Terceiro Encontro

Segurana em Redes e Sistemas Operacionais

Segurana - ale.garcia.aguado@gmail.com 1

Agenda

Iptables

Definies Adicionando Regras Listando Regras Removendo Regras Adicionar Regras em determinada posio AP2 e Desafio Um po co mais sobre endereos ! Um po co mais sobre interfaces de origem e destino ! "omo criar s a pr#pria c$ain% & tros comandos de manip lao '' Pol(tica padro de ma c$ain Especificando e)cesses & Alvo L&* Limite de "onfer+ncia de Regra ,ac- p direto pelo Iptables Proteo contra ping da .orte Proteo contra s/n flood Proteo contra IP spoofing Especificando .ac0Adress Regras com o taman$o do pacote

Segurana - ale.garcia.aguado@gmail.com

Definies

Iptables

NetFilter 1 o nome do m#d lo 2 e fornece ao Lin ) as f nes de fire3all e 4AT' Iptables 1 a ferramenta 2 e permite ao s 5rio a criao de regras de fire3all e 4AT6 o se7a6 o Iptables 1 apenas ma ferramenta 2 e controla o 4et8ilter' & iptables acompan$a o -ernel 2'9') do Lin )' Em m -ernel anterior :2'2'); $avia o ipc$ains'

Segurana - ale.garcia.aguado@gmail.com

Definies

Iptables

Sistema de Regras: As regras so como comandos passados ao iptables para 2 e ele reali<e ma determinada ao :como blo2 ear o dei)ar passar m pacote; de acordo com o endereo=porta de origem=destino6 interface de origem=destino6 etc' As regras so arma<enadas dentro dos processadas na ordem que so inseridas. chains e

As regras so arma<enadas no -ernel6 o 2 e significa 2 e 2 ando o comp tador for reiniciado t do o 2 e fe< ser5 perdido'

Segurana - ale.garcia.aguado@gmail.com

O que so Chains?

Definies

&s "$ains so locais onde as regras do fire3all definidas pelo s 5rio so arma<enadas para operao do fire3all'

Segurana - ale.garcia.aguado@gmail.com

"$ains

Segurana - ale.garcia.aguado@gmail.com

Definies

O que so abelas?

Tabelas so os locais sados para arma<enar os c$ains e con7 nto de regras de m mesmo con7 nto 2 e cada m poss i' As principais so> filter6 nat e mangle 4os comandos as tabelas so especificadas pela opo !t " #$%&#'

Segurana - ale.garcia.aguado@gmail.com

Definies

abelas ( Chains

)ilter ! Esta 1 a tabela padro6 cont1m ? c$ains padres>

I4PUT 0 "ons ltado para dados 2 e c$egam a m52 ina &UTPUT 0 "ons ltado para dados 2 e saem da m52 ina 8&R@ARD 0 "ons ltado para dados 2 e so redirecionados para o tra interface de rede o o tra m52 ina'

Segurana - ale.garcia.aguado@gmail.com

Definies

abelas ( Chains

nat 0 Usada para dados 2 e gera o tra cone)o :mas2 erading6 so rce nat6 destination nat6 port for3arding6 pro)/ transparente so alg ns e)emplos;' Poss i ? c$ains padres>

PRER&UTI4* 0 "ons ltado 2 ando os pacotes precisam ser modificados logo 2 e c$egam' A o c$ain ideal para reali<ao de D4AT e redirecionamento de portas &UTPUT 0 "ons ltado 2 ando os pacotes gerados localmente precisam ser modificados antes de serem roteados' Este c$ain somente 1 cons ltado para cone)es 2 e se originam de IPs de interfaces locais' P&BTR&UTI4* 0 "ons ltado 2 ando os pacotes precisam ser modificados ap#s o tratamento de roteamento' A o c$ain ideal para reali<ao de B4AT e IP .as2 erading
Segurana - ale.garcia.aguado@gmail.com 9

Definies

abelas ( Chains

mangle ! Utili<ada para alteraes especiais de pacotes' Poss i 2 c$ains>

PRER&UTI4* 0 "ons ltado 2 ando os pacotes precisam ser modificados logo 2 e c$egam' &UTPUT 0 "ons ltado 2 ando pacotes gerados localmente precisam ser modificados antes de serem roteados'

Segurana - ale.garcia.aguado@gmail.com

10

Adicionando Regras

Adicionando Regras

8ormato do comando padro :RE*RAB C ADEEB;> F iptables !t #$&% !# C*#IN +#+OS !, #-.O Dados G em 2 ais pacotes as regras iro operar

!p /RO OCO&O> especifica m protocolo :por e)emplo tcp o dp;' !s %N+%R%-O> especifica m endereo de origem' !d %N+%R%-O> especifica m endereo de destino' !i IN %RF#C%> especifica a interface de rede na 2 al o pacote ingresso ' !o IN %RF#C%> especifica a interface de rede na 2 al o pacote ir5 sair da m52 ina' Aes>

