Feito o teste de varredura dos compartilhamentos, das portas mais comuns e das primeiras 1056 portas de acesso à Internet, você já poderá ter uma ideia da real situação em que se encontra seu PC, podendo continuar como está ou partir para a instalação de um firewall ou regras de acesso mais restritivas.
Como mencionado anteriormente, isto pode ser feito também usando o terminal, porém precisaria pesquisar para isto, usando os comandos corretos.
Como o objetivo do artigo foi apresentar uma forma acessível e amigável até mesmo para iniciantes, além de resultados confiáveis, deixo de me estender mais sobre outros métodos, até mesmo por falta de conhecimentos mais profundos.
Já verifiquei situações onde logo após a instalação de alguma distro, várias portas apareciam como abertas, outras fechadas e outras tantas em estado de invisível (fantasma), o que não seria o ideal.
Dependendo da sua rede, do seu roteador (caso exista algum), do tipo de acesso usado, por IP fixo ou dinâmico, os resultados podem variar.
No caso deste teste apresentado nas figuras do capítulo Passo-a-passo, o PC está por trás de um roteador e firewall dedicado, o excelente BrazilFW, que tanto acessa o provedor de Internet por IP dinâmico como também distribui o sinal aos PCs da rede novamente com IP dinâmico (DHCP).
Cada PC da rede por sua vez tem ativado seu firewall próprio, sem permitir acesso até mesmo a serviços SSH. Com isso e as configurações apropriadas, foi possível conseguir a condição real de fantasma para cada uma das 1056 portas do teste.
Apenas como observação adicional, vale a pena, nem que seja apenas para adquirir novos conhecimentos, ler os artigos e dicas publicados aqui no Viva o Linux sobre o BrazilFW, que permite dar vida nova e nobre a velhos e totalmente ultrapassados PCs antigos, mesmo aqueles 486-DX100 ou Pentium 100 para que sejam usados como roteadores e firewall dedicado, operando sem HD, apenas usando disquete, rodando diretamente da memória RAM.
[1] Comentário enviado por C.Joseph em 13/05/2009 - 11:26h
Olá caro meinhardt. Minhas congratulações por este texto muito bem explicado e de grande utilidade. Acabei de ler e vejo que mais uma pessoa conhece essa ferramente tão útil que auxilia na identificação de possíveis problemas na grande rede.
A princípio eu tinha o costume de volta e meia dar uma olhada pelo menos umas duas vezes por mês no site, pois sempre fazia testes em várias distros para averiguar com esse site se a instalação estava satisfatória no sentido de segurança.
A distro que uso e que é meu xodó é a Slackware, já estou na versão 12.2 e não a largo para nada. Porém como gosto de fazer testes, resolvi usar um servidor ftp aqui e liberei no firewall do roteador a porta necessária, a 21. Entretanto, pela vida corrida que levo acabei esquecendo de deixar essa porta novamente no estado normal, e ao executar os testes no Shields Up! enquanto li seu artigo, identifiquei a porta aberta e o recebimento de pings. Resolvi o problema e meu Slackware passou lindo nos testes.
Espero que muitas pessoas vejam seu artigo para saberem como identificar de uma maneira simples e efetiva uma possível falha na segurança. Ainda mais se a pessoa utilizar o sistema Windows, cujo sistema apresenta um índice de segurança baixa.
[4] Comentário enviado por riesdra em 14/05/2009 - 21:44h
Artigo interessante;
olha eu verifiquei aqui, o teste aqui na parte onde ele teria que estar como aprovado dos dois lados, ele não aprova, no outro teste onde as portas tem que estar na cor verde ele esta a grande maioria na cor azul que pelo que vi é bloqueada e só algumas em verde.
e eu geralmente uso aqui o nmap, para fazer as minha verificações.
