Mecanismos de segurança linux

  • View
    947

  • Download
    5

Embed Size (px)

DESCRIPTION

 

Text of Mecanismos de segurança linux

  • 1. FACULDADE PITGORAS BELO HORIZONTEADMINISTRAO DE SERVIOS EM SISTEMAS DE ARQUITETURA ABERTAAllan S. ReisElvis de SouzaMarco AntonioThiago George Belo Horizonte2010

2. ALLAN S. REIS, ELVIS DE SOUZA, MARCO ANTONIO & THIAGO GEORGE MECANISMOS DE SEGURANA EM DISTRIBUIES LINUXTrabalho apresentado disciplinaAdministrao de Servios emSistemas de Arquitetura Aberta docurso Superior de Tecnologia emRedes de Computadores daFaculdadePitgoras BeloHorizonte como requisito parcial deobteno de pontos na disciplina.Professor: Thiago Moraes Belo Horizonte2010 2 3. SUMRIO 1 INTRODUO......................................................................................................................52 FIREWALL...................................................................................................................................62.1 Conceito..................................................................................................................................62.2 Filtros de Pacotes....................................................................................................................62.3 IPTABLES..............................................................................................................................7 2.3.1 Tabelas.............................................................................................................................8 2.3.2 Cadeias.............................................................................................................................8 2.3.3 Regras..............................................................................................................................9 2.3.4 Alvo...............................................................................................................................103 PROXY........................................................................................................................................113.1 Conceito................................................................................................................................113.2 SQUID..................................................................................................................................114.1 Conceito................................................................................................................................14 Rede Privada Virtual, ou Virtual Private Network (VPN), uma rede privativa construdasobre a infra-estrutura de uma rede pblica, geralmente a Internet que assegura a privacidade eintegridade das comunicaes, utilizando as mais avanadas tecnologias de criptografia esubstituindo os links dedicados e de longa distncia .................................................................14 Permite que as empresas criem uma rede totalmente integrada que pode trfegar voz, dados evdeo alm da reduzir os custos com links.................................................................................144.2 Open VPN.............................................................................................................................14 O OpenVPN oferece vrios recursos de segurana internos. Tem a habilidade de bloquear osprivilgios de acesso root, e oferece suporte a smart card atravs de criptografia baseada emtoken PKCS#11..........................................................................................................................14 3 4. LISTA DE FIGURAS 4 5. 1 INTRODUOEstamos em um mundo globalizado, onde a informao, independente do seuformato, um dos maiores patrimnios de uma organizao moderna. Considerada umativo importantssimo para a realizao do negcio a informao deve ser protegida egerenciada.Percebemos que nos ltimos anos as tecnologias de informao e comunicaotm evoludo de forma rpida, fazendo com que as organizaes tenham maioreficincia e rapidez nas tomadas de decises, devido a este fato as chances de umaempresa no usar sistemas de informao tornou-se praticamente nula. Neste contextoa importncia de se utilizar mecanismos de segurana vital para a sobrevivncia ecompetitividade destas organizaes.5 6. 2 FIREWALL2.1 Conceito Firewall um dispositivo de rede que tem a funo de aplicar uma poltica desegurana a um determinado ponto de controle da rede. Seu objetivo regular otrfego de dados entre vrias redes, impedindo o envio e/ou recebimento de dadosnocivos ou no autorizados entre elas. Neste conceito esto contemplados osequipamentos que realizam filtragem de pacotes e de Proxy de aplicaes, sempreligados s redes TCP/IP. Um firewall pode ser um roteador, uma estao PC ou UNIX, ou a combinaodestes que determine qual informao ou servios podem ser acessados de fora e aquem permitido usar a informao e os servios de fora. Geralmente, um firewall instalado no ponto onde possa realizar a intermediao da rede interna segura com arede externa no-confivel. O firewall projetado