#CC%/ > aceita o pacote +RO/> ignora completamente o pacote 01%1%> indica 2 e o pacote deve ser passado ao serspace R% 1RN> para o processamento da cadeia em 2 esto e contin a na pr#)ima regra
Segurana - ale.garcia.aguado@gmail.com 11

Adicionando Regras

E)emplos H; Iabilitar o servidor para fa<er 4AT com o conteJdo 2 e trafega pela interface et$K

iptables 0t nat 0A P&BTR&UTI4* 0o et$K 07 .ABLUERADE

2; Adicionar ma regra para blo2 ear todos os pacotes vindos p= o servidor6 do IP HK'H'H'HK iptables 0t filter 0A I4PUT 0s HK'H'H'HK 07 DR&P ?; ,lo2 ear somente o ping em toda a min$a rede iptables 0t filter 0A I4PUT 0p icmp 07 DR&P iptables 0t filter 0A 8&R@ARD 0p icmp 07 DR&P 9; $loquear para que o computador 23.2.2.23 no consiga acessar o site 444.google.com.br 5 +e6eria mas no )unciona 7 0ual seria o ,eito certo??? 8

iptables !t )ilter !a FOR9#R+ !s 23.2.2.23 !d 444.google.com.br !, +RO/ &,B> A tabela filter ser5 sada como padro caso nen$ ma tabela se7a especificada atrav1s da opo 0t'

Segurana - ale.garcia.aguado@gmail.com

12

Listando regras
iptables M0t tabelaN 0L Mc$ainN MopesN

E)emplo>

Fiptables 0L & Fiptables 0L I4PUT 0n 00line0n mbers

Segurana - ale.garcia.aguado@gmail.com

13

E)erc(cios
H; Iabilitar o servidor para fa<er 4AT com o conteJdo 2 e trafega pela interface et$K 2; Adicionar ma regra para blo2 ear todos os pacotes vindos do IP HK'H'H'HH ?; ,lo2 ear somente o ping em toda a min$a rede 9; ,lo2 ear o tr5fego de pacotes UDP' O; ,lo2 ear para 2 e o comp tador HK'H'H'HK no consiga acessar o site 333'gH'com'br

Segurana - ale.garcia.aguado@gmail.com

14

Removendo regras

Passo H> saber o nJmero de ma regra

Fiptables 0L I4PUT 0n Gline0n mbers

Passo 2> remover a regra pelo nJmero dela' 4Jmero H por e)emplo>

Fiptables 0t filter 0D I4PUT H

Segurana - ale.garcia.aguado@gmail.com

15

Adicionar Regras em Determinada Posio

E)emplo>

iptables 0t filter !I I4PUT H 0s HP2'HQR'H'HO 0d H2S'K'K'H 07 A""EPT

Segurana - ale.garcia.aguado@gmail.com

16

AP2

#/ : ! E)erc(cios Pr5ticos H; Utili<ando se ambiente de testes e o iptables6 implemente as sol es de seg rana abai)o>

Babendo 2 e o servio ss$ no servidor opera na porta 226 blo2 eie o acesso6 de forma 2 e ning 1m consiga tili<ar esse servio' "rie m blo2 eio de forma 2 e o comp tador HK'H'H'HK no consiga acessar o site 333' ol'com'br "rie m blo2 eio de forma 2 e nen$ m pacote se7a recebido na rede pelo site 333'ig'com'br Bem deletar a regra acima6 crie ma regra 2 e $abilite o recebimento de pacotes do site 333'ig'com'br 2 e sobrepon$a o blo2 eio pedido Liste todas as regras das c$ains I4PUT6 &UTPUT e 8&R@ARD :com a n merao; e envie para o professor pelo .oodleT Segurana - ale.garcia.aguado@gmail.com 17

Um po co mais sobre endereos !

Utili<ando ma rede espec(fica>

iptables 0A I4PUT 0s HK'H'H'K=29 07 DR&P

Utili<ando IP>
iptables 0A &UTPUT 0d HK'H'H'HH 07 DR&P

Segurana - ale.garcia.aguado@gmail.com

18

Um po co mais sobre interfaces de origem e destino !

