Redes Linux Lpi 01

7/30/2019 Redes Linux Lpi 01

1/295


2/295

Objetivos

Entender os princpios de redes decomputadores

Aprender os tipos de topologias

Conhecer dispositivos de redes

Modelo OSI e TCP/IP

RFC's

Endereamento


3/295

Introduo

Compartilhar informaes

Compartilhar servios

Disponibilidade

Interatividade


4/295

O inicio

A Arpanet Advanced Research ProjectsAgency na dcada de 60.

Transporte de informaes secretas.


5/295


6/295


7/295

Ponto a ponto

Caracteriza-se pela presena de apenas doispontos de comunicao um em cadaextremidade do enlace ou ligao emquesto.


8/295

Mutiponto

Nas ligaes multiponto observa-se presena detrs ou mais dispositivos de comunicao compossibilidade de utilizao do mesmo enlace.


9/295

Utilizao do meio fsico

Simplex Half-duplex

Full-duplex


10/295

Simples

O enlace utilizado em um dos possveis sentidosda transmisso.

S i m p l e x


11/295

Half-duplex

O enlace utilizado nos dois possveis sentidos datransmisso, porm apenas um por vez.

H a l f - d u p l e x

o u


12/295

Full-duplex

O enlace utilizado nos dois possveis sentidos datransmisso simultaneamente.

F u l l - d u p l e x


13/295

Topologia totalmente ligada


14/295

Topologia parcialmente ligada


15/295

Topologia em anel (ring)

Nessa topologia os dispositivos so conectados emsrie, formando um circuito fechado (anel). Osdados so transmitidos unidirecionalmente de n emn at atingir seu destino.


16/295

Topologia em barramento (bus)

Nessa topologia, todos os computadores, estoconectados ao mesmo meio fsico. Essa estruturapossui um comeo, meio e fim, limitada pelo cabode dados.


17/295

Topologia em estrela (stars)

Nessa topologia, tem-se que todos os nsencontram-se conectados a um n central. Nessecaso os perifricos se comunicam atravs da rede,passando o trfego atravs do n central.


18/295

Topologia de redes quanto a distncia

Redes geograficamente distribuidas

WANS Wide Area Networks

Redes locais

LANs Local Area Networks Redes metropolitanas

MANs Metropolitan Area Networks

Outras CANs Campus Area Networks

PANs Personal Area Networks


19/295


20/295

Dispositivos de Redes

As redes de computadores so formadas por umemaranhado de dispositivos onde cada um exerce sua

funo ou completa a funcionalidade de outro dispositivo derede.

Estudaremos aqui somente os dispositivos de redes maiscomuns, que so encontrados com mais facilidade nas

redes de computadores.


21/295

NIC Network Interface Card

A funo da interface de rede basicamente fornecerconectividade entre o host e o meio fsico da rede.

Taxa de transmisso: 10 Mbps / 100 Mbps / 1000 Mbps Conectada ao computador atravs de um slot de expanso

(ISA ou PCI) ou ainda parte da placa-me (On-board).

O controle de acesso ao meio feito atravs de um

endereo especial de cada NIC. O endereo MAC (Media Access Control) um nmero de

48 bits, 24 bits identificam o fabricante e o restante paraidentificar a placa desse fabricante.


22/295


Para visualizar o endereo MAC digite:

# ifconfig


23/295



24/295

Ethernet (10 Mbps)


25/295

Fast Ethernet (100 Mbps)


26/295

Gigabit Ethernet (1000 Mbps)


27/295


28/295


29/295


30/295

Switch - comutador

Cut-Through

L o MAC e manda o pacote diretamente para o destinoantes mesmo de terminar de chegar;

Store and Forward

L todo o pacote, verificando erros. Depois envia para odestino, livre de erros, descarta-o

Fragmente-Free Mistura de Cut-Through e Store and Forward, lendo

apenas 64 bytes iniciais.


31/295

Router (Roteador)

Dispositivo que permite interconexo entre diferentes redes,mesmo geograficamente distantes e at mesmo com

protocolos diferentes. Dispositivo que opera na camada 3 do modelo OSI.

Equipamento mais importante para o funcionamento dainternet.


32/295

Modelo OSI e TCP/IP

O trfego na rede gerado quando ocorre uma solicitaona rede.

A solicitao tem que ser alterada daquilo que o usurio vpara um formato que possa ser utilizado na rede.

Essa transformao possvel por meio do modelo dereferncia OSI e TCP/IP.

Regula a transmisso de dados desde o meio fsico at oaplicativo para o usurio.


33/295

Modelo OSI e TCP/IP

Conceitualmente, a comunicao em redes decomputadores implementada em nveis, ou camadas.Nesse esquema, cada camada responsvel por umaparte do processo de comunicao, seja ele implementadoem hardware ou software.

O modelo de camadas mais comum e genrico oproposto pela International Organization for Standardization(ISO), conhecido como ISO`s Reference Model of OpenSystem Interconnection, geralmente referenciado comoModelo ISO/OSI. Este define uma arquitetura genricacom 7 camadas.


34/295


35/295

Modelo OSI


36/295

Por que dividir em camadas?

Os engenheiros que criaram a pilha de protocolos TCP/IPdecidiram adotar o processo de camadas para que fossepossvel padronizar e facilitar a criao e manuteno decada processo envolvido na comunicao de redes.

Por exemplo, a camada de acesso a rede determina comoas interfaces de rede devem formatar os dados para enviarno meio fsico.

Isto permite que existam interfaces de rede do mesmopadro (ethernet) provenientes de diferentes fabricantes.

Dessa forma, cada componente envolvido na comunicaode redes est situado em uma ou mais camadas do modelode referncia.


37/295

Modelo OSI e TCP/IP

O modelo TCP/IP foi criado no inicio pelo projeto DARPA.

Foi e vem sendo utilizado como padro para muitasimplementaes de redes.

O modelo TCP/IP tem 5 camadas. Com o tempo, novos protocolos foram sendo criados,

seguindo o processo natural de desenvolvimento datecnologia de comunicao de dados.

O modelo OSI expandiu expandiu o modelo TCP/IP emmais camadas.

O sistema de relacionamento inter-camadas foi mantido,porm o modelo passou a contar com 7 camadas.


38/295

Modelo TCP/IP


39/295

Modelo TCP/IP


40/295


41/295

Modelo OSI e TCP/IP

O trfego de rede enviado na forma de pacotes de dados.

Uma pacote de dados a informao de um usuriotransformado em um formato entendido pela rede.

Cada camada adicionar informaes ao pacote de dados.

As informaes adicionadas a um pacote so chamadas de

cabealho. O cabealho de uma camada simplesmente a informaoque detalha o formato do pacote de dados


42/295


43/295

Encapsulamento


44/295

Request for Comment

Solicitao para comentrios.

So documentos distribudos gratuitamente pela internet e

continuam a evoluir conforme surgem novas tecnologias etcnicas.

http://www.rfc-editor.org


45/295


46/295

Protocolos

Aurlio: Conjunto de regras, padres especificaestcnicas que regulam a transmisso de dados entrecomputadores por meio de programas especficos,permitindo a deteco e correo de erros.

Os protocolos so como frases que uma interface derede tem que dizer para poder se comunicar com asoutras.

A primeira providncia que um protocolo de redes devetomar declarar qual protocolo estamos falando. Devehaver em algum lugar no incio da mensagem umindicador de protocolo.


47/295

Redes Internet Protocolos TCP/IP

A denominao TCP/IP dada a redes internet dado ouso de dois principais protocolos: o protocolo detransporte TCP (Transport Control Protocol) e o

protocolo de rede IP (Internet Protocol). Ambos,juntamente com outros protocolos sero vistos emdetalhes mais adiante.

