Professional Documents
Culture Documents
Agenda
Iptables
Definies Adicionando Regras Listando Regras Removendo Regras Adicionar Regras em determinada posio AP2 e Desafio Um po co mais sobre endereos ! Um po co mais sobre interfaces de origem e destino ! "omo criar s a pr#pria c$ain% & tros comandos de manip lao '' Pol(tica padro de ma c$ain Especificando e)cesses & Alvo L&* Limite de "onfer+ncia de Regra ,ac- p direto pelo Iptables Proteo contra ping da .orte Proteo contra s/n flood Proteo contra IP spoofing Especificando .ac0Adress Regras com o taman$o do pacote
Segurana - ale.garcia.aguado@gmail.com
Definies
Iptables
NetFilter 1 o nome do m#d lo 2 e fornece ao Lin ) as f nes de fire3all e 4AT' Iptables 1 a ferramenta 2 e permite ao s 5rio a criao de regras de fire3all e 4AT6 o se7a6 o Iptables 1 apenas ma ferramenta 2 e controla o 4et8ilter' & iptables acompan$a o -ernel 2'9') do Lin )' Em m -ernel anterior :2'2'); $avia o ipc$ains'
Segurana - ale.garcia.aguado@gmail.com
Definies
Iptables
Sistema de Regras: As regras so como comandos passados ao iptables para 2 e ele reali<e ma determinada ao :como blo2 ear o dei)ar passar m pacote; de acordo com o endereo=porta de origem=destino6 interface de origem=destino6 etc' As regras so arma<enadas dentro dos processadas na ordem que so inseridas. chains e
As regras so arma<enadas no -ernel6 o 2 e significa 2 e 2 ando o comp tador for reiniciado t do o 2 e fe< ser5 perdido'
Segurana - ale.garcia.aguado@gmail.com
O que so Chains?
Definies
&s "$ains so locais onde as regras do fire3all definidas pelo s 5rio so arma<enadas para operao do fire3all'
Segurana - ale.garcia.aguado@gmail.com
"$ains
Segurana - ale.garcia.aguado@gmail.com
Definies
O que so abelas?
Tabelas so os locais sados para arma<enar os c$ains e con7 nto de regras de m mesmo con7 nto 2 e cada m poss i' As principais so> filter6 nat e mangle 4os comandos as tabelas so especificadas pela opo !t " #$%&#'
Segurana - ale.garcia.aguado@gmail.com
Definies
abelas ( Chains
I4PUT 0 "ons ltado para dados 2 e c$egam a m52 ina &UTPUT 0 "ons ltado para dados 2 e saem da m52 ina 8&R@ARD 0 "ons ltado para dados 2 e so redirecionados para o tra interface de rede o o tra m52 ina'
Segurana - ale.garcia.aguado@gmail.com
Definies
abelas ( Chains
nat 0 Usada para dados 2 e gera o tra cone)o :mas2 erading6 so rce nat6 destination nat6 port for3arding6 pro)/ transparente so alg ns e)emplos;' Poss i ? c$ains padres>
PRER&UTI4* 0 "ons ltado 2 ando os pacotes precisam ser modificados logo 2 e c$egam' A o c$ain ideal para reali<ao de D4AT e redirecionamento de portas &UTPUT 0 "ons ltado 2 ando os pacotes gerados localmente precisam ser modificados antes de serem roteados' Este c$ain somente 1 cons ltado para cone)es 2 e se originam de IPs de interfaces locais' P&BTR&UTI4* 0 "ons ltado 2 ando os pacotes precisam ser modificados ap#s o tratamento de roteamento' A o c$ain ideal para reali<ao de B4AT e IP .as2 erading
Segurana - ale.garcia.aguado@gmail.com 9
Definies
abelas ( Chains
PRER&UTI4* 0 "ons ltado 2 ando os pacotes precisam ser modificados logo 2 e c$egam' &UTPUT 0 "ons ltado 2 ando pacotes gerados localmente precisam ser modificados antes de serem roteados'
Segurana - ale.garcia.aguado@gmail.com
10
Adicionando Regras
Adicionando Regras
8ormato do comando padro :RE*RAB C ADEEB;> F iptables !t #$&% !# C*#IN +#+OS !, #-.O Dados G em 2 ais pacotes as regras iro operar
!p /RO OCO&O> especifica m protocolo :por e)emplo tcp o dp;' !s %N+%R%-O> especifica m endereo de origem' !d %N+%R%-O> especifica m endereo de destino' !i IN %RF#C%> especifica a interface de rede na 2 al o pacote ingresso ' !o IN %RF#C%> especifica a interface de rede na 2 al o pacote ir5 sair da m52 ina' Aes>
#CC%/ > aceita o pacote +RO/> ignora completamente o pacote 01%1%> indica 2 e o pacote deve ser passado ao serspace R% 1RN> para o processamento da cadeia em 2 esto e contin a na pr#)ima regra
