Académique Documents
Professionnel Documents
Culture Documents
Marcos A Guireli Jr
Maio / 2008
Firewall
Qualquer mquina ou equipamento que seja capaz de tomar decises em relao ao trfego de dados que circulam na rede.
O Termo Firewall
Originalmente o termo Firewall utilizado na Construo Civil para designar uma parede a prova de incndio. Literalmente pode-se traduzir Firewall como parede, ou muro, de fogo.
Funes de um Firewall
Existem firewalls especficos para determinados tipos de redes. As funes de um firewall variam de acordo com a rede em que est implementado. Em Redes TCP/IP temos basicamente as seguintes funes dos firewalls:
Funes de um Firewall
Filtro de pacotes por cabealho IP. Filtro de pacotes por contedo. Mascaramento e redirecionamento dos dados. Controle de acesso rede. Sistema de logs e Relatorio de trfego.
Tipos de Firewall
De acordo com as funes exercidas podemos dividir um Firewall em: Firewall de Pacotes ou Passagem. Firewall de Mascaramento. Firewall de Contedo. Proxy.
Antes da Implementao
Antes da Implementao
Que mquinas tero acesso livre e quais sero restritas ? Que servios devem ter prioridade no processamento ? Qual o volume de trfego do servidor ? Qual rede sera realizado o NAT ( Network Address Translation ) ?
Antes da Implementao
Qual o tipo de firewall ser adotado ? O que deve ser salvo em log ? O que restrito a toda Rede ? Em caso de duas Redes Internas, elas devem se comunicar ? Algum dado de origem externa ser redirecionado a um destino especifico ? Qual a poltica padro dos filtros ?
O IPTABLES
O Iptables o Filtro de Pacotes padro do Linux. Substituiu o Ipchains apartir da srie 2.4.x do Kernel. A verso, estvel, atual do Iptables a 1.4.
O IPTABLES
O Iptables conhecido por sua segurana e qualidade. Vrios Administradores de Redes deixam de utilizar Firewalls proprietrios para utilizar o Iptables.
Caractersticas do Iptables
Necessita de pouco processamento. Rpido, estvel e seguro. Permite um numero ilimitado de regras. Suporte a deteco de fragmentos. Redireciona Portas NAT
Caractersticas do Iptables
Mecanismo interno para bloquear pacotes duvidosos automaticamente Limitao de pacotes por tempo de passagem. Priorizao de trfego por servio. Baixo requerimento de hardware (Mnimo 386 SX com 4MB de Ram ).
Definies Necessrias
Regras:
So comandos passados ao Iptables para que ele realize uma determinada ao. No Iptables as regras so processadas na ordem que so inseridas, ou seja, o Iptables segue uma ordem LINEAR na execuo de suas Regras.
Definies Necessrias
Chains:
Podemos definir chains como grupos aonde so armazanadas as regras do Iptables. Existem chains padres do Iptables ( Ex: INPUT, OUTPUT ), porm, se necessrio, o Administrador de Redes pode criar novas chains.
Definies Necessrias
Tabela:
Tabelas so como grupos de chains que possuem uma determinada caracterstica em comum. Assim como as chains existem tabelas padres do Iptables (Filters, NAT , Mangle), novas tabelas podem ser criadas pelo Administrador de Redes.
Explicaes Bsicas
Lembrando que o Iptables trata as regras linearmente. Caso no seja informada a tabela o Iptables utiliza a Tabela Padro (Filters), que contm as chains INPUT, OUTPUT e FORWARD. Iptables [-t tabela] : Lista as Regras da Tabela. Iptables [-t tabela] F : Apaga as Regras da Tabela.
Explicaes Bsicas
Modelo da Rede
Aplicando Regras
Liberando conexes j estabelecidas entre os clientes Iptables A FORWARD s 10.10.1.2 d 10.10.2.2 m state --state ESTABLISHED j ACCEPT Iptables A FORWARD s 10.10.2.2 d 10.10.1.2 m state --state ESTABLISHED j ACCEPT
Descrio: Esta regra permite que o protocolo icmp de origem do cliente 2 com destino ao cliente 1 seja aceito.
Aplicando Regras
iptables A FORWARD p tcp s 10.10.1.2 d 10.10.2.2 -dport 80 j ACCEPT Descrio: Esta regra permite que dados utilizando o protocolo TCP da maquina cliente 1 com destino a maquina cliente 2 na porta 80 ( HTTP ) sejam aceitos.
Aplicando Regras
Iptables A FORWARD p icmp s 10.10.2.2 d 10.10.1.2 j ACCEPT Iptables A FORWARD p icmp s 10.10.1.2 d 10.10.2.2 j ACCEPT
Descrio: Esta regra permite que o protocolo icmp de origem do cliente 2 com destino ao cliente 1 seja aceito.
Aplicando Regras
Descrio: Esta regra permite que uma requisio de qualquer destino na porta 22 ( SSH ) do Firewall seja aceita.Esta regra extremamente utilizada, pois permite o gerenciamento Remoto do Firewall via SSH.
Aplicando Regras
Descrio: Esta regra permite que uma requisio do cliente 1 para o cliente 2 na porta 22 ( SSH ) seja aceita.
Aplicando Regras
Descrio: Esta regra permite que dados utilizando o protocolo TCP da maquina cliente 1 com destino a maquina cliente 2 na porta 80 ( HTTP ) sejam aceitos.
Regras Preventivas
As proximas regras devem ser aplicadas acima das regras de liberaes de servios. Por serem mais complexas elas so apresentadas apenas no final.
Regras Preventivas
Bloqueio de Fragmentos de IP
Regras Preventivas
Regras Preventivas
Regras Preventivas
Ultimas Regras
Com isso todo o trfego que no se enquadre nas regras acima ser bloqueado.
Conscientizao
Os Administradores de Redes devem SEMPRE utilizar um Firewall em sua Rede. Um Firewall imprescindvel para a Segurana de uma rede.