[FUG-BR] Praticas de Segurança para FreeBSD com DNS

Guto Andreollo guto.andreollo em gmail.com
Terça Julho 29 18:58:19 BRT 2008


Um detalhe que me ocorreu:
Se o servidor que a Cristina está montando for um servidor de resolução
recursivo, vai ser necessário liberar a saída de portas altas/UDP to any
porta 53, para que o servidor consiga fazer consultas a servidores
externos.

Uma coisa que eu uma ideia que eu já tive, mas nunca avaliei muito em termos
de performance e eficiência, é fazer essa regra da seguinte maneira:
     ipfw add allow udp from me 1024-65535 to any 53 out keep-state uid
bind.
Alguem tem alguma opinião formada quanto a isso? (o range de portas eu ainda
tenho ver com certeza)

[]s

2008/7/28 Cristina Fernandes Silva <cristinafs.listas em gmail.com>

> Parabens irado pelos tutoriais..
>
> 2008/7/28 irado furioso com tudo <irado em hotpop.com>:
> > Em Fri, 25 Jul 2008 09:12:24 -0300
> > "Cristina Fernandes Silva" <cristinafs.listas em gmail.com> escreveu:
> >
> >> Valeu pelas dicas, sobre implementação das regras de bloqueio com
> >> ipfw ou pf , o que eu poderia implementar para o DNS, saliento que
> >> ele será somente dns e não terá outra função principalmente de nat,
> >> controle de banda, proxy, web.
> >>
> >> Tem alguma dica ?
> >
> >
> > bem.. voce tera de fazer uma analise criteriosa do serviço. Eu
> > começaria assim:
> >
> > a) bloquear TUDO que venha da 'net pra mim - estabelecendo a politica
> >
> > b) aceitar ssh pela porta (???) ou por knock-door somente a partir da
> > maquina "ip-addr aqui", que é a maquina de controle
> >
> > c) liberar consultas tcp/udp na porta 53 - DNS
> > c-1) não estou bem certo, mas acho que uma outra porta deve TAMBÉM
> > permanecer aberta pelo mesmo motivo - veja no handbook, por exemplo,
> > quais as portas que "escutam" solicitações.
> >
> > btw, sugiro ler êstes dois artigos, que cometi tempos atrás, é possivel
> > que vc possa aproveitar alguma coisa como, por exemplo, as alterações
> > em sysctl.conf
> >
> >
> http://under-linux.org/wiki/index.php/Tutoriais/FreeBSD/FreeBSD-Firewall-1
> > http://under-linux.org/wiki/index.php/Tutoriais/Seguranca/gw-firewall
> >
> > vc deverá desconsiderar tudo a que se refira a "gateway" ou "bridge",
> > aproveitando apenas as regras "in" - não esqueça, nada "out", esta
> > máquina não tem razão de deixar SAIR algo.
> >
> > adicionalmente insisto: uma boa pesquisa em http://www.onlamp.com/bsd
> > vai esclarecer muita coisa :)
> >
> > divirta-se.
> >
> >
> > --
> > saudações,
> > irado furioso com tudo
> > Linux User 179402/FreeBSD BSD50853/FUG-BR 154
> > Não uso drogas - 100% Miko$hit-free
> > Deus, para a felicidade do homem, inventou a fé e o amor.
> > O Diabo, invejoso, fez o homem confundir fé com religião e amor com
> > casamento. (Machado de Assis)
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>


Mais detalhes sobre a lista de discussão freebsd