Implementação Firewall com Iptables

Victor Nascimento de Castro[pic 1]

Implementação firewall com iptables

Belo Horizonte

2014

Victor Nascimento de Castro

Implementação firewall com iptables

Trabalho teórico apresentado como requisito de avaliação do curso de técnico de redes de computadores do Centro Universitário Uma para técnico.

Professor orientador: Élber Gonçalves Dias

Belo Horizonte

2014

Sumário

1.........................................................(Configurando rede no Linux Ubuntu Server)

2...............................................( Configurando rede no Linux Ubuntu Server)

3.............................................................. (vantagens, desvantagens, tipos de firewall)

Implementação teórica/pratica de um firewall com iptables

É requisito de uma empresa específica estabelecer uma conexão com a internet através de um link de internet dedicado, além de um outro link com custo mais baixo para navegação comum de forma controlada pelo firewall.

Como se trata de uma empresa de pequeno porte, com apenas 10 computadores ligados em rede local, trabalhando em nat, a comunicação com a internet dessa rede deve sair pelo link dedicado para requisição de trabalho como email corporativo, acesso a web site da empresa e acesso a links governamentais. E para os demais acessos, será utilizado o link não dedicado.

O servidor de firewall disponibilizara de 3 interfaces de rede.

Configuração baixa das interfaces:

Eth0: 10.117.0.240 /24 (Link dedicado)

Eth1: 10.117.1.241 /24 (Link alternativo)

Eth2: 10.117.2.242 /24 (Link interno)

Portas que devem ser liberadas na rede interna:

HTTP - 80

FTP - 21

SMTP - 25

POP3 - 110

SSH - 22

Configurando rede no Linux Ubuntu Server

1 – Instalação iptables: apt-get install iptables

2 - Interfaces de rede devidamente configuradas conforme solicitação.

(Ifconfig eth0 up)

Interfaces eth0 e eth1 configuradas com gateway padrão para saída à Internet. A interface eth2 é somente comunicação interna, por isso não necessita de Gateway.

Após configurar as interfaces é necessário reiniciar para validar as configurações: /etc/init.d/networking restart

3 - Instalação de um gerenciador de e-mail. Ex: sendmail: apt-get install sendmail

4 – Parta Listar as portas abertas para um determinado IP no iptables:

 nmap  -v  10.117.0.240

5 – Gerenciando as portas de comunicação, liberando apenas as portas necessárias para o link dedicado (eth0 - 10.117.0.240).
Bloqueando as portas não utilizadas:

iptables –A OUTPUT –p tcp  -s 10.117.0.240 --dport 22 –j DROP
         iptables –A INPUT –p tcp  -s 10.117.0.240 --dport 21 –j DROP
             iptables –A INPUT –p tcp  -s 10.117.0.240 --dport 445 –j DROP

6 – Para bloquear as portas para o link não dedicado:

                     iptables –A OUTPUT –s 10.117.1.241 DROP
                 iptables –A INPUT –s 10.117.1.241 DROP

7 – Para liberar as portas necessárias para utilização do Link não dedicado:

      iptables –A INPUT –p tcp  -s 10.117.1.241 --dport 80 –j ACCEPT
              iptables –A OUTPUT –p tcp  -s 10.117.1.241 --dport 80 –j ACCEPT

8 – Para bloquear as portas não utilizadas e liberando apenas a porta para acesso a rede interna:      iptables –A INPUT –s 10.117.2.242 DROP
               iptables –A INPUT –p tpc –s 10.117.2.242 --dport 139 –j ACCEPT
               iptables –A OUTPUT –p tpc –s 10.117.2.242 --dport 139 –j ACCEPT

2ª parte:

1. ACLs: São listas de controle de acesso, aplicadas na interface do roteador, que filtram o tráfego. Essas listas contém informações sobre os tipos depacotes que o roteador deve aceitar ou recusar. Elas gerenciam o tráfego aumentando a segurança da rede.

ACLs standard: Esta é a lista mais básica, com menos funcionalidades. Filtram apenas através do endereço IP de origem. Os números de identificação deste tipo de ACL vão de 1 a 99 e de 1300 a 1999. Este tipo de ACL deve ser posicionada o mais próximo possível do destino do tráfego.

ACLs extended: Além de filtrarem através dos endereços de IP de origem e destino, também permitem que se filtre o tráfego através de portas e protocolos. Os números de identificação deste tipo de ACL vão de 100 a 199 e de 2000 a 2699. Este tipo de ACL deve ser posicionada o mais próximo possível da origem.

1.  Existe a possibilidade de  executar este tipo de configuração em qualquer roteador?

Não – ACL’s nos roteadores CISCO, que por sinal tem muitas vantagem em relação a outros roteadores no mercado.

1. Como uma ACL pode controlar o encaminhamento de pacotes na rede?

O processo tem início quando uma interface recebe um pacote. O roteador verifica a tabela de roteamento à procura de uma rota para o pacote. Caso não tenha uma rota este pacote será descartado e sera enviada para a origem uma mensagem de ICMP    ( unreachable destination ).

Caso contrário verifica-se se existe uma lista de controle de acesso aplicada à interface, não existindo o pacote é enviado para o buffer da porta de saída, caso contrário o pacote é analisado pela lista de controle de acesso da interface em questão. Uma vez que o fluxo de dados através da uma determinada interface é bidirecional, uma ACL pode ser aplicada em uma direção especifica da interface:

...