1 / 42

Formação de Administradores de Redes Linux LPI – level 1

Formação de Administradores de Redes Linux LPI – level 1. SENAC TI Fernando Costa. Firewall. Software cujo objetivo é proteger a máquina de acesso/tráfego indesejado , proteger serviços, evitar que dados sigilosos sejam acessados. Firewall. Iptables: - Firewall em nível de pacotes

adsila
Download Presentation

Formação de Administradores de Redes Linux LPI – level 1

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Formação de Administradores de Redes LinuxLPI – level 1 SENAC TI Fernando Costa

  2. Firewall Software cujo objetivo é proteger a máquina de acesso/tráfego indesejado, proteger serviços, evitar que dados sigilosos sejam acessados...

  3. Firewall Iptables: - Firewall em nível de pacotes - Baseado em porta e endereços de origem/destino, prioridade, etc - Comparação de regras - Modifica e monitora tráfego de rede - Redirecionamento de pacotes - Criação de proteção contra anti-spoofing, syn flood, DoS,etc

  4. IPTables - Características # Especificação de portas/endereço de origem/destino # Suporte a protocolos TCP/UDP/ICMP (incluindo tipos de mensagens icmp) # Suporte a interfaces de origem/destino de pacotes # Manipula serviços de proxy na rede # Tratamento de tráfego dividido em chains (para melhor controle do tráfego que entra/sai da máquina e tráfego redirecionado. # Permite um número ilimitado de regras por chain # Muito rápido, estável e seguro

  5. IPTables - Características # Possui mecanismos internos para rejeitar automaticamente pacotes duvidosos ou mal formados. # Suporte a módulos externos para expansão das funcionalidades padrões oferecidas pelo código de firewall # Contagem de pacotes que atravessaram uma interface/regra # Limitação de passagem de pacotes/conferência de regra (muito útil para criar proteções contra, syn flood, ping flood, DoS, etc)

  6. # Suporte completo a roteamento de pacotes, tratadas em uma área diferente de tráfegos padrões. # Suporte a especificação de tipo de serviço para priorizar o tráfego de determinados tipos de pacotes. # Permite especificar exceções para as regras ou parte das regras # Suporte a detecção de fragmentos IPTables - Características

  7. Firewall - Quais serviços proteger? - Quais tipos de conexão permitir? - Máquinas com acesso irrestrito - Serviços com prioridade do processamento - Volume de tráfego - O que poderá trafegar entre redes - ...

  8. Firewall Iptables Regras Chains Tabelas

  9. IPTables - Regras - São como comandos passados ao iptables para que ele realize uma determinada ação. - As regras são armazenadas dentro dos chains e processadas na ordem que são inseridas. - As regras são armazenadas no kernel

  10. IPTables - Chains - São locais onde as regras do firewall definidas pelo usuário são armazenadas para operação do firewall - Embutidas e as definidas pelo usuário INPUT OUTPUT FORWARD PREROUTING POSTROUTING

  11. IPTables - Tabelas - São os locais usados para armazenar os chains e conjunto de regras com uma determinada característica em comum filter nat mangle

  12. IPTables - filter - INPUT - OUTPUT - FORWARD - nat - PREROUTING → Consultado quando os pacotes precisam ser modificados logo que chegam (DNAT) - POSTROUTING → Consultado quando os pacotes precisam ser modificados após o tratamento de roteamento (SNAT) - OUTPUT → Consultado quando os pacotes gerados localmente precisam ser modificados antes de serem roteados

  13. - mangle - INPUT → Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chain INPUT da tabela filter. - OUTPUT → Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chain OUTPUT da tabela nat. - FORWARD → Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chain FORWARD da tabela filter. - PREROUTING → Consultado quando os pacotes precisam ser modificados antes de ser enviados para o chain PREROUTING da tabela nat. - POSTROUTING → Consultado quando os pacotes precisam ser modificados antes de serem enviados para o chain POSTROUTING da tabela nat. IPTables

  14. Adicionando regras: # ping localhost # iptables -t filter -A INPUT -d 127.0.0.1 -j DROP # ping localhost # iptables -t filter -I INPUT 1 -s 10.1.151.X -d 127.0.0.1 -j ACCEPT IPTables

  15. Removendo, refinando e listando a regra: # iptables -t filter -D INPUT -d 127.0.0.1 -j DROP # iptables -t filter -A INPUT -d 127.0.0.1 -p tcp -j DROP # iptables -t <tabela> -L <chain> [opcoes] Opções: -v --line-numbers -n IPTables

  16. Especificando um endereço de origem/destino # iptables -A INPUT -s 200.200.200.0/24 -j DROP # iptables -A OUTPUT -d 10.1.2.3 -j DROP # iptables -A INPUT -s www.dominio.teste.org -d 210.21.1.3 -j DROP IPTables

  17. Especificando a interface de origem/destino # iptables -A INPUT -s 200.123.123.10 -i ppp0 -j DROP # iptables -A INPUT -s 200.123.123.10 -i ppp+ -j DROP # iptables -A OUTPUT -o ppp+ -j DROP # iptables -A FORWARD -i ppp0 -o eth1 -j DROP IPTables

  18. Especificando um protocolo # iptables -A INPUT -s 200.200.200.200 -p udp -j DROP Especificando portas de origem/destino # iptables -A OUTPUT -d 200.200.200.200 -p tcp --dport :1023 -j DROP IPTables

