[AsteriskBrasil] Segurança, Iptable, ip valido no servidor, servidor na dmz...
Rodrigo Graeff
delphusbsd em gmail.com
Quarta Outubro 7 19:48:39 BRT 2009
On Oct 7, 2009, at 6:38 PM, Moisés Abrantes dos Santos wrote:
> Não sou nenhum especialista em asterisk e linux, pelo contrario estou
> começando, trabalho quase 100% voltado para plataforma Microsoft e até
> o momento não vejo ninguem preocupado com a segurança ou divulgando
> informações relacionadas, talvez eu não esteja procurando de forma
> correta.....
> Não conheço nada de iptables
> meus comentários aos colegas
>
> 01 "nenhuma iptables é pra boiola, mantendo o asterisk sempre
> atualizado nao tem problema."
>
> Problema não é só o asterisk, é o php (Frepabx,
> monast,billing, senhas default no banco, no asterisk....), mysql,
> portas do asterisk abertas... final do mês conta nas alturas e a
> pergunta fica quem foi, você descobre que foi invadido, você paga a
> conta, fala o que na empresa?
>
>
>
>
> 02 "Concordo com o Itamar, preocupe-se com backups, deixe apenas os
> serviços necessários rodando neste linux bem atualizado, mude a porta
> do ssh e, se possível não deixe acesso externo com apache com php e
> mysql.
> As vezes se perde 4 horas fazendo um super script de um packet filter
> qualquer, quando se da conta que uma simples rotina de backup seria
> mais fácil, no caso se uma invasão ou perda do host, uma instalação
> básica e um restore funcional não levariam 1 hora para serem feitos."
>
> Gostei, mudar a porta do ssh, bloquear acesso php e mysql
> para ip externo, entendo isso como iptables para fazer de fomra
> centralizada, esse é o caminho que imaginei, seria a minha segunda
> pergunta essa como montar um script para iptables simples com regras
> de:
> Liberar apenas portas mysql, php, para rede iterna, no meu caso todos
> os ramais estão internos, apenas os trunks na internet mas isso fica
> pra depois
> Quanto a restaurar backup em caso de invasão eu prefiro não comentar
> já que isso é inadmissível no meu ponto de vista. (Sem brigas, apenas
> um ponto de vista)
>
Inadmisssível meu amigo, porém não impossível, e se um dia vier a
acontecer contigo, espero que tenhas backup :)
Quando a bloquear portas externas, todos estes caras (apache mysql
etc) possuem opções de listen e bind ipaddress, basta usar apenas os
ips locais, pronto. Nao precisa de packet filters. Ou se preferir pode
usar o /etc/hosts.deny também sem problemas.
Agora se tiveres tempo a perder, estude iptables (pois ele vai mudar
de novo, pra outro, quem sabe com uma sintaxe mais humana e mais
decente). E la vem outro packet filter da família linux que todo o ano
muda. Foi ipfwadm, depois ipchains, agora iptables, e vem outro...
Haja vontade. Não pretendo causar polêmica, mas se não for fazer uso
de placas E1, considere usar um sistema mais robusto e mais seguro, um
FreeBSD da vida e ai sim, com um pf para ajudar-lo, se realmente se
fizer necessário.
[ ]s
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20091007/c8a44d42/attachment-0001.htm
Mais detalhes sobre a lista de discussão AsteriskBrasil