Anda di halaman 1dari 7

Anlise do Firewall Iptables do Linux

Priscila Siqueira Aranha, Fabio Augusto Galvo Pinheiro, Matheus Barreto Meireles Vianna pri s c i l a e n g @ c o m p . i e s a m - p a. e d u . b r , fa b i o g a l v a o . p i n h e i r o @ g m a i l . c o m , pa.e d u . b r
Abstract The firewall is a safety device to protect your computer from unwanted traffic or access, applications that are running and the blocking of services that allow some risk of insecurity on the network. The aim of this paper is to analyze the Iptables the Linux firewall acting as a filter package and the control of bandwidth traffic in the network considering a corporate environment, the modules ipp p layer ! and will be used as additional packages to work at layer !, implementation of the "#I model $"pen #ystems Interconnection%. &eywords' (irewall, Iptables, Linux, layer !, ipp p and "#I model. Resumo O firewall um dispositivo de segurana, a im de proteger o computador de acessos ou tr egos indese!veis, de aplica"es #ue este!am sendo executadas e no blo#ueio de servios #ue possibilitem algum risco de insegurana na rede$ A proposta deste artigo analisar o firewall Iptables do linux atuando como iltro de pacotes e no controle de banda no tr ego da rede considerando um ambiente corporativo, os m%dulos layer ! e ipp p, ser&o utili'ados como pacotes adicionais a im de trabal(arem na camada ) de aplica&o do *odelo O+I ,Open +-stems Interconnection.$ /alavras01(aves2 Firewall, Iptables, Linu , la!er ", ipp#p e Mo$elo %SI&

mathe u s @ i n f.i es a m -

I& Intro$u'o

2( firewall . u( siste(a, ou u( con3unto $e siste(as, que )or'a u(a pol0tica $e seguran'a entre u(a re$e interna segura e u(a re$e insegura, co(o a internet 456& % firewall a$ota$o co(o proposta $e trabalho )uncionar+ no bloqueio ou no $e servi'os e acessos e( u( a(biente $istribu0$o $e co(puta$ores corporativo& 7ste $ispositivo se tornara u(a pol0tica $e seguran'a co(o u( gran$e alia$o contra ataques virtuais, acessos in$evi$os, progra(as no*autori/a$os, v0rus, etc& A i$.ia $e pro3etar e analisar o firewall Iptables consi$eran$o u( 8a(biente corporativo9 )ict0cio, $e (o$o a analisar a prote'o $e $a$os e in)or(a',es proveio $e consultas consi$eran$o a $e(an$a $e inseguran'a na re$e aco(panha$a quase to$os os $ias e( tele3ornais, sites, revistas e principal(ente no signi)icativo avan'o tecnol:gico $os recursos na internet, que 8se$u/e(9 pessoas que utili/a( esses recursos e( bene)0cio pr:prio, $e ataques ilegais ou at. (es(o para testar sua capaci$a$e $e intruso e( siste(as& ;iante $esta situa'o, este artigo te( co(o ob3etivo $iscorrer sobre a )erra(enta Iptables <)irewall $o siste(a operacional Linu = co(o (ecanis(o $e seguran'a $a in)or(a'o no servi$or $e Internet nu( a(biente $istribu0$o $e co(puta$ores& II& Iptables % Iptables . o principal )irewall para o Linu , e $e longe o (ais utili/a$o pelos a$(inistra$ores $e siste(as& Isto se $+ gra'as a sua portabili$a$e e con)iabili$a$e, al.( $a )acili$a$e $e (anuten'o e (anipula'o $e seu banco $e regra 456& 7le possui tr>s estruturas b+sicas? tabela )ilter, tabela @AA <Network Address Translate= e a tabela (angle& % iptables . o (:$ulo respons+vel pela inter)ace $e con)igura'o $as regras $o net)ilter& -o( ele po$e(*se e$itar as tabelas $e )iltrage( $e pacotes nativas $o Bernel 4#6& A utili/a'o $a )erra(enta Iptables, $ecorreu e( estu$os avan'a$os $e seus recursos $e )iltrage( $e

