema.
Segurança 2
FirewallEm edifícios, as paredes corta-fogo servem
para impedir que o fogo se propague de uma parte do edifício para outra. Uma Internet firewall serve a um fim semelhante, isto é, impede que os perigos da Internet se propaguem para a rede local da instituição.
Firewall é o nome dado ao dispositivo de rede que tem por função regular o tráfego de rede entre redes distintas, impedir a transmissão de dados nocivos ou não autorizados de uma rede a outra.
Devem inspecionar o tráfego de acordo com a política de segurança estabelecida.
Segurança 3
Firewall - 2Na prática um firewall é mais parecida com o fosso e a
ponte levadiça de um castelo medieval, servindo vários fins:
a) obriga a que todas as entradas se efetuem via um ponto cuidadosamente controlado e monitorado;
b) impede os atacantes de se aproximarem das defesas internas;
c) obriga a que todas as saídas se efetuem via um ponto cuidadosamente controlado e monitorado.
Segurança 4
FirewallUm firewall consistindo de dois filtros de pacotes e um gateway de
aplicação
Segurança 5
Iptables• Ferramenta do Linux para realização de
filtragem de pacotes e NAT.• Permite criar, manter e inspecionar regras de
filtragem de pacotes IP. • Uma regra de firewall especifica critérios para o
pacote e o que fazer com ele:– Se o pacote não casa com a regra, a próxima regra
da cadeia será inspecionada;– Se o pacote casa com a regra, verificar o que fazer
com o pacote (target). Os targets que usaremos: ACCEPT, DROP.
Segurança 6
Iptables• Quando um pacote chega o firewall verifica se há
alguma regra que se aplica a ele. Caso não haja, é aplicada a política defaut.
• Constituído por 3 cadeias “chains”:– INPUT – Pacote entrando na máquina de firewall.– OUTPUT – Pacote saindo da máquina de firewall.– FORWARD – Pacote que entram em uma interface do firewall
e saem por outra.
• É altamente recomendado que a política default seja DROP, ou seja, tudo o que não for expressamente permitido será silenciosamente descartado.
Segurança 7
Iptables - chainsFormato do comando:
iptables -<comando> <chain> <rulenum> <rule-spec> <options>
Alguns comandos úteis:
-L [chain] lista as regras de uma chain
-F [chain] apaga todas as regras de um chain
-Z [chain] limpa todos os contadores de bytes e pacotes de uma chain
Para manipular regras de chains
-A chain rulespec acrescenta uma regra a uma chain
-I chain [rulenum] insere regra numa posição da chain
-R chain rulenum troca posição de regra na chain
-D chain apaga regra de uma chain
Segurança 8
Iptables - Passos
• Definir variáveis;• Iniciar chains;• Definir políticas default;• Aplicar regras contra spoofings;• Aplicar regras contra flags;• Aplicar regras de conexões estabelecidas;• Adicionar regras desejadas.
Segurança 9
Iptables - VariáveisExemplo de variáveis interessantes:
MY_IP=“ xxx.xxx.xxx.xxx“ #IP externo do firewall
LOOPBACK="127.0.0.1/8“ #End. da interface de loopback
EXTERNAL_INT=“ eth0“ #interf. do frw ligada à Internet
CLASS_A="10.0.0.0/8" #class A private network
CLASS_B="172.16.0.0/12" #class B private network
CLASS_C="192.168.0.0/16" #class C private network
INTERNAL_NET=“ xxx.xxx.xxx.xxx/xx”
Segurança 10
Iptables – Iniciar chains#Flush any existing rules from all chains
iptables -F
#Delete all chains (user-defined, not default)
iptables -X
#Reset the packet and byte counters associated with all chains
iptables -Z
Segurança 11
Iptables – Políticas default#Set up the default policy
# -P chain target: define a política objetivo para determinada chain
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
#Allowing unlimited traffic on the loopback interface
# -j target: o que fazer se a regra casar; -i interface: a interface na qual o pacote foi recebido -o interface: a interface na qual o pacote será enviado
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
Segurança 12
Iptables – Regras#liberar acesso ssh vindo da Intranetiptables –A INPUT –s $INTERNAL_NET –p tcp –dport ssh –
j ACCEPTouiptables –A INPUT –i $INTERNAL_INT –p tcp –dport ssh –j
ACCEPT
#Allows already stablished connections# -m <módulo>: casa se há módulo com este nome# --state <opção do módulo>: casa se há esta opção no
módulo – permite rastrear estado da conexão.iptables –A INPUT –m state --state
ESTABLISHED,RELATED –j ACCEPT