+ Responder ao Tópico



  1. #1

    Padrão Segurança no Debiam 3.1

    Olá pessoal, eu instalei o Debiam aqui para fazer um serviço de gateway+proxy, e gostaria de implementar algumas políticas de segurança. Como firewall e outras coisas mais, tipo não saco muito disso então gostaria da ajuda de vocês, para saber o que sería bom eu botar para dar mais segurança nesse servidor. Uma vez vi que o firewall do linux vem habilitado por default, no Debiam já vem também?

    Passa umas dicas ai galera.

    Forte abraço.

    Junio Vitorino
    [email protected]

  2. #2
    wrochal
    Visitante

    Padrão Re: Segurança no Debiam 3.1

    Caro,

    Normalmente quando instalado o Debian, apenas para Firewall ou Proxy, sigo a seguinte politica:

    Desativando Serviços desnecessários:

    Instale o rcconf, programa que desativa serviços que inicializam na hora do boot, segue os serviços que desabilito:

    inetd
    portmap
    nfs-common
    lpd
    ppp

    Normalmente no SSH eu mudo a porta padrao, de 22 para algo como 4422, basta vc definir do jeito que quiser:

    edite o arquivo /etc/ssh/sshd_config

    Port 4422

    Pode também por chaves

    AuthorizedKeysFile %h/.ssh/authorized_keys

    desabilite o root de logar no SSH

    PermitRootLogin no

    E lembra-se da politica do firewall, sempre bloquear a INPUT DROP.

    Abraçõs,



  3. #3

    Padrão Re: Segurança no Debiam 3.1

    Hum, legal cara mas esse finalzinho eu não entendi direito
    E lembra-se da politica do firewall, sempre bloquear a INPUT DROP.
    e nem se o firewall já esta habilitado e configurado. :?

  4. #4
    wrochal
    Visitante

    Padrão Re: Segurança no Debiam 3.1

    Caro,

    De uma olhada no meu firewall

    #!/bin/bash

    # Programas
    IPT=/sbin/iptables
    MODP=/sbin/modprobe

    # Configuracao Rede
    IFWAN=eth0
    IFLAN=eth1
    IPWAN=200.X.123.X
    LAN=192.168.5.0/24
    IFINT=192.168.5.0/24
    ANY=0/0

    # Srv_REMOTO
    SERVER=192.168.5.43

    # IPS Liberados
    IPS_ALLOW="192.168.5.1 192.168.5.2 192.168.5.43 192.168.5.56 192.168.5.196 192.168.5.63"

    # Portas INPUT TCP/UDP
    INPUT_TCP="53 22 80 9022 20 21 3456 3389 3390 1723"
    INPUT_UDP="53 67 80"

    # PORTAS FORWARD
    FORWARD_TCP="20 22 21 25 47 53 80 110 143 1723 1863 3422 3456 3389 3390 3391 3392 3393 443 9022 9023 5800 5900"
    FORWARD_UDP="20 22 21 25 47 53 80 110 143 1723 1863 3456"

    # Modulos
    for module in ip_tables ipt_REDIRECT ipt_MASQUERADE ipt_MARK ipt_REJECT \
    ipt_TOS ipt_LOG iptable_mangle iptable_filter iptable_nat ip_nat_ftp \
    ip_conntrack ip_conntrack_ftp ip_conntrack_irc \
    ip_nat_irc ipt_mac ipt_state ipt_mark; do
    $MODP $module
    done

    # MASCARAMENTO
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Protecao de ICMP e Spoofing
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
    echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

    # Inicio das Regras
    echo -n "Iniciando o Firewall "
    # Limpando as Regras

    $IPT -F
    $IPT -Z
    $IPT -X
    $IPT -t nat -F
    $IPT -t nat -X
    $IPT -t nat -Z

    # Compartilhamento
    $IPT -t nat -A POSTROUTING -s 192.168.5.0/24 -d $ANY -p ALL -o $IFWAN -j MASQUERADE

    # LoopBack Livre
    $IPT -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT
    $IPT -A OUTPUT -o lo -s 0/0 -d 0/0 -j ACCEPT
    $IPT -A INPUT -i $IFLAN -m state --state NEW -j ACCEPT
    $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    # INPUT LIBERADAS
    for servico in $INPUT_TCP; do
    $IPT -A INPUT -p tcp --dport $servico -j ACCEPT
    done

    for servico in $INPUT_UDP; do
    $IPT -A INPUT -p udp --dport $servico -j ACCEPT
    done

    # Estacao para Internet
    for FORWARD in $FORWARD_TCP; do
    $IPT -A FORWARD -p tcp --dport $FORWARD -j ACCEPT
    done

    for FORWARD in $FORWARD_UDP; do
    $IPT -A FORWARD -p udp --dport $FORWARD -j ACCEPT
    done

    # Priorizando os Liberados

    for OUTPUT in $IPS_ALLOW; do
    $IPT -t mangle -A OUTPUT -s $OUTPUT -o $IFWAN -p tcp --dport 0:65535 -j TOS --set-tos 16
    $IPT -t mangle -A OUTPUT -s $OUTPUT -o $IFWAN -p udp --dport 0:65535 -j TOS --set-tos 16
    done

    # Liberando Suporte
    for ALLOW_FORWARDS in $IPS_ALLOW; do
    $IPT -A FORWARD -s $ALLOW_FORWARDS -j ACCEPT
    done

    # Bloqueando o Resto
    $IPT -A FORWARD -s $LAN -j DROP

    # Redirecionamento do Proxy
    $IPT -t nat -A PREROUTING -i $IFLAN -p tcp --dport 80 -j REDIRECT --to-port 3128

    # Servidor RDP
    $IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 3389 -j DNAT --to-destination 192.168.5.43
    $IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 9009 -j DNAT --to-destination 192.168.5.196
    $IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 21 -j DNAT --to-destination 192.168.5.1:21
    $IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 20 -j DNAT --to-destination 192.168.5.1:20
    $IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 80 -j DNAT --to-destination 192.168.5.2
    $IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 80 -j DNAT --to-destination 192.168.5.1

    # Bloqueando PINGS, Spoofings
    $IPT -A INPUT -p icmp --icmp-type time-exceeded -j DROP
    $IPT -A FORWARD -p icmp --icmp-type time-exceeded -j DROP

    # Prioridade de Pacotes

    # Prioridade ALTA RDP
    $IPT -t mangle -A OUTPUT -o $IFWAN -p tcp --dport 3389:3390 -j TOS --set-tos 16
    $IPT -t mangle -A PREROUTING -i $IFLAN -p tcp --sport 3389:3390 -j TOS --set-tos 0x10

    # Entrada
    $IPT -t mangle -A PREROUTING -i $IFLAN -p udp --sport 0:65535 -j TOS --set-tos 0x00
    $IPT -t mangle -A PREROUTING -i $IFLAN -p tcp --sport 0:65535 -j TOS --set-tos 0x00

    # SAIDA
    $IPT -t mangle -A OUTPUT -o $IFWAN -p tcp --dport 10:65535 -j TOS --set-tos 0x00
    $IPT -t mangle -A OUTPUT -o $IFWAN -p udp --dport 10:65535 -j TOS --set-tos 0x00

    # Fechando o RESTO
    $IPT -A INPUT -i $IFWAN -j DROP
    echo " [ OK ]"



  5. #5

    Padrão Re: Segurança no Debiam 3.1

    Nossa cara, esse script ai foi tu quem fez? Não entendi muito mas parece que ta bem lacradinho mesmo. Eu teria que criar um para que se encaixa nos meus padrões, mas isso e que vai ser difícil. :?

  6. #6
    ttjedi
    Visitante

    Padrão Re: Segurança no Debiam 3.1

    bom... fiz um firewall aqui pra vc que deve se enquadrar para vc...

    #!/bin/bash
    #---------------------------------------------------
    # FIREWALL
    #
    #
    # Desenvolvido por Thyago R. Rezier
    #
    #---------------------------------------------------
    clear
    echo " "
    echo " INICIANDO FIREWALL"
    echo ""
    echo ""
    echo ""

    #---------------------------------------------------#
    # FIREWALL #
    #---------------------------------------------------#


    #&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&INICIO$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$


    ##########################################
    # HABILITANDO ROTEAMENTO ENTRE INTERFACES#
    ##########################################

    echo 1 > /proc/sys/net/ipv4/ip_forward


    ##################
    # ZERANDO TABELAS#
    ##################

    iptables -t nat -F PREROUTING
    iptables -t nat -F POSTROUTING
    iptables -F INPUT
    iptables -F OUTPUT
    iptables -F FORWARD
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    echo "Tabelas Limpas........................................................OK!"


    ###################################
    # DEFININDO POLITICAS DE SEGURANCA#
    ###################################

    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    echo "Politicas de acesso....................................................OK!"

    ################
    #ACEITANDO PING#
    ################

    iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

    ##############################
    # ATIVANDO PROXY TRANSPARENTE#
    ##############################

    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    #echo "Ativacao do servidor proxy.............................................OK!"


    #&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&FIM$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
    echo " "
    echo " "
    echo " POSITIVO E OPERANTE!"
    echo ""
    echo ""



  7. #7

    Padrão Re: Segurança no Debiam 3.1

    A melhor forma de manter uma segurança de um Firewall eh deixando a politica padrão dele como DROP.

    Com isso você tem total exatidão do que entra e o que sai.

    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP


    Dessa forma é legal de se usar.

    Ou

    iptables -P INPUT DROP
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD DROP

    Dessa forma vc esta deixando seu servidor liberado e suas estações não.
    INPUT e OUTPUT são principais.


    Deixe sua politica assim e mete bronca.
    Procure informações também em

    focalinux

    Coloca no google ( focalinux + iptables) e também, (firewall by eriberto)

    São ótimos. além de netfilter.org


    Abraço

    FUI !!!