Unidade3 seg perimetral

678 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
678
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
28
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Unidade3 seg perimetral

  1. 1. Curso Superior de Tecnologia em Redes de ComputadoresDisciplina - Segurança de RedesUnidade 3 – Segurança Perimetral(Filtro de Pacotes) Prof. Leandro Cavalcanti de Almeida lcavalcanti.almeida@gmail.com @leandrocalmeida
  2. 2. SegurançaPerimetral Filtro de Pacotes Proxy Hardening VPN IDS/IPS
  3. 3. NetfilterFiltro de Pacotes Iptables
  4. 4. SoftwareAplicativos IPTABLESKernel NETFILTER Hardware
  5. 5. Tabelas ChainsFilter input / foward / outputNat prerouting / postrouting / outputMangle prerouting / input / forward output / postrouting
  6. 6. Internet Filter input / foward / output Nat prerouting / postrouting / output Mangle prerouting / input / forward output / postrouting
  7. 7. Execute ...# iptables ­L # iptables ­L ­t filter# iptables ­L ­t nat# iptables ­L ­t mangle
  8. 8. Observe...# iptables ­A (adiciona uma regra)# iptables ­I (insere uma regra)# iptables ­R(sobreescreve uma regra)# iptables ­D (remove uma regra)
  9. 9. Qual a diferença entreadicionar e inserir?
  10. 10. - A opção -I é utilizada em tempo deexecução, ou seja, regras temporárias- A opção -A coloca a sempre no final dachain- A opção -I coloca a regra no início dachain- Entretanto, é possível específicar aposição (# iptables ­I CHAIN 4)
  11. 11. Especificações deFiltragem:Camadas 2,3 e 4
  12. 12. Camada 2 Opções: i --in-interface - o –out-interface -Pacotes analizados pelas chains OUTPUT e POSTROUTINGnão trabalham com interface de entrada, logo não épermitido utilizar a opção -i nestas chains.Da mesma forma, as chains INPUT e PREROUTING nãotrabalham com interface de saída, logo não é permitidoutilizar a opção -o nestas chains
  13. 13. Camada 3 Opções: -s , --src, --source -d, --dst, --destinationOrigem e Destino podem ser endereços IP,subredes ou nomes DNS
  14. 14. Camada 4 Opções: -p , --protocol tcp, udp, icmpPara icmp, você pode especificar tipos de mensagens:--icmp-typePara udp você pode especificar: --sourceport / -sport ou--destination-port / -dportPara tcp você pode especificar: -sport ou -dport e alémdos flags(SYN ACK FIN RST URG PSH ALL NONE) com aopção –tcp-flags
  15. 15. Já existe um projeto para o netfilter trabalhar com a Camada 7(aplicação)Application Layer Packet Classifier for Linuxhttp://l7-filter.sourceforge.net/
  16. 16. Especificações doAlvo (target)
  17. 17. ACCEPTDROPREJECTLOG
  18. 18. Qual a diferença entre DROPe REJECT?
  19. 19. O alvo DROP, descarta o pacoteimediatamenteO alvo REJECT descarta e pacote e enviauma resposta ao ip de origem:icmp port unreachableSendo possível customizar com­­reject­with
  20. 20. NAT – NetworkAddress Translation-O roteador altera o cabeçalho do pacote no campo endereçode origem, colocando seu IP- O roteador guarda as informaçõesdestas alterações no arquivo/proc/net/ip_conntrack- Quando o pacote volta oroteador desfaz a alteração
  21. 21. SNAT – Source Network AddressTranslations
  22. 22. DNAT – Destination Network AddressTranslations

×