LogicalDOC & iptables

Prévia do material em texto

PONTIFÍCIA UNIVERSIDADE CATÓLICA DE GOIÁS 
ESCOLA DE CIÊNCIAS EXATAS E DA COMPUTAÇÃO 
CURSOS DE ENGENHARIA DE COMPUTAÇÃO 
 
 
 
 
 
 
 
 
 
 
LOGICALDOC & IPTABLES 
 
 
 
 
 
 
 
FERNANDO RODRIGUES 
VICTOR MENDES 
WEMERSON RODRIGUES 
 
 
 
 
 
 
GOIÂNIA 
2019 
1. Introdução 
 
O LogicalDOC é um software de gestão de documentos eficiente que permite membros de 
equipa colaborem independentemente da sua localização. Vários utilizadores podem trabalhar 
em documentos e coordenar a sua edição / rever atividades. 
O Iptables é um conjunto de ferramentas e medidas que permite o controle e a definição de 
regras de firewalls e NATs, permitindo que o servidor tenha uma melhor filtragem de pacotes, 
deixando passar apenas os seguros. 
O Iptables é na verdade, apenas a ferramenta que comanda o módulo netfilter, porém esse 
termo é usado para todas as medidas de segurança que caracterizam o Firewall completo. 
Ele funciona com comparações de regras para a análise dos pacotes baseado no endereço, na 
porta de origem, destino do pacote e na prioridade dele. 
 
2. Objetivo 
 
O objetivo é manter o serviço “LogicalDOC” funcionando e impedir que ataques como 
DDoS, ping da morte, entre outros ocorra e deixem o servidor completamente inoperante ou 
ocorra perda de informação. 
 
3. Desenvolvimento 
 
3.1 Logicaldoc 
O logical do possui 3 edições Community, Business e Enterprise & cloud. A versão usa para a 
elaboração deste trabalho é a Community. 
A figura 1 mostra uma tabela com as características de segurança e protocolos 
disponibilizados em cada edição. 
 
 Figura 1: tabela de segurança e protocolos
 
Fonte: ​https://www.logicaldoc.com/pt/caracteristicas 
 
A versão Community não permite efetuar a criptografia de arquivos, apenas a alteração de 
senha, controle de grupo entre outros. 
 
3.2 IPtables 
Dentro da estrutura do iptables podemos destacar 3 camadas (também chamadas “tabelas”) 
como as mais importantes para o seu funcionamento: filter, NAT e mangle. 
- Filter: Tabela padrão para manipular pacotes de rede, usada para configurar políticas 
para o tráfego que entra, atravessa ou sai do computador. Possui as chains “cadeias” 
INPUT, OUTPUT e FORWARD 
- NAT: Usada para alterar pacotes que criam uma nova conexão, e para redirecionar 
conexões para NAT.Possui as chains “cadeias” PREROUTING, POSTROUTING e 
OUTPUT. 
- Mangle: Usada para tipos específicos de alteração de pacotes, como a modificação de 
opções do cabeçalho IP de um pacote. Possui as chains “cadeias” PREROUTING, 
POSTROUTING, INPUT, OUTPUT e FORWARD. 
Ações embutidas no iptables: 
ACCEPT - pacote permitido. 
DROP - Descartar o pacote. 
QUEUE - Enviar o pacote ao userspace (código fora do kernel). 
RETURN - Descontínua o processamento do pacote e aplicar a regra padrão a ele. 
Ações adicionais: 
REJECT - Descarta o pacote e envia feedback ao remetente. 
DNAT - reescreve endereço de destino (NAT). 
SNAT - reescreve endereço de origem (NAT). 
LOG - coloca no log informações sobre o pacote. 
 
Alguns dos parâmetros usados no iptables: 
-P = define uma regra padrão; 
-A = acrescenta uma nova regra às existentes; 
-D = apaga uma regra; 
-L = lista as regras existentes; 
-F = apaga todas as regras; 
-I = insere uma nova regra; 
-h = mostra a ajuda; 
-R = substitui uma regra; 
-C = chega às regras existentes; 
-Z = zera uma regra específica; 
-N = cria uma nova regra com um nome; 
-X = exclui uma regra específica pelo seu nome. 
 
Muitos comandos iptables possuem a seguinte estrutura: 
 
iptables [-t <table-name>] <command> <chain-name> \ <parameter-1> <option-1> \ 
<parameter-n> <option-n> 
 
<table-name> - Especifica qual tabela a regra se aplica. Se omitido, a tabela filter será usada. 
<command> - Especifica a ação a realizar, tal como adicionar ou remover uma regra. 
<chain-name> - Especifica a corrente a editar, criar ou remover. 
<parameter>-<option> pairs - Os parâmetros e opções associadas que especificam como 
processar um pacote que coincide com a regra. 
 
As seguintes regras podem ser adicionadas ao firewall para impedir algumas possíveis 
invasões por DDoS, ping da morte e conexão por FTP (File Transfer protocol - Protocolo de 
transferência de arquivo). 
 
# proteger contra ataques DDoS em HTTP e HTTPS 
iptables -A INPUT -p tcp -m tcp --dport 80 -m limit --limit 20/min --limit-burst 100 -j 
ACCEPT 
iptables -A INPUT -p udp -m udp --dport 80 -m limit --limit 20/min --limit-burst 100 -j 
ACCEPT 
iptables -A INPUT -p tcp -m tcp --dport 443 -m limit --limit 20/min --limit-burst 100 -j 
ACCEPT 
iptables -A INPUT -p udp -m udp --dport 443 -m limit --limit 20/min --limit-burst 100 -j 
ACCEPT 
iptables -A INPUT -p tcp -m tcp --dport 8080 -m limit --limit 20/min --limit-burst 100 -j 
ACCEPT 
 
# proteger contra ping da morte 
iptables -A INPUT -p icmp -icmp --icmp-type 8 -j DROP 
 
iptables -A INPUT -p tcp -m tcp --dport 4444 -j DROP 
 
# conexão pelas portas de FTP 
iptables -A INPUT -p tcp --dport 20 -j DROP 
iptables -A INPUT -p tcp --dport 21 -j DROP 
 
# impedir que outras máquinas ping no servidor 
iptables -I INPUT 1 -p icmp --icmp-type echo-request -j DROP