Peço ajuda para saber se deixei passar algo na política de segurança de um servidor de roteamento.
A situação do servidor é a seguinte: instalado com o Red Hat 9.0 com instalação mínima, ou seja, sem o x, sem gcc.. apenas o mínimo para o sistema subir em modo texto abrir ssh e rotear pacotes...
Montei o script de firewall (regras abaixo) de modo que só seja acessível por alguns ips válidos (as outras filiais da empresa) e para as faixas de ip privados usados nos terminais internos. Esses ips podem acessar a porta 22 e a porta 139 que são as únicas portas abertas.
O problema é que após alguns anos trabalhando nesse esquema uma máquina de servidor apresentou problemas de conexão e durante a análise achei alguns rootkits, como existe outra pessoa que acessa o servidor e a senha de root não havia sido mudada e os logs foram apagados estou verificando a política de segurança antes de partir para acusação.
Se alguém puder dar uma olhada se não deixei passar alguma falha óbvia eu serei muito grato.
segue as regras do iptables e as informações sobre o s.o:
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 172.0.1.1
ACCEPT all -- 172.0.1.1 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 10.0.1.0/24
ACCEPT all -- 10.0.1.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 200.x.x.x
ACCEPT all -- 200.x.x.x 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 172.0.2.1
ACCEPT all -- 172.0.2.1 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 10.0.2.0/24
ACCEPT all -- 10.0.2.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 200.x.x.x
ACCEPT all -- 200.x.x.x 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 172.0.3.1
ACCEPT all -- 172.0.3.1 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 10.0.3.0/24
ACCEPT all -- 10.0.3.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 200.x.x.x
ACCEPT all -- 200.x.x.x 0.0.0.0/0
ACCEPT tcp -- 0.0.0.0/0 200.x.x.x tcp dpts:1024:65535 flags:!0x16/0x02
ACCEPT udp -- 0.0.0.0/0 200.x.x.x udp dpts:1024:65535
Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all -- 10.0.3.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 10.0.3.0/24
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere loja3 tcp dpts:5633:5634 to:10.0.3.39
DNAT tcp -- anywhere loja3 tcp dpt:http to:10.0.3.9
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 10.0.3.0/24 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
S.o. : Linux loja1 2.4.18-3 #1 Thu Apr 18 07:37:53 EDT 2002 i686 unknown
dronf78
Membro Senior
Registrado
280 Mensagens
8 Curtidas