Uso o computador com acesso via modem a Internet. Uma vez que
meu /etc/hosts.deny nega conexão de qualquer host e meu
/etc/hosts.allow permite apenas conexões locais, pergunto:
Não. Vc apenas protege os programas que usam o TCP WRAPPER
(geralmente aqueles que estão em /etc/inetd.conf, ou alguns que são
compilados com um opção específica para ler os arquivos
/etc/hosts.(allow|deny)). Nada impede que um ataque com pacotes ACK+FIN
não cause um DoS no seu servidor apache ou que alguém use um scanner para
detectar as porta disponíveis no seu servidor, principalmente para
conexões UDP.
Há alguma possibilidade de sofrer um ataque na rede?
Eu diria várias. Eu recebo ataques e ameaças o tempo todo.
Felizmente meu firewall (junto com o apt-get) tem me mantido ileso (e só
Deus sabe até quando).
Se sim, por quê?
Por que é muito difícil vc monitorar as 65516 portas IP. E o TCP
WRAPPERS não faz verificação de flags do protocolo (SYN, ACK, FIN, etc).
No caso de haver, irei implementar a sugestão de Hélio. E então,
minha segunda dúvida. Segundo as regras sugeridas, serão aceitas
todas as conexões, exceto aquelas de ataques conhecidos (não para
mim, que sou leigo, mas conhecidos no meio) como NetBus, NetBus2,
Back Orifice. Se entendi, podemos reconhecer estes ataques porque
eles usam sempre os mesmos protocolos e portas, certo? Mas e as
possíveis novas formas de ataque? Ficarei vulnerável? Como manter-se
atualizado?
Um ataque só ocorre se existe um serviço conectado à porta
determinada. Se eu não tenho nada na porta 12345, não existe motivo para
eu me preocupar, mas caso uma conexão estabelecida use esta porta, existe
uma possibilidade de ataque (que não seja necessariamente uma invasão do
sistema).
A sugestão que dei nos exemplos, que ainda são poucos, é para um
firewall do tipo open, onde é mais fácil filtrar as regras (só fecho
portas de ataques conhecidos, ou só permito pacotes de conexão nas portas
de serviços). Se vc quer proteger bem seu firewall, principalmente de
acessos à portas que não deveriam receber tentativa de conexão, então use
uma política closed (ipchains -P input DENY), mas tome cuidado, pois é
mais difícil estabelecer as regras de um sistema fechado (qualquer erro
pode ocasionar descartes indesejados de pacotes).
p.s.: Ao colega Hélio, autor do texto, muito obrigado. O texto
tem me ajudado bastante.
Obrigado pelo incentivo. São coisas assim que me dão força para
continuar ajudando (e escrevendo).
[]'s
+++
| Hélio Alexandre Lopes Loureiro | [EMAIL PROTECTED] |
| http://helio.loureiro.eng.br | Debian/FreeBSD/OpenBSD |
+++