s re$es $e co(puta$ores surgira( para )acilitar o $ia*a*$ia $o usu+rio no co(partilha(ento $e recursos, acessos, equipa(entos, in)or(a',es e internet, principal(ente e( a(bientes corporativos& -o( o au(ento $as invas,es $as re$es $e co(puta$ores e a $isse(ina'o $e malwares (progra(as (aliciosos), ten$o a Internet co(o u( canal $e proli)era'o, . ca$a ve/ (ais i(perativa a a$o'o $e u(a pol0tica $e controle $e acesso 1 re$e (un$ial $e co(puta$ores e a con)igura'o $e firewall $e )iltro $e pacotes no a(biente co(putacional $as organi/a',es, conte(plan$o assi( a seguran'a $a in)or(a'o no a(biente corporativo, neste particular, quan$o $o acesso 1 Internet&

pacotes e (:$ulos a$icionais que e iste( para possibilitar a prote'o no tr+)ego $e in)or(a',es& ;entre as possibili$a$es $e trata(ento $o pacote, . i(prescin$0vel aplicar as regras $e acesso que po$e( ser? A--7PA <aceitar=, ;C%P <bloquear= ou C7D7-A <re3eitar= $e acor$o co( a necessi$a$e e con)igura'o estipula$a para o firewall& III& Ca/,es para a utili/a'o $o Linu & % Linu . u( siste(a operacional basea$o no 2ni , $ispon0vel sobre licen'a pEblica G@2 <General Public License=& % que signi)ica que se po$e ter acesso gratuito ao c:$igo )onte e per(itin$o inclusive, reali/ar quaisquer altera',es no original a$quiri$o 456& A )iloso)ia open source <so)tware livre= ve( a contribuir quantos aos avan'os e progressos $o c:$igo*aberto, pois a partir $isso to$o o usu+rio porta$or $a )iloso)ia, inova co( a cria'o e (o$i)ica'o visan$o pri(eira(ente no conheci(ento e co(partilha(ento $e e peri>ncias& A partir $e i$.ias inova$oras, o Linux est+ ca$a ve/ (ais ganhan$o espa'o por apresentar caracter0sticas $e u( siste(a operacional est+vel, robusto e (ais seguro poss0vel para o usu+rio& % Iptables nativa(ente presente e( seu Bernel, . u( e e(plo que a troca $e e peri>ncias e( sites o)iciais Linu , absorve to$os os $ias aper)ei'oa(ento $e sua estrutura b+sica que consiste( e( tabelas e regras& Isso gra'as 1 pol0tica $e livre arb0trio $o c:$igo*)onte& ;entre outros )atores econF(icos, quanto ao (enor custo 3+ que se trata $e u( siste(a operacional gratuito& Por e e(plo, para u(a pequena e(presa investir e( Linu , na estrutura iptables seria vi+vel a ponto $e obter gastos so(ente na (o*$e*obra e no e( licencia(ento $o so)tware, $entre outras )erra(entas que se po$e utili/ar $este universo livre& IV& Funciona(ento $o Firewall e Regras @o artigo )oi consi$era$o u( a(biente corporativo e peri(ental(ente e( laborat:rio, utili/a(os 1 $istribui'o ;ebian co( o Bernel #&G&5H e o so)tware putt! a )i( $e e ecutar os scripts& -on)or(e a Figura 5 e istir+ u(a barreira $e prote'o, este ser+ o servi$or )irewall para a LA@ <Local Irea @etworB=, u(a ve/ que, o )irewall servir+ $e escu$o para os ataques que venha( a ocorrer a partir $a internet&

Figura5? -en+rio $a )iltrage( $e pacotes reali/a$os pelo )irewall

@este )irewall, $evero estar con)igura$os to$as as principais regras contras ataques $a re$e, $e acor$o co( a estrutura b+sica $o firewall Iptables& Al.( $os )iltros que so e(prega$os, os pacotes ipp2p e la er !, estes sero )un$a(entais para os acessos in$evi$os na re$e, no senti$o $e controlar a ban$a para os servi'os $e (aior priori$a$e ou acessibili$a$e, por e e(plo, JAAP <" per Text Transfer #roto$ol=, SMAP <%imple &ail Transfer #roto$ol=, P%PK <#ost 'ffi$e #roto$ol=, FAP <File Transfer #roto$ol=, SSJ <%e$ure %(ell= tero acesso $e (aior priori$a$e e aplica',es P#P <peer)to)peer= entre outros sero a princ0pio bloquea$os, con)or(e ser+ aco(panha$o (ais a$iante& %s servi'os que i(plica( no $ese(penho $a re$e, por e e(plo, servi'os peer)to)peer po$ero ser bloquea$os a )i( $e no congestionar a re$e e no pre3u$icar o )uncion+rio que $ese3a ler ou respon$er e* (ails co( urg>ncia, reali/ar pesquisas na internet $e acor$o co( suas necessi$a$es no trabalho& As tabelas )ilter e @AA )unciona( co(o prote'o, pois o usu+rio $a e(presa possuir+ u(a barreira contra ataques $a re$e, $entre eles? v0rus, invas,es virtuais, malwares etc& Atrav.s $a Figura #, . poss0vel analisar inicial(ente $e que )or(a as tabelas @AA e )ilter, trabalha( no Bernel <nEcleo $o siste(a operacional= $e acor$o co( suas respectivas regras&

