Your SlideShare is downloading. ×
0
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Unidade3 seg perimetral
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Unidade3 seg perimetral

581

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
581
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
28
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Curso Superior de Tecnologia em Redes de ComputadoresDisciplina - Segurança de RedesUnidade 3 – Segurança Perimetral(Filtro de Pacotes) Prof. Leandro Cavalcanti de Almeida lcavalcanti.almeida@gmail.com @leandrocalmeida
  • 2. SegurançaPerimetral Filtro de Pacotes Proxy Hardening VPN IDS/IPS
  • 3. NetfilterFiltro de Pacotes Iptables
  • 4. SoftwareAplicativos IPTABLESKernel NETFILTER Hardware
  • 5. Tabelas ChainsFilter input / foward / outputNat prerouting / postrouting / outputMangle prerouting / input / forward output / postrouting
  • 6. Internet Filter input / foward / output Nat prerouting / postrouting / output Mangle prerouting / input / forward output / postrouting
  • 7. Execute ...# iptables ­L # iptables ­L ­t filter# iptables ­L ­t nat# iptables ­L ­t mangle
  • 8. Observe...# iptables ­A (adiciona uma regra)# iptables ­I (insere uma regra)# iptables ­R(sobreescreve uma regra)# iptables ­D (remove uma regra)
  • 9. Qual a diferença entreadicionar e inserir?
  • 10. - A opção -I é utilizada em tempo deexecução, ou seja, regras temporárias- A opção -A coloca a sempre no final dachain- A opção -I coloca a regra no início dachain- Entretanto, é possível específicar aposição (# iptables ­I CHAIN 4)
  • 11. Especificações deFiltragem:Camadas 2,3 e 4
  • 12. Camada 2 Opções: i --in-interface - o –out-interface -Pacotes analizados pelas chains OUTPUT e POSTROUTINGnão trabalham com interface de entrada, logo não épermitido utilizar a opção -i nestas chains.Da mesma forma, as chains INPUT e PREROUTING nãotrabalham com interface de saída, logo não é permitidoutilizar a opção -o nestas chains
  • 13. Camada 3 Opções: -s , --src, --source -d, --dst, --destinationOrigem e Destino podem ser endereços IP,subredes ou nomes DNS
  • 14. Camada 4 Opções: -p , --protocol tcp, udp, icmpPara icmp, você pode especificar tipos de mensagens:--icmp-typePara udp você pode especificar: --sourceport / -sport ou--destination-port / -dportPara tcp você pode especificar: -sport ou -dport e alémdos flags(SYN ACK FIN RST URG PSH ALL NONE) com aopção –tcp-flags
  • 15. Já existe um projeto para o netfilter trabalhar com a Camada 7(aplicação)Application Layer Packet Classifier for Linuxhttp://l7-filter.sourceforge.net/
  • 16. Especificações doAlvo (target)
  • 17. ACCEPTDROPREJECTLOG
  • 18. Qual a diferença entre DROPe REJECT?
  • 19. O alvo DROP, descarta o pacoteimediatamenteO alvo REJECT descarta e pacote e enviauma resposta ao ip de origem:icmp port unreachableSendo possível customizar com­­reject­with
  • 20. NAT – NetworkAddress Translation-O roteador altera o cabeçalho do pacote no campo endereçode origem, colocando seu IP- O roteador guarda as informaçõesdestas alterações no arquivo/proc/net/ip_conntrack- Quando o pacote volta oroteador desfaz a alteração
  • 21. SNAT – Source Network AddressTranslations
  • 22. DNAT – Destination Network AddressTranslations

×