[FUG-BR] Praticas de Segurança para FreeBSD com DNS
irado furioso com tudo
irado em hotpop.com
Segunda Julho 28 08:33:46 BRT 2008
Em Fri, 25 Jul 2008 09:12:24 -0300
"Cristina Fernandes Silva" <cristinafs.listas em gmail.com> escreveu:
> Valeu pelas dicas, sobre implementação das regras de bloqueio com
> ipfw ou pf , o que eu poderia implementar para o DNS, saliento que
> ele será somente dns e não terá outra função principalmente de nat,
> controle de banda, proxy, web.
>
> Tem alguma dica ?
bem.. voce tera de fazer uma analise criteriosa do serviço. Eu
começaria assim:
a) bloquear TUDO que venha da 'net pra mim - estabelecendo a politica
b) aceitar ssh pela porta (???) ou por knock-door somente a partir da
maquina "ip-addr aqui", que é a maquina de controle
c) liberar consultas tcp/udp na porta 53 - DNS
c-1) não estou bem certo, mas acho que uma outra porta deve TAMBÉM
permanecer aberta pelo mesmo motivo - veja no handbook, por exemplo,
quais as portas que "escutam" solicitações.
btw, sugiro ler êstes dois artigos, que cometi tempos atrás, é possivel
que vc possa aproveitar alguma coisa como, por exemplo, as alterações
em sysctl.conf
http://under-linux.org/wiki/index.php/Tutoriais/FreeBSD/FreeBSD-Firewall-1
http://under-linux.org/wiki/index.php/Tutoriais/Seguranca/gw-firewall
vc deverá desconsiderar tudo a que se refira a "gateway" ou "bridge",
aproveitando apenas as regras "in" - não esqueça, nada "out", esta
máquina não tem razão de deixar SAIR algo.
adicionalmente insisto: uma boa pesquisa em http://www.onlamp.com/bsd
vai esclarecer muita coisa :)
divirta-se.
--
saudações,
irado furioso com tudo
Linux User 179402/FreeBSD BSD50853/FUG-BR 154
Não uso drogas - 100% Miko$hit-free
Deus, para a felicidade do homem, inventou a fé e o amor.
O Diabo, invejoso, fez o homem confundir fé com religião e amor com
casamento. (Machado de Assis)
Mais detalhes sobre a lista de discussão freebsd