Académique Documents
Professionnel Documents
Culture Documents
Linux Security
Servers in Cloud
Firewall Linux e Servidor DHCP
Cenrio
Proposta de soluo
2
Firewall Linux
Cenrio
Proposta de soluo
3
IT Experience
4
Objetivos da Aula
Introduo Terica;
5
Objetivos da Aula
Introduo Terica;
6
Firewall Linux
Servidor: Security
Firewall
(iptables)
O que um Firewall?
7
Firewall Linux
Iptables:
O iptables um firewall em nvel de pacotes e funciona baseado no
endereo/porta de origem/destino do pacote, prioridade;
Ele funciona atravs da comparao de regras para saber se um
pacote tem ou no permisso para passar;
Possui 2 polticas: ACCEPT ou DROP;
Possui 5 tabelas: Filter , Nat, Mangle, Raw e Security;
Possui 5 Chains: INPUT, OUTPUT, FORWARD, PREROUTING,
POSTROUTING.
Iptables
O que so as CHAINS?
A traduo literal para CHAIN seria "correntes", assim cada tabela teria
uma corrente, onde cada elo corresponderia a uma regra.
8
Firewall Linux
Servidor: Security
Explorando o Iptables:
1#iptablesL(PadroTabela:Filter)
4#iptablesLtmangle
Com ele criamos regras,
visualizamos regras, deletamos
5#iptablesLtraw
regras, definimos polticas.
6#iptablesLtsecurity
Caractersticas do iptables :
9
Firewall Linux
Tabelas:
10
IP de origem
IP de destino
Porta de origem
Porta de destino
Cdigos de verificao
Nmero do pacote
10
Firewall Linux
Tabelas:
Novas Tabelas:
11
11
Firewall Linux
Chains:
12
12
Firewall Linux
Poltica e Regras:
Cada Chain possui uma poltica padro que vai determinar que tipo de
regras voc ir criar na Chain:
13
13
Firewall Linux
Servidor: Security
14
14
Firewall Linux
Servidor: Security
Definindo Regras:
iptablestfilterAINPUTs127.0.0.1d127.0.0.1jACCEPT
A B C
15
15
Firewall Linux
Servidor: Security
1#iptablestfilterAINPUTs127.0.0.1d127.0.0.1jACCEPT
Tudo que entrar no Servidor Security com destino ao Localhost (127.0.0.1) ser
liberado.
2#iptablestfilterSINPUT
-A (append) Adiciona uma
3#iptablestfilternL regra do Final da lista de Regras
j criadas;
4#ping127.0.0.1
-I (insert) Adiciona uma
5#ifconfigeth1 regra no comeo da lista de
6#ping192.168.200.1
Regras j criadas;
-d (destination) Especifica
7#iptablestfilternLlinenumbers o destino do Pacote.
-s (source) Especifica a
origem do Pacote.
16
16
Firewall Linux
Servidor: Security
Sobrevivendo no Iptables:
1#iptablestfilternLlinenumbers
2#iptablestfilterDINPUT1
3#iptablestfilternL
-D (delete) Deleta uma
4#iptablestfilterAINPUTjACCEPT
regra de uma Chain;
5#iptablestfilternL
-F (flush) Deleta todas as
6#iptablestfilterF regras das Chains de uma tabela;
7#iptablestfilternL
8#iptablestfilterAINPUTjACCEPT
17
17
Firewall Linux
Servidor: Security
Sobrevivendo no Iptables:
Todas as regras de firewall so
1#iptablessave
criadas na memria, portanto uma vez
2#iptablessave>/root/firewall
que a mquina reinicie tudo perdido.
3#iptablestfilterF O iptables no tem um arquivo de
4#iptablestfilternL configurao, ele oferece dois
5#cat/root/firewall comandos para que voc posso salvar
6#iptablesrestore/root/firewall
as regras e ativar na inicializao:
iptables-save Salva as regras num
7#iptablestfilternL
arquivo.
8#iptablestfilterF
iptables-restore Ativa as regras
armazenadas pelo iptables-save.