7 iste( as regras que so )un$a(entais para a an+lise $e aceita'o ou bloqueio $o pacote& ;e acor$o ain$a co( a Figura #, atrav.s $a regra #R.R'*TIN/, o pacote so)re rotea(ento ao entrar na re$e, so)ren$o ;@AA <,estination Network Address Translate=, no #'%TR'*TIN/, . poss0vel alterar caracter0sticas $e orige( $o pacote ap:s o rotea(ento, pois no se po$e alterar seu $estino por que este pacote 3+ so)re o rotea(ento, este )inali/a o processo que o pacote reali/a antes $e sair para o (un$o $as in)or(a',es& @esta regra, o pacote so)re S@AA <%our$e Network Address Translate =&
Figura #? Aabelas NAT e filter Fonte? http?LLwww&vivaolinu &co(&brLartigoL7strutura* $o*IPAables*#*a*tabela*natLMpaginaN5

V& Incre(entan$o co( os (:$ulos? La!er "e IPP#P % La er ! . u( )iltro $e pacotes que se baseia no protocolo $a aplica'o utili/a$a& -o( a aplica'o $o La er !, o Iptables, passa a suportar (ais )uncionali$a$es, co(o por e e(plo, bloquear os aplicativos MS@ <(essenger=, Oahoo Messenger, I-P, )iltrar pacotes $o Qa/aa, JAAP, Dabber, -itri , Bittorrent, FAP, Gnucleus, etc4R6& % (:$ulo la!er " )uncionar+ co(o u( )iltro $e pacotes na re$e, trabalhan$o no n0vel $a ca(a$a $e aplica'o $o (o$elo %SI, ou se3a, reali/an$o a )iltrage( $e pacotes $ireta(ente no Bernel <nEcleo= $o siste(a operacional& ;e (o$o que o protocolo in$ese3a$o con)igura$o co(o 8;C%P9 $erruba a cone o& A princ0pio ser+ utili/a$o a )i( $e bloquear servi'os que pre3u$ique( na estabili$a$e $e tr+)ego na re$e, consi$eran$o que servi'os peer*to*peer a)eta( pre3u$ican$o no controle $e ban$a $a re$e& Pois u( servi'o peer)to)peer, por e e(plo, 0itorrent, .mule, ou servi'os inseguros quanto aos sites $e bate*papos, 1ou Tube proporciona( u( congestiona(ento $e pacotes na re$e, consi$eran$o os $e alta priori$a$e para o bo( $ese(penho e controle $e tr+)ego $os servi'os $esigna$os pelo firewall& Aa(b.( in)luenciar+ $ecisiva(ente na (enor propor'o no risco $e v0rus& @a (aioria $as ve/es, arquivos $e v0$eos, +u$io ou bate* papos po$e( a$quirir ataques (aliciosos, ocasionan$o os (ais $iversos proble(as na re$e, por e e(plo, (ensagens in$evi$as ou no autori/a$as nas (+quinas ca$astra$as na re$e, entre outras ocorr>ncias causan$o s.rios riscos 1 seguran'a $e $a$os e no bo( an$a(ento $a e(presa co( transtornos $e (+quinas lentas <no necessaria(ente, pois po$e ser u( ou v+rios v0rus no co(puta$or=& Al.( $o La er !, ser+ utili/a$o ta(b.( o (:$ulo I##2#, este ser+ utili/a$o

