Melhorando a segurança do seus servidores em FreeBSD

cardosoalcir

Pra quem me conhece ou já leu meus outros artigos, já percebeu que minha vida é o FreeBSD. Sinceramente nunca usei o Linux como sistema de um servidor (apenas como desktop), mas este artigo, apesar de ser voltado para o FreeBSD (hihi), com certeza ajudará a você que usa Linux a melhorar a segurança dos seus servidores.

[ Hits: 41.977 ]

Por: Alcir Cardoso em 21/03/2007 | Blog: http://maboo.us

0 0

Denuncie Favoritos Indicar Impressora

Spoofing e outros

Sinceramente o UDP é mais usado para p2p, mas alguns serviços que são muitos necessários o udp é super necessário, é o caso do DNS. Essas linhas são do rc.local.

#Aqui libero o dns e fecho todo o resto do udp nas duas interfaces
#Bloqueio de udp
/sbin/ipfw add allow udp from any to any 53
/sbin/ipfw add allow udp from any to any 53
/sbin/ipfw add deny udp from any to any in via bge0
/sbin/ipfw add deny udp from any to any out via bge0
/sbin/ipfw add deny udp from any to any in via bge1
/sbin/ipfw add deny udp from any to any out via bge1

# bloqueia pacotes fragmentados/alterados/inconformes
/sbin/ipfw add drop tcp from any to any frag
/sbin/ipfw add drop tcp from any to any tcpflags syn,rst
/sbin/ipfw add drop tcp from any to any tcpflags syn,fin
/sbin/ipfw add drop all from any to any ipoptions lsrr
/sbin/ipfw add drop all from any to any ipoptions ssrr
/sbin/ipfw add deny tcp from any to any ipoptions ssrr,lsrr,rr

#Aqui bloqueando o spoofing
# Bloqueio de pacotes com endereço origem de classes
#de endereçamento IP reservadas
/sbin/ipfw add deny ip from 10.0.0.0:255.0.0.0 to 200.xxx.xxx.98 via bge1 in
/sbin/ipfw add deny ip from 172.16.0.0:255.0.0.0 to 200.xxx.xxx.98 via bge1 in
/sbin/ipfw add deny ip from 192.168.0.0:255.255.0.0 to 200.xxx.xxx.98 via bge1 in

No exemplo acima o 200.xxx.xxx.98 é o ip publico da interface externa.

Página anterior Próxima página

Páginas do artigo

   1. Definições gerais
   2. Parando o que não usa
   3. Serviços
   4. Spoofing e outros
   5. Brute Force Blocking
   6. Considerações finais

Outros artigos deste autor

Configurando uma VPN no FreeBSD

Firewall e NAT em FreeBSD com controle de banda e redirecionamento de portas e IPs

Leitura recomendada

Criptografia assimétrica com o RSA

Entenda o que é Hardening

CouchDB - For Fun and Profit

VPN com FreeS/WAN

Adicionando baterias automotivas extras em nobreaks

Comentários

[1] Comentário enviado por removido em 21/03/2007 - 03:42h

Gostei do artigo.
Mas faltou muita coisa referente a segurança no FreeBSD que você pode usar para fazer a versão 2 do artigo. Como:
Segurança do kernel do FreeBSD;
TCPwrappers;
E também outros tipos de ataques.

Parabéns, faz tempo que não vejo um artigo sobre segurança aqui no vivaolinux. Nota 10.

0 0

[2] Comentário enviado por renatomartins em 21/03/2007 - 09:41h

parabens !!!
é sempre bom dar uma ideia para o pessoal
para versao 2 o secure level é ua boa chflags as acl do filesystem e as permiçoes de pastas os modulos no kernel do bsd para bloqueios portaudit e varias outras soluçoes de segurança que o freebsd nos oferece nativamente por ser o unico há implementar o case 100% posix 1e
ta otimo seu artigo
abraço

0 0

[3] Comentário enviado por grayfox em 21/03/2007 - 20:37h

#fechando o icmp na interface externa
/sbin/ipfw add deny icmp from any to any in via bge1 icmptypes 0,1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18

deveria ser trocado por:
/sbin/ipfw add deny icmp from any to any via bge1

A porta reservada para nfs, é utilizada somente no rc.conf dos freebsds antigos, entao os novos, nao tem a necessidade de colocar a referencia no rc.conf.

0 0

[4] Comentário enviado por fernandoamador em 08/04/2007 - 23:58h

Ótimo artgo...

0 0

[5] Comentário enviado por l0c0 em 24/05/2007 - 08:47h

bom artigo

Mas para Brute Force recomendo usar denyhosts:

# cd /usr/ports/security/denyhosts
# make install clean

# cd /usr/local/share/denyhosts
# cp denyhosts.cfg-dist denyhosts.cfg

--- edite o denyhosts.cfg

# ./daemon-control start

0 0