Firewall: Teste no site www.grc.com nao funciona

BigField
(usa Debian)

Enviado em 03/11/2013 - 17:48h

Boa tarde a todos do VOL!
Bom minha duvida e a seguinte!
Montei um servidor com o debian 6, mas a função principal deste seria de ser um FIREWALL.
Bom, servidor ele esta sendo muito bem...acesso a net por ele, pelas outras maquinas, e muito bem.
Bom, sobre fornecer internet esta ótimo. Mas o problema esta sobre justamente o FIREWALL.
Depois de todo o servidor configurado e rodando redondinho, fui fazer o teste neste site www.grc.com e nao consegui o selo de passed.
As portas acusam estar todas fechadas - azul (menos mal), mas e claro que se nos fizemos um FIREWALL no Debian, nos queremos ficar invisíveis para o resto do mundo, né? Afinal e pra isso que serve o famoso FIREWALL, ou nao?
Gostaria de passar para vocês, qual foi o tutorial que eu segui para subir este server, este aqui o:

http://www.websolutti.com.br/artigos/fw_debian.pdf

Então pessoal, agora que já sabem qual e a minha duvida e qual tutorial segui, gostaria que me ajudassem a conseguir a famosa Passed no site que descrevi.

Deixo claro que segui e executei todos os passos no tutorial.

Agradeço a todos que poderem me ajudar.

Obrigado.

phoemur
(usa Debian)

Enviado em 03/11/2013 - 19:28h

2 perguntas:

1.) Por que Debian 6 se ele só terá suporte até maio/2014 ?
Debian stable atualmente é o Debian 7 Wheezy

2.) Em qual teste ele fala que você falhou ?

JJSantos
(usa Gentoo)

Enviado em 03/11/2013 - 19:36h

BigField
(usa Debian)

Enviado em 03/11/2013 - 19:45h

Na verdade já o atualizei para o stable.
No caso, onde ele diz que falhou e quando vou neste site e ele mostra as portas em azul. As portas estão fechadas mas respondem a requisições Ping e outras coisas, entao nao me da o desejável Passed, no caso nao estou invisível (verde).

Agradeço a quem poder ajudar.

px
(usa Debian)

Enviado em 03/11/2013 - 19:45h

É o objetivo do firewall é isolar uma rede de outras que não podem acessar diversos conteúdos sendo mais usado para impedir que máquinas na internet acessem arquivos da rede local.

O ideal é sua máquina de firewall "dropar" tudo que é conteúdo não usado no seu servidor e neste teste o ideal é estar tudo verde, fiz o teste e ficou assim:

http://img819.imageshack.us/img819/5327/fg84.png

Como você pode ver o ideal é estar tudo em stealth (filtrado)

PS: poste seu script de iptables para dar uma olhada - e melhorar esta bagaça ai! rsrs -

JJSantos
(usa Gentoo)

Enviado em 03/11/2013 - 20:04h

Sua máquina está respondendo a pacotes icmp fora da sua rede(wan)?

Aqui testado e funcionando: http://goo.gl/xM7PyO http://goo.gl/w5VNEH

BigField
(usa Debian)

Enviado em 03/11/2013 - 20:33h

Px e Joshue...
E justamente isso que vcs postaram que eu estou querendo receber no meu teste.
Px, o meu script do FIREWALL esta exatamente como o do tutorial que postei para vcs...
Nao mudei nada!
Da uma olhada lá e se poderem, analisem e me falem o que devo mudar nele.
Na verdade achei ele muito simples em vista aos outros que vejo aqui mesmo no vol...mas como nao sou expert no assunto...
Respondendo a pergunta: responde a requisições independente da maquina em que eu fizer o teste, seja GNU/Linux ou Windows 7.
Obrigado aos que estão tentando ajudar.

JJSantos
(usa Gentoo)

Enviado em 03/11/2013 - 21:02h

Tenta colocar essas regras em /etc/sysctl.conf

# Ignore ICMP broadcasts

net.ipv4.icmp_echo_ignore_broadcasts = 1



# Enable ignoring ping request

net.ipv4.icmp_echo_ignore_all = 1 

Depois rode:

sysctl -p 

E teste de novo

BigField
(usa Debian)

Enviado em 03/11/2013 - 22:00h

Josué
Fiz isso que você disse, mas no teste deu a mesma coisa que antes. Veja aí o que passou e o que nao passou no teste. Só um que passou os outros 2 nao.



Solicited TCP Packets: RECEIVED (FAILED) — As detailed in the port report below, one or more of your system's ports actively responded to our deliberate attempts to establish a connection. It is generally possible to increase your system's security by hiding it from the probes of potentially hostile hackers. Please see the details presented by the specific port links below, as well as the various resources on this site, and in our extremely helpful and active user community.



Unsolicited Packets: PASSED — No Internet packets of any sort were received from your system as a side-effect of our attempts to elicit some response from any of the ports listed above. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system remained wisely silent. (Except for the fact that not all of its ports are completely stealthed as shown below.)



Ping Reply: RECEIVED (FAILED) — Your system REPLIED to our Ping (ICMP Echo) requests, making it visible on the Internet. Most personal firewalls can be configured to block, drop, and ignore such ping requests in order to better hide systems from hackers. This is highly recommended since "Ping" is among the oldest and most common methods used to locate systems prior to further exploitation.

saitam
(usa Slackware)

Enviado em 03/11/2013 - 23:28h

O teste realizado no site www.grc.com verifica se a máquina responde ping (icmp), depois varre por portas, se caso a máquina responder ping é dado um alerta em vermelho e as portas em verde (filtradas).

Fiz o teste e como o icmp tava liberado ficou conforme comentado acima, depois bloquei o icmp, ou seja, não responder ping da internet (WAN to LAN), o resultado mudou.

BigField
(usa Debian)

Enviado em 03/11/2013 - 23:48h

Saitam, e como você me indica fazer isso para nao responder aos pings?
Você viu no tutorial que eu segui como esta o script do FIREWALL?
Da uma olhada lá e me fala onde e o que devo mudar para conseguir o desejado Passed.
Até agora nao consegui nada...
Aguardo pela ajuda de alguém.
Obrigado.

saitam
(usa Slackware)

Enviado em 04/11/2013 - 07:47h

@BigField

Verifiquei no artigo que se baseou e notei que a política utilizada nas chains INPUT, OUTPUT e FORWARD estão em ACCEPT, ou seja, utilizando o default do Netfilter/Iptables.

O ideal seria estar em DROP nas chains INPUT, OUTPUT e FORWARD e liberar apenas as portas e protocolos em uso na sua rede local.

De uma lida neste post http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html e ao final tem um exemplo de script firewall na prática aplicando a teoria apresentada.