18
18
Firewall Linux
Servidor: Security
Construindo um Firewall:
19
19
Firewall Linux
Servidor: Security
INPUT
SYN
OUTPUT
SYN/ACK ou RST
ACK
FIN
Flags TCP
20
Firewall Linux
Servidor: Security
SSH Ativo:
#tcpdumpnieth0host192.168.200.35andport22
IP192.168.200.35.62939>192.168.200.1.22:Flags[S],seq
1470916950,win65535
IP192.168.200.1.22>192.168.200.35.62939:Flags[S.],
seq1431520632,ack1470916951,win14480
IP192.168.200.35.62939>192.168.200.1.22:Flags[.],ack
1,win65535
IP192.168.200.35.62939>192.168.200.1.22:Flags[F.],
seq1809,ack1512,win65535
21
21
Firewall Linux
Servidor: Security
SSH Desligado:
#tcpdumpnieth0host192.168.200.35andport22
IP192.168.100.35.62946>192.168.100.1.22:Flags[S],seq
2848827145,win65535,options
IP192.168.100.1.22>192.168.100.35.62946:Flags[R.],
seq0,ack2848827146,win0,length0
22
22
Firewall Linux
Servidor: Security
Protocolos
Porta Alta Porta Servio
TCP/UDP/ICMP
1024 - 65535 DNS 53
23
23
Firewall Linux
Servidor: Security
DNS Ativo:
#tcpdumpnieth0port53
IP192.168.100.35.57067>201.6.2.140.53:61682+A?
google.com.(28)
IP201.6.2.140.53>192.168.100.35.57067:6168211/4/4A
74.125.234.68,A74.125.234.72,A74.125.234.78,A
74.125.234.73,A74.125.234.66,A74.125.234.67,A
74.125.234.64,A74.125.234.71,A74.125.234.65,A
74.125.234.70,A74.125.234.69(340)
24
24
Firewall Linux
Servidor: Security
DNS Desligado:
#tcpdumpnieth0port53
IP192.168.100.1.47619>66.118.142.41.53:65307+A?
google.com.(28)
IP66.118.142.41.53>192.168.100.1.47619:65307Refused
0/0/0(28)
25
25
Firewall Linux
Servidor: Security
Protocolos
TCP/UDP/ICMP
26
26
Firewall Linux
Servidor: Security
Ping 4.2.2.2:
#tcpdumpnieth0icmp
16:01:44.190864IP192.168.100.18>4.2.2.2:ICMPecho
request,id2721,seq1,length64
16:01:44.334131IP4.2.2.2>192.168.100.18:ICMPecho
reply,id2721,seq1,length64
27
27
Firewall Linux
Servidor: Security
1#cat/etc/services
28
28
Firewall Linux
Servidor: Security
Construindo um Firewall:
1#iptablestfilterPINPUTDROP
2#iptablestfilterPOUTPUTDROP
3#iptablestfilterPFORWARDDROP
4#iptablestfilternL
5#ping4.2.2.2
6#ssh127.0.0.1
29
29
Firewall Linux
Servidor: Security
1#iptablestfilterAINPUTs0/0d127.0.0.1jACCEPT
Tudo que entrar no Servidor Security com destino ao Localhost (127.0.0.1) ser liberado.
2#iptablestfilterAOUTPUTs0/0d127.0.0.1jACCEPT
Tudo que sair do Servidor Security com destino ao Localhost (127.0.0.1) ser liberado.
3#iptablestfilternLlinenumbers
4#ssh127.0.0.1
5#ping127.0.0.1
30
30
Firewall Linux
Servidor: Security
1#iptablestfilterAOUTPUTpicmps0/0d0/0jACCEPT
Tudo que sair do Servidor Security sendo protocolo ICMP (ping) com destino a qualquer
lugar ser liberado.
2#iptablestfilterAINPUTpicmpicmptype0s0/0d0/0
jACCEPT
Tudo que entrar no Servidor Security sendo protocolo ICMP do Tipo 0 (echo reply) vindo
de qualquer lugar ser liberado.
3#iptablestfilterAINPUTpicmpicmptype8s
192.168.200.0/24d0/0jACCEPT
Tudo que entrar no Servidor Security sendo protocolo ICMP do Tipo 8 (echo request)
vindo da rede 192.168.200.0/24 ser liberado.
