Re: Regras OUTPUT (Era: Fui invadido - não sei o que mais fazer...)

To: DUP <debian-user-portuguese@lists.debian.org>
Subject: Re: Regras OUTPUT (Era: Fui invadido - não sei o que mais fazer...)
From: Miguel Da Silva - Centro de Matemática <mdasilva@cmat.edu.uy>
Date: Fri, 04 May 2007 12:53:01 -0300
Message-id: <463B56DD.6090908@cmat.edu.uy>
Reply-to: mdasilva@cmat.edu.uy
In-reply-to: <005c01c78e3f$19a499d0$93ee6b8f@sepeesc.local>
References: <005c01c78e3f$19a499d0$93ee6b8f@sepeesc.local>

Daniel escribió:

..."logo em seguida, ele muda a
permissão do passwd (isso eu não entendi pra que) e cria um novo usuário
para acessar o sistema.."...


Era tudo o que ele precisava para, por exemplo, colocar esse novo
usuário no grupo 0 ou "zerar" a senha do root.

Agora mais dúvidas.. :-).. nunca tinha me atentado há uma dica dada em uma
das respostas: o meu OUTPUT de fato está aberto.. pensei que se me
preocupase com a entrada de pacotes, a saída era indiferente, mas não sabia
que podia se fazer uma conexão reversa.. agora preciso montar novas regras
para o OUTPUT  da máquina e preciso da ajuda de vocês...

A dúvida é a seguinte: se abro, por exemplo, a porta 80 no INPUT, eu sei que
a resposta pode sair pelas portas acima da 1024 do OUTPUT certo? OU seja, as
portas de entrada não necessariamente batem com as portas de saída.. como,
então, eu vou saber quais as portas eu posso deixar abertas no OUTPUT sem

que a máquina seja comprometida?

Não, não... o seu servidor receberá conexões dos clientes nas portas"baixas" (até a 1024) e fará conexões COMO CLIENTE nas portas altas.

Na comunicação TCP/IP há 2 portas envolvidas, a de origem e a dedestino. Se o pacote saiu do cliente pela porta 3193 e chegou noservidor pela porta 22 (ssh), então os datagramas enviados pelo servidorsairão pela porta 22 e chegarão no cliente pela porta 3193.

Se você fecha as portas altas, o que acontece é que seu servidor não vaipoder fazer conexões como cliente (acho que dá pra configurar o Linuxpara usar portas baixas para fazer conexões, mas não sei como é e alémdo mais é só um palpite).

Você conhece o famose "three handshake" usado para se iniciar umacomunicação TCP/IP? Dá uma olhadinha nisso que você vai entender comoque é feito o processo.

A dica que te deram é que é possível fazer com que o servidor soliciteuma conexão como se fosse cliente e nesse caso seria usada alguma portaalta. Se você fechar todas as portas altas do seu SMTP por exemplo, elesó receberá e-mail e não vai poder mandar. Porque? Porque quando eleatúa como cliente SMTP para passar o e-mail ao outro servidor, ele vaiusar alguma porta al.


Qualquer coisa conta o que mais você descubriu.

Até mais e boa sorte.

--
Miguel Da Silva
Administrador de Red
Centro de Matemática - http://www.cmat.edu.uy
Facultad de Ciencias - http://www.fcien.edu.uy
Universidad de la República - http://www.rau.edu.uy

Reply to:

References:
- Regras OUTPUT (Era: Fui invadido - não sei o que mais fazer...)
  - From: "Daniel" <da_picon@yahoo.com.br>

Prev by Date: Re: PdfEdit e libtl-5
Next by Date: Re: Criar DVD com video .avi e legenda .srt
Previous by thread: Regras OUTPUT (Era: Fui invadido - não sei o que mais fazer...)
Next by thread: [OFF] [Re: Fui invadido - não sei o que mais fazer...]
Index(es):
- Date
- Thread