Seguranca no Samba!!!

[dlabreu]

Ola pessoal.


Preciso de uma dica de seguranca.

Tenho um servidor samba aqui na empresa , o roteador de internet tem um DMZ direto para o ip do servidor assim todo o usuario externo da empresa tem accesso aos dados , digitando no windos \\ip_do_servidor.

Gostaria de saber quais os problemas de seguranca que posso ter com esse cenario.

Todos os usuarios tem nome de usuario e senha.

Por favor me ajudem.

Obrigado


Daniel Abreu.

[Lincoln]

na duvida...
implemente algumas regras com o iptables. Linux: Portas do Samba no IPTables [Dica]
e na sessão [global]

interfaces = eth0 192.168.X.X/24

e bastaaaaante monitoramento.

[rmj]

Eu acho q desta maneira ta MUITO vulneravel.
Eu colocaria algo como ftp ou vpn.

Pelo q os usuario estao acostumados a usuar acho q vai ser melhor uma vpn.

[dlabreu]

Ola pessoal , obrigado pela ajuda.


O que voces acham de colocar um IPTABLES fechando todas as portas da maquina , so deixando aberta as portas do samba e ssh?

Ou no roteador ao envez de fazer uma dmz , somente redirecionar as portas do samba e ssh para o servidor.

O que seria o melhor cenario?


Abracos


Daniel

[rmj]

o IPTABLES eh praticamente obrigatorio no seu caso q a internet chega direto no servidor.
É legal usar dmz, vc consegue configurar um firewall melhor no seu servidor com iptables, liberando as portas de entrada q vc usa e bloqueando o resto, inclusive ping q te ajuda muito na protecao.

Mas a questao principal eh vc deixar o samba aberto direto pela internet, eu nao deixaria aberto o samba de maneira nenhuma, o ideal vai ser uma vpn q abre um tunel criptografado na internet para sua rede ai depois vc coneta nos recursos dela, o samba no caso, ai vc tera uma boa seguranca.

[Lincoln]

putz

comi bola
foi mal amigo, num prestei atenção quando vc disse externo hehehe... desconsidere o meu ultimo post.
VPN é o que vc precisa mesmo...
ou um FTP que dai eu acho bem + facil de configurar.
mas pra dizer a verdade...
nunca usei o samba para acesso externo, nem sabia q funcionava hehe...
agora se os usuarios apenas vão puxar estes arquivos e não altera-los o ideal seria um servidor Web concorda?

[dlabreu]

Olha s'o pessoal.

Estou com esse pensamento em mente.


Colocar um IPtables fechando todas as portas de fora para dentro da minha rede , e somente abrindo as do samba que sao

netbios-ns 137/tcp # NETBIOS Name Service
netbios-ns 137/udp
netbios-dgm 138/tcp # NETBIOS Datagram Service
netbios-dgm 138/udp
netbios-ssn 139/tcp # NETBIOS session service
netbios-ssn 139/udp
ms-dn 455 udp

E dentro da minha rede ou abro tb essas portas.

O que voces acham?

Seria mas seguro assim?

Abracos e obrigado a todos os Posts

[dlabreu]

Pessoal , estudei um pouco de Iptables e com ajuda de alguns sites escrevi o seguinte firewall
Que somente deixa aberta as portas do samba.

Gostaria de saber a opiniao de voces.

Grato


Daniel



# Carrega o módulo
modprobe iptables

# Abre algumas portas (opcional)
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 137 -j ACCEPT
iptables -A INPUT -p udp --destination-port 137 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 138 -j ACCEPT
iptables -A INPUT -p udp --destination-port 138 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 139 -j ACCEPT
iptables -A INPUT -p udp --destination-port 139 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 455 -j ACCEPT
iptables -A INPUT -p udp --destination-port 455 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 3000 -j ACCEPT

# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.89.0/255.255.255.0 -j ACCEPT

# Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP