De: 	Mateus Simon <simon@neobus.com.br>
Para: 	Segurança - Conectiva <seguranca@distro2.conectiva.com.br>
Assunto: 	[seguranca] Rede protegida
Data: 	Mon, 4 Aug 2003 09:56:11 -0300

Cara Para uma ideia melhor e mais pratica eu varia uma coisa para habilitar a
segurancaFaço um Scan e faria um estudo das portas que se mais usa para um
ataque via e-mail, virus, enfime colocaria num script para bloquear as portas...
# Opcoes de protecao (Opcao HACK da primeira sessao desabilita global)       ##----------------------------------------------------------------------------
#HACK_NMAP=1HACK_BACKDOORS=0HACK_TCP_FLAGS=1HACK_REDES_RESERVADAS=0Este é um
#bash que traduz as informaçoes para uma regra de iptables
#!/bin/bash
function Hack_NMAP () {   function Hack_NMAP_Adiciona () {      local NMAP_LIMIT=5      local FLAGS=${1}; shift      local FLAGS_SETADAS=${1}; shift      local MENSAGEM="NMAP_${*}:"      Firewall -A HACK_NMAP -p tcp --tcp-flags ${FLAGS} ${FLAGS_SETADAS} \               -m limit --limit ${NMAP_LIMIT}/minute \               -j LOG --log-level $LOGLEVEL --log-prefix "${MENSAGEM}"      Firewall -A HACK_NMAP -p tcp --tcp-flags ${FLAGS} ${FLAGS_SETADAS} -j ${DROP}   }   Chain_Novo HACK_NMAP   Hack_NMAP_Adiciona ALL FIN,URG,PSH "XMAS_Scan"   Hack_NMAP_Adiciona ALL ALL "XMAS_(Merry)_Scan"   Hack_NMAP_Adiciona ALL SYN,RST,ACK,FIN,URG "XMAS_(PSH)_Scan"   Hack_NMAP_Adiciona ALL NONE "Null_Scan"   Hack_NMAP_Adiciona SYN,RST SYN,RST "SYN/RST_Scan"   Hack_NMAP_Adiciona SYN,FIN SYN,FIN "SYN/FIN_Scan"   Firewall -A HACK -j HACK_NMAP#   Chain_Novo PORT_SCAN#   Firewall -A PORT_SCAN \#            -m limit --limit 900/hour --limit-burst 500 \#            -j LOG --log-level ${LOGLEVEL} --log-prefix "PORT_SCAN:"#   Firewall -A PORT_SCAN \#            -m limit --limit 500/hour --limit-burst 500 \#            -j ${DROP}#   Firewall -A CHAIN_FINAL -j PORT_SCAN } function Hack_TCP_Flags () {   Chain_Novo HACK_TCP_FLAGS   Firewall -A HACK_TCP_FLAGS -p tcp --tcp-option 64 \            -m limit --limit 5/minute \            -j LOG --log-level $LOGLEVEL --log-prefix "Bogus_TCP_FLAG_64"   Firewall -A HACK_TCP_FLAGS -p tcp --tcp-option 64 -j ${DROP}   Firewall -A HACK_TCP_FLAGS -p tcp --tcp-option 128 \            -m limit --limit 5/minute \            -j LOG --log-level $LOGLEVEL --log-prefix "Bogus_TCP_FLAG_128"   Firewall -A HACK_TCP_FLAGS -p tcp --tcp-option 128 -j ${DROP}#   Firewall -A HACK_TCP_FLAGS -p tcp --tcp-option \! 2 \#            -m limit --limit 5/minute \#            -j LOG --log-level $LOGLEVEL --log-prefix "Bogus_TCP_FLAG_Diferente_de_2"#   Firewall -A HACK_TCP_FLAGS -p tcp --tcp-option \! 2 -j ${DROP}   Firewall -A HACK -j HACK_TCP_FLAGS}function Hack_BackDoors () {   Chain_Novo BACKDOORS   Firewall -A BACKDOORS -p tcp --dport 9704 -m limit --limit 5/minute \            -j LOG --log-level $LOGLEVEL --log-prefix 'rpc.statd(9704)_Shell:'   Firewall -A BACKDOORS -p tcp --dport 9704 -j ${DROP}   Firewall -A BACKDOORS -p tcp --sport 9704 -m limit --limit 5/minute \            -j LOG --log-level $LOGLEVEL --log-prefix 'rpc.statd(9704)_Shell:'   Firewall -A BACKDOORS -p tcp --sport 9704 -j ${DROP}   Firewall -A BACKDOORS -p tcp --dport 20034 -m limit --limit 5/minute \            -j LOG --log-level $LOGLEVEL --log-prefix "NetBus_Pro:"   Firewall -A BACKDOORS -p tcp --dport 20034 -j ${DROP}   Firewall -A BACKDOORS -p tcp --dport 12345:12346 -m limit --limit 5/minute \            -j LOG --log-level $LOGLEVEL --log-prefix "NetBus:"   Firewall -A BACKDOORS -p tcp --dport 12345:12346 -j ${DROP}   Firewall -A BACKDOORS -p tcp --sport 27665 -m limit --limit 5/minute \            -j LOG --log-level $LOGLEVEL --log-prefix "Trinoo:"   Firewall -A BACKDOORS -p tcp --dport 27665 -m limit --limit 5/minute \            -j LOG --log-level $LOGLEVEL --log-prefix "Trinoo:"   Firewall -A BACKDOORS -p tcp --sport 27665 -j ${DROP}   Firewall -A BACKDOORS -p tcp --dport 27665 -j ${DROP}   Firewall -A BACKDOORS -p udp --sport 27444 -m limit --limit 5/minute \            -j LOG --log-level $LOGLEVEL --log-prefix "Trinoo:"   Firewall -A BACKDOORS -p udp --dport 27444 -m limit --limit 5/minute \            -j LOG --log-level $LOGLEVEL --log-prefix "Trinoo:"   Firewall -A BACKDOORS -p udp --sport 27444 -j ${DROP}   Firewall -A BACKDOORS -p udp --dport 27444 -j ${DROP}   Firewall -A BACKDOORS -p udp --sport 31335 -m limit --limit 5/minute \            -j LOG --log-level $LOGLEVEL --log-prefix "Trinoo:"   Firewall -A BACKDOORS -p udp --dport 31335 -m limit --limit 5/minute \            -j LOG --log-level $LOGLEVEL --log-prefix "Trinoo:"   Firewall -A BACKDOORS -p udp --sport 31335 -j ${DROP}   Firewall -A BACKDOORS -p udp --dport 31335 -j ${DROP}   Firewall -A BACKDOORS -p tcp --dport 31337 -m limit --limit 5/minute \           -j LOG --log-level $LOGLEVEL --log-prefix "BackOrifice-TCP:"   Firewall -A BACKDOORS -p udp --dport 31337 -m limit --limit 5/minute \           -j LOG --log-level $LOGLEVEL --log-prefix "BackOrifice-UDP:"   Firewall -A BACKDOORS -p tcp --sport 31337 -m limit --limit 5/minute \            -j LOG --log-level $LOGLEVEL --log-prefix "BackOrifice-TCP:"   Firewall -A BACKDOORS -p udp --sport 31337 -m limit --limit 5/minute \            -j LOG --log-level $LOGLEVEL --log-prefix "BackOrifice-UDP:"   Firewall -A BACKDOORS -p tcp --dport 31337 -j ${DROP}   Firewall -A BACKDOORS -p udp --dport 31337 -j ${DROP}   Firewall -A BACKDOORS -p tcp --sport 31337 -j ${DROP}   Firewall -A BACKDOORS -p udp --sport 31337 -j ${DROP}   Firewall -A HACK -j BACKDOORS}function Hack_Redes_Reservadas () {   Chain_Novo HACK_REDES_RESERVADAS   Chain_Novo REDES_RESERVADAS_ORIGEM   Chain_Novo REDES_RESERVADAS_DESTINO   REDES="10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 224.0.0.0/3"   for REDE in ${REDES}; do      Firewall -A REDES_RESERVADAS_ORIGEM -s ${REDE} \               -m limit --limit 5/minute \               -j LOG --log-level $LOGLEVEL --log-prefix "REDES_RESERVADAS_ORIGEM:"      Firewall -A REDES_RESERVADAS_ORIGEM -s ${REDE} -j ${DROP}      Firewall -A REDES_RESERVADAS_DESTINO -d ${REDE} \               -m limit --limit 5/minute \               -j LOG --log-level $LOGLEVEL --log-prefix "REDES_RESERVADAS_DESTINO:"      Firewall -A REDES_RESERVADAS_DESTINO -d ${REDE} -j ${DROP}   done   REDES="0.0.0.0/8 1.0.0.0/8 2.0.0.0/8 5.0.0.0/8 7.0.0.0/8 23.0.0.0/8 \          27.0.0.0/8 31.0.0.0/8 36.0.0.0/8 37.0.0.0/8 39.0.0.0/8 \          41.0.0.0/8 42.0.0.0/8 49.0.0.0/8 50.0.0.0/8 58.0.0.0/7 \          60.0.0.0/8 67.0.0.0/8 68.0.0.0/6 72.0.0.0/5 80.0.0.0/4 \          96.0.0.0/3 127.0.0.0/8 169.254.0.0/16 192.0.2.0/24 \          197.0.0.0/8 218.0.0.0/7 220.0.0.0/6"    for REDE in ${REDES}; do        Firewall -A REDES_RESERVADAS_ORIGEM  -s ${REDE} -j ${DROP}        Firewall -A REDES_RESERVADAS_DESTINO -d ${REDE} -j ${DROP}    done    Firewall -A HACK_REDES_RESERVADAS -j REDES_RESERVADAS_ORIGEM    Firewall -A HACK_REDES_RESERVADAS -j REDES_RESERVADAS_DESTINO   Firewall -A CHAIN_FINAL -j HACK_REDES_RESERVADAS}function Firewall_Hack () {   [ ${HACK} -ne 1 ] && return   Chain_Novo HACK   [ ${HACK_NMAP}             -eq 1 ] && Hack_NMAP   [ ${HACK_TCP_FLAGS}        -eq 1 ] && Hack_TCP_Flags   [ ${HACK_BACKDOORS}        -eq 1 ] && Hack_BackDoors   [ ${HACK_REDES_RESERVADAS} -eq 1 ] && Hack_Redes_Reservadas   Firewall -A CHAIN_INICIAL -j HACK}

Mateus H. Simon
Depto. Informática
Seja Livre, Use Linux
San Marino Neobus.
---------------------------------
________________________________________________________
Lista seguranca
seguranca@distro2.conectiva.com.br
http://distro2.conectiva.com.br/mailman/listinfo/seguranca