+---------------------+--------------------------------+ TABELA | CHAIN | INTERFACE | | +----------------+---------------+ | | ENTRADA (-i) | SADA (-o) | +---------+---------------------+----------------+---------------+ | | INPUT | SIM | NO | | filte | OUTPUT | NO | SIM | | | FOR!ARD | SIM | SIM | +---------+---------------------+----------------+---------------+ | | PREROUTIN" | SIM | NO | | #$t | OUTPUT | NO | SIM | | | POSTROUTIN" | NO | SIM | +---------+---------------------+----------------+---------------+ | | PREROUTIN" | SIM | NO | | %$#&le | | | | | | OUTPUT | NO | SIM | +---------+---------------------+----------------+---------------+

Por e)emplo para blo2 ear o acesso do tr5fego de 2 al2 er m52 ina com o endereo 2KK'H2?'H2?'HK vinda da interface pppK : ma placa de fa)0modem;> iptables 0A I4PUT 0s 2KK'H2?'H2?'HK 0i pppK 07 DR&P
Segurana - ale.garcia.aguado@gmail.com 19

"omo criar s a pr#pria c$ain%

"riar s a pr#pria c$ain 1 ma forma de organi<ar as regrasT

F iptables 0t tabela 04 novac$ain E)emplo>

F s do iptables 0t filter 04 internet

Para adicionar regras'

iptables 0A internet 0s HK'H'H'HH DR&P Para f ncionar 1 necess5rio criar m Up loV de ma c$ain e)istente para ela'

iptables 0t filter 0A I4PUT 07 internet

Segurana - ale.garcia.aguado@gmail.com

20

"omo criar s a pr#pria c$ain%

Be ma m52 ina do endereo 2KK'2KK'2KK'2KK tentar acessar s a m52 ina6 o iptables cons ltar5 as seg intes regras>
'INPUT( ---------------------------| Re& $)* -+ ),-.)/0.).)1 | |--------------------------| | Re& $-* -+ ),-.)/0.).) | |--------------------------| | Re& $4* -5 DROP | ---------------------------'i#te #et( ----------------------------| Re& $)* -+ -22.-22.-22.-22| |---------------------------| | Re& $-* -3 ),-.)/0.).) | -----------------------------

O 6$7ote te% o e#3e e8o 3e o i&e% -22.-22.-22.-229 ele 6$++$ 6el$ 6 i%ei $ e +e&:#3$ e& $+ 3o 7;$i# INPUT9 $ te 7ei $ e& $ 3i e7io#$ 6$ $ o 7;$i# i#te #et o#3e ele +e < =lo>:e$3o 6o >:e =$te 7o% $ e& $ )

Segurana - ale.garcia.aguado@gmail.com

21

& tros comandos de manip lao ''

Renomear ma c$ain

F iptables 0t filter 0E c$ain0antigo novo0c$ain F iptables M0t tabelaN M08 c$ainN F iptables M0t tabelaN M0W c$ainN

Limpando ma c$ain

Apagando ma c$ain

Segurana - ale.garcia.aguado@gmail.com

22

Pol(tica padro de ma c$ain

F iptables M0t tabelaN M0P c$ainN MA""EPT=DR&PN

Especificando a pol(tica padro de ma c$ain

E)emplo>

F iptables 0t filter 0P I4PUT DR&P Para liberara o HK'H'H'HH F iptables 0t filter 0A I4PUT 0s HK'H'H'HH 07 A""EPT

Segurana - ale.garcia.aguado@gmail.com

23

Especificando e)cesses

& Binal ; Indica e)ceo' Por e)emplo>

iptables 0t filter 0A I4PUT T 0s HK'H'H'HH 07 DR&P Di< para re7eitar todos os pacotes EW"ET& os 2 e vem do endereo HK'H'H'HH'

Segurana - ale.garcia.aguado@gmail.com

24

& Alvo L&*

"omo registrar no log a informao do tr5fego%

iptables 0t filter 0A I4PUT T 0s HK'H'H'HH 07 L&*

& pacote no ser5 ignorado6 por1m6 ser5 registrado no s/slog do sistema a informao de trafero dos pacotes atingidos'

Segurana - ale.garcia.aguado@gmail.com

25

Limite de "onfer+ncia de Regra

&imitando a quantidade de 6e<es que a regra con)ere

00limit n m=tempo 0 Permite especificar a ta)a de confer+ncias do limit' Pode ser> s G Beg ndo6 m G .in to6 $ G Iora6 d G Dia E)emplo>

iptables !# IN/1 !m limit !!limit 2=m !, +RO/

Segurana - ale.garcia.aguado@gmail.com

26

,ac- p direto pelo Iptables

Para Balvar

Iptables0save X regras Iptables0restore Yregras

Para resta rar

Segurana - ale.garcia.aguado@gmail.com

27

AP?

"rie 2 c$ains> $&O01%IOIN %RNO6 ancorada em I4PUT e IN %RN% > ancorada em 8&R@ARD'

E. I4PUT

"olo2 e a politica padro como DR&P Libere somente o tr5fego de pacotes 2 e ten$am como origem o destino o ip HK'H'H'HH ,lo2 eie o acesso ss$ ao servidor HK'H'H'H para todos os comp tadores6 e(ceto o HK'H'H'HK ,lo2 eie os pacotes vindos de sites 2 e conten$am a palavra U olV para toda rede ,lo2 eie somente para HK'H'H'HH o site UigV'

Em ,L&LUEI&I4TER4&>

Em I4TER4ET

Liste todas as regras e post no .oodle o Print BcreenT

Segurana - ale.garcia.aguado@gmail.com 28

/roteo contra /ing da ?orte ! %(tinto

O que @ /ing da ?orte?

