Re: Portas de rede abertas?
--- Maurício <briqueabraque@yahoo.com> wrote:
> Oi, pessoal,
>
> Não entendo muito de segurança de computadores, mas assumi (sem
> ter
> lido isso em lugar nenhum, devo dizer) que instalando o Debian em
> casa
> eu poderia me sentir mais ou menos seguro já que a instalação do
> sarge
> não iria deixar portas de rede abertas sem que eu solicitasse.
> Gostaria
> de saber se eu assumi corretamente.
Com certeza você está mais seguro do que estaria com os sistemas
produzidos em Redmond, mas isto não significa que você está seguro.
Se você não instalou nenhum serviço, provavelmente não há portas
abertas. Mas não se sinta seguro.
Você com certeza precisa de um firewall habilitado e bem
configurado.
> É possivel que meu computador
> tenha
> portas de rede abertas para o "público" sem que eu tenha solicitado
> isso
> explicitamente?
Sim, é possível. Sempre pode haver um bug, ou alguma desatenção.
> Se é possivel, como faço para fechar todas as portas
> de
> rede (meu micro é de uso doméstico, e eu não tenho necessidade de
> acessá-lo de outros lugares mesmo via ssh, então acho que deixar
> todas
> as portas fechadas é uma boa idéia)?
Você precisa de um firewall para fechar todas as portas. E isto é
sim uma excelente idéia. Há um princípio fundamental de segurança
chamado de "menor privilégio", ou seja, só permita o que for
estritamente necessário e proíba todo o resto.
Se tiver curiosidade, faça o teste que descreverei abaixo para
verificar se a instalação que você fez tem alguma porta aberta. Se
não, mais abaixo há um script usando iptables que dará uma proteção
razoável à sua máquina.
Entre no site www.grc.com/default.htm, clique em ShieldsUP e depois
no link Proceed. Clique no botão Common Ports para verificar as portas
abertas.
Abaixo segue um script para iniciar o firewall a cada boot.
Coloque-o em /etc/init.d/, instale o pacote rcconf e marque o script
para ser iniciado durante o boot.
#! /bin/sh
set -e
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
DESC="firewall daemon"
NAME=firewall
DAEMON=/usr/sbin/$NAME
SCRIPTNAME=/etc/init.d/$NAME
test -x $DAEMON || exit 0
# Function that starts the daemon/service.
d_start() {
#start-stop-daemon --start --quiet --pidfile $PIDFILE \
# --exec $DAEMON
/usr/sbin/firewall
}
# Function that stops the daemon/service.
d_stop() {
/sbin/iptables -F
}
d_reload() {
/usr/sbin/firewall
}
case "$1" in
start)
echo -n "Starting $DESC: $NAME"
d_start
echo "."
;;
stop)
echo -n "Stopping $DESC: $NAME"
d_stop
echo "."
;;
#reload)
restart|force-reload)
echo -n "Restarting $DESC: $NAME"
d_stop
sleep 1
d_start
echo "."
;;
*)
echo "Usage: $SCRIPTNAME {start|stop|restart|force-reload}" >&2
exit 1
;;
esac
exit 0
Abaixo segue o script para o firewall. Coloque-o em /usr/sbin.
#!/bin/bash
# Limpa as regras, se existirem.
/sbin/iptables -F
# Política default: permite passar apenas o explicitamente liberado.
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
# Todo tráfego de saída é autorizado e o estado guardado.
/sbin/iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT
# O tráfego de entrada referente a conexoes abertas a partir da rede
# interna para a internet é permitido.
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Abre para a interface de loopback
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
# Cria um log de todos os pacotes rejeitados.
/sbin/iptables -A INPUT -j LOG --log-prefix "Firewall: "
Inicie o firewall e faça o teste que sugeri acima para verificar se
todas as portas estão realmente fechadas.
E por último, mas não menos importante, mantenha o sistema
atualizado. Para tal, execute apt-get update e apt-get dist-upgrade
periodicamente (O intervalo de tempo depende da sua banda e do seu
nível de paranóia).
__________________________________________________
Converse com seus amigos em tempo real com o Yahoo! Messenger
http://br.download.yahoo.com/messenger/
Reply to: