- Este tópico contém 6 respostas, 2 vozes e foi atualizado pela última vez 10 anos, 6 meses atrás por
.
-
Posts
-
-
Olá pessoal.
Estou criando esse tópico pois não consegui encontrar nenhum aqui no forum relacionado a segurança do Endian. Gostaria de um compartilhamento de conhecimentos aqui, referente a que procedimento vocês tomam para manter seu Firewall seguro.
Já começo perguntando, como faço para fechar uma porta.
Espero que o pessoal se anime em compartilhar informações aqui.
Abraços.
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
-
Saudações André,
Vamos dividir a sua pergunta em 3 partes:
– Segurança do próprio Endian: Como regra de ouro, você deve proibir todo o acesso via internet com destino aos serviços do Endian. (Firewall \ System Access), deve estar vazia para recusar tudo, no máximo abra o ping para a internet.
Se precisar de acesso administrativo ao endian de fora, use “sempre” vpn. Pode ser um pouco mais chato para configurar, mas adiciona um nível a mais de segurança ao seu Endian.
Importante lembrar de usar senhas seguras também!– Saída das estações de trabalho para a internet (Firewall \ Outgoing Traffic):
Gosto do conceito: “bloquear tudo e liberar apenas o necessário”. Isso pode variar de cliente para cliente.Normalmente eu me organizo assim (regras da rede interna para a rede externa):
Regra 1: Libera Ping (o ping ajuda e muito a diagnosticar problemas)
Regra 2: Libera email (agrupo todas as portas na mesma regra; portas tcp 110,143,465,587,993,995). Se possível libero apenas com destino ao servidor de email do cliente.
Regra 3: Se necessário smtp na porta 25, libero em separado, mas procuro limitar os endereços de destino.
Regra 4: Se o cliente precisar, crio uma regra liberando teamviewer (porta TCP 5938)* Observar que acessos diretos a DNS, HTTP, e HTTPS ficam bloqueados.
– Proxy: Evito ao máximo a utilização de proxy transparente, principalmente por ter que deixar a porta 443 aberta, permitindo que algum engraçadinho use ultrasurf ou outros aplicativos não autorizados que saiam pela porta tcp 443.
Alguns sites, as vezes não funcionam direito com proxy transparente.[]’s
-
Fala Eduardo, obrigado pela sua colaboração.
Praticamente tudo que escreveu eu já havia implementado aqui, mudando apenas alguns detalhes para seguir a política da empresa. Só fiquei com um dúvida:
* Observar que acessos diretos a DNS, HTTP, e HTTPS ficam bloqueados.
E com relação a invasões externas e internas em minha rede, seguindo essa sua política posso ficar despreocupado?
Abraços cara.
-
André,
Totalmente despreocupado você nunca pode ficar.
O objetivo de limitar os acessos diretos de dentro para fora, é normalmente evitar que algum usuário mais esperto “fuja” usando uma porta aberta.
Exemplo:
Eu posso configurar um openvpn server em um servidor remoto, ouvindo na porta udp/53 ou tcp/53, e configuro um cliente openvpn atrás do seu firewall.
Com a vpn estabelecida, posso desviar todo o meu tráfego de saída para o servidor remoto, escapando de qualquer política de tráfego ou liberação.
Se o acesso direto a porta 53 estiver bloqueado, já não é possível escapar do firewall por ai.outro exemplo bem plausível… se você usar proxy transparente, a porta 443 ficará aberta, e eu poderia realizar a mesma configuração para escapar dos bloqueios.
Também poderia contratar um serviço de vpn que use a porta tcp/443 como o “hidemyass.com” ou até mesmo usar o ultrasurf sem custos.[]’s
-
-
-
-
- O tópico ‘Segurança no Endian’ está fechado para novas respostas.