Para o $esenvolvi(ento $o )irewall as regras $e constru'o $as tabelas $eve( estar (uito be( )le ibili/a$as, ou se3a, nos servi'os que tero acesso per(iti$o ou bloquea$o na re$e& Al.( $e )le ibili/a$as, $eve*se ter o cui$a$o $e priori/ar ou no qual pacote ser+ privilegia$o para o usu+rio )inal e( se tratan$o $e a(bientes corporativos, pois a con)ec'o $as regras acarreta $ecisiva(ente na prote'o $a re$e& A )le ibili/a'o $e regras caracteri/a $e que )or(a o Iptables )iltrar+ esse pacote $e IP <Internet #roto$ol= ou porta $e $estino ou porta $e orige(, ser+ rotea$o pelo host servi$or, . e ata(ente o que a Figura # ilustra& Inicial(ente no c:$igo $e con)igura'o $o firewall, alguns (:$ulos so ativa$os $entre eles as tabelas @AA e filter e os )iltros $a ca(a$a $e aplica'o <la er ! e ipp2p=& Posterior(ente a$ota(os a pol0tica ;C%P <bloqueio=, pois $essa )or(a garanti(os que o pacote bloquea$o no passar+ pelo )irewall, caracteri/an$o a (e$i$a $e seguran'a na re$e& @a tabela )ilter ocorre( 1s regras $e )iltrage(, possibilitan$o analisar os pacotes $e acor$o co( as seguintes chains <regras=? $e $estino na pr:pria (+quina <IN#*T=, os pacotes gera$os local(ente <'*T#*T= e qualquer pacote que este3a tra)egan$o, sen$o oriun$o $e outra (+quina e $irecionan$o para outra <F'R+AR,=& @esta tabela so bloquea$os os pacotes (al )or(a$os, servi'os A-P <Transmission -ontrol #roto$ol= in$ese3+veis, nela que os pacotes que $evero tra)egar livre(ente se( bloqueio e atuar na prote'o $e ataques (aliciosos& @a tabela @AA encontra*se 1s regras $e con)igura'o $as portasLIP $e orige(L$estino $a (+quina&

a )i( $e proporcionar u( eleva$o n0vel $e seguran'a quanto as aplica',es peer*to*peer, ocasiona$o no controle $e ban$a $a re$e, u(a ve/ que aplica',es #2# tero acesso restrito, ou se3a, $epen$er+ se o usu+rio necessitar a)ins $e a3u$ar e( seu trabalho e no atrapalhan$o no an$a(ento $os outros pacotes na re$e quanto ao tr+)ego $as in)or(a',es& @a reali$a$e sero privilegia$os algu(as portas A-PL2;P, en$ere'os IP ou re$es, a )i( $e )ornecer a estes u(a (aior largura $e ban$a a )i( $e tra)egar os $a$os (enos i(portantes, por e e(plo, e( u(a e(presa& A princ0pio, servi'os peer*to*peer, so)rera( 8;C%P9, a )i( $e bloquear a cone o, contu$o utili/an$o a caracter0stica $e )le ibili/a'o $e regras $o iptables, . poss0vel restringir o acesso a $eter(ina$os co(puta$ores& -onsi$eran$o u( a(biente corporativo ne( to$as as (+quinas sero bloquea$as para o acesso $e aplica',es peer*to*peer, por e e(plo, por pol0tica $e seguran'a apenas o a$(inistra$or $a re$e ter+ livre acesso $a LA@ e internet&

VI& Ataques (aliciosos -o( o avan'o $o co(.rcio eletrFnico <e* business= e as correspon$>ncias eletrFnicas <e*(ail=, os recursos co(putacionais e presen'a $a Internet no a(biente corporativo so i(prescin$0veis, tornan$o* as $epen$entes $este tipo $e tecnologia& -o( o au(ento $a populari/a'o $a Internet, . poss0vel a reali/a'o $e cursos 1 $istSncia, transa',es co(erciais on*line, pesquisas, etc& -ontu$o, h+ o la$o inseguro $a Internet, que so pessoas (al intenciona$as procuran$o brechas e istentes nos siste(as $an$o a chance $e reali/ar sabotagens eletrFnicas co(o o van$alis(o virtual a )i( $e obter acesso no*con)i+vel, roubo $e in)or(a',es etc& ;essa )or(a os i(pactos causa$os pelos ataques vin$os $a Internet ou $a pr:pria re$e interna gera( pre3u0/os e po$e( at. a(ea'ar a continui$a$e $o neg:cio $as e(presas& -o( a alta $os casos $e inseguran'a $a in)or(a'o co(o ataques que sero $evi$a(ente co(enta$os, $o tipo ,'%(,enial of %er2i$e) (% n)flood, Tirn33), I# spoofing, +orms, Tro4ans, #ing da morte, #ort s$anners e outros servi'os $a Internet que so utili/a$os para a $isse(ina'o $e c:$igos (aliciosos, co(o? co(unica'o instantSnea <I-P, MS@, etc&=, p+ginas co( conteE$o pornogr+)ico, sites $e relaciona(entos co(o %rBut, $ownloa$ $e arquivos $e )ontes no con)i+veis,

