Segurança no Debiam 3.1

[juniovitorino]

Olá pessoal, eu instalei o Debiam aqui para fazer um serviço de gateway+proxy, e gostaria de implementar algumas políticas de segurança. Como firewall e outras coisas mais, tipo não saco muito disso então gostaria da ajuda de vocês, para saber o que sería bom eu botar para dar mais segurança nesse servidor. Uma vez vi que o firewall do linux vem habilitado por default, no Debiam já vem também?

Passa umas dicas ai galera.

Forte abraço.

Junio Vitorino
[email protected]

[wrochal]

Caro,

Normalmente quando instalado o Debian, apenas para Firewall ou Proxy, sigo a seguinte politica:

Desativando Serviços desnecessários:

Instale o rcconf, programa que desativa serviços que inicializam na hora do boot, segue os serviços que desabilito:

inetd
portmap
nfs-common
lpd
ppp

Normalmente no SSH eu mudo a porta padrao, de 22 para algo como 4422, basta vc definir do jeito que quiser:

edite o arquivo /etc/ssh/sshd_config

Port 4422

Pode também por chaves

AuthorizedKeysFile %h/.ssh/authorized_keys

desabilite o root de logar no SSH

PermitRootLogin no

E lembra-se da politica do firewall, sempre bloquear a INPUT DROP.

Abraçõs,

[juniovitorino]

Hum, legal cara mas esse finalzinho eu não entendi direito

E lembra-se da politica do firewall, sempre bloquear a INPUT DROP.

e nem se o firewall já esta habilitado e configurado. :?

[wrochal]

Caro,

De uma olhada no meu firewall

#!/bin/bash

# Programas
IPT=/sbin/iptables
MODP=/sbin/modprobe

# Configuracao Rede
IFWAN=eth0
IFLAN=eth1
IPWAN=200.X.123.X
LAN=192.168.5.0/24
IFINT=192.168.5.0/24
ANY=0/0

# Srv_REMOTO
SERVER=192.168.5.43

# IPS Liberados
IPS_ALLOW="192.168.5.1 192.168.5.2 192.168.5.43 192.168.5.56 192.168.5.196 192.168.5.63"

# Portas INPUT TCP/UDP
INPUT_TCP="53 22 80 9022 20 21 3456 3389 3390 1723"
INPUT_UDP="53 67 80"

# PORTAS FORWARD
FORWARD_TCP="20 22 21 25 47 53 80 110 143 1723 1863 3422 3456 3389 3390 3391 3392 3393 443 9022 9023 5800 5900"
FORWARD_UDP="20 22 21 25 47 53 80 110 143 1723 1863 3456"

# Modulos
for module in ip_tables ipt_REDIRECT ipt_MASQUERADE ipt_MARK ipt_REJECT \
ipt_TOS ipt_LOG iptable_mangle iptable_filter iptable_nat ip_nat_ftp \
ip_conntrack ip_conntrack_ftp ip_conntrack_irc \
ip_nat_irc ipt_mac ipt_state ipt_mark; do
$MODP $module
done

# MASCARAMENTO
echo 1 > /proc/sys/net/ipv4/ip_forward

# Protecao de ICMP e Spoofing
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# Inicio das Regras
echo -n "Iniciando o Firewall "
# Limpando as Regras

$IPT -F
$IPT -Z
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t nat -Z

# Compartilhamento
$IPT -t nat -A POSTROUTING -s 192.168.5.0/24 -d $ANY -p ALL -o $IFWAN -j MASQUERADE

# LoopBack Livre
$IPT -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT
$IPT -A OUTPUT -o lo -s 0/0 -d 0/0 -j ACCEPT
$IPT -A INPUT -i $IFLAN -m state --state NEW -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# INPUT LIBERADAS
for servico in $INPUT_TCP; do
$IPT -A INPUT -p tcp --dport $servico -j ACCEPT
done

for servico in $INPUT_UDP; do
$IPT -A INPUT -p udp --dport $servico -j ACCEPT
done

# Estacao para Internet
for FORWARD in $FORWARD_TCP; do
$IPT -A FORWARD -p tcp --dport $FORWARD -j ACCEPT
done

for FORWARD in $FORWARD_UDP; do
$IPT -A FORWARD -p udp --dport $FORWARD -j ACCEPT
done

# Priorizando os Liberados

for OUTPUT in $IPS_ALLOW; do
$IPT -t mangle -A OUTPUT -s $OUTPUT -o $IFWAN -p tcp --dport 0:65535 -j TOS --set-tos 16
$IPT -t mangle -A OUTPUT -s $OUTPUT -o $IFWAN -p udp --dport 0:65535 -j TOS --set-tos 16
done

# Liberando Suporte
for ALLOW_FORWARDS in $IPS_ALLOW; do
$IPT -A FORWARD -s $ALLOW_FORWARDS -j ACCEPT
done

# Bloqueando o Resto
$IPT -A FORWARD -s $LAN -j DROP

# Redirecionamento do Proxy
$IPT -t nat -A PREROUTING -i $IFLAN -p tcp --dport 80 -j REDIRECT --to-port 3128

# Servidor RDP
$IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 3389 -j DNAT --to-destination 192.168.5.43
$IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 9009 -j DNAT --to-destination 192.168.5.196
$IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 21 -j DNAT --to-destination 192.168.5.1:21
$IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 20 -j DNAT --to-destination 192.168.5.1:20
$IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 80 -j DNAT --to-destination 192.168.5.2
$IPT -t nat -A PREROUTING -d $IPWAN -p tcp --dport 80 -j DNAT --to-destination 192.168.5.1

# Bloqueando PINGS, Spoofings
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j DROP
$IPT -A FORWARD -p icmp --icmp-type time-exceeded -j DROP

# Prioridade de Pacotes

# Prioridade ALTA RDP
$IPT -t mangle -A OUTPUT -o $IFWAN -p tcp --dport 3389:3390 -j TOS --set-tos 16
$IPT -t mangle -A PREROUTING -i $IFLAN -p tcp --sport 3389:3390 -j TOS --set-tos 0x10

# Entrada
$IPT -t mangle -A PREROUTING -i $IFLAN -p udp --sport 0:65535 -j TOS --set-tos 0x00
$IPT -t mangle -A PREROUTING -i $IFLAN -p tcp --sport 0:65535 -j TOS --set-tos 0x00

# SAIDA
$IPT -t mangle -A OUTPUT -o $IFWAN -p tcp --dport 10:65535 -j TOS --set-tos 0x00
$IPT -t mangle -A OUTPUT -o $IFWAN -p udp --dport 10:65535 -j TOS --set-tos 0x00

# Fechando o RESTO
$IPT -A INPUT -i $IFWAN -j DROP
echo " [ OK ]"

[juniovitorino]

Nossa cara, esse script ai foi tu quem fez? Não entendi muito mas parece que ta bem lacradinho mesmo. Eu teria que criar um para que se encaixa nos meus padrões, mas isso e que vai ser difícil. :?

[ttjedi]

bom... fiz um firewall aqui pra vc que deve se enquadrar para vc...

#!/bin/bash
#---------------------------------------------------
# FIREWALL
#
#
# Desenvolvido por Thyago R. Rezier
#
#---------------------------------------------------
clear
echo " "
echo " INICIANDO FIREWALL"
echo ""
echo ""
echo ""

#---------------------------------------------------#
# FIREWALL #
#---------------------------------------------------#


#&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&INICIO$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$


##########################################
# HABILITANDO ROTEAMENTO ENTRE INTERFACES#
##########################################

echo 1 > /proc/sys/net/ipv4/ip_forward


##################
# ZERANDO TABELAS#
##################

iptables -t nat -F PREROUTING
iptables -t nat -F POSTROUTING
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
echo "Tabelas Limpas........................................................OK!"


###################################
# DEFININDO POLITICAS DE SEGURANCA#
###################################

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
echo "Politicas de acesso....................................................OK!"

################
#ACEITANDO PING#
################

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

##############################
# ATIVANDO PROXY TRANSPARENTE#
##############################

#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#echo "Ativacao do servidor proxy.............................................OK!"


#&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&FIM$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$
echo " "
echo " "
echo " POSITIVO E OPERANTE!"
echo ""
echo ""

[spyderlinux]

A melhor forma de manter uma segurança de um Firewall eh deixando a politica padrão dele como DROP.

Com isso você tem total exatidão do que entra e o que sai.

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


Dessa forma é legal de se usar.

Ou

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

Dessa forma vc esta deixando seu servidor liberado e suas estações não.
INPUT e OUTPUT são principais.


Deixe sua politica assim e mete bronca.
Procure informações também em

focalinux

Coloca no google ( focalinux + iptables) e também, (firewall by eriberto)

São ótimos. além de netfilter.org


Abraço

FUI !!!