Your SlideShare is downloading. ×
  • Like
Unidade3 seg perimetral
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Unidade3 seg perimetral

  • 573 views
Published

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
573
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
28
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Curso Superior de Tecnologia em Redes de ComputadoresDisciplina - Segurança de RedesUnidade 3 – Segurança Perimetral(Filtro de Pacotes) Prof. Leandro Cavalcanti de Almeida lcavalcanti.almeida@gmail.com @leandrocalmeida
  • 2. SegurançaPerimetral Filtro de Pacotes Proxy Hardening VPN IDS/IPS
  • 3. NetfilterFiltro de Pacotes Iptables
  • 4. SoftwareAplicativos IPTABLESKernel NETFILTER Hardware
  • 5. Tabelas ChainsFilter input / foward / outputNat prerouting / postrouting / outputMangle prerouting / input / forward output / postrouting
  • 6. Internet Filter input / foward / output Nat prerouting / postrouting / output Mangle prerouting / input / forward output / postrouting
  • 7. Execute ...# iptables ­L # iptables ­L ­t filter# iptables ­L ­t nat# iptables ­L ­t mangle
  • 8. Observe...# iptables ­A (adiciona uma regra)# iptables ­I (insere uma regra)# iptables ­R(sobreescreve uma regra)# iptables ­D (remove uma regra)
  • 9. Qual a diferença entreadicionar e inserir?
  • 10. - A opção -I é utilizada em tempo deexecução, ou seja, regras temporárias- A opção -A coloca a sempre no final dachain- A opção -I coloca a regra no início dachain- Entretanto, é possível específicar aposição (# iptables ­I CHAIN 4)
  • 11. Especificações deFiltragem:Camadas 2,3 e 4
  • 12. Camada 2 Opções: i --in-interface - o –out-interface -Pacotes analizados pelas chains OUTPUT e POSTROUTINGnão trabalham com interface de entrada, logo não épermitido utilizar a opção -i nestas chains.Da mesma forma, as chains INPUT e PREROUTING nãotrabalham com interface de saída, logo não é permitidoutilizar a opção -o nestas chains
  • 13. Camada 3 Opções: -s , --src, --source -d, --dst, --destinationOrigem e Destino podem ser endereços IP,subredes ou nomes DNS
  • 14. Camada 4 Opções: -p , --protocol tcp, udp, icmpPara icmp, você pode especificar tipos de mensagens:--icmp-typePara udp você pode especificar: --sourceport / -sport ou--destination-port / -dportPara tcp você pode especificar: -sport ou -dport e alémdos flags(SYN ACK FIN RST URG PSH ALL NONE) com aopção –tcp-flags
  • 15. Já existe um projeto para o netfilter trabalhar com a Camada 7(aplicação)Application Layer Packet Classifier for Linuxhttp://l7-filter.sourceforge.net/
  • 16. Especificações doAlvo (target)
  • 17. ACCEPTDROPREJECTLOG
  • 18. Qual a diferença entre DROPe REJECT?
  • 19. O alvo DROP, descarta o pacoteimediatamenteO alvo REJECT descarta e pacote e enviauma resposta ao ip de origem:icmp port unreachableSendo possível customizar com­­reject­with
  • 20. NAT – NetworkAddress Translation-O roteador altera o cabeçalho do pacote no campo endereçode origem, colocando seu IP- O roteador guarda as informaçõesdestas alterações no arquivo/proc/net/ip_conntrack- Quando o pacote volta oroteador desfaz a alteração
  • 21. SNAT – Source Network AddressTranslations
  • 22. DNAT – Destination Network AddressTranslations