Segurana - ale.garcia.aguado@gmail.com 11
Adicionando Regras
E)emplos H; Iabilitar o servidor para fa<er 4AT com o conteJdo 2 e trafega pela interface et$K
2; Adicionar ma regra para blo2 ear todos os pacotes vindos p= o servidor6 do IP HK'H'H'HK iptables 0t filter 0A I4PUT 0s HK'H'H'HK 07 DR&P ?; ,lo2 ear somente o ping em toda a min$a rede iptables 0t filter 0A I4PUT 0p icmp 07 DR&P iptables 0t filter 0A 8&R@ARD 0p icmp 07 DR&P 9; $loquear para que o computador 23.2.2.23 no consiga acessar o site 444.google.com.br 5 +e6eria mas no )unciona 7 0ual seria o ,eito certo??? 8
iptables !t )ilter !a FOR9#R+ !s 23.2.2.23 !d 444.google.com.br !, +RO/ &,B> A tabela filter ser5 sada como padro caso nen$ ma tabela se7a especificada atrav1s da opo 0t'
Segurana - ale.garcia.aguado@gmail.com
12
Listando regras
iptables M0t tabelaN 0L Mc$ainN MopesN
E)emplo>
Segurana - ale.garcia.aguado@gmail.com
13
E)erc(cios
H; Iabilitar o servidor para fa<er 4AT com o conteJdo 2 e trafega pela interface et$K 2; Adicionar ma regra para blo2 ear todos os pacotes vindos do IP HK'H'H'HH ?; ,lo2 ear somente o ping em toda a min$a rede 9; ,lo2 ear o tr5fego de pacotes UDP' O; ,lo2 ear para 2 e o comp tador HK'H'H'HK no consiga acessar o site 333'gH'com'br
Segurana - ale.garcia.aguado@gmail.com
14
Removendo regras
Passo 2> remover a regra pelo nJmero dela' 4Jmero H por e)emplo>
Segurana - ale.garcia.aguado@gmail.com
15
Segurana - ale.garcia.aguado@gmail.com
16
AP2
#/ : ! E)erc(cios Pr5ticos H; Utili<ando se ambiente de testes e o iptables6 implemente as sol es de seg rana abai)o>
Babendo 2 e o servio ss$ no servidor opera na porta 226 blo2 eie o acesso6 de forma 2 e ning 1m consiga tili<ar esse servio' "rie m blo2 eio de forma 2 e o comp tador HK'H'H'HK no consiga acessar o site 333' ol'com'br "rie m blo2 eio de forma 2 e nen$ m pacote se7a recebido na rede pelo site 333'ig'com'br Bem deletar a regra acima6 crie ma regra 2 e $abilite o recebimento de pacotes do site 333'ig'com'br 2 e sobrepon$a o blo2 eio pedido Liste todas as regras das c$ains I4PUT6 &UTPUT e 8&R@ARD :com a n merao; e envie para o professor pelo .oodleT Segurana - ale.garcia.aguado@gmail.com 17
Utili<ando IP>
iptables 0A &UTPUT 0d HK'H'H'HH 07 DR&P
Segurana - ale.garcia.aguado@gmail.com
18
Por e)emplo para blo2 ear o acesso do tr5fego de 2 al2 er m52 ina com o endereo 2KK'H2?'H2?'HK vinda da interface pppK : ma placa de fa)0modem;> iptables 0A I4PUT 0s 2KK'H2?'H2?'HK 0i pppK 07 DR&P
Segurana - ale.garcia.aguado@gmail.com 19
Segurana - ale.garcia.aguado@gmail.com
20
O 6$7ote te% o e#3e e8o 3e o i&e% -22.-22.-22.-229 ele 6$++$ 6el$ 6 i%ei $ e +e&:#3$ e& $+ 3o 7;$i# INPUT9 $ te 7ei $ e& $ 3i e7io#$ 6$ $ o 7;$i# i#te #et o#3e ele +e < =lo>:e$3o 6o >:e =$te 7o% $ e& $ )
Segurana - ale.garcia.aguado@gmail.com
21
F iptables 0t filter 0E c$ain0antigo novo0c$ain F iptables M0t tabelaN M08 c$ainN F iptables M0t tabelaN M0W c$ainN
Limpando ma c$ain
Apagando ma c$ain
Segurana - ale.garcia.aguado@gmail.com
22
E)emplo>
F iptables 0t filter 0P I4PUT DR&P Para liberara o HK'H'H'HH F iptables 0t filter 0A I4PUT 0s HK'H'H'HH 07 A""EPT
Segurana - ale.garcia.aguado@gmail.com
23
Especificando e)cesses
iptables 0t filter 0A I4PUT T 0s HK'H'H'HH 07 DR&P Di< para re7eitar todos os pacotes EW"ET& os 2 e vem do endereo HK'H'H'HH'
Segurana - ale.garcia.aguado@gmail.com
24
& pacote no ser5 ignorado6 por1m6 ser5 registrado no s/slog do sistema a informao de trafero dos pacotes atingidos'
Segurana - ale.garcia.aguado@gmail.com
25
00limit n m=tempo 0 Permite especificar a ta)a de confer+ncias do limit' Pode ser> s G Beg ndo6 m G .in to6 $ G Iora6 d G Dia E)emplo>
Segurana - ale.garcia.aguado@gmail.com
26
Para Balvar
Segurana - ale.garcia.aguado@gmail.com
27
AP?