A comunicao entre as mquinas pertencentes a redeocorre independente da arquitetura e caractersticas decada mquina.

possvel a comunicao entre diferentes redes (sub-redes), de maneira transparente, independente de seustamanhos, topologia e organizao.


48/295


dita uma rede de pacotes, pois a informao divididaem pacotes individuais que so reconstrudos ereordenados no destino.

Cada pacote pode inclusive percorrer um caminhodiferente.

Falhas em uma subrede no comprometem ofuncionamento da rede como um todo.


49/295

Operao lgica AND (&)Operao lgica AND (&)

Bit Bit Resultado

0 1 0

1 0 0

0 1 0

1 1 1


50/295

Endereamento IP

Em uma rede TCP/IP, cada mquina conectada rede chamada de host. Cada host, por sua vez, identificado por um nmero inteiro de 32 bits, chamadoendereo IP.

atravs do uso de endereos IP que toda a

comunicao em uma rede internet feita. A maneiramais comum de se representar um endereo IP atravs da notao decimal pontuada.


51/295


52/295

Endereamento IP

Conceitualmente, um endereo IP composto de duaspartes: o endereo da rede e o endereo do host.Este esquema utilizado para permitir a comunicao

entre redes diferentes (atravs de roteamento). Estaseparao feita atravs da utilizao de classes deendereos IP ou de mscara de rede.

Os endereos IP foram originalmente divididos emclasses conforme o nmero de bits utilizado paraendereamento da rede e do host, sendo que osprimeiros bits do endereo identificam a classe.


53/295



54/295



55/295



56/295



57/295


2 -2 = Nn/Nhn


58/295


59/295

Mscara de Sub-Rede

32 bits em notao decimal pontuada.

bits 1 indicam o endereo da sub-rede.

bits 0 o endereo do host.

Mscara default

Classe A: 255.0.0.0 ou /8 ou

11111111.00000000. 00000000.

00000000

Classe B: 255.255.0.0 ou /16 ou

11111111.11111111. 00000000.

00000000


60/295

Endereamento de Multicast

a entrega de informao para mltiplos destinatriossimultaneamente.

R o t e a d o r 1

H o s t 1

S e r v e r 1

R o t e a d o r 2

S e r v e r 2

R o t e a d o r 3

R e d e

G r u p o M u l t i c a s t

M e n s a g e m p a r a o

G r u p o M u l t i c a s t


61/295

Endereamento CIDR Mscara varivel

Com o crescimento da internet, veio a necessidade deampliao e flexibilizao das classes e da distribuiode endereos IP, o que motivou a criao de um novo

esquema, chamado CIDR (Classless Inter-DomainRouting).

Com isso ganhamos mais liberdade na determinao deendereos de redes/hosts e um melhor aproveitamentodo espao de endereos IP.


62/295

Endereamento CIDR Mscara varivel


63/295


64/295


65/295


66/295


67/295


68/295


69/295

Roteamento

na camada 3 (Rede) que so tomadas as decises deroteamento com base em endereos lgicos como o IP.

Protocolos roteveis

A funo do roteamento interligar redes ou sub-redesdiferentes.

Compara o ID da rede origem com o ID da rede dodestino.

Se o resultado for o mesmo, significa que os hosts estona mesma rede, assim o host de origem pode entregar opacote diretamente.


70/295

Roteamento

Tabela de Roteamento (forma genrica)Rede de destino: 200.250.0.0/24Gateway ou Next-Hop: 200.201.0.1Interface: eth0 ou 200.201.0.10Custo: 1


71/295

Roteamento

Tabela de roteamento do Roteador 1

Rede Gateway Interface Custo

200.201.0.0/25 --- eth0 0

10.1.1.0/30 --- Serial 0 0200.250.0.0/24 10.1.1.2 Serial 0 1


72/295

Roteamento



10.1.1.0/30 --- Serial 0 0

10.1.1.8/30 --- Serial 1 0200.201.0.0/25 10.1.1.1 Serial 0 1

200.250.0.0/24 10.1.1.10 Serial 1 1


73/295

Roteamento



10.1.1.8/30 --- Serial 0 0

10.1.1.12/30 --- Serial 1 0200.201.0.0/25 10.1.1.9 Serial 0 1

200.250.0.0/24 10.1.1.13 Serial 1 1


74/295

Roteamento



10.1.1.12/30 --- Serial 0 0200.250.0.0/24 --- eth0 ou 200.250.0.1 0

200.201.0.0/25 10.1.1.14 Serial 0 1


75/295

Roteamento

Se o resultado for diferente, o host de origem ir analisarsua tabela de roteamento em busca de uma entrada queespecifique para qual host (geralmente um roteador) os

dados devem ser entregues para alcanar determinadasub-rede.

Caso a busca na tabela de roteamento no encontre aentrada adequada, o host de origem enviar o pacote dedados para o gateway padro.


76/295

Endereamento Ethernet

o mais utilizado na conexo de redes internas

No padro Ethernet, cada dispositivo de rede fabricadotem uma identificao nica atravs de um nmero de

48 bits chamado endereo MAC.00:50:DA:C3:F1:9C

composto de 6 bytes, onde os 3 primeiros identificamo fabricante da placa.

Os bytes normalmente so exibidos em notaohexadecimal.


77/295

Protocolo ARP

responsvel pela resoluo (traduo) de endereosIP em endereos MAC.

Essa traduo necessria pois os dispositivos de

redes se identificam somente atravs de endereosMAC.

O protocolo IP antes de enviar um pacote, determinaatravs da mscara se o endereo de destino pertence

a mesma rede. Caso o endereo no pertena a mesma rede ele envia

o pacote para a porta do roteador, ambos usam ARP


78/295

Protocolo ARP


79/295

Protocolo ARP

A mquina remetente envia uma requisio ARP quebasicamente pergunta para toda rede quem que tem oendereo IP desejado.

00:04:76:eb:b5:21 f f:f f:f f:f f:f f:f f ARP Who has 10.0.5.1? Tell10.0.5.17

00:01:02:66:e7:90 00:04:76:eb:b5:21 ARP 10.0.5.1 at 00:01:02:66:e7:90

A mquina 10.0.5.17 construiria agora a sua tabela arp

IP de origem 10.0.5.17 IP de destino 10.0.5.1

MAC de origem 00:04:76:eb:b5:21 MAC de destino 00:01:02:66:e7:90


80/295

Protocolo ARP

Para evitar ter que enviar as requisies ARP repetidasvezes, o sistema operacional faz um cache temporriodas respostas (geralmente 30 segundos).

# arp -n


81/295

Resoluo de Nomes

A idia de resoluo de nomes permitir que, a partir deuma nome de host comowww.terra.com.br , chegue-seao endereo IP 200.154.56.80.

Nos primrdios na internet, todos os nomes de hostsexistentes eram armazenados em um arquivo texto queera distribudo entre as mquinas inter-conectadas.

Surgimento do DNS.
http://www.terra.com.br/http://www.terra.com.br/


82/295


83/295

Protocolo IP

Sempre que o conjunto de dados a ser transmitido formuito grande para o protocolo inferior (ethernet, porexemplo), ele fragmentado em tamanhos menores

MTU (Maximal Transmission Unit).

Cada fragmento desses recebe uma identificao quepermite ao destino remontar os fragmentos nodatagrama IP original.

Roteamento IP

TTL (Time To Live)

Cada vez que um datagrama IP passa por umroteador, um campo especial do seu cabealho decrementado.


84/295

Protocolo IP

TTL (Time To Live) A funo desse campo limitar o tempo de vida do

pacote, caso contrrio ele poderia ficar sendo roteadopara sempre entre as diversas redes existentes

nunca desaparecendo. Quando esse valor chega a zero, o pacote

descartado e uma mensagem ICMP enviada para oremetente indicando que o TTL expirou.

Este recurso utilizado por programas comotraceroute para mapear o caminho percorrido por umpacote da origem ao destino.