  19. Tabela NAT (Network Address Translation) A tabela nat serve para controlar a tradução dos endereços que atravessam o código de roteamento da máquina IPTables

  20. IP masquerading # iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE # echo "1" >/proc/sys/net/ipv4/ip_forward IPTables

  21. Fazendo SNAT Consiste em modificar o endereço de origem das máquinas clientes antes dos pacotes serem enviados. A máquina roteadora é inteligente o bastante para lembrar dos pacotes modificados e reescrever os endereços assim que obter a resposta da máquina de destino, direcionando os pacotes ao destino correto Toda operação de SNAT é feita no chain POSTROUTING. IPTables

  22. Firewall# iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth1 -j SNAT --to 200.200.217.40

  23. Fazendo DNAT iptables -t nat -A PREROUTING -s 200.200.217.40 -i eth0 -j DNAT --to 192.168.1.2 Redirecionamento de portas iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 81 IPTables

  24. Caminho percorrido pelos pacotes nas tabelas e chains Nos exemplos foi assumida a seguinte configuração: - A máquina do firewall com iptables possui o endereço IP 192.168.1.1 e conecta a rede interna ligada via interface eth0 a internet via a interface ppp0. - Rede interna com a faixa de endereços 192.168.1.0 conectada ao firewall via interface eth0 - Interface ppp0 fazendo conexão com a Internet com o endereço IP 200.217.29.67. - A conexão das máquinas da rede interna (eth0) com a rede externa (ppp0) é feita via Masquerading. IPTables

  25. Ping de 192.168.1.1 para 192.168.1.1 Conexão FTP de 192.168.1.1 para 192.168.1.1 Conexão FTP de 192.168.1.1 para 192.168.1.4 Conexão FTP de 200.217.29.67 para a máquina ftp.debian.org.br Ping de 192.168.1.4 para 192.168.1.1 Conexão FTP de 192.168.1.4 para 192.168.1.1 Conexão FTP de 192.168.1.4 para ftp.debian.org.br IPTables

  26. Firewall Em duplas, fazer IP Masquerading sendo: Máquina A alterar o IP local (eth0) para algum da rede 10.5.151.0/24 Máquina B criar uma interface virtual eth0:0 com IP da rede 10.5.151.0/24 Máquina B definir uma rota para da rede 10.5.151.0/24 sendo o gateway o IP setado para eth0 Adicionar a rota default da máquina A o endereço IP da rede 10.5.151.0/24 da máquina B Testar conectividade (ping externos, requisições http, traceroute)

  27. Firewall Ainda em duplas: Máquina A deve bloquear o acesso ao SSH (porta 22) vindo da Máquina B Máquina B deve bloquear ping para ela vindo da rede 10.5.151.0/24

  28. Monitoramento Por que monitorar? O que monitorar? Como monitorar?

  29. Software de monitoramento MRTG O mais antigo sistema de monitoramento de redes que gera páginas HTML com gráficos de dados coletados a partir de SNMP ou scripts externos. http://oss.oetiker.ch/mrtg/

  30. Software de monitoramento RRDtool Evolução do MRTG, utilizado pela maioria das ferramentas de monitoramento de rede. Os dados são armazenados num banco de dados com o conceito de round-robin para que as medições fiquem constantes ao longo do tempo. http://oss.oetiker.ch/rrdtool/

  31. Software de monitoramento Nagios Robusto e base para outras ferramentas de gerenciamento / monitoramento, com ele é possível fazer o gerenciamento de toda a rede inclusive com alertas via SNMP trap, SMS, email. http://www.nagios.org

  32. Software de monitoramento Cacti Desenvolvido para ser flexível de modo a se adaptar facilmente a diversas necessidades, bem como ser robusto e fácil de usar. Trata-se de uma interface e uma infra-estrutura para o RRDTool, que é responsável por armazenar os dados recolhidos e por gerar os gráficos. http://cacti.net

  33. Software de monitoramento Zabbix Ferramenta une o que de melhor do Nagios e do Cacti juntamente com uma excelente ferramenta web de configuração e manutenção. Possui muitos recursos para facilitar o gerenciamento centralizado dos ativos. http://www.zabbix.org

  34. Software de monitoramento Munin Feito em Perl, produz gráficos sobre variados temas como monitoramento de CPU, carga dos discos, queries do MySQL, uso de memória, rede etc. Extremamente útil para administrar diversos servidores ao mesmo tempo. http://munin.projects.linpro.no/

  35. Software de monitoramento Zenoss Excelente ferramenta para monitorar/gerenciar a rede baseado no Nagios, com ele é possível também fazer um inventário da rede e possui excelentes gráficos da infraestrutura. Utiliza o Google maps para mostrar graficamente a distribuição das redes. http://www.zenoss.com

  36. Software de monitoramento NAV Avançada ferramenta para monitorar grandes redes. Ele automaticamente descobre a topologia de rede, monitora carga de banda, servidores e outros equipamentos de rede enviando alertas via SMS, email. http://metanav.uninett.no/

  37. Cacti http://www.cacti.net Cacti - é uma interface gráfica web feita em PHP para a ferramenta RRDTool, que coleta dados via SNMP, armazena informações sobre os gráficos de estatísticas, contas de usuários e demais configurações em uma base de dados MySQL. Ports:cd /usr/ports/net/cacti && make install clean

  38. Cacti - Interface

  39. Cacti – Gerenciando Dispositivos

  40. Cacti – Consulta por período

  41. Fernando Costawww.fernandocosta.com.brfernandocosta@gmail.com

More Related