Segurança do Debian para leigos

[Carlos]

Gostaria de obter informações sobre como manter o computador seguro
contra ataques vindos da internet. Esta questão da segurança veio à tona
quando eu executei o teste 'ShieldsUP!' do site http://grc.com/default.htm .

Quando eu executo o teste pelo Debian, o resultado mostra que as portas
de meu computador estão visíveis, porém fechadas; já quando executo o
teste pelo Windows - que está no mesmo computador, em outra partição - o
resultado indica que não há evidência de existir portas em meu
computador, ou seja, o resultado obtido pelo Windows é melhor. Fiquei
surpreso com este resultado pois eu instalei o Linux justamente por
acreditar em sua segurança.

Fui então ler o que o Foca Linux tinha a dizer sobre segurança e
encontrei estes dizeres logo no início da leitura: 'Um firewall não
funciona de forma automática (instalando e esperar que ele faça as
coisas por você), é necessário pelo menos conhecimentos básicos de rede
tcp/ip, roteamento e portas para criar as regras que farão a segurança
de seu sistema.' Em seguida, há extensa documentação sobre o iptables
que, infelizmente, não pude compreender pois não tenho conhecimento
suficiente a respeito de roteamento, rede, tcp/ip, interfaces, etc. Sou
apenas um usuário de computador, e não um administrador de redes.

A pergunta é: existe alguma forma de um usuário leigo sem conhecimento
técnico como eu possa configurar a segurança de um computador e navegar
na internet sem maiores preocupações?.

Atenciosamente,
Carlos

--
To UNSUBSCRIBE, email to debian-user-por...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org

[fr...@chesf.gov.br]

> A pergunta é: existe alguma forma de um usuário leigo sem conhecimento
> técnico como eu possa configurar a segurança de um computador e navegar
> na internet sem maiores preocupações?.

O que você quer? Só conectar num provedor, ligar um navegador, ler e mandar
e-mail? Se for só isso, não instale servidor ssh, servidor ftp, servidor
http
nem nada disso.

Usar stable também é uma boa. Mas em geral o usuário doméstico cansa de não
ter
vários programas que não passaram no controle de qualidade debian e ainda
não
entraram na stable.

Na verdade acho que stable NÃO é uma boa. stable é mais para servidor
mesmo.

[Douglas A. Augusto]

No dia 27/10/2003 às 16:52,
Carlos <anc...@terra.com.br> escreveu:

> Gostaria de obter informações sobre como manter o computador seguro
> contra ataques vindos da internet. Esta questão da segurança veio à tona
> quando eu executei o teste 'ShieldsUP!' do site http://grc.com/default.htm .

Interessante esse site.

> Quando eu executo o teste pelo Debian, o resultado mostra que as portas
> de meu computador estão visíveis, porém fechadas;já quando executo o
> teste pelo Windows - que está no mesmo computador, em outra partição - o
> resultado indica que não há evidência de existir portas em meu
> computador, ou seja, o resultado obtido pelo Windows é melhor.

Não necessariamente significa que o Windows está mais seguro. Provavelmente o
Windows está bloqueando a requisição de resposta ICMP, o protocolo do
ping. Certamente dificulta muitos ataques, tanto pela "invisibilidade" como
ataques via o próprio ICMP. Mas isso não diz se as portas estão fechadas ou
não. Seria interessante você refazer o teste com o ICMP habilitado, para que
sejam mostradas de fato as portas que realmente estão abertas ou fechadas.

> Fiquei
> surpreso com este resultado pois eu instalei o Linux justamente por
> acreditar em sua segurança.

Ademais, uma porta aberta no MS Windows não é igual uma porta aberta no
GNU/Linux. A porta aberta é apenas um indicativo de onde começar a atacar, mas
é preciso uma vulnerabilidade no SO (especificamente no serviço atado à porta
aberta) para que de fato o ataque seja consumado.

