Embed Size (px)
DESCRIPTION
Citation preview
Curso Superior de Tecnologia em Redes de ComputadoresDisciplina - Segurança de RedesUnidade 3 – Segurança Perimetral(Filtro de Pacotes)
Prof. Leandro Cavalcanti de [email protected]
@leandrocalmeida
Segurança Perimetral
Filtro de PacotesProxy
HardeningVPN
IDS/IPS
Filtro de Pacotes NetfilterIptables
Kernel
Hardware
AplicativosSoftware
NETFILTER
IPTABLES
Filter
Nat
Mangle
Tabelas Chains
input / foward / output
prerouting / postrouting /output
prerouting / input / forwardoutput / postrouting
Internet
Filter
Nat
Mangle
input / foward / output
prerouting / postrouting /output
prerouting / input / forwardoutput / postrouting
# iptables L
# iptables L t filter
# iptables L t nat
# iptables L t mangle
Execute ...
# iptables A (adiciona uma regra)
# iptables I (insere uma regra)
# iptables R(sobreescreve uma regra)
# iptables D (remove uma regra)
Observe...
Qual a diferença entre adicionar e inserir?
- A opção ' -I ' é utilizada em tempo de execução, ou seja, regras temporárias- A opção ' -A ' coloca a sempre no final da chain- A opção ' -I ' coloca a regra no início da chain- Entretanto, é possível específicar a posição (# iptables I CHAIN 4)
Especificações de Filtragem:Camadas 2,3 e 4
Camada 2
Opções:'-i' --in-interface
'-o' –out-interface
Pacotes analizados pelas chains OUTPUT e POSTROUTING não trabalham com interface de entrada, logo não é permitido utilizar a opção -i nestas chains.Da mesma forma, as chains INPUT e PREROUTING não trabalham com interface de saída, logo não é permitido utilizar a opção -o nestas chains
Camada 3
Opções:-s , --src, --source
-d, --dst, --destination
Origem e Destino podem ser endereços IP, subredes ou nomes DNS
Camada 4
Opções:-p , --protocol
tcp, udp, icmp
Para icmp, você pode especificar tipos de mensagens: --icmp-typePara udp você pode especificar: --sourceport / -sport ou --destination-port / -dportPara tcp você pode especificar: -sport ou -dport e além dos flags(SYN ACK FIN RST URG PSH ALL NONE) com a opção –tcp-flags
Já existe um projeto para o netfilter trabalhar com a Camada 7(aplicação)
Application Layer Packet Classifier for Linux
http://l7-filter.sourceforge.net/
Especificações do Alvo (target)
ACCEPTDROPREJECTLOG
Qual a diferença entre DROP e REJECT?
O alvo DROP, descarta o pacote imediatamenteO alvo REJECT descarta e pacote e envia uma resposta ao ip de origem: icmp port unreachableSendo possível customizar comrejectwith
NAT – Network Address Translation
-O roteador altera o cabeçalho do pacote no campo endereçode origem, colocando seu IP- O roteador guarda as informaçõesdestas alterações no arquivo/proc/net/ip_conntrack- Quando o pacote volta oroteador desfaz a alteração
SNAT – Source Network Address Translations
DNAT – Destination Network Address Translations