31
31
Firewall Linux
Servidor: Security
4#iptablestfilterAINPUTpicmpicmptype8s
192.168.200.128/25d0/0jACCEPT
Tudo que entrar no Servidor Security sendo protocolo ICMP do Tipo 8 (echo request)
vindo da rede 192.168.200.128/25 ser liberado.
32
32
Firewall Linux
Servidor: Security
1#iptablestfilternLlinenumbers
2#ping8.8.8.8
33
33
Firewall Linux
Servidor: Security
1#iptablestfilterAOUTPUTpudps200.100.50.99d0/0
dport53jACCEPT
Tudo que sair do Servidor Security sendo protocolo UDP com destino a qualquer
lugar na porta 53 (DNS) ser liberado.
2# iptables t filter A INPUT p udp s 0/0 sport 53 d
200.100.50.99jACCEPT
Tudo que entrar sendo protocolo UDP vindo de qualquer lugar pela porta 53 no
Servidor Security ser liberado.
3#iptablestfilternLlinenumbers
4#pinggoogle.com
34
34
Firewall Linux
Servidor: Security
4#aptgetupdate
35
35
Laboratrio Dexter
Servidor: Security
INPUT
Porta Alta Porta Servio
1024 - 65535 TCP SSH 22
36
Laboratrio Dexter
Servidor: Security
22d192.168.200.10jACCEPT
Tudo que sair sendo protocolo TCP saindo do Servidor Security na porta 22 com destino
a Mquina Linux Interna ser liberado.
3#iptablestfilternLlinenumbers
Tente da Mquina Linux Interna acessar o Firewall por SSH Ser permitido!
37
37
Firewall Linux
Servidor: Security
MASQUERADE
Forward
INTERNET
Forward
Servidor Security LAN
Pacote IDA
Pacote IDA Pacote IDA
S: 200.100.50.99
S: 200.100.50.99 S: 192.168.200.10 S: 192.168.200.10
D: google.com D: google.com D: google.com
DPort: 80 DPort: 80 DPort: 80
38
38
Firewall Linux
Servidor: Security
28net.ipv4.ip_forward=1
2#sysctlp
3#cat/proc/sys/net/ipv4/ip_forward
39
39
Firewall Linux
Servidor: Security
40
40
Firewall Linux
Servidor: Security
41
41
Firewall Linux
Servidor: Security
1#iptablestfilterAFORWARDpudps192.168.200.128/25
d0/0dport53jACCEPT
Tudo que vier da rede interna com destino a internet na porta 53 eu permito o repasse de
pacotes
2# iptables t filter A FORWARD p udp s 0/0 sport 53 d
192.168.200.128/25jACCEPT
Tudo que vier da internet na porta 53 com destino a rede interna eu permito o repasse de
pacotes
42
42
Firewall Linux
Servidor: Security
1#iptablestfilterAFORWARDpudps192.168.200.0/24d
0/0dport53jACCEPT
Tudo que vier da rede interna com destino a internet na porta 53 eu permito o repasse de
pacotes
2# iptables t filter A FORWARD p udp s 0/0 sport 53 d
192.168.200.0/24jACCEPT
Tudo que vier da internet na porta 53 com destino a rede interna eu permito o repasse de
pacotes
43
43
Firewall Linux
Servidor: Security
1#iptablestfilterAFORWARDpudps192.168.200.128/25
d0/0dport53jACCEPT
Tudo que vier da rede interna com destino a internet na porta 53 eu permito o repasse de
pacotes
2# iptables t filter A FORWARD p udp s 0/0 sport 53 d
192.168.200.128/25jACCEPT
Tudo que vier da internet na porta 53 com destino a rede interna eu permito o repasse de
pacotes
44
44
Firewall Linux
45
45
Firewall Linux
Servidor: Security
PREROUTING
INTERNET
Port 52000 DNAT Port 22
Audit
FORWARD
Servidor Security
46
46
Firewall Linux
Servidor: Security
1#iptablestnatAPREROUTINGptcps0/0d200.100.50.99
dport52000jDNATto192.168.200.30:22
Tudo que vier da Internet com destino ao Servidor Security na porta 52000 ser
redirecionado ao Servidor Audit na porta 22
2# iptables t filter A FORWARD p tcp s 0/0 d
192.168.200.30dport22jACCEPT
Tudo que vier da Internet com destino ao Audit na porta 22 eu permito o repasse de
pacotes
3# iptables t filter A FORWARD p tcp s 192.168.200.30
sport22d0/0jACCEPT
47
47
Laboratrio Dexter
Servidor: Security
1#cp/root/firewall/etc/init.d
2#less/etc/init.d/firewall
3#/etc/init.d/firewallrestart
[ok]StoppingSecurityFirewallDexter
[ok]StartingSecurityFirewallDexter
4#insserv/etc/init.d/firewall
48
48
Resumo iptables (parte 1/2)
Parmetros
Descrio Parmetros Completo
Abreviado
Estabelece a politica de acesso de P policy
uma chain
Selecionar a Tabela t table
Adiciona como ltima regra da A append
sequncia de uma Chain
Insere como primeira regra da I insert
sequncia de uma Chain
Remove uma Regra D delete
Elimina todas as regras presentes em
uma Chain padro F flush
(INPUT,FORWARD etc) ou tabela
(Para todas as Chains).