> Fui então ler o que o Foca Linux tinha a dizer sobre segurança e
> encontrei estes dizeres logo no início da leitura: 'Um firewall não
> funciona de forma automática (instalando e esperar que ele faça as
> coisas por você), é necessário pelo menos conhecimentos básicos de rede
> tcp/ip, roteamento e portas para criar as regras que farão a segurança
> de seu sistema.' Em seguida, há extensa documentação sobre o iptables
> que, infelizmente, não pude compreender pois não tenho conhecimento
> suficiente a respeito de roteamento, rede, tcp/ip, interfaces, etc. Sou
> apenas um usuário de computador, e não um administrador de redes.

O esquema é utilizar algum script iptables, que na verdade são as regras
do firewall sendo acionadas automaticamente de acordo com um arquivo
de configuração, por exemplo, em um dado script iptables, você poderia
desabilitar o ping da seguinte forma (editando o arquivo de configuração):

INBOUND_PING=0

E então reiniciar o serviço.

Existem até mesmo frontends para esses arquivos de configuração (interface
gráfica), no Debian você pode procurar por scripts assim:

apt-cache search firewall script

De preferência procure por um script de política forte, isto é, fecha tudo a
priori e então vai abrindo portas/serviços que são necessários.

Particularmente eu uso este[1]. Não é gráfico, mas certamente muito seguro. A
propósito, passou em todos os testes do 'ShieldsUP!':

"Your system has achieved a perfect "TruStealth" rating. Not a single packet -
solicited or otherwise - was received from your system as a result of our
security probing tests."

1. http://www.malibyte.net/iptables/scripts/fwscripts.html

--
Douglas Augusto

[Paulo Rogerio Batalhão]

qual firewall voce instalou ? iptables ?
um sistema GNU/Linux bem fácil para configurar firewall para iniciantes
são o Mandrake e o Red Hat entre outros.... voce pode esperimentar um
destes , mais me diga qual foi que voce instalou
(qual firewall) que lhe mando um script de configuração !

FaloWWW
---
tucanos.org - Comunidade GNU/Linux de Americana.SP
[] ' Paulo Rogerio Batalhão -- Software Devel

---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.528 / Virus Database: 324 - Release Date: 16/10/2003

[Carlos]

Boa tarde a todos. A minha máquina sofreu uma pane geral após eu
recompilar o kernel com suporte a iptables. Agora está a funcionar
novamente pois eu reinstalei todo o Debian. :)

Mas ainda não consegui configurar o iptables; gostaria de receber o
script de configuração.
Grato. Carlos

Paulo Rogerio Batalhão escreveu em 28/10/03 23:31:

[Cláudio Max]

Em Wed, 05 Nov 2003 17:58:19 -0200
Carlos <anc...@terra.com.br> disse que:

>
> Boa tarde a todos. A minha máquina sofreu uma pane geral após eu
> recompilar o kernel com suporte a iptables. Agora está a funcionar
> novamente pois eu reinstalei todo o Debian. :)
>
> Mas ainda não consegui configurar o iptables; gostaria de receber o
> script de configuração.

Um script de firewall?
Eu uso este:

# Flush
iptables -F
iptables -t nat -F

# Define politica padrao
iptables -P INPUT ACCEPT

# Barra tentativas de conexoes vindas de fora
iptables -A INPUT -i ppp0 -p tcp --dport :1024 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 6000 -j DROP
iptables -A INPUT -i ppp0 -p tcp --dport 8080 -j DROP

# Barra entrada de pacotes udp
# iptables -A INPUT -i ppp0 -p udp -j DROP

# Barra entrada de ping
iptables -A INPUT -i ppp0 -p icmp --icmp-type echo-request -j DROP
iptables -A INPUT -i ppp0 -p icmp --icmp-type redirect -j DROP

# Barra Tentativa de Spoof ao localhost
iptables -A INPUT -i ppp0 -s 127.0.0.0/8 -j DROP

Abraço

Cláudio

[Leandro Guimarães Faria Corsetti Dutra]

Em Wed, 05 Nov 2003 17:58:19 -0200, Carlos escreveu:

> reinstalei todo o Debian

Precisava não, bastava voltar o núcleo...

--
Leandro Guimarães Faria Corsetti Dutra <lea...@dutra.fastmail.fm>
+55 (11) 5685 2219
+55 (11) 5686 9607
+55 (11) 9406 7191