principal(ente os $as re$es #2# co(o 5a6aa, .mule, entre outrosT . ca$a ve/ (ais necess+ria a a$o'o $e u(a pol0tica $e seguran'a $a in)or(a'o pelas organi/a',es evitan$o ta(b.( e por a i(age( $a organi/a'o, e sobrecarregar a ban$a $e re$e antecipan$o $esta )or(a investi(entos e( linB $e Internet& Sen$o assi(, i(plantar pol0ticas $e )irewall e controle $e acesso 1 re$e no servi$or $e Internet para o a(biente corporativo (ini(i/a os riscos e as a(ea'as vin$as $este canal $e co(unica'o utili/a$o pelos )uncion+rios $as e(presas co( o intuito $e cu(prir as ativi$a$es relaciona$as ao trabalho e, e( $eter(ina$os (o(entos esses )uncion+rios acessare( p+ginas e bai a( arquivos $e )ontes no con)i+veis, po$en$o assi(, e por ou co(pro(eter a integri$a$e $os siste(as co(putacionais e istentes no a(biente $e neg:cios $a organi/a'o&4#6 Para a @BC IS%LI7- 5""UU <#VVW, p& i = $e)ine seguran'a $a in)or(a'o co(o 4&&&6 8a prote'o $a in)or(a'o $e v+rios tipos $e a(ea'as para garantir a continui$a$e $o neg:cio, (ini(i/ar o risco ao neg:cio, (a i(i/ar o retorno sobre os investi(entos e as oportuni$a$es $e neg:cio&94R6& /rote&o contra I) #poofing IP spoofing . u(a t.cnica $e ataque que consiste e( )or3ar <spoof= pacotes IP utili/an$o en$ere'os $e re(etentes )alsi)ica$os, ou se3a, consiste na troca $o IP original por outro, po$en$o ento se passar por u( outro host& Por (eio $e I# %poofing algue( po$e se aproveitar $e hosts con)i+veis ar(a/ena$os no arquivo 7r(osts, e acessar e( (+quinas via rlogin, por e e(plo, on$e no . pe$i$o senha& A prote'o contra IP %poofing ser+ )eita bloquean$o as re$es geral(ente utili/a$as para este )i(, on$e encontra(*se os IP )alsos por e e(plo? 5V&V&V&V, 5"#&5G&V&V e 5U#&5GH&V&V& Isto ser+ )eito atrav.s $a especi)ica'o $e en$ere'os $e orige(L$estino 3unto co( a inter)ace $e re$e, para $etectar os ataques& A l:gica . que to$os os en$ere'os que no $eve( vir $a inter)ace O <que ser+ especi)ica$a= $eve( ser i(e$iata(ente nega$os4"64H6& A )igura K (ostra u( e e(plo $e co(o )unciona o ataque p: I# %#oofing8

