Logo Hardware.com.br
dronf78
dronf78 Membro Senior Registrado
280 Mensagens 8 Curtidas

Segurança de um servidor, deixei passar algo?

#1 Por dronf78 03/06/2005 - 12:49
Peço ajuda para saber se deixei passar algo na política de segurança de um servidor de roteamento.

A situação do servidor é a seguinte: instalado com o Red Hat 9.0 com instalação mínima, ou seja, sem o x, sem gcc.. apenas o mínimo para o sistema subir em modo texto abrir ssh e rotear pacotes...

Montei o script de firewall (regras abaixo) de modo que só seja acessível por alguns ips válidos (as outras filiais da empresa) e para as faixas de ip privados usados nos terminais internos. Esses ips podem acessar a porta 22 e a porta 139 que são as únicas portas abertas.

O problema é que após alguns anos trabalhando nesse esquema uma máquina de servidor apresentou problemas de conexão e durante a análise achei alguns rootkits, como existe outra pessoa que acessa o servidor e a senha de root não havia sido mudada e os logs foram apagados estou verificando a política de segurança antes de partir para acusação.

Se alguém puder dar uma olhada se não deixei passar alguma falha óbvia eu serei muito grato.

segue as regras do iptables e as informações sobre o s.o:


Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 172.0.1.1
ACCEPT all -- 172.0.1.1 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 10.0.1.0/24
ACCEPT all -- 10.0.1.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 200.x.x.x
ACCEPT all -- 200.x.x.x 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 172.0.2.1
ACCEPT all -- 172.0.2.1 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 10.0.2.0/24
ACCEPT all -- 10.0.2.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 200.x.x.x
ACCEPT all -- 200.x.x.x 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 172.0.3.1
ACCEPT all -- 172.0.3.1 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 10.0.3.0/24
ACCEPT all -- 10.0.3.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 200.x.x.x
ACCEPT all -- 200.x.x.x 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 200.x.x.x tcp dpts:1024:65535 flags:!0x16/0x02
ACCEPT udp -- 0.0.0.0/0 200.x.x.x udp dpts:1024:65535

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 10.0.3.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 10.0.3.0/24

Chain OUTPUT (policy ACCEPT)
target prot opt source destination




Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere loja3 tcp dpts:5633:5634 to:10.0.3.39
DNAT tcp -- anywhere loja3 tcp dpt:http to:10.0.3.9

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 10.0.3.0/24 anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


S.o. : Linux loja1 2.4.18-3 #1 Thu Apr 18 07:37:53 EDT 2002 i686 unknown
peco modo servidor instalado minima seguranca situacao roteamento politica
jqueiroz
jqueiroz Cyber Highlander Registrado
104K Mensagens 5.7K Curtidas
#2 Por jqueiroz
03/06/2005 - 19:04
dronf78, informe-se sobre o uso do módulo "state" para seu firewall, simplifica sobremaneira a configuração. Todas as linhas de retorno são substituídas por apenas 2:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

outra coisa importante é que, se você disconfia que teve problemas de mau uso da máquina, eu sugiro que vc se informe sobre o Tripwire, que gera uma fotografia do sistema pra saber se houve alteração nos arquivos.

Sugiro também que vc use algum sistema de IDS, como o Snort, e acompanhe regularmente seus logs. Aliás, vc deve acompanhar todos os logs do sistema regularmente.
"chmod 777 nunca ajudou ninguém" (c) 2002-2021 JQueiroz/FGdH
Conheça o Blog do Zekke
© 1999-2024 Hardware.com.br. Todos os direitos reservados.
Imagem do Modal