Logo Hardware.com.br
gorgona
gorgona Novo Membro Registrado
6 Mensagens 0 Curtidas

Como descubro se estou sendo monitorado?

#1 Por gorgona 13/11/2016 - 18:43
Olá!

Sou novo com uso de ferramentas de gerência e segurança de redes, então estou precisando da ajuda de vocês! Utilizo o Debian 8.6, IPTables 1.4.21 e Squid 3.4.8.

Gostaria de saber como descubro se meu notebook está sendo monitorado por alguma ferramenta como Zabbix ou SolarWinds. Já configurei o IPTables com regras de INPUT para bloquear todas as solicitações de conexão utilizando os protocolos de transporte que eu conheço. Também instalei o Squid e adicionei um nat para redirecionar todo o tráfego das minhas placas de rede local para passarem pela porta do Squid.

Mas gostaria de saber como é possível verificar se existem buracos na minha configuração de firewall, além de saber se existe alguma ferramenta de monitoramento instalada no meu notebook, que possa enviar informações da minha máquina (cliente ou proxy zabbix, por exemplo).

Rodei o netstat e vi conexões estabelecidas em 15 portas com os protocolos TCP e UDP6. Mas não sei como analisar se são conexões normais ou outra coisa. Ah, também gostaria de saber como adicionar regras de bloqueio para o UDP6!

Estou instalando o Zabbix para realizar monitoramento do meu notebook, mas estou com problemas com o MySQL.

Agradeço a ajuda! Vlw ^^
invasao seguranca monitoramento netstat zabbix monitoramento-de-redes iptables ferramentas redes descubro squid utilizo gerencia monitorado
jqueiroz
jqueiroz Cyber Highlander Registrado
104K Mensagens 5.7K Curtidas
#2 Por jqueiroz
13/11/2016 - 19:23
gorgona disse:
Olá!

Sou novo com uso de ferramentas de gerência e segurança de redes, então estou precisando da ajuda de vocês!

Gostaria de saber como descubro se meu notebook está sendo monitorado por alguma ferramenta como Zabbix ou SolarWinds. (...)

Isso só pode ser feito [monitorar máquinas por ferramentas automatizadas] em redes corporativas. Se você não está em uma rede corporativa, então provavelmente sua máquina não está sendo monitorada.
Mas é tudo que se pode saber, pois essas monitorações são passivas, ou seja, são feitas sem enviar qualquer informação ao seu computador.
Se você está em uma rede corporativa, entre em contato com o administrador da rede para saber se há algum tipo de monitoração.

(...)Já configurei o IPTables com regras de INPUT para bloquear todas as solicitações de conexão utilizando os protocolos de transporte que eu conheço. Também instalei o Squid e adicionei um nat para redirecionar todo o tráfego das minhas placas de rede local para passarem pela porta do Squid.(...)

Hmm. Você sabe que isso não tem absolutamente nada a ver com o que vc perguntou antes, né?

Enfim. Se sua máquina não oferece nenhum serviço para a rede local ou para a internet, você pode ser mais radical e bloquear qualquer tentativa de abertura de conexão vinda de fora. Como se faz isso, com uma regra "-A INPUT -p tcp -m state --state NEW -J DROP", bem no início do firewall. Essa regra usa o módulo state para monitorar todas as tentativas de conexão que chegam na cadeia INPUT, e descartar as conexões novas. Conexões abertas por dentro, por você, ("ESTABLISHED") ou que são relacionadas a conexões abertas por dentro ("RELATED") continuarão passando.

Você vai notar, no entanto, que isso vai deixar sua máquina mais lenta; vc pode corrigir isso com uma regra "-A INPUT -i lo -j ACCEPT" antes da outra. Essa regra permite que o tráfego gerado e destinado à mesma máquina seja aceito. Fique tranquilo pois esse tráfego é seguro.

NAT pra redirecionar seu tráfego? Squid? Esquece isso, cara. Você não é gateway de rede, não é firewall.

Mas gostaria de saber como é possível verificar se existem buracos na minha configuração de firewall, além de saber se existe alguma ferramenta de monitoramento instalada no meu notebook, que possa enviar informações da minha máquina (cliente ou proxy zabbix, por exemplo).

Saber se existem buracos no firewall... há sites que testam firewalls, mas pra serem efetivos, sua máquina tem que estar diretamente conectada à internet, pois o seu modem/roteador pode interferir nessa conexão, criando a falsa impressão de que algumas portas estão fechadas, quando não estão.

Sobre "ferramenta de monitoramento instalada"... quem instalou o notebook? Você? Ou foi outra pessoa?
Eu estou sentindo que você tem um entendimento meio errado sobre o zabbix...

Rodei o netstat e vi conexões estabelecidas em 15 portas com os protocolos TCP e UDP6. Mas não sei como analisar se são conexões normais ou outra coisa. Ah, também gostaria de saber como adicionar regras de bloqueio para o UDP6!

Estou sentindo também que você está perdendo o foco.

Estou instalando o Zabbix para realizar monitoramento do meu notebook, mas estou com problemas com o MySQL.