Ziptables *A S-A@@7C *( li(it **li(it 5WL ( *3 L%G **log*level G **log*pre)i [FIC7\ALL? port scanner? [ Ziptables *A S-A@@7C *3 ;C%P Ziptables *A I@P2A *p tcp **tcp*)lags ALL FI@,2CG,PSJ *i ZIFX7]A7C@A *3 S-A@@7C Ziptables *A I@P2A *p tcp **tcp*)lags ALL @%@7 *i ZIFX7]A7C@A *3 S-A@@7C Ziptables *A I@P2A *p tcp **tcp*)lags ALL ALL *i ZIFX7]A7C@A *3 S-A@@7C Ziptables *A I@P2A *p tcp **tcp*)lags ALL FI@,SO@ *i ZIFX7]A7C@A *3 S-A@@7C Ziptables *A I@P2A *p tcp **tcp*)lags ALL SO@,CSA,A-Q,FI@,2CG *i ZIFX7]A7C@A *3 S-A@@7C Ziptables *A I@P2A *p tcp **tcp*)lags SO@,CSA SO@,CSA *i ZIFX7]A7C@A *3 S-A@@7C Ziptables *A I@P2A *p tcp **tcp*)lags SO@,FI@ SO@,FI@ *i ZIFX7]A7C@A *3 S-A@@7C
Fig&K? 7 e(plo $e ataque IP Spoo)ing Fonte? http?LLpt&wiBipe$ia&orgLwiBiLIPXspoo)ing

/rote&o contra *orms e Tro+ans /rote&o contra /ing da morte @o A-P a cone o . orienta$a, ou se3a, ca$a pacote $e $a$os <bitYs por segun$o= te( que ter o ta(anho e ato, o ping $a (orte consiste no envio $e pacotes A-PLIP $e ta(anho inv+li$os para servi$ores, ocasionan$o o trava(ento ou o i(pe$i(ento $e trabalho $os (es(os& Para i(pe$ir esses ataques sero cria$as regras no iptables para li(itar e( u(a ve/ por segun$o a passagens $e pings(e$(o re9uests= e li(itar ta(b.( as respostas a pings (e$(o repl = a u(a por segun$o&4H6 /rote&o contra )ort #canning #ort %$anning <varre$ura $e portas=? u( ataque $e port scanners $ar*se na avalia'o $e u( siste(a co( a inten'o $e saber quais servi'os esto $ispon0veis no (es(o, atrav.s $a observa'o $as portas $e servi'os 2;P e A-P& -o( as in)or(a',es consegui$as por (eio $esse tipo $e ataque, . poss0vel investir es)or'os para pre3u$icar recursos espec0)icos& %s so)twares respons+veis por e)etuar este tipo $e ataque so conheci$os co(o port scanners e $entre os (ais conheci$os est+ o @(ap, $ispon0vel para siste(as Linu & Para proteger a re$e $esse tipo $e ataque sero cria$as regras no iptables que i(pe$e cone ,es e ecuta$as pelos port s$anners&4R64H6 2( +orm . u(a subclasse $e v0rus que nor(al(ente espalha*se se( intera'o $o usu+rio e espalha c:pias co(pletas <possivel(ente (o$i)ica$as= $e si (es(o atrav.s $as re$esT consu(in$o assi( a (e(:ria ou largura $e ban$a, )a/en$o co( que u( co(puta$or ou u(a re$e )ique trava$o& -o(o essa subclasse $e v0rus no necessita $e u( progra(a para se espalhar, po$e in)iltra*se e( u( siste(a e possibilitar que outra pessoa controle 1 $istSncia& 4R64H6 %s tro4ans so progra(as (aliciosos $is)ar'a$os $e progra(as leg0ti(os, $i)erente(ente $e worms, no se replica(& So instala$os $ireta(ente no co(puta$or e espalha(*se quan$o o usu+rio e ecuta u( progra(a $escui$a$osa(ente, porque pensa ser $e u(a )onte leg0ti(a& % servi$or $o tro4an se instala e se escon$e no co(puta$or $a v0ti(a, geral(ente $entro $e outro arquivo& Puan$o esse arquivo . e ecuta$o, o co(puta$or po$e ser acessa$o pelo cliente, que ir+ enviar instru',es para o servi$or e ecutar certas opera',es no co(puta$or $a v0ti(a& -o(o prote',es sero utili/a$as regras no iptables que bloqueia( acesso as portas que os tro4ans e worms usa( para cone o e( re$e& 4"64H6 ,"# $,enial of #ervice% ;e acor$o co( a $e)ini'o $e SA7I@, L& ^ SA7\ACA 4G6, @ega'o $e Servi'o <;oS= . u( tipo $e ataque que possibilita $ei ar u( siste(a inutili/+vel ou consi$eravel(ente lento para os usu+rios