para proteger as fontes de informao de uma organizao,permitindo que dados confiveis passem negar servios vulnerveis e proteger a redeinterna contra ataques externos. Os registros de eventos e alarmes gerados pelofirewall devem ser examinados regularmente pelo administrador Os firewalls podem serdivididos em duas grandes classes: Filtros de pacote e servidores Proxy.2.2 Filtros de Pacotes A filtragem de pacotes um dos principais mecanismos, na qual permite ou no apassagem de datagramas IP em uma rede, mediante regras configuradas pelo6 7. administrador. Com a filtragem possvel restringir o acesso a servios como: telnet,chat ou sites da internet. O firewall tem funes essenciais no Linux, sendo elas:- Registros complementares;- Distino de rede;- Filtragem de IP e de portas;- Redirecionamento de pacotes;- Conservao de endereo IP e encaminhamento de trfego;- Autenticao e criptografia mais fortes;- Proteo contra ataques denial-of-service (DoS) ou negao de servios, anlises efarejadores (sniffers);Figura 1: Modelo simples firewall2.3 IPTABLES Iptables a atual ferramenta para firewall no Linux. O Iptables constitudo deuma srie de aplicativos existentes que interagem com o Netfilter, que aimplementao de firewall em nvel de kernel. O Iptables se baseia em pares de regras e aes. As regras os pacotes a atuar ea ao a atitude que deve ser tomada quando um pacote bater com a regra. O Netfilter7 8. processo as regras seqencialmente, aps encontrar um dado pacote, ele atuar com aao par daquela regra.2.3.1 TabelasO Iptables funciona em cima de tabelas, cada uma especializada num tipo detratamento de pacotes. As tabelas existentes so:*raw: onde so feitas algumas alteraes em mais baixo nvel nos pacotes;*filter: nesta tabela cabem as regras responsveis pela filtragem de pacotes;*nat: mudanas nos cabealhos dos pacotes (incluindo NAT e IP Masquerade);*mangle: usada para alteraes especficas nos pacotes.2.3.2 CadeiasExistem diversas cadeias no Iptables, cada uma vinculada a um tipo de trfego.So elas:* PREROUTING: trfego ingressante na mquina (incluindo trfego geradolocalmente com destino local);* INPUT: trfego que tem como destino a prpria mquina;* FORWARD: trfego passante pela mquina;* OUTPUT: trfego gerado localmente (tanto com destino local como remoto);* POSTROUTING: todo trfego que "sai" da mquina (incluindo trfego geradolocalmente com destino local).8 9. Figura 2: Cadeias2.3.3 RegrasO uso de regras necessrio para selecionar em quais pacotes uma dita aoir atuar. Nem todas as regras se aplicam a todas as cadeias. Existem regras gerais eexistem extenses. A existncia e variedade das regras extras dependem da verso doKernel do Iptables em uso. As regras gerais so:* -p PROTOCOLO: especifica um protocolo (por exemplo TCP ou UDP);* -s ENDEREO: especifica um endereo de origem;* -d ENDEREO: especifica um endereo de destino;* -i INTERFACE: especifica a interface de rede na qual o pacote ingressou;* -o INTERFACE: especifica a interface de rede na qual o pacote ir sair damquina. 9 10. 2.3.4 AlvoAs aes podem ser similares as regras acima, sendo ela padro ou umaextenso, e especifica a ao a ser tomada quando um pacote casar com uma dadaregra de seleo. As aes so:* ACCEPT: aceita o pacote, e diz ao Netfilter para continuar o processamento dopacote na prxima cadeia/tabela* DROP: diz ao Netfilter para ignorar completamente o pacote;* QUEUE: indica que o pacote deve ser passado ao userspace;* RETURN: instrui o Netfilter para parar de processar a cadeia em questo econtinuar na prxima regra na cadeia anterior10 11. 3 PROXY3.1 Conceito Proxy um intermedirio que desempenha a funo de conexo do computador(local) rede externa (Internet). Pode ser utilizado para registrar o uso da Internet etambm para bloquear o acesso a um site da Web. Esses servidores tm uma srie deusos, como filtrar contedo, providenciar anonimato, entre outros. Figura 3 Servidor Proxy Fonte: Holistica (2010)3.2 SQUID Squid um proxy-cache para clientes web, gratuito e muito utilizado emdistribuies Linux. O Squid permite compartilhar o acesso a Web com outroscomputadores da rede, e melhora a velocidade de acesso atravs do cache. Suporta 11 12. protocolos FTP, HTTP e Gopher. Tambm suporta SSL, listas de acesso complexas elogging completo. Por utilizar o Internet Cache Protocol, o Squid pode ser configuradopara trabalhar de forma hierrquica ou mista para melhor aproveitamento da banda. O Squid possui muitos recursos, incluindo autenticao de usurios, restriesde acesso, auditoria, etc. Dentre os benefcios do squid, podemos citas os seguintes:- Velocidade de acesso- Disponibilidade- Transparncia ou Ostensividade- Capacidade de trabalhar com redes heterogneas.- Simplicidade O Squid pode ser utilizado nas principais plataformas do mercado, como Linux,Unixes e Windows. Sua estrutura baseada em listas de acessos. Todas asconfiguraes de usurios, grupos, horrios e SITES so configurados em ACLs(Access Control Lists), permitindo trabalhar com nveis de acesso baseados emdiversas informaes.Figura 4 Arquivo de configurao Squid.12 13. As co