Agradeço a ajuda! Vlw ^^

Afinal, você está monitorando um notebook, ou uma rede inteira?
Acho que você precisa dar um pouco mais de contexto pra gente, pq até agora, só vi uma pessoa exagerando "um pouquinho" nas preocupações.
"chmod 777 nunca ajudou ninguém" (c) 2002-2021 JQueiroz/FGdH
Conheça o Blog do Zekke
gorgona
gorgona Novo Membro Registrado
6 Mensagens 0 Curtidas
#3 Por gorgona
13/11/2016 - 19:36
jqueiroz disse:
Isso só pode ser feito [monitorar máquinas por ferramentas automatizadas] em redes corporativas. Se você não está em uma rede corporativa, então provavelmente sua máquina não está sendo monitorada.
Mas é tudo que se pode saber, pois essas monitorações são passivas, ou seja, são feitas sem enviar qualquer informação ao seu computador.
Se você está em uma rede corporativa, entre em contato com o administrador da rede para saber se há algum tipo de monitoração.


Hmm. Você sabe que isso não tem absolutamente nada a ver com o que vc perguntou antes, né?

Enfim. Se sua máquina não oferece nenhum serviço para a rede local ou para a internet, você pode ser mais radical e bloquear qualquer tentativa de abertura de conexão vinda de fora. Como se faz isso, com uma regra "-A INPUT -p tcp -m state --state NEW -J DROP", bem no início do firewall. Essa regra usa o módulo state para monitorar todas as tentativas de conexão que chegam na cadeia INPUT, e descartar as conexões novas. Conexões abertas por dentro, por você, ("ESTABLISHED") ou que são relacionadas a conexões abertas por dentro ("RELATED") continuarão passando.

Você vai notar, no entanto, que isso vai deixar sua máquina mais lenta; vc pode corrigir isso com uma regra "-A INPUT -i lo -j ACCEPT" antes da outra. Essa regra permite que o tráfego gerado e destinado à mesma máquina seja aceito. Fique tranquilo pois esse tráfego é seguro.

NAT pra redirecionar seu tráfego? Squid? Esquece isso, cara. Você não é gateway de rede, não é firewall.


Saber se existem buracos no firewall... há sites que testam firewalls, mas pra serem efetivos, sua máquina tem que estar diretamente conectada à internet, pois o seu modem/roteador pode interferir nessa conexão, criando a falsa impressão de que algumas portas estão fechadas, quando não estão.

Sobre "ferramenta de monitoramento instalada"... quem instalou o notebook? Você? Ou foi outra pessoa?
Eu estou sentindo que você tem um entendimento meio errado sobre o zabbix...


Estou sentindo também que você está perdendo o foco.


Afinal, você está monitorando um notebook, ou uma rede inteira?
Acho que você precisa dar um pouco mais de contexto pra gente, pq até agora, só vi uma pessoa exagerando "um pouquinho" nas preocupações.




Trabalho em um provedor de acesso, que por acaso é provedor de acesso da minha rede doméstica também, e quero saber se tem como meu chefe me monitorar. Já levei o notebook para o trabalho. O Firewall é com a intensão de bloquear solicitações de conexões nas minhas portas abertas, para que não se conectem ao meu computador.

Não conheço muito o Zabbix, mas achava que ele poderia enviar várias informações a respeito do estado do sistema e até arquivos de logs.

Sim, talvez eu esteja exagerando (:b). Mas também quero aprender mais sobre segurança, então é uma oportunidade.

Minhas regras ficaram assim:

iptables -F
# Adicionei essa daqui pq não estava conseguindo acessar meu Zabbix via interface web:
iptables -A INPUT -p tcp --syn -s 127.0.0.1 -j ACCEPT
# Aqui eu vou ativar se sentir a rede lenta mesmo:
# iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW -j DROP
iptables -A INPUT -p tcp --syn -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 0:30000 -j DROP
iptables -A INPUT -p sctp -j DROP
iptables -A INPUT -p dccp -j DROP
# Faixa de IP públicos da rede do meu trabalho:
iptables -A INPUT -s x.x.x.x/16 -j DROP
jqueiroz
jqueiroz Cyber Highlander Registrado
104K Mensagens 5.7K Curtidas
#4 Por jqueiroz
13/11/2016 - 22:45
gorgona disse:
Minhas regras ficaram assim:

iptables -F
# Adicionei essa daqui pq não estava conseguindo acessar meu Zabbix via interface web:
iptables -A INPUT -p tcp --syn -s 127.0.0.1 -j ACCEPT
# Aqui eu vou ativar se sentir a rede lenta mesmo:
# iptables -A INPUT -i lo -j ACCEPT

A regra de baixo substitui a de cima.

iptables -A INPUT -p tcp -m state --state NEW -j DROP
iptables -A INPUT -p tcp --syn -j DROP
iptables -A INPUT -i ppp0 -p udp --dport 0:30000 -j DROP
iptables -A INPUT -p sctp -j DROP
iptables -A INPUT -p dccp -j DROP

A primeira regra substitui todas as outras.


# Faixa de IP públicos da rede do meu trabalho:
iptables -A INPUT -s x.x.x.x/16 -j DROP

Se vc fizer isso, vai impedir sua máquina de acessar qualquer máquina da rede do seu serviço.
Só o bloqueio de portas acima já deve ser suficiente.
"chmod 777 nunca ajudou ninguém" (c) 2002-2021 JQueiroz/FGdH
Conheça o Blog do Zekke
© 1999-2024 Hardware.com.br. Todos os direitos reservados.
Imagem do Modal