complementando o post anterior, segue link de um site que testa a segurança da estação verificando se existem portas abertas no mesmo:
https://www.grc.com/x/ne.dll?bh0bkyd2
Outro teste que pode ser realizado é utilizando o nmap a partir de outra estação remota, a fim de fazer uma varredura mais completa e personalizada.
Blog com comentários e dicas a respeito de Experiências obtidas no dia-a-dia com o Linux.
sexta-feira, 12 de fevereiro de 2010
Segurança Básica para desktop com Banda Larga
A banda larga cada vez mais popular e acessível leva ao aumento progressivo de estações na internet com maior possibilidade de invasão, isto devido a despreocupação com a segurança.
O fato de manter o antivirus atualizado não é suficiente, não vou entrar em maiores detalhes no momento, pois a idéia é de sugerir um firewall bem básico que permita aplicação imediata. Melhores práticas serão abordadas futuramente, mas digamos, acabou de instalar seu linux no seu desktop/notebook, ligou na banda larga e que aproveitar para atualizar o sistema, navegar, bater papo etc... mas, enquanto isso, sua máquina pode ter portas abertas para o exterior.
Não faltam desocupados que ficam realizando varreduras para buscar alguém indefeso, seja para roubar dados, ou para outros fins ilícitos. Abaixo segue um pequeno arquivo com regras de firewall que podem ser utilizadas sem maiores problemas, claro que poderão ser feitos melhoramentos, ou ajustes. Mas, serve como material de consulta/discussão:
# Generated by iptables-save v1.4.1.1 on Fri Feb 12 13:04:58 2010
*filter
:INPUT ACCEPT [2773:499649]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [969:81282]
-A INPUT -s ! dns_server_do_provedor -i ppp+ -p udp -m udp --dport 53 -j DROP
-A INPUT -i ppp+ -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp+ -m state --state INVALID,NEW,UNTRACKED -j DROP
-A INPUT -i ! ppp+ -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp+ -j DROP
COMMIT
# Completed on Fri Feb 12 13:04:58 2010
# Generated by iptables-save v1.4.1.1 on Fri Feb 12 13:04:58 2010
*mangle
:PREROUTING ACCEPT [2358:417158]
:INPUT ACCEPT [2329:414594]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [927:78949]
:POSTROUTING ACCEPT [927:78949]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Feb 12 13:04:58 2010
salve o texto acima em um arquivo, por exemplo: /etc/regras.firewall
Para tornar ativo, execute:
iptables-restore /etc/regras.firewall
Se quiser que seja carregado na inicialização, basta colocar a linha acima no /etc/rc.local (na maioria das distribuições)
Essas regras levam em consideração que sua conexão é direta, via ppp, não por meio de modens roteados. Outro ponto a se observar é que libero apenas para dns_server_do_provedor a entrada de pacotes, pois ao se tentar navegar, realiza-se uma consulta ao dns, que retorna pacotes com a resposta, se bloquearmos, não conseguirá ter resposta e consequentemente não navegará pelos sites.
Esse assunto pode render um tutorial, curso ou mesmo um livro inteiro, sugiro que pesquise a respeito de: dns, portas, serviços de rede, tcp/udp. É bem interessante.
O fato de manter o antivirus atualizado não é suficiente, não vou entrar em maiores detalhes no momento, pois a idéia é de sugerir um firewall bem básico que permita aplicação imediata. Melhores práticas serão abordadas futuramente, mas digamos, acabou de instalar seu linux no seu desktop/notebook, ligou na banda larga e que aproveitar para atualizar o sistema, navegar, bater papo etc... mas, enquanto isso, sua máquina pode ter portas abertas para o exterior.
Não faltam desocupados que ficam realizando varreduras para buscar alguém indefeso, seja para roubar dados, ou para outros fins ilícitos. Abaixo segue um pequeno arquivo com regras de firewall que podem ser utilizadas sem maiores problemas, claro que poderão ser feitos melhoramentos, ou ajustes. Mas, serve como material de consulta/discussão:
# Generated by iptables-save v1.4.1.1 on Fri Feb 12 13:04:58 2010
*filter
:INPUT ACCEPT [2773:499649]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [969:81282]
-A INPUT -s ! dns_server_do_provedor -i ppp+ -p udp -m udp --dport 53 -j DROP
-A INPUT -i ppp+ -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp+ -m state --state INVALID,NEW,UNTRACKED -j DROP
-A INPUT -i ! ppp+ -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i ppp+ -j DROP
COMMIT
# Completed on Fri Feb 12 13:04:58 2010
# Generated by iptables-save v1.4.1.1 on Fri Feb 12 13:04:58 2010
*mangle
:PREROUTING ACCEPT [2358:417158]
:INPUT ACCEPT [2329:414594]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [927:78949]
:POSTROUTING ACCEPT [927:78949]
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Fri Feb 12 13:04:58 2010
salve o texto acima em um arquivo, por exemplo: /etc/regras.firewall
Para tornar ativo, execute:
iptables-restore /etc/regras.firewall
Se quiser que seja carregado na inicialização, basta colocar a linha acima no /etc/rc.local (na maioria das distribuições)
Essas regras levam em consideração que sua conexão é direta, via ppp, não por meio de modens roteados. Outro ponto a se observar é que libero apenas para dns_server_do_provedor a entrada de pacotes, pois ao se tentar navegar, realiza-se uma consulta ao dns, que retorna pacotes com a resposta, se bloquearmos, não conseguirá ter resposta e consequentemente não navegará pelos sites.
Esse assunto pode render um tutorial, curso ou mesmo um livro inteiro, sugiro que pesquise a respeito de: dns, portas, serviços de rede, tcp/udp. É bem interessante.
Assinar:
Postagens (Atom)