Liberar porta 80 externa, segurança

karluqs · 25-09-2003, 12:55

Galera blz,

Seguinte, estou configurando o Apache e o Bind para servir um site no Red Hat 9, até ae tudo bem, configurei o ip, que aliás já está registrado e etc, o lance é sobre firewall, bom para que outras pessoas na web possam acessa-lo eu tenho que liberar a porta 80 no iptables certo ?

iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT

Bom só que o lance é que essa porta fica aberta assim é inseguro, certo ? Qual o melhor método para permitir o servidor web e ainda continuar com segurança...

Agradeço a atenção,

beastie · 25-09-2003, 13:07

é isso aí, nesse caso, a segurança não tem que aumentar no firewall, ele é que é obrigado a liberar essa porta para que as pessoas acessem o web server...
A segurança tem de aumentar. sim, mas no web server. O firewall já fez o que podia.

karluqs · 25-09-2003, 13:17

Beastie obrigado pela resposta, aliás rápida bem <IMG SRC="images/forum/icons/icon_wink.gif">

Entendi, bom então nesse caso o que vc recomendaria sobre segurança no web server, estou engatinhando nessa parte heheheh

Obrigado,

**mistymst** · 25-09-2003, 13:47

Bom, primeiro e mais basico. ultima versao, todos os patches aplicados no apache. segundo, se necessario (nao obrigatorio) desabilite os metodos que vc nao usa, vc usa normalmente POST e GET, na hora de escrever a aplicacao preferia o POST ao invez do GET (no get a url fica no navegador, no post nao, entao eh impossivel fazer um bookmarks em POST)

Cuidado com aplicacoes cross-site, se vc for rodar alguma.

Rode o apache em um ambiente seguro, por exemplo, com chroot ou jail se vc utilizar FreeBSD,.

Se voce quiser ser um pouco mais paranoico, use um linux hardended, seja ele LIDS, GrSecurity, ou qualquer outro (que permita manipular ACLs no caso), proteja bem a maquina do seu webserver, e de PREFERENCIA que ela nao seja a mesma no firewall, e rode um firewall nela e coloque esta linha que vc postou acima, o ideal eh rodar o WEBSERVER em uma DMZ.

Acho que isso jah da uma boa segurada, mas a principio vc pode se contentar somente com ultima versoes e patches aplicados, e opcionalmente (leia-se preferencialmente) por ele em uma DMZ.

Lembre-se que com isso vc esta bem protegidos, mas contras bugs desconhecidos vc nao estara tao protegido quanto o resto acima, mas isso eh bem relativo... implemente o que for viavel para voce e sua aplicacao, mas nao abra mao de uma coisa: ultimos patches/versoes!

**Fernando** · 25-09-2003, 14:12

Eu implementaria um IDS (Snort) com um software aliado que analize os pacotes que chegam (Guardian), voce pode fazer os dois trabalharem em conjunto (Snort+Guardian) e assim que um pacote malicioso passar pela porta, o Snort identifica e te grava a origem, e o Guardian o impede de passar ao webserver

karluqs · 25-09-2003, 14:18

Valeu galera, essas dicas valem ouro!!!

Obrigado a todos, agora toca implementar né hehehe <IMG SRC="images/forum/icons/icon_biggrin.gif">

**Fernando** · 25-09-2003, 16:33

Disponha =)
Qualquer duvida com implementacao estamos ae

beastie · 26-09-2003, 08:31

é isso ae psy...

Abutre · 26-09-2003, 09:18

É isso ae rapaziada...
Legal mesmo esse compartilhamento de conhecimento !!!
Nota Dez pra todos !!

Abutre.

**Fernando** · 26-09-2003, 13:59

Liberar porta 80 externa, segurança

Ferramentas de Tópicos