Re: Dúvidas sobre necessidade de firewall

To: Marcio Roberto Teixeira <rs062234@pro.via-rs.com.br>
Cc: debian-user-portuguese@lists.debian.org
Subject: Re: Dúvidas sobre necessidade de firewall
From: Hélio Alexandre Lopes Loureiro <helio@loureiro.eng.br>
Date: Mon, 10 Dec 2001 22:21:06 -0200 (BRST)
Message-id: <[🔎] Pine.LNX.4.21.0112102207010.5660-100000@pasargada.loureiro.eng.br>
In-reply-to: <[🔎] 20011209050414.A980@funes.tchelinux>

> Uso o computador com acesso via modem a Internet. Uma vez que 
> meu /etc/hosts.deny nega conexão de qualquer host e meu
> /etc/hosts.allow permite apenas conexões locais, pergunto:

	Não.  Vc apenas protege os programas que usam o TCP WRAPPER
(geralmente aqueles que estão em "/etc/inetd.conf", ou alguns que são
compilados com um opção específica para ler os arquivos
"/etc/hosts.(allow|deny)").  Nada impede que um ataque com pacotes ACK+FIN
não cause um DoS no seu servidor apache ou que alguém use um scanner para
detectar as porta disponíveis no seu servidor, principalmente para
conexões UDP.

> Há alguma possibilidade de sofrer um ataque na rede?

	Eu diria várias.  Eu recebo ataques e ameaças o tempo todo.  
Felizmente meu firewall (junto com o apt-get) tem me mantido ileso (e só
Deus sabe até quando).

> Se sim, por quê?

	Por que é muito difícil vc monitorar as 65516 portas IP.  E o TCP
WRAPPERS não faz verificação de flags do protocolo (SYN, ACK, FIN, etc).

> No caso de haver, irei implementar a sugestão de Hélio. E então,
> minha segunda dúvida. Segundo as regras sugeridas, serão aceitas
> todas as conexões, exceto aquelas de ataques conhecidos (não para
> mim, que sou leigo, mas conhecidos "no meio") como NetBus, NetBus2,
> Back Orifice. Se entendi, podemos reconhecer estes ataques porque
> eles usam sempre os mesmos protocolos e portas, certo? Mas e as
> possíveis novas formas de ataque? Ficarei vulnerável? Como manter-se
> atualizado?

	Um ataque só ocorre se existe um serviço conectado à porta
determinada.  Se eu não tenho nada na porta 12345, não existe motivo para
eu me preocupar, mas caso uma conexão estabelecida use esta porta, existe
uma possibilidade de ataque (que não seja necessariamente uma invasão do
sistema).
	A sugestão que dei nos exemplos, que ainda são poucos, é para um
firewall do tipo "open", onde é mais fácil filtrar as regras (só fecho
portas de ataques conhecidos, ou só permito pacotes de conexão nas portas
de serviços).  Se vc quer proteger bem seu firewall, principalmente de
acessos à portas que não deveriam receber tentativa de conexão, então use
uma política "closed" (ipchains -P input DENY), mas tome cuidado, pois é
mais difícil estabelecer as regras de um sistema fechado (qualquer erro
pode ocasionar descartes indesejados de pacotes).

> p.s.: Ao colega Hélio, autor do texto, muito obrigado. O texto
> tem me ajudado bastante.

	Obrigado pelo incentivo.  São coisas assim que me dão força para
continuar ajudando (e escrevendo).

[]'s
+--------------------------------+------------------------+
| Hélio Alexandre Lopes Loureiro | helio@loureiro.eng.br  |
|  http://helio.loureiro.eng.br  | Debian/FreeBSD/OpenBSD |
+--------------------------------+------------------------+

Reply to:

References:
- Dúvidas sobre necessidade de firewall
  - From: Marcio Roberto Teixeira <rs062234@pro.via-rs.com.br>

Prev by Date: Re: xf86cfg
Next by Date: Redmond ?!?
Previous by thread: Dúvidas sobre necessidade de firewall
Next by thread: samba e XP
Index(es):
- Date
- Thread