# cat /proc/sys/net/ipv4/ip_default_ttl


85/295


86/295

Protocolo ICMP

Mensagens mais importantes

Destination unreachable: o pacote no pode ser

entregue. Redirect: um roteador avisando uma estao queexiste outra rota para o destino desejado.

TTL exceeded: campo TTL chegou a zero

echo request e echo reply: utilizado principalmentepara saber se uma mquina ou servio esta ativo.


87/295


88/295

Protocolo UDP

O UDP utiliza o conceito de portas para identificarorigem e destino.

Uma empresa possui um nmero telefnico geral (oendereo IP), e funcionrios e setores possuem ramais(as portas).

Quando algum liga para o nmero geral (IP), pede oudisca um ramal (porta) e consegue falar com a pessoa(aplicao) desejada.


89/295

Protocolo UDP


90/295

Protocolo TCP RFC 793

TCP (Transmission Control Protocol)

um protocolo de nvel de transporte orientado aconexo.

Como tal oferece uma comunicao confivel entre aorigem e o destino.


91/295

Principais caractersticas do TCP

Controle de fluxo

Recuperao de erros

Transmisso full duplex (transmite e recebe ao mesmo

tempo). Reordenao de segmentos.

Assim como o UDP, utiliza o conceito de portas.

Opera com o conceito de fluxo de dados, a aplicao

no precisa se preocupar com detalhes como tamanhode pacotes. O protocolo se encarrega dissoautomaticamente.


92/295

Campos do pacote TCP

file:///file/:::Volumes:ANDRE:eibsbnet:tcp_segment.gif


93/295


Porta de Origem/Destino

Sequence Number: O emissor determinado seu prprionmero de sequencia

Acknowledgement number (ACK): O receptor confirma orecebimento


94/295


A flag URG indica que o segmento contm dadosurgentes e que deveriam ser processados pela mquinadestino o quanto antes.

A flag ACK indica que o segmento contm dados nocampo de confirmao.

A flag PSH indica que o segmento atual est sendoconstrudo contm dados que devem ser entreguesimediatamente.

A flag RST usada quando um evento causa umadesconexo indesejada.

A flag SYN indica o pedido de abertura de umaconexo.


95/295

Conexes three way-handshake

file:///file/:::Volumes:ANDRE:eibsbnet:tcp_handshake.png


96/295

Configurando o TCP/IP no Linux

ifconfig: utilizado tanto para configurar uma interfacede rede como para consultar seu estado.

Uso:

ifconfig [interface] endereo [opes] [up/down] interface: a interface que ser utilizada (eth0,ppp0)

up/down: Ativa/desativa interface

[endereo]: Endereo IP da interface

netmask : mscara de rede da interface broadcast: Endereo de broadcast da rede


97/295


98/295

Arquivos de configurao do TCP/IP no Linux

/etc/network/interfaces: o arquivo onde se configura asinterfaces de rede no Debian (e seus derivados).

## /etc/network interfaces auto lo

iface lo inet loopback

auto eth0 iface eth0 inet dhcp


99/295


auto lo

iface lo inet loopback

auto eth0

iface eth0 inet static

address 172.16.8.200

netmask 255.255.0.0

network 172.16.0.0

groadcast 172.16.255.255 gateway 172.16.0.1

dns-nameservers 172.16.0.1


100/295


auto: Inicia o NIC durante a inicializao.

iface: Nome da interface.

inet: O nome da famlia do endereo; inet=ipv4. Outrasescolhas so ipx e inet6.

static: O nome do mtodo usado para configurar ainterface, tanto esttica (ip fixo) ou dhcp


101/295


Deve-se reiniciar os servios de rede no Linux:

# /etc/init.d/networking restart

ou

# ifdown eth0

# ifup eth0

# invoke-rc.d networking restart


102/295


O arquivo /etc/resolv.conf contm os servidores DNSutilizados pela mquina.

## /etc/resolv.conf nameserver 192.168.200.1

nameserver 172.16.0.1


103/295


O arquivo /etc/hosts utilizado para resoluo de nomeslocais. Muito utilizando no inicio da internet.

## /etc/resolv.conf 127.0.0.1 localhost

172.16.8.200 instrutor.andre.net instrutor


104/295

Configurando rotas no Linux

route: o comando route configura e exibe informaes arespeito das rotas IP do sistema.

Uso:

route [add/del] [-net/host endereo] [opes] -n: no resolve nome

add/del: Adiciona remove uma rota

-net/-host IP: cria uma rota para uma rede ou host.

default: especifica a criao de uma rota padro. gw IP: especifica o endereo do roteador.


105/295

Exemplos de utilizao:

# route -n

# route del -net 10.0.20.0/24

# route del default

# route del -net 0.0.0.0 # route add default gw 172.16.0.1

# route add net 0.0.0.0 gw 172.16.0.1

# route add -net 192.168.200.0/24 gw 10.0.5.1

# route add -net 192.168.200.0 netmask 255.255.255.0gw 10.0.5.1


106/295


107/295


# netstat -A inet

# netstat -A inet -elp

# netstat -A inet -n

# netstat -nat

# netstat -ntlp

# netstat -putan | grep


108/295


109/295


# traceroute -nwww.brasil.gov.br

# traceroute www.caixa.gov.br
http://www.brasil.gov.br/http://www.brasil.gov.br/


110/295

Ferramentas de diagnstico de rede

ping: envia uma requisio ECHO ICMP(ICMP_ECHO_REQUEST) e mede o tempo de resposta(ICMP_ECHO_RESPONSE). Utilizado para verificardisponibilidade e responsividade de mquinas ouservios na rede.

Uso: ping [opes] endereo_destino

-c : quantidade de requisies a serem enviadas -i : o intervalo em segundo entre o envio derequisies. Padro 1 segundo.


111/295


# pingwww.brasil.gov.br

# ping -c 4 -i 10 172.16.8.200

# ping -f 172.16.0.1
http://www.brasil.gov.br/http://www.brasil.gov.br/


112/295


mtr: combina as funcionalidades do ping e do tracerouteem uma simples ferramenta de diagnostico de rede

Uso: mtr [opes] endereo_destino -n : no resolve nomes

# mtr www.caixa.gov.br


113/295


telnet: foi originalmente criado para efetuar loginsremotos utilizando o protocolo TELNET. comumenteusado para efetuar conexes em modo texto em portasde diversos protocolos permitindo a depurao deproblemas com protocolos que trafeguem em texto(HTTP, POP,IMAP, SMTP,etc)

Uso: telnet endereo_destino porta

# telnet 172.16.0.1 8080


114/295


115/295


-s : especifica o tamanho em bytes dacaptura a ser feita. Normalmente o tcpdump capturasomente os cabealhos dos pacotes.

-X: mostra os dados capturados em hexadecimal eASCII.

-p: coloca a placa de rede em modo promscuo.

[expresso]: o tcpdump tem uma linguagem onde

possvel especificar filtros de pacotes (baseando-seem informaes como portas, protocolos, hosts, etc).Leia o manual do tcpdump, muito importante.


116/295

Exemplos do tcpdump

# tcpdump -i eth0 -w teste.pcap

Executa o tcpdump conectado a interface eth0, enviando otrfego capturado para o arquivo teste.pcap

# tcpdump -n port 22 and host 172.16.8.200

No resolve nomes e captura o trfego apenas da e daporta 22 que tenho como origem ou destino o host172.16.8.200.

# tcpdump -i eth0 src host 172.16.8.200 and not port 22

Captura o trfego que tenha origem o host 172.16.8.200 e

que no seja da ou para a porta 22


117/295

Administrao deRedes Linux

Servios

LinuxProfessional

Institute

R


118/295


119/295

Acesso remoto

Conecte em uma mquina

# telnet 172.16.8.x

Testando uma conexo atravs do telnet # telnet 172.16.8.200 80


120/295

Acesso remoto: ssh

O openssh prov uma implementao aberto doprotocolo SSH (Secure Shell), que permite a execuode um shell remoto (login remoto) ou outros comandosde maneira segura atravs de canais criptografados.

