Prof.

Sandro Wambier

Firewall o mecanismo de segurana interposto entre a rede interna e a rede externa com a finalidade de liberar ou bloquear o acesso de computadores remotos aos servios que so oferecidos em um permetro ou dentro da rede corporativa.

no protege contra ataques internos e usurios mal intencionados; No protege contra vrus; no protege contra portas dos fundos abertas (backdoors) por exemplo o uso de modens.

Filtros de pacote

# regra
#1

origem
qualquer

destino
interno

protocolo
TCP

porta de origem
qualquer

porta de destino
23

ao
bloqueia

#2
#3 #4

IP x.x.x.x
Interna qualquer

interno
qualquer interna

TCP
TCP TCP

qualquer
qualquer qualquer

23
21 21

permite
Permite bloqueia

O IPTables um sistema que realiza filtragem de pacotes para ambientes Linux. Ele passou a estar integrado ao sistema operacional a partir das verses 2.4.X do kernel. O Iptables em sua estrutura possui 3 tabelas principais:

Filter (padro): Usada para as regras ligadas operao do filtro de pacotes; NAT: Usada para regras que implementam a funo de NAT/NAPT; Mangle: Implementa alteraes especiais em pacotes.

INPUT: pacotes cujo destino o prprio computador OUTPUT: pacotes emitidos pelo prprio computador FORWARD: pacotes que esto sendo roteados

DROP: descarta o pacote

REJECT: descarta o pacote e manda uma mensagem ICMP para a origem ACCEPT: aceita o pacote LOG: registra o pacote

iptables ( comando ) ( parmetro ) ( extenses )

Ex: iptables A INPUT -p TCP s 192.168.7.106 j DROP

Iptables h
Invoca a ajuda dos comandos.

Iptables L
Lista as regras do iptables

Iptables F
Limpa todas a regras e deixa a regra padro.

Iptables P (cadeia) (ao)

Define regra como padro

Iptables C
Checa as regras bsicas do firewall.

-A :

adicionar uma nova regra a uma cadeia.

ex.: iptables A INPUT Adiciona um nova regra ao final da lista.

-D : apaga uma regra em uma posio da cadeia,

ex.: iptables D INPUT Apaga a regra inserida anteriormente. ex.: iptables D FORWARD 2 Apaga a regra de nmero 2 referente ao chain

-R : substitui uma regra em uma posio da cadeia. iptables R FORWARD 2 s 192.168.7.105 192.168.1.0/8 j DROP Substitui a segunda regra referente a chan.

-I : inserir uma nova regra ao nicio da lista de regras ( parecido com A) ex.: iptables I OUTPUT

-N : Cria uma nova regra com um nome especfico. ex.: iptables t filter N internet Cria uma nova chains internet sobre a tabela filter.
-E : Renomeia uma nova chain Ex. iptables e internet intranet -X : Apaga um chain criado Ex. iptables x intranet

-p (protocolo)
-i (interface)

Define qual o protocolo TCP/IP dever ser tratado. (TCP, UDP, ICMP ...) Define o nome da interface de rede de onde trafegaro os pacotes de entrada e sada do firewall. Parecido com a regra i, porm, somente as chains OUTPUT e FORWARD se aplica.

-o (interface)

-s (origem) / -d(destino)

(parmetro) ! (parmetro) -j (ao)

Define qual o endereo de origem e de destino que a regra atuar. Significa excluso e utilizado quando se deseja aplicar uma exceo a uma regra. Usa-se juntamente s, -d, -p, -i, -o e outros. Serve para especificar uma ao.

-f (fragmento)
--sport

Trata datagramas fragmentos. Porta de origem, com esta regra possvel aplicar filtros com base na porta de origem do pacote. Porta de destino, especifica a porta de destino do pacote e funciona de forma similar a regra sport Especifica quais os tipo de pacote ICMP pode passar ou no.