[5] Comentário enviado por meinhardt_jgbr em 15/05/2009 - 00:20h
Riesdra,
O ShieldsUP, justamente não marca como aprovado (Passed) no teste de estado invisível real, exatamente porque as portas que aparecem em azul respondem à tentativa de invasão devolvendo a informação de que estão fechadas. Se estivessem na condição invisível, não só estariam fechadas como também ignorariam a tentativa do invasor, não dando a menor satisfação e portanto não mostrando / confirmando sua existência ou a existência de um computador no seu endereço IP.
Não se assuste se todas as portas não aparecerem em cor verde, pois esta não seria a pior situação.
A coisa estará perigosa se você tiver portas abertas, que não deveriam estar em função dos serviços e / ou compartilhamentos que você eventualmente tenha habilitados propositalmente.
Ao passar o mouse sobre a grade onde aparecem as primeiras 1056 portas, você terá a informação referente ao número da porta e ao tipo de serviço que é usada, como por exemplo a porta 25 vai aparecer como SMTP ou seja o serviço usado para transmissões de eMail, já a 110 mostrará que é a porta usada pelo servidor de recepção de eMail, o POP3 e assim por diante. Com isto você pode facilmente identificar a localização dos eventuais pontos débeis / vulneráveis a invasão.
Você tem algum firewall instalado ou não?
Apenas como exemplo prático, na distro Debian 5 (Lenny) que instalei ontem a noite, mesmo sem haver feito qualquer reajuste ou instalação de firewall, me apresenta resultados como aprovado em estado real de invisibilidade. É preciso considerar entretanto que estou por trás de um roteador / firewall Linux dedicado com seu iptables carregado, portanto estou tranquilo. Em ligação direta à rede cabeada ou usando wifi, talvez não conseguisse os mesmos resultado.
[9] Comentário enviado por meinhardt_jgbr em 18/05/2009 - 09:24h
Riesdra,
Não sou nenhum especialista em firewall nem tampouco em configurações de iptables. Entretanto com base na minha experiência anterior, tentaria confirmar alguns pontos para definir a linha de conduta.
1- Verificaria uma a uma as portas que eventualmente apareçam abertas (em vermelho) e a que tipo de serviço ou aplicativo se referem.
2- Confirmaria a necessidade de que as mesmas estejam abertas para que estes serviços / aplicativos funcionem.
3- Partiria para a desativação de todas aquelas que não sejam estritamente necessárias.
4- Quanto às portas fechadas (que aparecem em azul), não me preocuparia tanto por enquanto, pois de qualquer maneira estão fechadas.
Alem disto trataria de fazer um teste com algum dos firewalls disponíveis na sua distro, instalando-o e partindo para a configuração do mesmo, especificamente para a desabilitação das portas que apareceram abertas e que não seja necessário que permaneçam nesta situação.
Apenas como exemplo, ha algum tempo eu tinha em uma distro derivada do Debian, o firewall Firestarter apenas instalado, em sua configuração padrão, sem aplicar nenhum filtro adicional especifico. Ao fazer o teste de vulnerabilidade usando o ShieldsUP, apareciam algumas portas como fechadas outras como ping e ssh abertas e não havia obviamente passado no teste de estado "invisível / fantasma" real.
Apenas por curiosidade, resolvi experimentar outro firewall e seguindo Dicas de outros usuários, instalei o aplicativo Guarddog, tendo o cuidado de antes desinstalar o firewall anterior e re-iniciar o PC.
Instalado o novo firewall, vários serviços deixaram de responder, oque significa que por padrão (default) o Guarddog tinha regras mais restritivas do que o Firestarter. Para que todos os serviços que usava voltassem a funcionar tive que partir para a configuração do Guarddog, liberando acesso a vários dos aplicativos que usava.