Bolicitaes ping com m taman$o de pacote m ito elevado em ma fre2 +ncia alta

4o cost mam afetar mais nada ! /ara e(ecutar

ping 0i H 0s QOOKK :ip de destino o nome $ost; A

/ara corrigir

Segurana - ale.garcia.aguado@gmail.com

29

/roteo contra /ing da ?orte ! %(tinto

iptables 0t filter 0A ping0c$ain 0p icmp 00icmp0t/pe ec$o0re2 est 0m limit 00limit H=s 07 A""EPT iptables 0t filter 0A ping0c$ain 07 DR&P

# regra acima limita em 2 6e< por segundo 5!!limit 2=s8 a passagem de pings 5echo requests8 para a mBquina &inu(.

iptables 0t filter 0A ping0c$ain 0i et$K 0p icmp 00icmp0t/pe ec$o0 repl/ 0m limit 00limit H=s 07 RETUR4 iptables 0t filter 0A ping0c$ain 07 DR&P

&imita respostas a pings 5echo replC8 6indos da inter)ace ppp3 5!i ppp38 a 2 por segundo.
Segurana - ale.garcia.aguado@gmail.com 30

/roteo contra sCn )lood

O que @ o sCn )lood?

BZ4 flood 1 ma forma de ata2 e de negao de servio :tamb1m con$ecido como Denial of Bervice 0 DoB; em sistemas comp tadori<ados6 na 2 al o atacante envia ma se2[+ncia de re2 isies BZ4 para m sistema0alvo visando ma sobrecarga direta na camada de transporte e indireta na camada de aplicao

Soluo para a,udar

iptables 0t filter 0A s/n0c$ain 0p tcp 00s/n 0m limit 00limit 2=s 07 A""EPT iptables 0t filter 0A s/n0c$ain 07 DR&P Estas regras limitam o atendimento de re2 isies de cone)es a 2 por seg ndo'
Segurana - ale.garcia.aguado@gmail.com 31

/roteo contra I/ spoo)ing

O que @ o I/ spoo)ing?

4o conte)to de redes de comp tadores6 IP spoofing 1 m ata2 e 2 e consiste em mascarar :spoof; pacotes IP tili<ando endereos de remetentes falsificados'

Soluo para a,udar

iptables 0A I4PUT 0s HP2'HQR'H'K=29 0i T et$K 07 DR&P iptables 0A I4PUT T 0s HP2'HQR'H'K=29 0i et$K 07 DR&P A primeira regra di< para blo2 ear todos os endereos da fai)a de rede HP2'HQR'H'\ 2 e 4]& vem da interface et$K6 a seg nda regra di< para blo2 ear todos os endereos 2 e no se7am HP2'HQR'H'\ vindos da interface et$K'
Segurana - ale.garcia.aguado@gmail.com 32

%speci)icando ?ac!#ddress

+etalhes ...

& m#d lo mac serve para conferir com o endereo Et$ernet dos pacotes de origem' Bomente fa< sentido se sado nos c$ains de PRER&UTI4* :da tabela nat; o I4PUT :da tabela filter; iptables !t )ilter !# IN/1 !m mac !!mac!source 33:D3:#+:$E:F3:3$ !, +RO/

Segurana - ale.garcia.aguado@gmail.com

33

Con)erindo com o tamanho do pacote

%(emplos:

F ,lo2 eia 2 al2 er pacote I".P maior 2 e ?K^b iptables !# IN/1 !i eth3 !m length !!length :3333: !, +RO/

F ,lo2 eia 2 al2 er pacote com o taman$o entre 2K e 2KKK b/tes iptables !# IN/1 !i eth3 !m length !!length E3:E333 !, +RO/

Segurana - ale.garcia.aguado@gmail.com

34

AP9

Definam em d pla m con7 nto de pol(ticas de seg rana 2 e podem ser implementadas atrav1s do iptables' Ap#s isto6 criem 7 ntos m ar2 ivo fire3all's$ com todas essas regras comentadas'

Segurana - ale.garcia.aguado@gmail.com

35

Refer+ncias

$ttp>==333'mtm' fsc'br=_-r -os-i=p b=lin )=focalin $ttp>==333'vivaolin )'com'br=artigo=Estr t ra0 do0Iptables

Segurana - ale.garcia.aguado@gmail.com

36

At1 a pr#)imaT DJvidas6 s gestes e 2 estionamentos> ale.garcia.aguadoGgmail.com

Segurana - ale.garcia.aguado@gmail.com

37