--dport

--icmp-type

-m (mdulo)
Carrega mdulo especial do Netfilter

-m state
Habilita o enquadramento pelo estado da conexo

--state <estado>[,<estado>...]
Aps -m state, descreve os estados aceitveis para a conexo do pacote

-m limit

--limit <nmero>/<unidade> --limit-burst <nmero>

Habilita o enquadramento por um limite temporal, com suporte a rajadas Determina o limite em nmero de pacotes por unidade de tempo. A unidade de tempo pode ser s[econd], m[inute], h[our] ou d[ay]. Determina o tamanho da rajada aceitvel, acima do qual o limite de pacotes por unidade de tempo ser imposto.

-m mac
Habilita o enquadramento por endereo de enlace MAC (s faz sentido nas cadeias INPUT e FORWARD, e em pacotes vindos de redes com endereos 802.2)

--mac-sorce
Especifica qual placa de rede atravs de seu endereo MAC, ir transmitir pacotes.

-m multiport

--source-ports <n1>[,<n2>][,...]

Habilita a extenso de filtragem por mltiplas portas Filtra pelas portas de origem especificadas, separadas por vrgula Filtra pelas portas de destino

--destination-ports <n1>[,...]
--ports <n1>[,...]

Filtra pelas portas de origem e destino (ambas devem ser iguais)

-m owner
Habilita filtragem por dono do pacote. S faz sentido para OUTPUT.

--uid-owner <uid>
Filtra pelo UID (nmero do usurio UNIX) efetivo do processo que gerou o pacote.

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Esta regra costuma encabear qualquer script de firewall iptables, pois j aprecia todos os pacotes pertencentes a conexes vlidas. Cabe s demais regras evitar que novas conexes indesejaveis aconteam.

iptables -A INPUT -p icmp --icmp-type echoreply -m limit --limit 2/s -j ACCEPT iptables -A INPUT -p icmp --icmp-type echoreply -j DROP
Essas duas regras, nesta ordem, limitam a aceitao de pacotes ICMP ECHO REPLY taxa de 2 por segundo. O excesso descartado

iptables -A FORWARD -s 10.0.2.0/24 -m limit --limit 10/s -j ACCEPT iptables -A FORWARD -s 10.0.2.0/24 -j DROP
Essas duas regras estabelecem um controle de trfego, que atinge os IPs da faixa 10.0.2.0/24. Apenas 10 pacotes por segundo sero roteados, os demais sero perdidos, o que simular um congestionamento de rede. uma providncia crua e precria, porm funcional, para castigar usurios mal-comportados no uso da rede (e.g. que usem programas estilo Emule).

iptables -A FORWARD -p tcp --dport 25 -j REJECT

Rejeita o roteamento de pacotes cujo destino seja um servidor SMTP.

iptables -A FORWARD -p tcp --dport 25 --syn -j REJECT

Rejeita conexes novas para servidores SMTP. Essa regra, se inserida num firewall ativo, no quebra as conexes ativas, apenas impede conexes novas

A arquitetura DMZ implementa uma camada de segurana extra atravs da adio de uma rede de permetro que isola a rede interna da rede externa . Isto alcanado pela colocao dos bastion hosts nesta rede de permetro, tambm comumente chamada de Zona Desmilitarizada.

Nesta verso simples, h dois dispositivos fazendo filtragem, denominados, nesta figura, Roteador Interno e Roteador Externo.
O Roteador Interno protege a rede interna da rede externa e da rede de permetro. O Roteador Externo protege a rede interna e a rede de permetro da rede externa.

Monte uma tabela similar aquela apresentada no exemplo considerando a implementao da seguinte poltica:

Os computadores da rede Interna podem acessar qualquer servidor Web na Internet;

Os computadores da rede Externa podem acessar apenas o servidor Web da rede Interna;

O servidor DNS interno deve poder se comunicar com outros servidores DNS na Internet;
O servidor de email interno deve poder receber e-mails vindos de outros servidores de email da Internet;

Todos os demais acessos so proibidos.