[11] Comentário enviado por meinhardt_jgbr em 18/05/2009 - 13:29h
Riesdra,
O teste que apresenta o resultado Passed - TrueStealth Analysis - Passed, indica apenas que o PC passou no teste de estado real como Invisivel / Fantasma, portanto se no seu PC, ele passa de volta a qualquer tentativa de invasão a informação de que as portas numero 1,2,3,4,5,6, etc estão fechadas (no caso daquelas sinalizadas em azul) ou simplesmente deixa de responder nas portas x,y,z, etc (aquelas em verde) não dando sinal de vida na rede, ele não está totalmente Invisível na rede, podendo algum invasor insistente continuar tentando desbloquear o seu sistema, pois de posse do resultado da varredura sabe exatamente quais portas tentar quebrar.
O seu PC apenas receberá o Aprovado (Passed) no teste de invisibilidade, quando não deixar vazar nenhuma informação de volta ao potencial invasor. Se você mantiver mesmo apenas uma porta no estado Fechado, não vai receber esta aprovação.
O restante do teste, aquela grade das primeiras 1056 portas é na verdade oque pode te dar a confiança de que não existe nenhuma porta aberta. A aprovação está ai nas cores de cada porta testada. Se você não tem nada em vermelho sua máquina está aprovada, apenas não está na situação ideal.
Como comentei no artigo, a situação ideal é aquela em que você esteja invisível, porém aparecer com as portas fechadas não é nada tão catastrófico, já que você estará apenas mostrando a sua posição. O seu firewall funcionou e não deixou passar nada nas portas fechadas.
Pessoalmente entretanto eu sempre preferi buscar a condição de invisível.
Como você comentou em outro post que tem o iptables carregado, sugeriria que instale uma das alternativas de firewal de sua distro e altere a configuração das portas. Com isto seu PC deveria alcançar o estado de "invisível" e portanto mais seguro.
[12] Comentário enviado por meinhardt_jgbr em 20/05/2009 - 10:52h
nick,
Não houve nenhuma intenção em fazer qualquer biografia do Steve Gibson que além de tudo não precisaria disto, porém apenas mostrar a confiabilidade do teste, já que existe tanta porcaria e armadilhas disponíveis e rodando livremente na Internet.
Nas explicações sobre a configuração do firewall, ele comenta especificamente o caso onde é mais interessante usar a opção "DROP" em vez de "REJECT", exatamente para evitar de mandar resposta a tentativa de invasão e apenas bloqueando a tentativa e ignorando de forma inteligente sem mostrar a posição. Isto é o modo Fantasma Real ou Invisivel Real (True Stealth).
Abaixo a citação deste exemplo mostrada no artigo do Morimoto:
"quote"
Uma vez aberto, o Firestarter bloqueia por padrão todas as portas e loga todas as tentativas de conexão, uma configuração bastante segura. A partir daí, você pode ir criando uma lista de exceções, permitindo conexões em determinadas portas e a partir de determinados endereços.
Ainda na janela de configurações, verifique se a opção "Método de rejeição de pacotes preferido" está configurada como "Descartar silenciosamente", em que é usada a política "DROP" do IPtables, ao invés de "REJECT", onde o emissor recebe resposta.
[15] Comentário enviado por meinhardt_jgbr em 14/01/2010 - 22:34h
Tenho usado com sucesso tanto o Firestarter como o Guarddog.
Configurando corretamente os mesmos se pode obter com relativa facilidade a condição de ideal de invisibilidade na rede ou "Fantasma Real" (True Stealth).
O segredo é usar o poder e confiabilidade dos testes do www.GRC.com e ir testando as várias configurações do firewall instalado até conseguir a condição ideal.
[16] Comentário enviado por meinhardt_jgbr em 15/04/2010 - 11:06h
O artigo abaixo, muito interessante e detalhado, apresenta as informações necessárias para configurar a sua tabela de endereços IP ( iptables ) que é o firewall nativo do linux, via terminal. Como comentei anteriormente isto também pode ser feito usando aplicativos Firewall, em modo gráfico sem precisar usar o terminal, para aqueles que assim preferirem.