[FUGSPBR] Segurança

Sex Jun 13 09:23:32 BRT 2003

Olá Pessoal,

Sou novo nesta lista e estou com problemas para proteger minha rede.
Tenho uma máquina com FreeBSD 4.2 com uma interface de rede rl0 e uma
interface Orinoco wi0.
A interface wi0 tem IP inválido e conecta-se com o provedor e roteia para
uma rede válida em rl0 que é a minha rede interna.
Instalei SSH sem permitir conexão via root e limitando os hosts para conexão
na máquina.
Defini algumas regras de firewall utilizando ipfw tipo statefull que são:
O firewall tem como padrão fechado.

# Permite o trafego local
ipfw add allow all from any to any via lo0
ipfw add deny all from any to 127.0.0.0/8

# Inicia regras dinâmicas
ipfw add check-state

# Permite entrada de pacotes SMTP no host 200.175.54.2 porta 25
ipfw add allow tcp from any to 200.175.54.2 25 in via wi0 setup keep-state

# Permite entrada de pacotes WWW no host 200.175.54.2 porta 80 e 443
ipfw add allow tcp from any to 200.175.54.2 80 in via wi0 setup keep-state
ipfw add allow tcp from any to 200.175.54.2 443 in via wi0 setup keep-state

# Permite entrada de pacotes DNS no host 200.175.54.2 porta 53
ipfw add allow tcp from any to 200.175.54.2 53 in via wi0 setup keep-state

# Permite entrada de pacotes DNS no host 200.175.54.3 porta 53
ipfw add allow tcp from any to 200.175.54.3 53 in via wi0 setup keep-state

# Permite entrada de pacotes Video cameras no host 200.175.54.3 porta 1999
ipfw add allow tcp from any to 200.175.54.3 1999 in via wi0 setup keep-state

ipfw add allow udp from any to any via rl0 keep-state
ipfw add allow tcp from any to any via rl0 keep-state

Em suma está funcionando sem problemas, está bloquendo as portas não
abertas, está criando as regras dinâmicas e tudo mais.

Entretanto tem um cara que é cheio de exploits e disse que conseguiu entrar
num servidor que está atrás do Firewall através de um exploit. Disse ele que
entrou pela porta 80 de WEB e pra pegar privilégio de root se aproveitou de
uma falha no pctrace do kernel da versão 4.2.

Gostaria de saber se alguém pode me dizer se existe alguma falha na
configuração do firewall para evitar que ele entre na rede e se aproveita
das falhas do Kernel do FreeBSD para pegar privilégio de root.

Outra coisa estranha que achei é ele conseguir entrar pela porta 80. Estou
usando Servidor Apache/1.3.14. Disse ele também que é possível entrar pela
porta 25, mesmo eu usando Qmail 1.03 e tcpserver com restrição de rede.

Alguém pode me ajudar a resolver este problema, para aumentar a segurança da
minha rede?

--
Cleiton Luiz Siqueira
Analista de Sistema
WebSystem Soluções para Internet
(45) 9963-7429

_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/