UFW e GuFW

Firewall no Ubuntu

Goiana PE
2015
Paulo Freire
 UFW e GuFW
Firewall no Ubuntu

Disciplina de Segurana da Informao

Prof. Raul Salustiano

Escola Tcnica Estadual Aderico Alves de

Vasconcelos

Goiana PE
2015
SUMRIO
1 Introduo 4
2 Instalao e Regras do UFW 5
3 Instalao do GuFW 12
3 Referncias Bibliogrficas 13
1 INTRODUO

O firewall mais famoso entre as distribuies Linux o netfilter, para

muitos o nome pode parecer pouco conhecido pois existe um equvoco em
dizer que o firewall to conhecido o iptables quando na verdade esse
apenas a interface usurio que permite a criao das regras, mas em suma, a
ferramenta de firewall o netfilter.
O Netfilter representa um conjunto de ferramentas dentro do kernel do
Linux, portanto, permite que os mdulos do ncleo especficos para registrar as
funes de retorno com a pilha de rede do kernel. Essas funes, geralmente
so aplicadas ao trfego na forma de regras de filtragem e de modificao, so
chamados de volta para cada pacote que atravessa a respectiva ferramenta
dentro da pilha de rede.
O iptables o nome da ferramenta do espao do usurio que permite a
criao de regras de firewall e NATs. Apesar de, tecnicamente, o iptables ser
apenas uma ferramenta que controla o mdulo netfilter, o nome "iptables"
frequentemente utilizado como referncia ao conjunto completo de
funcionalidades do netfilter. O iptables parte de todas as distribuies
modernas do Linux. H uma verso do iptables, chamado de IP6Tables que
usado para configurar, manter e inspecionar as tabelas de regras de filtragem
dos pacotes IPv6 no kernel do Linux. Podem ser definidas vrias tabelas
diferentes. Cada uma contm uma srie de cadeias embutidas e pode tambm
conter cadeias definidas pelo usurio. Cada cadeia uma lista de regras que
podem combinar um conjunto de pacotes. Cada regra especifica o que fazer
com um pacote que corresponde. Isso chamado de 'target', que pode ser um
salto para uma cadeia definida pelo usurio na mesma tabela.
Embora o iptables seja o mais utilizado, na distribuio Ubuntu existe um
firewall nativo que precisa apenas ser inicializado, por CLI ou por interface
grfica, que o UFW, a sigla tem um significado to simples quanto ela
mesma, UFW Uncomplicated Firewall ou Firewall Simples ou Firewall sem
Complicaes. No UFW listamos as regras referentes s portas que desejamos
como ser mostrado seguir.

4
2 INSTALAO E REGRAS DO UFW

O UFW simples de habilitar, na CLI voc tem a opo de logar como

SU(Super Usurio ou Root) ou simplesmente entrar com o comando sudo
antes de cada comando como ser mostrado seguir.

sudo ufw enable

Uma vez habilitado ele exibe a seguinte mensagem:

Firewall est ativo e habilitado na inicializao do sistema

Embora ativo o UFW ainda precisa ser configurado, caso contrrio nada vai
mudar, no status atual o UFW no possui nenhuma regra e portanto no afeta
em nada. Vamos a alguns comandos importantes:

Permitindo
sudo ufw allow <porta>/<opcional: protocolo>

Exemplo: permitir pacotes tcp e udp de entrada na porta 53:

sudo ufw allow 53

Exemplo: permitir pacotes tcp de entrada na porta 53:

sudo ufw allow 53/tcp

Exemplo: Permitir pacotes udp de entrada na porta 53:

sudo ufw allow 53/udp

Rejeitar
sudo ufw deny <port>/<optional: protocol>

Exemplo: rejeitar pacotes de entrada tcp e udp na porta 53:

sudo ufw deny 53

Exemplo: rejeitar pacotes de entrada tcp na porta 53:

sudo ufw deny 53/tcp

Exemplo: rejeitar pacotes de entrada udp na porta 53:

sudo ufw deny 53/udp

5
Apagar Regra Existente
Para apagar uma regra, execute o comando original com a falavra 'delete'
como prefixo. Por exemplo, se a regra original era:

ufw deny 80/tcp

Use o seguinte comando para apag-la:

sudo ufw delete deny 80/tcp

Servios
Voc pode tambm permitir ou negar por nome de servio visto que o ufw l de
/etc/service Para ver uma lista de servios:

less /etc/services

Permitir por nome de servio

sudo ufw allow <nome do servio>

Exemplo: permitir ssh por nome:

sudo ufw allow ssh

Rejeitar por nome de servio

sudo ufw deny <nome do servio>

Exemplo: recusar ssh por nome:

sudo ufw deny ssh

Estado
Verificar o estado do ufw dir a voc se o ufw est habilitado ou desabilitado e
tambm listar as regras ufw que so aplicadas ao seu iptables.

Para verificar o estado do ufw:

sudo ufw status

A saida ser algo como:

Firewall loaded

To Action From
-- ------ ----
22:tcp DENY 192.168.0.1
22:udp DENY 192.168.0.1

6
22:tcp DENY 192.168.0.7
22:udp DENY 192.168.0.7
22:tcp ALLOW 192.168.0.0/24
22:udp ALLOW 192.168.0.0/24

Se o ufw no estivesse ativado a sada seria:

Status: inactive

Registrando
Para habilitar o registro, use:

sudo ufw logging on

Para desabilitar o registro, use:

sudo ufw logging off

Sintaxe Avanada
Voc tambm pode utilizar uma sintaxe mais completa, especificando os
endereos da fonte e do destino, portas e protocolos.