Foi originado do openbsd.

Possui algumas ferramentas teis para gerenciamentode arquivos pela rede.

Sua instalao simples: # aptitude install openssh-server


121/295


122/295

Etapas de uma conexo ssh

4. Sesso criptografada estabelecida. Somente agora que ocanal de comunicao est protegido que o usurio tem achance de inserir sua senha ou utilizar algum outro mtodode autenticao.

Ao fazer a conexo ssh a um servidor pela primeira vez, ofingerprint ser gerado e exibido na tela, e pergunta para ousurio se pode continuar.


123/295

Conexo ssh

ssh [opes] [usurio@] [comandos remotos]

# ssh 172.16.8.x

# ssh -l root 172.16.8.x # ssh [email protected]

# ssh 172.16.8.x ls /etc

# ssh 172.16.8.x ls /etc > /tmp/saida.txt

# ssh 172.16.8.x tar czf - /var > backup_var.tar.gz
mailto:[email protected]:[email protected]


124/295

Envio/recebimento de arquivos - scp

Dentro do pacote do openssh temos a ferramenta scp (securecopy). Permite que arquivos sejam enviados entre mquinasutilizando os mesmo recursos de autenticao e criptografiaque o ssh.

scp [opes]

-r: faz uma cpia recursiva, ou seja, entrando em diretrios.

-v: verboso, exibe informaes adicionais.

-C: ativa compactao de dados.

-P: porta


125/295

Envio/recebimento de arquivos - scp

# scp arquivo 172.16.8.x:/tmp

Envia arquivo do diretrio atual para o diretrio /tmp namquina remota.

# scp [email protected]:/dados/* .

Cpia todos os arquivos do diretrio /dados da maquinaremota para o diretrio atual no cliente.

# scp -rC 172.16.8.x:/dados /tmp

Copia recursivamente o contedo do diretrio /dados damquina remota para o diretrio /tmp local utilizandocompresso dos dados durante a transmisso.
http://x/tmpmailto:[email protected]://x/dadoshttp://x/dadosmailto:[email protected]://x/tmp


126/295

Arquivo de configurao do servidor ssh

Editar o arquivo /etc/ssh/sshd_config

Port: Especifica em qual porta o servidor deve escutar.

Protocol: Especifica a verso do protocolo SSH a serdisponibilizada por este servidor.

PermitRootLogin: Permite que sejam efetuados logins comousurio root. No recomendvel. Inserir valor no.

ListenAdress: Indica qual interface poder aceitar conexes.

AllowUsers: Informa qual usurio pode efetuar login remoto.

AllowGroups: Informa os membros do grupo que podemacessar o servidor remotamente.


127/295


128/295

Controle de acesso no servidor ssh

Criar o grupo admins:

# groupadd admins

Criar os usurios e senha e inserir no grupo:

# useradd -m jedi -G admins

# useradd -m vader -G admins

# useradd -m obiwan -G admins

Realizar os testes


129/295


130/295

Autenticao por chave

Funcionalidade muito interessante do OpenSSH, onde aoinvs de utilizar uma simples senha para acesso (quepotencialmente tem poucos caracteres), utiliza-se um arquivocom uma chave criptogrfica (que contm algo como 1024 ou2048 bits).

O objetivo aqui criar um conjunto de chaves no cliente paraacessar via ssh servidores remotos sem ter que digitar asenha e sim digitar uma frase utilizando a determinada chave,ou seja, estabelecer uma relao de confiana entre cliente e

servidor remoto via chaves pblicas. O usurio deve ser o mesmo no cliente e no servidor.


131/295


Criar o usurio toor no servidor e no cliente. Gerar a chavepblica que vai ser compartilhada.

1. No cliente

# su toor $ ssh-keygen -t rsa

$ cd .ssh

$ ssh-copy-id -i id_rsa.pub [email protected]


132/295


2. No Servidor

# cd /home/toor/.ssh

# ls

# cat authorized_keys

# vim /etc/ssh/sshd_config

ChallengeResponseAuthentication no

Reinicie o ssh


133/295


2. No cliente

$ ssh 172.16.8.x

Agora faa um teste, crie o usurio yoda no servidor e nocliente, e na gerao da frase senha deixe em branco eefetue o procedimento.


134/295


135/295


136/295


137/295

Configurando Servidor NFS

rw (read write): permite que o cliente grave na pasta.

ro (read only): permite que o cliente somente leia napasta.

async : permite transferncia de dados assincrona, eportanto, mais rpida.

sync : permite transferncia de dados sincrona.

root_squash : bloquear o acesso ao root, ou seja,

modifica o UID das requisies de root para o usurionobody antes de eles irem ao sistema de arquivos.

no_root_squash : permite que o root remoto possaalterar arquivos no compartilhamento com as mesmas

permisses do root local O UID mantm


138/295


all_squash : Rebaixa todos os usurios a usurio

nobody. no_subtree_check : permite que o volume todo que foi

compartilhado seja exportado.


139/295


140/295

Opes do comando exportfs

-a : A operao afetar todos os diretrios exportados.

-r : Re-exporta todos os diretrios mencionados em /etc/exports. Usado quando o arquivo de configurao sofreualguma alterao.

-u: Remove a exportao do diretrio.

-v: Modo detalhado.

-o: Opes NFS a serem usadas para o diretrio em

particular.


141/295


Para verificar quais os compartilhamentos disponveisexecute o comando:

# showmount -e localhost # showmount -a localhost


142/295

Configurando Cliente NFS

Instalar os pacotes:

# aptitude install nfs-common portmap

# /etc/init.d/portmap restart

Ver quais diretrios esto sendo exportados,compartilhados.

# showmount -e 172.16.8.200


143/295

Configurando Cliente NFS

Montar o diretrio remoto na mquina local.

# mount -t nfs 172.16.8.200:/dados /mnt

# cd /mnt

Deixando automtico:

# vim /etc/fstab 172.16.8.200:/dados /mnt nfs auto,users,exec 0 0


144/295

id


145/295

Servidor FTP

Usurio anonymous

Conta especial para acesso pblico, com permissoapenas de leitura no servidor FTP, ou seja, ele sconsegue baixar arquivos do servidor.

Instalar o servidor FTP

# aptitude install vsftpd

Editar o arquivo /etc/vsftpd.conf


146/295

S id DHCP


147/295

Servidor DHCP

Conceitos de DHCP (Dynamic Host ConfigurationProtocol):

baseado no protocolo bootp. Assim como o bootp, elepermite que um administrador defina dinamicamentecaractersticas aos clientes que conectarem a rede.

Isto elimina a necessidade de se configurar informaesde rede como DNS, gateway e endereos IP aosclientes. Este protocolo muito til por exemplo, seutilizado com laptops e notebooks que so utilizados emvrias redes diferentes.

S id DHCP


148/295

Servidor DHCP

O DHCP tambm vital quando utilizado em grandesredes, onde manter sob controle todos os endereos econfigurar novos clientes pode gerar uma grande dor decabea.

Outra vantagem a reutilizao de endereos IP: tologo um cliente se desconecte da rede, o mesmoendereo usado por ele pode ser utilizado para o

prximo novo cliente.


149/295

C DHCP f i ?


150/295

Como o DHCP funciona?

2. O servidor DHCP, ao receber o pacote, consulta sua tabelade configurao e prepara uma resposta para a mquinacliente chamado de DHCP Offer. Esta resposta j contmuma oferta de configurao para o cliente, mas nada foi

reservado ainda.



