Então Marcos :) obrigado. Essa parte do IDS está no plano para o próximo passo, realmente. Agora essa parte do "proteção contra spoof, entre outras..." é que eu gostaria de mais detalhes. Porque parece-me que o kernel do Linux já tem módulos de segurança para a maioria dos ataques mais comuns, não? O que realmente eu teria que adicionar nesse firewall? Outra coisa, contra spoof eu já estou protegendo, não? Porque para todos os serviços da LAN eu já filtro a rede de origem, para ter certeza que ninguém mascarou o IP. O que especificamente você percebeu com relação ao spoof?
Atenciosamente, -- *Yuri Rodrigues Braz* *ITIL V3 Foundation Qualification in IT Service Management* *Junior Level Linux Professional (LPIC-1)* 2048R/2D727C88: 0181 8965 908D 3064 8753 F9AC 081A 0695 2D72 7C88 http://yuribraz.com.br +55 62 8428-4554 (Oi) +55 62 9154-9974 (Claro) Em 16 de julho de 2011 08:18, Marcos Carraro <marcos.g.carr...@gmail.com>escreveu: > Bom Dia, > > Você pode instalar um IDS, e o portesentry > > No apache, verifica se o modulo securty esta ativo... > > Proteção contra spoof, entre outras... > > > > -- > att > Marcos Carraro > marcoscarraro.blogspot.com > > > Em 16 de julho de 2011 08:09, Yuri Braz <braz.yur...@gmail.com> escreveu: > > Pessoal, >> >> Estou fazendo um firewall, com propósitos de estudo, na minha rede >> doméstica. Acho que está ficando legal, mas eu gostaria que vocês pudessem >> fazer algumas considerações de segurança a respeito do mesmo, caso seja >> possível. >> >> É um servidor simples, com duas NICs. Os serviços rodando no servidor são: >> Firewall, Proxy e NTP. E tenho um servidor WWW na minha LAN. E eu ativei >> o net.ipv4.ip_forward no /etc/sysctl.conf >> >> Um abraço, >> >> >> -- >> *Yuri Rodrigues Braz* >> *ITIL V3 Foundation Qualification in IT Service Management* >> *Junior Level Linux Professional (LPIC-1)* >> >> >> >> 2048R/2D727C88: 0181 8965 908D 3064 8753 F9AC 081A 0695 2D72 7C88 >> http://yuribraz.com.br >> +55 62 8428-4554 (Oi) >> +55 62 9154-9974 (Claro) >> >> >> >> >> *#!/bin/bash* >> >> clear >> echo "---------------------===== Firewall =====--------------------" >> echo "" >> >> *# Declaracao das variaveis* >> IPTABLES="/sbin/iptables" # executavel do iptables >> LANCARD="eth0" # interface da rede local >> WANCARD="wlan0" # interface da Internet >> LANIP="172.16.0.0/16" # endereco de rede da rede local >> LOCALWANIP="10.0.0.200/32" # endereco ip para wan >> LOCALLANIP="172.16.0.1/32" # endereco ip para lan >> LANADMIP="172.16.0.2/32" # ip dos pcs privilegiados da lan >> >> *# Limpar regras antigas* >> $IPTABLES -t filter -F >> $IPTABLES -t nat -F >> $IPTABLES -t mangle -F >> echo "Limpeza de regras antigas ............................ [ OK ]" >> >> *# Definição de Policiamento* >> $IPTABLES -t filter -P FORWARD DROP >> $IPTABLES -t filter -P INPUT DROP >> $IPTABLES -t filter -P OUTPUT DROP >> echo "Definição da Política Padrão (DROP) .................. [ OK ]" >> >> *# Permitindo o Computador Local acessar a Internet* >> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p tcp --dport 80 -j ACCEPT >> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p udp --dport 53 -j >> ACCEPT >> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p tcp --dport 443 -j >> ACCEPT >> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p tcp --dport 20 -j ACCEPT >> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p tcp --dport 21 -j ACCEPT >> $IPTABLES -A OUTPUT -o $WANCARD -s $LOCALWANIP -p udp --dport 123 -j >> ACCEPT >> >> *# Política para pacotes ICMP* >> $IPTABLES -A OUTPUT -s $LOCALWANIP -p icmp -j ACCEPT >> $IPTABLES -A OUTPUT -s $LOCALLANIP -p icmp -j ACCEPT >> $IPTABLES -A OUTPUT -s localhost -p icmp -j ACCEPT >> $IPTABLES -A INPUT -p icmp -m limit --limit 2/s -j ACCEPT >> echo "Política para Pacotes ICMP ........................... [ OK ]" >> >> *# Ativação do Filtro de Estado de Sessão* >> $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> $IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT >> $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT >> echo "Ativação do Filtro de Estado de Sessão ............... [ OK ]" >> >> *# Compartilhar a Internet* >> #$IPTABLES -A INPUT -i $LANCARD -s $LANIP -p tcp --dport 80 -j ACCEPT >> #$IPTABLES -A FORWARD -i $LANCARD -p tcp --dport 80 -j ACCEPT >> #$IPTABLES -t nat -A POSTROUTING -o $WANCARD -p tcp --dport 80 -j >> MASQUERADE >> #$IPTABLES -A INPUT -i $LANCARD -s $LANIP -p udp --dport 53 -j ACCEPT >> #$IPTABLES -A FORWARD -i $LANCARD -p udp --dport 53 -j ACCEPT >> #$IPTABLES -t nat -A POSTROUTING -o $WANCARD -p udp --dport 53 -j >> MASQUERADE >> #$IPTABLES -A INPUT -i $LANCARD -s $LANIP -p tcp --dport 443 -j ACCEPT >> #$IPTABLES -A FORWARD -i $LANCARD -p tcp --dport 443 -j ACCEPT >> #$IPTABLES -t nat -A POSTROUTING -o $WANCARD -p tcp --dport 443 -j >> MASQUERADE >> #echo "Compartilhamento da Internet ......................... [ OK ]" >> >> *# Squid* >> $IPTABLES -A INPUT -i $LANCARD -s $LANIP -p tcp --dport 3128 -j ACCEPT >> $IPTABLES -A FORWARD -i $LANCARD -o $WANCARD -s $LANIP -p tcp --dport 3128 >> -j ACCEPT >> $IPTABLES -A INPUT -s 127.0.0.1 -p tcp --dport 3128 -j ACCEPT >> $IPTABLES -A OUTPUT -s 127.0.0.1 -p tcp --dport 3128 -j ACCEPT >> echo "Regras para Servidor Proxy Squid ..................... [ OK ]" >> >> *# Permitindo acesso SSH à rede Interna* >> $IPTABLES -A INPUT -i $LANCARD -s $LANADMIP -d $LOCALLANIP -p tcp --dport >> 22 -j LOG --log-prefix "SSH (lan): " >> $IPTABLES -A INPUT -i $LANCARD -s $LANADMIP -d $LOCALLANIP -p tcp --dport >> 22 -j ACCEPT >> echo "Acesso SSH à Rede Interna ............................ [ OK ]" >> >> *# Permitindo acesso SSH à Internet* >> *# Nota: isso pode ser perigoso, melhor adicionar o parametro -s e >> definir* >> *# os ips de origem que podem acessar o servidor ssh remotamente.* >> $IPTABLES -A INPUT -i $WANCARD -d $LOCALWANIP -p tcp --dport 22 -j LOG >> --log-prefix "SSH (wan): " >> $IPTABLES -A INPUT -i $WANCARD -d $LOCALWANIP -p tcp --dport 22 -j ACCEPT >> echo "Acesso SSH à Internet ................................ [ OK ]" >> >> *# Redirecionando tráfego WWW para outro servidor na rede local* >> WWWSERVER="172.16.0.2" >> $IPTABLES -A INPUT -i $WANCARD -d $LOCALWANIP -p tcp --dport 80 -j LOG >> --log-prefix "WWW (wan): " >> $IPTABLES -A INPUT -i $WANCARD -d $LOCALWANIP -p tcp --dport 80 -j ACCEPT >> $IPTABLES -t nat -A PREROUTING -i $WANCARD -d $LOCALWANIP -p tcp --dport >> 80 -j DNAT --to $WWWSERVER >> $IPTABLES -A FORWARD -o $LANCARD -d $WWWSERVER -p tcp --dport 80 -j ACCEPT >> echo "Tráfego WWW para outro servidor na LAN ............... [ OK ]" >> >> *# Sincronizacao NTP para a LAN* >> $IPTABLES -A INPUT -i $LANCARD -s $LANIP -d $LOCALLANIP -p udp --dport 123 >> -j LOG --log-prefix "NTP (lan): " >> $IPTABLES -A INPUT -i $LANCARD -s $LANIP -d $LOCALLANIP -p udp --dport 123 >> -j ACCEPT >> echo "Sincronização NTP para LAN ........................... [ OK ]" >> >> echo "" >> echo "---------------------===== x =====--------------------" >> echo "" >> >> >> >