49
49
Resumo iptables (parte 2/2)
Parmetros
Descrio Parmetros Completo
Abreviado
Determina a origem do Pacote s source
Determina o Destino do Pacote d destination
Define a porta de Destino dport destinationport
Define a porta de Origem sport sourceport
Seleciona o Protocolo (tcp,udp,icmp p protocol
etc)
50
50
Dica
Servidor: Security
1#iptablestfilterAINPUTs0/0d127.0.0.1jACCEPT
mcommentcomment"AceitatudoLoopback"
Tudo que vier de qualquer lugar com destino a Loopback (127.0.0.1) permiti o
acesso.
2#iptablesnL
51
51
Dica
Servidor: Security
1#iptablestfilterAINPUTs0/0d200.100.50.99ptcp
dport22jLOGlogprefix'[AcessoSSHSecurity]'
Tudo que vier de qualquer lugar com destino a 200.100.50.99 na porta 22 cria o log
Acesso SSH Security.
2#iptablesnL
3#tailf/var/log/messages
52
52
Pergunta LPI
53
53
Pergunta LPI
Resposta: Alternativa D.
54
54
Servidor DHCP
55
Cenrio
Proposta de soluo
55
Servidor DHCP
Introduo:
56
Fundamentao
56
Servidor DHCP
57
Fundamentao
57
Servidor DHCP
Servidor: Linux Interna
Cliente DHCP:
1#dhclientr
2#dhclientveth0
3#ifconfigeth0
58
58
Servidor DHCP
Servidor: Audit
Servidor DHCP:
1#aptgetinstalliscdhcpserver
2#cd/etc/dhcp/
3#mvdhcpd.confdhcpd.conf.dist
4#vimdhcpd.conf.dist
5#vimdhcpd.conf
59
59
Servidor DHCP
Servidor: Audit
ddnsupdatestylenone;
logfacilitylocal7;
subnet192.168.200.0netmask255.255.255.0{
range192.168.200.100192.168.200.110;
serveridentifieraudit;
optiondomainname"dexter.com.br";
optiondomainnameservers192.168.200.30,192.168.200.130;
optionrouters192.168.200.1;
defaultleasetime600;
maxleasetime7200;
minleasetime1000;
}
60
60
Servidor DHCP
Servidor: Audit
Reinicie o Servio:
1#/etc/init.d/iscdhcpserverstop
2#/etc/init.d/iscdhcpserverstart
3#psaux|grepdhcp
4#tailf/var/lib/dhcp/dhcpd.leases
5#dhclientveth0
61
61
Servidor DHCP
Servidor: Audit
DHCP Esttico:
1#vim/etc/dhcp/dhcpd.conf
hostlinuxinterna{
hardwareethernet00:00:00:00:00:00;
fixedaddress192.168.200.110;
2#/etc/init.d/iscdhcpserverstart
3#dhclientv
62
62
Laboratrio Dexter
Servidor: Audit
hostwin8{
hardwareethernet00:00:00:00:00:00;
fixedaddress192.168.200.111;
}
63
63
Pergunta LPI
64
64
Pergunta LPI
65
65
Prximos Passos
Mos obra!
66