151/295


3. O cliente, se concordar com a oferta do servidor, far umpedido formal de configurao especfico para esteservidor. Este pedido feito atravs de um pacotechamado DHCP REQUEST que basicamente contm

informaes que o servidor disse ter disponveis.



152/295


4. Se as informaes ainda estiverem vlidas, o servidorresponder com um pacote chamado DHCP PACK, egravar em sua base de dados local que este endereo IPoferecido deixou de estar vago .

Instalando Servidor DHCP


153/295

Instalando Servidor DHCP

# aptitude install dhcp3-server

O cliente j vem instalado na grande maioria dossistemas operacionais.

Configurando Servidor DHCP


154/295


Editar o arquivo /etc/dhcp3/dhcpd.conf

# vim /etc/dhcp3/dhcpd.conf



155/295


# Modo de atualizao do servidor DNS ( no utilizado

# nesse exemplo mas necessrio estar presente )

ddns-update-style none;

# Este servidor a autoridade na rede. Se existirem outros

# servidores DHCP, os comandos deste tem prioridade

authoritative;



156/295


# Tempo padro (em segundos) de emprstimo de um IP

default-lease-time 28800;

# Tempo mximo de emprstimo (tambm em segundos)max-lease-time 43200;

# Endereo do servidor DNS

option domain-name-servers 192.168.200.1



157/295


# Vamos configurar a subrede 192.168.200.0

subnet 192.168.200.0 netmask 255.255.255.0 {

option broadcast-address 192.168.200.255;option routers 192.168.200.1;

option subnet-mask 255.255.255.0;

range 192.168.200.100 192.168.200.180;

}

Iniciando o Servidor DHCP


158/295

Iniciando o Servidor DHCP

# /etc/init.d/dhcp3-server start

Buscando IP nas estaes:

# dhclient

Visualize as estaes solicitando endereo:

# tail -f /var/log/messages

Verifique a reserva de endereos no arquivo:

# cat /var/lib/dhcp3/dhcpd.leases

Configurando interface de rede para DHCP


159/295

Configurando interface de rede para DHCP

# vim /etc/network/interfaces

iface eth0 inet dhcp

auto eth0

Salve o arquivo e reinicie o servio de rede

# /etc/init.d/networking restart


160/295


161/295

Tpicos abordados


162/295

Tpicos abordados

O que o SAMBA

Histria do SAMBA

Instalao do SAMBA

Construindo um servidor de arquivos

Tpicos abordados


163/295

Tpicos abordados

Entender a histria do samba

Instalar e entender o arquio de configurao

Compartilhar um diretrio na rede

Criar um servidor de arquivos na rede PDC

O que o SAMBA


164/295

O que o SAMBA

O SAMBA um servidor e um conjunto de

ferramentas que permite que mquinas Linux eWindows se comuniquem entre si, compartilhandoservios (arquivos,diretrios, impresso) atravs doprotocolo smb(Server Message Block) e atualmentecom o CIFS(Common Internet File System).

O que pode ser feito com o Samba


165/295

O que pode ser feito com o Samba

Construir domnios completos

Controle de acesso no nvel de usurio

Compartilhamento de arquivos e diretrios Servidor Wins

Servidor de domnio

Impresso

Histria do Samba


166/295

Histria do Samba

Andrew Tridgell desenvolveu o SAMBA porque precisavamontar um volume Unix em sua mquina DOS.

No incio utilizou o NFS, mas o aplicativo precisava tersuporte NetBIOS.

Escreveu um sniffer de pacotes, para analisar e auxili-loa interpretar todo o trfego NetBIOS da rede.

Ele escreveu o primeiro cdigo, que fez o servidor Unixaparecer como um servidor de arquivos Windows parasua mquina DOS.


167/295


168/295


169/295

Configurando o Samba


170/295

Configurando o Samba

O arquivo de configurao do samba fica dentro de/etc/samba e se chama smb.conf.

# vim /etc/samba/smb.conf

Sees do Samba


171/295

As sees tm o objetivo de organizar os parmetrospara que tenham efeito somente em algumasconfiguraes de compartilhamento do servidor.

Alguns nomes de sees so reservadas para

configuraes especficas do SAMBA. [global] : definem configuraes que afetam o servidor

SAMBA como um todo, fazendo efeito em todos oscompartilhamentos existentes na mquina.

[homes]: especifica opes de acesso a diretriospessoais de usurios. O diretrio home disponibilizadosomente para seu dono, aps se autenticar no sistema.

Sees do Samba


172/295

[printers] : Define opes gerais para controle dasimpressoras do sistema. Este compartilhamento mapeiaos nomes de todas as impressoras encontradas no/etc/printcap

[profile]: Define um perfil quando o servidor SAMBA usado como Controlador de Domnio.

[netlogon]: Define o caminho onde o SAMBA irexecutar os scripts de logon.

Parmetros do Samba


173/295

Um parmetro definido no formato nome = valor Definem opes do servidor samba

Podem conter as seguintes opes:

0 ou 1

yes ou no

true ou false

Assim as seguintes configuraes so vlidas

master browse = 0 master browse = no

master browse = false


174/295

Misso 1: Compartilhando um diretrio


175/295

p

[global]workgroup = CLASSIC

netbios name = servidor samba

encrypt passwords = Yessecurity = user

os level = 65

preferred master = yes

domain master = no

local master = yes


176/295



177/295

p

Criar os diretrios que os usurios podero visualizar ao seconectarem no sistema.

# vim /etc/samba/smb.conf

[homes]

read only = no

browseable = no



178/295

Criar um compartilhamento pblico:

[publico]

path = /home/publico

browseable = yes

read only = no

write list = miranda

write list = @maquinas


179/295



180/295

Testando o samba

Para verificar se voc digitou tudo certinho, o Sambaoferece a ferramenta testparm, que mostra erros dentro do

arquivo de configurao. Esta ferramenta bastante tilpara encontrar erros sempre que criamos ou modificamosalguma coisa. Use-a!


181/295

Misso 2: SAMBA como PDC


182/295

Resoluo de Nomes

As conexes dentro da rede com o samba devem saber deonde e para onde devem seguir.

O Samba oferece suporte para WINS, cuja resoluo denomes ocorre de maneira fcil e prtica com a ajuda doarquivo /etc/hosts



183/295

Configurando o /etc/hosts

192.168.20.1 chefe

192.168.20.2 win01

192.168.20.3 lin01

# ping chefe# ping win01


184/295



185/295

printing = CUPS

logon drive = H:

logon script = scripts\logon.bat

logon path = \\chefe\profile\%U

domain logons = yes

preferred master = yes

wins support = yes



186/295

add user script = /usr/sbin/useradd -m '%u'

delete user script = /usr/sbin/userdel -r '%u'

add group script = /usr/sbin/groupadd '%g'

delete group script = /usr/sbin/groupdel '%g'

add user to group script = /usr/sbin/usermod -G '%g' '%u'

add machine script = /usr/sbin/useradd -s /bin/false -d

/var/lib/nobody '%u



187/295

[homes]

comment = Pastas pessoais

valid users = %S

read only = no

browseable = no



188/295

[printers]

comment = Grfica

path = /var/spool/samba

printable = yes

guest ok = yes

browseable = no



189/295

add user script = /usr/sbin/useradd -m '%u'

delete user script = /usr/sbin/userdel -r '%u'

add group script = /usr/sbin/groupadd '%g'

delete group script = /usr/sbin/groupdel '%g'

add user to group script = /usr/sbin/usermod -G '%g' '%u'

add machine script = /usr/sbin/useradd -s /bin/false -d

/var/lib/nobody '%u



190/295

[netlogon]

comment = Netlogon

path = /servidor/netlogon

valid users = %U

read only = no

browseable = no


191/295


192/295



193/295

Adicionando Usurios

# smbpasswd -a root

# vi /etc/samba/smbusers

root = Administrator

# useradd batman -m -G users# passwd batman

# smbpasswd -a batman



194/295

Sincronizando os Grupos

O mapeamento entre os grupos padro do Windows e os doLinux essencial para que as estaes de trabalho pensem

que o Samba na verdade um servidor Windows NT.