Ziptables *@ S-A@@7C

leg0ti(os consu(in$o seus recursos, $e )or(a que ningu.( consegue utili/+*los& Para isso, so utili/a$as t.cnicas que po$e( sobrecarregar u(a re$e a tal ponto e( que os ver$a$eiros usu+rios $ela no consiga( us+*la, $errubar u(a cone o entre $ois ou (ais hostsT enviar u( nE(ero absur$o $e requisi',es a u( site at. que este no consiga (ais ser acessa$o e ain$a negar acesso a u( siste(a ou a $eter(ina$os usu+rios& 33os ,,istributed ,enial of #ervice% A @ega'o $e servi'o $istribu0$o <;;oS= consiste no uso $a co(puta'o $istribu0$a para e)etuar os ataques& % atacante inva$e e controla v+rios co(puta$ores para e ecutar o ataque a partir $e $i)erentes pontos si(ultanea(ente e coor$ena$os sobre u( ou (ais alvos& ;e u(a (aneira be( si(ples ;;os na$a (ais so $o que ;os e( larga escala& A topologia $e u(a re$e ;;oS . $ivi$i$a e( quatro partes& %s siste(as atacantes so $ivi$i$os e( agentes e (estres& %s agentes pro$u/e( o tr+)ego que ir+ pro$u/ir a nega'o $e servi'o, on$e estes agentes so controla$os por u( ou (ais (estres& % uso $e $uas ca(a$as <(estres e agentes= entre o atacante e a v0ti(a $i)iculta o rastrea(ento4G64H6& -on)or(e $e(onstra$o na )igura R abai o?

% ArinVV consiste e( u(a )erra(enta $e ataque ;;os e usa os protocolos 2;P e A-P para co(unicar*se co( o servi$or, necessitan$o assi( utili/ar portas, tornan$o (ais )+cil a $etec'o $evi$o a troca $e (ensage(& Para co(bater esta )erra(enta, atrav.s $as regras $o iptables, ir+ ser (onitora$o tr+)ego 2;P e A-P, visan$o 1s portas utili/a$as para a co(unica'o entre (estres e escravos, i(pe$in$o a utili/a'o $os co(puta$ores $a re$e para os ataques& 4H6 @a pol0tica $e seguran'a proposta 1 regra ;C%P )oi utili/a$a a )i( $e bloquear e encerrar cone ,es $e invaso oriun$o $a internet <7]A7C@A= para a LA@, con)or(e segue o script abai o? Ziptables *@ ACI@%% Ziptables *A ACI@%% *( li(it **li(it 5WL( *3 L%G **log*level G **log*pre)i [FIC7\ALL? trinoo? [ Ziptables *A ACI@%% *3 ;C%P Ziptables *A I@P2A *p A-P *i ZIFX7]A7C@A **$port #"RRR *3 ACI@%% Ziptables *A I@P2A *p A-P *i ZIFX7]A7C@A **$port #"GGW *3 ACI@%% Ziptables *A I@P2A *p A-P *i ZIFX7]A7C@A **$port K5KKW *3 ACI@%% Ziptables *A I@P2A *p A-P *i ZIFX7]A7C@A **$port KRWWW *3 ACI@%% Ziptables *A I@P2A *p A-P *i ZIFX7]A7C@A **$port KWWWW *3 ACI@%% /rote&o contra #yn (lood Puan$o u( cliente tenta estabelecer u(a cone o A-P co( u( servi$or, o cliente e o servi$or troca( u(a s.rie $e (ensagens, on$e cliente requisita u(a cone o envian$o u( SO@ <s n$(roni6e= ao servi$or, $epois o servi$or con)ir(a esta requisi'o (an$an$o u( SO@*A-Q $e volta ao cliente, por )i( o cliente respon$e co( u( A-Q, e a cone o est+ estabeleci$a& % SO@ flood ou ataque SO@ consiste e( u( ataque $e nega'o $e servi'o, no qual o atacante envia u(a seq_>ncia $e requisi',es SO@ para u( host* alvo se( respon$er co( A-Q& ;essa (aneira o servi$or ir+ esperar por u( $eter(ina$o te(po, 3+ que u( congestiona(ento $e re$e po$e ocasionar a )alta $o A-Q& Por.( co(o o ataque . constante a cone o con)igura*se na cha(a$a cone o se(i*aberta ocupan$o recursos $o servi$or, causan$o pre3u0/os para e(presas que utili/a( so)tware licencia$os por cone o& Para este caso ser+ utili/a$a u(a regra que li(ita o aten$i(ento $e requisi',es $e cone ,es a # por segun$o4"64H6& @a )igura W $e(onstra*se o

Fig&R? 7 e(plo $e ataque ,dos Fonte?http?LLwww&vivaolinu &co(&brLartigoL@egacao*$e servicoI(ple(entacao*$e)esas*e*repercussoesM pagina:;

/rote&o contra Trin--

estabeleci(ento $e cone o e( con$i',es nor(ais 3+ na )igura G e( ataque S!n Floo$?