Permitir Acesso
Esta seo mostra como permitir acesso especfico.

Permitir IP Especfico
sudo ufw allow from <endereo ip>

Exemplo: permitir pacotes de 207.46.232.182:

sudo ufw allow from 207.46.232.182

Permitir Sub-rede Especfica

Voc pode usar uma mscara de sub-rede:

sudo ufw allow from 192.168.1.0/24

Permitir por Porta e IP Especficos

sudo ufw allow from <endereo IP> to <protocolo> port <nmero da
porta>

Exemplo: permitir acesso do endereo IP 192.168.0.4 porta 22 para todos os

protocolos:

7
sudo ufw allow from 192.168.0.4 to any port 22

Permitir por Porta, Endereo IP e Protocolo Especfico

sudo ufw allow from <endereo ip> to <protocolo> port <nmero da
porta> proto <nome do protocolo>

Exemplo: permitir acesso do endereo 192.168.0.4 porta 22 usando TCP:

sudo ufw allow from 192.168.0.4 to any port 22 proto tcp

Habilitar PING

Nota: Segurana por obscuridade talvez seja de um benefcio real muito

pequeno com os scripts cracker modernos. Por padro, o UFW permite
requisies ping. Voc talvez deseje deixar requisies ping (icmp)
habilitadas para diagnosticar problemas de rede.

Para desabilitar requisies ping (icmp), voc precisa editar

/etc/ufw/before.rules e remover as seguintes linhas:

# ok icmp codes
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j
ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

ou mudar "ACCEPT" para "DROP"

# ok icmp codes
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j
DROP
-A ufw-before-input -p icmp --icmp-type source-quench -j DROP
-A ufw-before-input -p icmp --icmp-type time-exceeded -j DROP
-A ufw-before-input -p icmp --icmp-type parameter-problem -j DROP
-A ufw-before-input -p icmp --icmp-type echo-request -j DROP

Negar Acesso
Negar por IP Especfico
sudo ufw deny from <ip address>

Exemplo: para bloquear pacotes de 207.46.232.182:

sudo ufw deny from 207.46.232.182

Negar por portas e endereo IP especficos

sudo ufw deny from <endereo ip> to <protocolo> port <nmero da porta>

8
Exemplo: negar endereo ip 192.168.0.1 de acessar a porta 22 para todos os
protocolos:

sudo ufw deny from 192.168.0.1 to any port 22

Trabalhando com regras numeradas

Listando regras com um nmero de referncia

Para mostrar a ordem e o nmero de identificao das regras, voc pode

utilizar o seguinte comando:

sudo ufw status numbered

Editando regras numeradas

Apagando regras numeradas

Voc pode ento apagar regras utilizando o nmero. Isto apagar a primeira
regra, as demais sero deslocadas para cima para preencher a lista.

sudo ufw delete 1

Inserir regra numerada

sudo ufw insert 1 allow from <endereo ip>

Exemplo Avanado
Cenrio: Voc quer bloquear acesso porta 22 dos IPs 192.168.0.1 e
192.168.0.7 mas permitir todos os outros 192.168.0.x IPs para ter acesso
porta 22 usando tcp:

sudo ufw deny from 192.168.0.1 to any port 22

sudo ufw deny from 192.168.0.7 to any port 22
sudo ufw allow from 192.168.0.0/24 to any port 22 proto tcp

Isso coloca as regras especficas em primeiro e as genricas em segundo

plano. Uma vez uma regra correspondida, as outras no iro ser validadas
(veja manual abaixo). Portanto, voc deve colocar as regras especficas
primeiro.Conforme as regras mudam, voc talvez precise apagar regras
antigas para garantir que estas novas regras esto colocadas na ordem
apropriada.

Para verificar a ordem das suas regras voc pode verificar o estado; para o
cenrio, a sada abaixo a sada desejada para que as regras funcionem
apropriadamente:

sudo ufw status

Firewall loaded

9
To Action From
-- ------ ----
22:tcp DENY 192.168.0.1
22:udp DENY 192.168.0.1
22:tcp DENY 192.168.0.7
22:udp DENY 192.168.0.7
22:tcp ALLOW 192.168.0.0/24

Mudana de cenrio: Voc quer bloquear acesso porta 22 para 192.168.0.3,

192.168.0.1 e 192.168.0.7:

sudo ufw delete allow from 192.168.0.0/24 to any port 22

sudo ufw status
Firewall loaded

To Action From
-- ------ ----
22:tcp DENY 192.168.0.1
22:udp DENY 192.168.0.1
22:tcp DENY 192.168.0.7
22:udp DENY 192.168.0.7
sudo ufw deny 192.168.0.3 to any port 22
sudo ufw allow 192.168.0.0/24 to any port 22 proto tcp
sudo ufw status
Firewall loaded

To Action From
-- ------ ----
22:tcp DENY 192.168.0.1
22:udp DENY 192.168.0.1
22:tcp DENY 192.168.0.7
22:udp DENY 192.168.0.7
22:tcp DENY 192.168.0.3
22:udp DENY 192.168.0.3
22:tcp ALLOW 192.168.0.0/24

10
3 INSTALAO DO GuFW

A interface grfica do UFW precisa ser baixada por no estar instalada

nativamente. A instalao se da pelo comando:

sudo apt-get install gufw

Aps instalado o firewall pode ser gerenciado atravs da tela a seguir:

11
4 REFERNCIAS

Wikipedia Enciclopdia Livre: http://pt.wikipedia.org/

Clube do Hardware: http://www.clubedohardware.com.br/
Wiki Ubuntu Brasil: http://wiki.ubuntu-br.org/

12