195/295

Sincronizando os Grupos# groupadd domadmin

# net groupmap add ntgroup=Domain Adminsunixgroup=domadmin rid=512 type=d

# net groupmap add ntgroup=Domain Usersunixgroup=users rid=513 type=d

# net groupmap add ntgroup=Domain Guestsunixgroup=nobody rid=514 type=d



196/295

Iniciando o samba

# /etc/init.d/samba restart

# /etc/init.d/winbind restart



197/295

Criando diretrios

# mkdir -p /servidor/geral

# chown -R root:users /servidor/geral

# chmod -R ug+rwx,o+rx-w /servidor/geral

# mkdir /servidor/publico

Misso 2: Configurando o Windows.


198/295

Sem comentrios



199/295

Sem comentrios



200/295

Sem comentrios



201/295

Sem comentrios



202/295

Sem comentrios



203/295

Sem comentrios



204/295

Sem comentrios


205/295


206/295

DNS


207/295

A sigla DNS significa, em ingls, Domain Name System, ouSistema de Nomes de domnio.

Na internet representa um gigantesco catlogo deendereos e servios e a base para diversas tecnologiasque hoje temos como bsicas.

Nomes e domnios


208/295

Um domnio nada mais do que uma subarvore do espaode nomes de domnio.

O nome de um domnio o nome do ramo que est

naquele domnio. Cada subarvore considerada parte de uma domnio.

Os domnios localizados nas pontas dos ramosrepresentam mquinas individuais.

www.terra.com.br

Nomes e domnios


209/295

file:///file/:::C/:Files:DNS:DNS Bind Html:dnsbind:figs:dns3_0101.gif

Nomes e domnios


210/295


211/295

Domnios de primeiro nvel


212/295

Inicialmente a internet foi dividida em seis domnios, portipo de organizao:

com: organizaes comerciais

edu: organizaes de ensino

gov: organizaes governamentais mil: organizaes militares

net: organizaes da rede

org: entidades no-governamentais

http://www.norid.no/domenenavnbaser/domreg.html

Delegao


213/295

A delegao de domnios similar a hierrquia de umaempresa.

O trabalho vai sendo mandado para o nvel mais baixo.

No Brasil, o rgo responsvel pelo registro de domnios a FAPESP, atravs do registro.br.

Processo de resoluo DNS


214/295

Instalao do DNS no Linux


215/295

No Linux, o software chamado bind prov aimplementao de resoluo de nomes DNS. O bind amplamente utilizado em servidores Linux, Unix e BSD.

# aptitude install bind9

Instalao do DNS no Linux


216/295

Aps a instalao do pacote bind9, o daemon namedseriniciado e o bind j estrar em funcionamento

# netstat -natup | grep :53

Os arquivos de configurao do servidor de nomes bindesto localizados sob o diretrio/etc/binde os arquivos dezonas a serem criados devero ser colocados sob o

diretrio /var/cache/bind, conforme o valor do parmetrodirectory na seo options no arquivos de configuraoprincipal do servidor de nomes bind, o arquivo

/etc/bind/named.conf.options


217/295

Servidor de nomes autoritativo


218/295

um servidor de nomes que possui autoridade para um oumais domnios e, sendo assim, responde as pesquisas deresolues de nomes para hosts que fazem parte dosdomnios em questo.

Requer a configurao do bind, e adicionalmente a criaodos mapas de zonas para resoluo comum e reversa parao domnio.

Agora iremos configurar nosso servidor DNS.

O domnio para qual desejamos que o bind respondapesquisas de resoluo de nomes dever ser cadastradono arquivo de configurao do bind.

Configurando DNS


219/295

# cd /etc/bind/

# vim named.conf

zone "andre.com.br" {

type master;

file "db.andre.com.br";

allow-transfer { 10.1.20.202; };

notify yes;};

Configurando DNS


220/295

zone "20.1.10.in-addr.arpa" {

type master;

file "db.rev";

};

Servidor de nomes autoritativo


221/295

O parmetro type especifica o tipo de servidor de nomesser. master ou slave. master indica que ser o servidorprincipal do domnio em questo e slave indica que nossoservidor de nomes ser um servidor escravo, que somentereceber atualizaes de mudanas feitas na zona.

file indica o nome do arquivo onde a zona ser definida.

allow-transfer especifica os endereos Ips dos servidoresde nomes slaves (escravos).

notify especifica se o bind dever enviar notificaes demudanas nos dados da zone para seus servidores denomes escravos.

Configurando DNS

Iremos editar o /etc/hosts


222/295

Iremos editar o /etc/hosts

# vim /etc/hosts

127.0.0.1 localhost

127.0.1.1 dns1172.16.8.200 dns1.andre.com.br dns1

Salve o arquivo e teste:# ping dns1

# ping dns1.andre.com.br

Criao dos mapas de zonas


223/295

Vamos criar os arquivos de zona

# cd /var/cache/bind

# vim db.andre.com.br


224/295



225/295

@ IN MX 5 mx01@ IN NS ns1

@ IN A 172.16.8.200

ns1 IN A 172.16.8.200

mx01 IN A 10.1.20.202

www IN CNAME ns1

ftp IN CNAME ns1smtp IN CNAME ns1

pop IN CNAME ns1



226/295

# cd /var/cache/bind

# vim db.andre.com.br



227/295

$TTL 43200$ORIGIN andre.com.br.

@ IN SOA ns1.andre.com.br. root.ns1.andre.com.br. (

2009090901 ; serial

3600 ; refresh

900 ; retry

1209600 ; expire

43200 ; default_ttl)



228/295

@ IN NS ns1.andre.com.br.

201 IN PTR ns1.andre.com.br.

202 IN PTR mx01.andre.com.br.



229/295

$TTL: Cada registro em uma zona conhecido tambmcomo um RR, ou Registro de Recurso (do ingls ResourceRecord). Cada RR pode possuir um "tempo de vida",definido como um registro inteiro de 32 bits representadoem unidades de segundos. Um TTL define um limite detempo que o registro deve ser mantido em cache.

SOA: O registro SOA indica o incio de uma zona comautoridade. Esse registro composto de vrios campos,

como e-mail do administrador, servidor principal, tempomximo de cache e outros.



230/295

mx : define o servidor de e-mail responsvel pelasmensagens do domnio andre.com.br

ns : define que nossa zona ter um servidor de nome que

poder responder com autoridade. A: fornece o endereo IP de um dado nome

PTR: fornece o nome de um dado IP (reverso)

CNAME: usado para criar apelidos para nomes.