A rela'o custoLbene)0cio co(preen$e nos gastos que essa e(presa no ter+ e( licencia(ento $o siste(a operacional, e si( no servi'o $e con)igura'o $e regras, ou se3a, na (anuten'o $o )unciona(ento e)iciente $o )irewall& ;essa )or(a, a o)erta $e u( )irewall nos pa$r,es $escritos neste artigo possui u(a gran$e aceita'o nas gran$es e(presas $e acor$o co( a pesquisa reali/a$a pela ISF <Instituto Se( Fronteiras= neste ano, on$e $estaca que "Ka $as e(presas utili/a( so)tware livre&
VIII& Ce)er>ncias Bibliogr+)icas

Fig&W? 7 e(plo $e cone o nor(al estabeleci$a Fonte? http?LLwww&answers&co(LtopicLs!n*)loo$*attacB

456 4#6 4K6

S& A& Cibeiro& Firewall em Linux& Minas Gerais, #VVR& pps&5V,&RK, WW& ;ispon0vel e(? http?LLwww&ginu &u)la&brL)ilesL(ono* Sil$enirCibeiro&p$) A& L& $os S& ;o(ingues, -& C& Fonseca,& %eguran<a de redes $om uso de um apli$ati2o firewall nati2o do sistema Linux& Cibeiro Preto #VVG& KVp& @& G& P& -osta& 8Proposta para (igra'o $e u( ponto $e Ce$e \ireless co(ercial, $e u( Prove$or $e Internet via C+$io, para estrutura con)igura$a e( So)tware Livre&9 p& 5#,& ;ispon0vel e(? http?LLwww&ginu &u)la&brL)ilesL(ono* @il(ara-osta&p$) D& D& $e Li(a,& &e$anismos de %eguran<a da Informa<=o no Ambiente -orporati2o8 as ferramentas iptables e s9uid no ser2idor de internet $omo firewall e $ontrole de a$esso& Mato Grosso*Con$on:polis #VVG& p+gs& 5G,#",WW& J& L&Duc+, T>$ni$as A2an<adas de -one$ti2idade e Firewall em /N*?LIN*@7 Cio $e Daneiro, BCASP%CA Livros e Multi(i$a Lt$a&, #VVW& p+g& 5WR& L& SA7I@ ^ D& SA7\ACA, Securing Against ;enial o) Service AttacBs& ;ispon0vel e(? http?LLwww&wK&orgLSecurit!LFaqLwwws)G&ht(l 2rubatan @7A%, ;o(inan$o Linu Firewall Iptables& 5& 7$& -i>ncia Mo$erna& #VVR& 55# p& A& D& P& @ogueira,& In2as=o de Redes8 Ata9ues e ,efesas& -i>ncia Mo$erna& #VVW& 5VRp&

4R6

4W6
4G6 Fig&G? 7 e(plo $e cone o e( % n Flood Fonte? http?LLwww&answers&co(LtopicLs!n*)loo$*attacB 4"6

VII& Cesulta$os Analisan$o o )irewall a$ota$o co(o pol0tica $e seguran'a a partir $as tabelas e regras )le ibili/a$as, proveio 1 an+lise $os pacotes bloquea$os, portas ou IP`s co(o os acessos $e protocolos garanti$os na re$eT a prote'o contra v0rus e bloqueios $e servi'os que co(pro(eta no controle $e ban$a etc& %s recursos $e )iltrage( $e pacotes e a )le ibili/a'o $as regras preenchera( a lacuna $e inseguran'a que )oi prevista consi$eran$o u(a e(presa )ict0cia e analisa$a con)or(e a aplica'o $o firewall iptables, ou se3a, a utili/a'o $o siste(a operacional Linu 3unta(ente co( seu )irewall, no $ei ou na$a a $ese3ar, consi$eran$o o quesito seguran'a&

4H6