"rie 2 c$ains> $&O01%IOIN %RNO6 ancorada em I4PUT e IN %RN% > ancorada em 8&R@ARD'
E. I4PUT
"olo2 e a politica padro como DR&P Libere somente o tr5fego de pacotes 2 e ten$am como origem o destino o ip HK'H'H'HH ,lo2 eie o acesso ss$ ao servidor HK'H'H'H para todos os comp tadores6 e(ceto o HK'H'H'HK ,lo2 eie os pacotes vindos de sites 2 e conten$am a palavra U olV para toda rede ,lo2 eie somente para HK'H'H'HH o site UigV'
Em ,L&LUEI&I4TER4&>
Em I4TER4ET
Bolicitaes ping com m taman$o de pacote m ito elevado em ma fre2 +ncia alta
/ara corrigir
Segurana - ale.garcia.aguado@gmail.com
29
iptables 0t filter 0A ping0c$ain 0p icmp 00icmp0t/pe ec$o0re2 est 0m limit 00limit H=s 07 A""EPT iptables 0t filter 0A ping0c$ain 07 DR&P
# regra acima limita em 2 6e< por segundo 5!!limit 2=s8 a passagem de pings 5echo requests8 para a mBquina &inu(.
iptables 0t filter 0A ping0c$ain 0i et$K 0p icmp 00icmp0t/pe ec$o0 repl/ 0m limit 00limit H=s 07 RETUR4 iptables 0t filter 0A ping0c$ain 07 DR&P
&imita respostas a pings 5echo replC8 6indos da inter)ace ppp3 5!i ppp38 a 2 por segundo.
Segurana - ale.garcia.aguado@gmail.com 30
BZ4 flood 1 ma forma de ata2 e de negao de servio :tamb1m con$ecido como Denial of Bervice 0 DoB; em sistemas comp tadori<ados6 na 2 al o atacante envia ma se2[+ncia de re2 isies BZ4 para m sistema0alvo visando ma sobrecarga direta na camada de transporte e indireta na camada de aplicao
iptables 0t filter 0A s/n0c$ain 0p tcp 00s/n 0m limit 00limit 2=s 07 A""EPT iptables 0t filter 0A s/n0c$ain 07 DR&P Estas regras limitam o atendimento de re2 isies de cone)es a 2 por seg ndo'
Segurana - ale.garcia.aguado@gmail.com 31
O que @ o I/ spoo)ing?
4o conte)to de redes de comp tadores6 IP spoofing 1 m ata2 e 2 e consiste em mascarar :spoof; pacotes IP tili<ando endereos de remetentes falsificados'
iptables 0A I4PUT 0s HP2'HQR'H'K=29 0i T et$K 07 DR&P iptables 0A I4PUT T 0s HP2'HQR'H'K=29 0i et$K 07 DR&P A primeira regra di< para blo2 ear todos os endereos da fai)a de rede HP2'HQR'H'\ 2 e 4]& vem da interface et$K6 a seg nda regra di< para blo2 ear todos os endereos 2 e no se7am HP2'HQR'H'\ vindos da interface et$K'
Segurana - ale.garcia.aguado@gmail.com 32
%speci)icando ?ac!#ddress
+etalhes ...
& m#d lo mac serve para conferir com o endereo Et$ernet dos pacotes de origem' Bomente fa< sentido se sado nos c$ains de PRER&UTI4* :da tabela nat; o I4PUT :da tabela filter; iptables !t )ilter !# IN/1 !m mac !!mac!source 33:D3:#+:$E:F3:3$ !, +RO/
Segurana - ale.garcia.aguado@gmail.com
33
%(emplos:
F ,lo2 eia 2 al2 er pacote I".P maior 2 e ?K^b iptables !# IN/1 !i eth3 !m length !!length :3333: !, +RO/
F ,lo2 eia 2 al2 er pacote com o taman$o entre 2K e 2KKK b/tes iptables !# IN/1 !i eth3 !m length !!length E3:E333 !, +RO/
Segurana - ale.garcia.aguado@gmail.com
34
AP9
Definam em d pla m con7 nto de pol(ticas de seg rana 2 e podem ser implementadas atrav1s do iptables' Ap#s isto6 criem 7 ntos m ar2 ivo fire3all's$ com todas essas regras comentadas'
Segurana - ale.garcia.aguado@gmail.com
35
Refer+ncias
Segurana - ale.garcia.aguado@gmail.com
36
Segurana - ale.garcia.aguado@gmail.com
37