231/295


232/295


233/295

Iniciando o bind

Agora iremos editar o arquivo /etc/resolv.conf


234/295

g q

# vim /etc/resolv.conf

search andre.com.br

nameserver 172.16.8.200Nameserver 192.168.200.1

# /etc/init.d/bind9 restart


Iniciando o bind

Agora iremos editar o arquivo /etc/resolv.conf


235/295

g q

# vim /etc/resolv.conf

search andre.com.br

nameserver 172.16.8.200Nameserver 192.168.200.1

# /etc/init.d/bind9 restart


Testando o bind

# pingwww.andre.com.br
http://www.andre.com.br/http://www.andre.com.br/


236/295

p g

# dig MX smaff.com.br

# dig NS smaff.com.br # dig @ns1.smaff.com.br axfr smaff.com.br

Testando o bind

# nslookup
http://www.andre.com.br/http://www.andre.com.br/


237/295

p

> set type=ns

> set all

>andre.com.br

# nslookup

> set type=mx

> set all

>andre.com.br


238/295

Testando o bind

# host -t any andre.com.br


239/295

# host -t any uol.com.br

# host -t mx andre.com.br

# host -v -t soa uol.com.br

# dig -t mx andre.com.br

# dig -t ns andre.com.br


240/295

Segurana em LinuxFirewall

Proxy

LinuxProfessionalInstitute

R

Conceitos bsicos: Definindo a Segurana


241/295

Privacidade

Confiabilidade

Integridade Disponibilidade

Autenticao

Tipos de Atacantes


242/295

Script Kiddies (Lammers, etc)

Hackers;

Crackers; Carders;

Tipos de Ataques


243/295

Levantamento de informaes

Explorao

Paralisao de servios Worms / Vrus

O que um firewall


244/295

Um firewall um dispositivo de hardware, software ou hibridoque tem como principal objetivo proteger as informaes e/ou filtrar o acesso as mesmas. Pode servir ainda comoelemento de interligao entre duas redes distintas.

O que um firewall


245/295

Tipos de firewall


246/295

Filtros de Pacote;

Filtros de Aplicao;

Tipos de firewall: Filtro de pacote


247/295

Inspeo somente do cabealho dos pacotes

C a b e a l h o I P

E n d e r e o d e O r ig e mE n d e r e o d e D e s t i n o ,

T T L ,C h e c k s u m

C a b e a l h o T C P

N m e r o d e S e q u e n c i aP o r t a d e O r ig e m ,P o r t a d e D e s t i n o ,

C h e c k s u m

C a m a d a d e A p l i c a o

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

? ? ? ? ? ? ? ? ? ?


248/295


249/295

Ligao entre Redes


250/295

O modelo mais simples de firewall conhecido como o dualhomed system, ou seja um sistema que interliga duasredes distintas.

I N T R A N E T

F I R E W A L L

D U A L H O M E D

H O S T

I N T E R N E T

DMZ


251/295

Tipos de firewall: Filtro de aplicao. Layer 7


252/295

Inspeo no cabealho dos pacotes e no campo de dadosdo pacote

C a b e a l h o I P

E n d e r e o d e O r ig e mE n d e r e o d e D e s t i n o ,

T T L ,C h e c k s u m

C a b e a l h o T C P

N m e r o d e S e q u e n c i aP o r t a d e O r ig e m ,

P o r t a d e D e s t i n o ,C h e c k s u m

C a m a d a d e A p l i c a o< h t m l> < h e a d > < m e ta h t t p- q u iv =

" c o n t e n t - t y p e " c o n t e n t = " t e x t / h t m l ;c h a r s e t = U T F - 8 " > < t it le > M S N B C -

M S N B C F r o n t P a g e < / t i t le > < l in kr e l = " s t y le s h e e t "

Proxy

Permite executar a conexo ou no a servios em umad d d i di ili d li fi


253/295

rede de modo indireto, utilizando um cliente especfico paraesta conexo. Exemplo : Proxies e Navegadores

C l i e n t eP r o x y

S e r v i d o r

D e s t i n o

C o n e x o p a r a o

p r o x y

C o n e x o p a r a

o S e r v i d o r

Proxy Transparente

C o n e x o p a r a


254/295

P r o x y

S e r v i d o r

D e s t i n o

C a m i n h o o r i g i n a l

I n t e r r o m p i d o

C o n e x o p a r a

o S e r v i d o r

C o n e x o p a r ao S e r v i d o r

Softwares de Firewall Linux


255/295

Ipfwadm

Ipchains

Iptables

Ipfwadm


256/295

O IP Firewall Administration, ou simpelsmente ipfwadm foia ferramenta padro para construo de regras de firewall,para o kernel anterior a verso 2.2.0. Para muitos oipfwadm era extremanete complexo e causava certaconfuso ao administradores de sistema. Nos dias de hojeainda existem firewalls baseados neste servio..


257/295

iptables


258/295

A nova gerao de ferramentas de firewall para o Kernel2.4 do Linux. Alm de possuir a facilidade do ipchains, aidia do criador Paul Russel foi implentar uma srie defaclidades como NAT e filtragem de pacotes mais flexvelque o Ipchains.

O i li


259/295

OperacionalizaoDo Firewall

LinuxProfessionalInstitute

R

Regras


260/295

As regras de um firewall so a forma de aplicao defiltragem dos pacotes em seu funcionamento. Por exemplo,para impedir que os usurios faam FTP, necessrio criaruma regra que impea este tipo de operao, ou melhorbloqueie o envio e recebimento de pacotes na porta 21 e 20utilizadas pelo FTP.

Tipos de Regras

DENY bloqueia o acesso impedindo a passagem de um


261/295

DENY - bloqueia o acesso, impedindo a passagem de umpacote e no manda nenhum tipo de aviso ao endereoque requisitou o acesso. Ideal para um firewall seguro.

ACCEPT - aceita a passagem de um pacote.

REJECT - bloqueia o acesso, impedindo a passagem deum pacote manda um aviso ao endereo que requisitou o

acesso.

Observaes


262/295

As regras so como filtros aplicados ao iptables para que omesmo implemente o que chamamos de filtro de pacote deacordo com o endereoIP/porta de origem/destino, interfacede origem/destino, etc.

As regras so armazenadas dentro dos chamdos chains eprocessadas na ordem que so inseridas. Estas mesmasregras so armazenadas no kernel, o que significa que

quando o sistema reinicializado as mesmas so perdidas.

Sintaxe


263/295

A sintaxe de uma regra a seguinte :

iptables comando parametros extenses

Algo similar a isto na prtica :

iptables -A INPUT -p tcp -s 10.0.0.1 -j DROP .

Tabelas

Tabela filter C id d t b ld t 3 h i b i


264/295

Tabela filter Considerada a tabelapadro, contm 3 chains bsicos : INPUT - Consultado para pacotes que chegam na prpria

mquina

OUTPUT - Consultado para pacotes que saem da prpriamquina.

FORWARD - Consultado para pacotes que soredirecionados para outra interface de rede ou outra

estao. Utilizada em mascaramento.

Tabelas

Tabelanat - Usada para passagem de pacotes que podegerar outra conexo Um exemplo csssico o


265/295

gerar outra conexo. Um exemplo csssico omascaramento (masquerading), nat, port forwarding eproxy transparente so alguns. Possui 3 chains bsicas :

PREROUTING - Consultado quando os pacotes precisam

ser redirecionados logo que chegam. Por exemplo umpacote smtp que vai ser direcionado parar um endereointerno da rede. ( chain ideal para realizao do chamadoDestination NAT (DNAT)

Tabela NAT

OUTPUT - Consultado quando os pacotes gerados

localmente precisam ser redirecionados antes de serem


266/295

localmente precisam ser redirecionados antes de seremroteados. Este chain somente utilizada para conexesque se originam de IPs de interfaces de rede locais.

POSTROUTING - Consultado quando os pacotes precisamser modificados aps o tratamento de roteamento. ochain utilizado para realizao de SNAT emascaramento(IP Masquerading).

Tabela mangle

Tabela mangle - Utilizada para alteraes especiais de

pacotes como por exemplo modificar o tipo de servio


267/295

pacotes como por exemplo modificar o tipo de servio(TOS) de um pacote. Ideal para produzir informes falsaspara scanners Possui 2 chains padres:

PREROUTING - Consultado quando os pacotes precisamser redirecionados logo que chegam.

OUTPUT - Consultado quando os pacotes geradoslocalmente precisam ser redirecionados antes de serem

roteados.

Nat e mascaramento

O NAT (Network Address Translator) a tcnica da qual


268/295

O NAT (Network Address Translator) a tcnica da qualroteadores, traduzem um endereo falso dentro de umarede uma rede classe A com endereos 10.0.0.X, para umendereo vlido para a Internet ou para uma outra rede. No

esquema abaixo, vemos isto de forma mais clara :

I N T E R N E T

R o t e a d o r

R e d e I n t e r n a 1 0 . 0 . 0 . X - R e d e E x t e r n a 2 0 0 . 0 . 0 . X

NAT

Um exemplo de mascaramento para um usurio caseiro de


269/295

Um exemplo de mascaramento para um usurio caseiro deADSL, ou modem.

1 0 . 0 . 0 . 0

F i r e w a l l

1 0 . 0 . 0 . 1

p p p 0

R E D E I N T E R N A

I N T E R N E T

Tabelas


270/295

filter: INPUT, FORWARD e OUTPUT

nat: PREROUTING, POSTROUTING e OUTPUT

mangle: PREROUTING e OUTPUT

Aes

ACCEPT: o pacote aceito por essa cadeia e segue


271/295

ACCEPT: o pacote aceito por essa cadeia e segueem frente.

DROP: o pacote rejeitado pela cadeia, no existe umamensagem ICMP.

REJECT: semelhante ao DROP, porm retorna umamensagem ICMP.

REDIRECT: altera o endereo IP de destino do pacote eser usado unicamente na tabela nat.

Comandos do iptables

-A: anexa regras ao final de uma cadeia.

D: apaga uma ou mais regras da cadeia especificada


272/295

-D: apaga uma ou mais regras da cadeia especificada.

-I: insere uma ou mais regras no comeo da cadeia

-L: lista todas as regras em uma cadeia

-F: remove todas as regras de uma cadeia -Z: restaura os contadores de datagramas e de bytes

em todas as regras das cadeias especificadas parazero, ou para todas as cadeias se nenhuma for

especificada. -P: define a poltica padro para uma cadeia dentro de

uma poltica especificada.

Comandos do iptables

-p protocolo: define o protocolo ao qual a regra se aplica

-s address: define a origem do pacote ao qual a regra se


273/295

-s address: define a origem do pacote ao qual a regra seaplica.

-d address: define o destino do pacote ao qual a regrase aplica.

-j alvo: define um alvo para o pacote caso ele se encaixenesta regra.

-i interface: define o nome da interface por onde odatagrama foi recebido.

-o interface: define o nome da interface por onde odatagrama ser transmitido.

Extenses do iptables

Extenso TCP: usada com -p tcp

--sport: especifica a porta que a origem do datagrama


274/295

--sport: especifica a porta que a origem do datagramausa.

--dport: especifica a porta que o destino do datagramausa.

--syn: especifica que a regra deve encontrar somentedatagramas com o bit SYN ligado e os bits ACK e FINdesligados

Extenso UDP: usada com -p udp

--sport: idem tcp.

--dport: idem tcp.

SEGURANA EM SERVIDORES

Hardening


275/295

Hardening

Segurana no terminal

Gerenciamento de privilgios

PAM Protegendo o servio SSH

Segurana no boot loader

NESSUS

Hardening

Programas desnecessrios

ABNT NBR ISO/IEC 17799:2005 diz no item 11 5 4 que


276/295

ABNT NBR ISO/IEC 17799:2005 diz, no item 11.5.4, quedevemos remover todo utilitrio desnecessrio do sistemaaps uma checagem.

# mkdir /root/auditoria

# dpkg -l | awk '{print $2,$3}' | sed '1,7d' >/root/auditoria/pacotes

# aptitude purge wget

Arquivos com permisso de Suid Bit

Por recomendao da norma ABNT NBR ISO/IEC

17799:2005 no item 11 6 1 o acesso informao e s


277/295

17799:2005, no item 11.6.1, o acesso informao e sfunes dos sistemas de aplicaes por usurio e pessoalde suporte deve ser restrito, de acordo com o definido dapoltica de controle de acesso.

# find / -perm 4000 > /root/auditoria/lista.suid

Segurana no Sistema de Arquivos

No que diz respeito segurana em sistemas de arquivos,

a norma ABNT NBR ISO/IEC 17799:2005 recomenda no


278/295

a norma ABNT NBR ISO/IEC 17799:2005 recomenda noitem 10.4 e item 10.4.1 que devemos proteger a integridadedo software e da informao e ter um controle contracdigos maliciosos.

NOSUID

# adduser teste

# cp /bin/sh /home/teste/

# chmod 4755 /home/teste/sh

# cd /home/teste/

# su - teste

$ ./sh


# mount -o remount,rw,nosuid /home


279/295

# mount

# su teste $ ./sh

$ id


NO EXEC


280/295

# mount -o remount,rw,noexec /home

# mount

# su teste

$ ./sh

Segurana no terminal

No que diz respeita a segurana no terminal, a norma

ABNT NBR ISO/IEC 17799:2005, no item 11.5.5 e item


281/295

ABNT NBR ISO/IEC 17799:2005, no item 11.5.5 e item11.5.6 que devemos ter controle sobre os acessos nosistema a fim de evitar acessos no-autorizados e para nofornecer informaes desnecessrias.

Desabilitando o uso do CTRL+ALT+DEL

Limitando o uso dos terminais texto

Bloqueando o terminal com a varivel TMOUT

Bloqueando o terminal com o programa vlock


Por recomendao da norma ABNT NBR ISO/IEC

17799:2005, no item 11.2.2 a concesso e o uso de


282/295

17799:2005, no item 11.2.2 a concesso e o uso deprivilgios devem ser restritos e controlados.

Bloqueando o login de root nos terminais texto

# vim /etc/securetty

Determinar datas de expirao para contas de usurios

# chage -l usuario

# chage -M 30 -W 5 -I 2 usuario



283/295

Remover shell's vlidos de usurios que no precisam

# groupadd admins

# useradd -g admins -m -s /bin/bash toor # passwd toor

PAM

PAM significa Pluggable Authenticatio Modules.

Conjunto de bibliotecas compartilhadas que permitem ao


284/295

Co ju to de b b otecas co pa t adas que pe te aoadministrador do sistema local definir como as aplicaesautenticam os usurios, sem a necessidade de modificar erecompilar programas.

Diretrio de /etc/pam.d/

Tipos de mdulos

auth: faz autenticao dos usurios, pedindo e verificando


285/295

, psenhas e liberando o acesso a estes.

account: garante a autenticao, verificando se a conta dousurio em questo no expirou e se este pode acessar o

sistema nos horrios predeterminados. password: usado para criao de senhas e a sua

configurao.

session: usado para gerenciar a sesso de um usuri

que foi autenticado no sistema.

Palavras de controle

required: este mdulo deve ser verificado para permitir


286/295

q p pautenticao.

requisite: este mdulo deve ser verificado para que aautenticao seja bem sucedida.

sufficient: A falha na verificao de um mdulo no implicaa falha da autenticao como um todo. Mas se a verificaode um mdulo marcado como sufficient for bem sucedida enenhum mdulo required tiver falhado, ento os mdulos

restantes do mesmo tipo de mdulo no so verificados e ousurio autenticado.

Palavras de controle

optional: A falha na verificao do mdulo no implica a

falha da autenticao como um todo. A nica ocasio emd l d ti l i


287/295

que um mdulo marcado como optional necessria paraum autenticao bem sucedida quando a verificao denenhum outro mdulo dessa classe falhou ou funcionou.Neste caso, um mdulo marcado como optional determinaa autenticao para um mdulo desse tipo.

pam_securetty e pam_nologin

# ls -l /lib/security

PAM

Editar o arquivo /etc/pam.d/login


288/295

account requisite pam_time.so

Editar o arquivo /etc/security/time.conf login;*;root;!Al0000-2400

services;tty;users;times

Regras


289/295

Regras


290/295

Regras


291/295

Regras


292/295

Regras


293/295

Regras


294/295

Regras


295/295

Documents

Redes Linux Lpi 01