DIANA MARTINS

Neste módulo falámos essencialmente sobre a configuração de uma firewall e a sua importância na segurança de uma rede, este software permite definir regras, filtrar pacotes, analisar tráfego e negar acessos a determinadas portas.
Utilizámos uma máquina previamente criada com o pfSense, acedemos via web e efectuamos login no pfSense e no separador refente ao firewall editamos o campo rules, aqui podemos definir as nossas regras, ou seja podemos escolher qual a interface que pretendemos atribuir caso o nosso servidor tenha mais do que uma placa de rede.
Adicionámos uma regra que fechasse todas as portas menos a porta SSH (22), esta regra é adicionada na interface WAN. Através do comando nmap seguido do ip é possível comprovar quais as portas abertas e se a regra que atribuímos foi bem implementada. Nesta regra definimos também que só um determinado ip, definido por nós no campo source, tivesse acesso à porta ssh e realizámos diversas experiencias entre colegas.
Depois instalamos o port knocking, este serviço permite ter as portas fechadas e só abrir a porta configurada depois de uma sequência de números de portas.
Configurámos o ficheiro knockd.conf situado na pasta /etc e alterámos de maneira a que a regra fosse lida em primeiro:

​

command = /sbin/iptables -I INPUT 1 -s %IP% -p tcp --dport 22 -j
ACCEPT

​

Definimos também qual a sequência que pretendemos utilizar para abrir determinada porta durante um determinado espaço de tempo,

​

[SSH]
sequence = 7000,8000,9000
seq_timeout = 5
tcpflags = syn
start_command = /sbin/iptables -I INPUT 1 -s %IP% -p tcp --dport 22 –j
ACCEPT
cmd_timeout = 30
stop_command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 –j
ACCEPT

​

No ficheiro ‘/etc/default/knockd’ definimos uma regra para que o serviço iniciasse automaticamente no arranque do sistema e definimos também qual a interface a utilizar. Para permitirmos todas as ligações do interface localhost utilizamos o seguinte comando:

​

sudo iptables -A INPUT -i lo -j ACCEPT

​

Para permitirmos todas as ligações já existentes:

​

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j
ACCEPT

​

Para negarmos todas as ligações que não estejam identificadas:

​

sudo iptables -A INPUT -j DROP

​

Para verificarmos as regras atribuídas usamos o comando:

​

sudo iptables -S

​

Depois instalámos também o ‘iptables-persistent’ para tornar as regras persistentes quando se reinicia a máquina.
Após estas configurações fomos testar o acesso SHH num cliente, este comando serve para abrir a porta configurada e de seguida colocamos as nossas credencias,

​

sudo knock 192.168.137.204 7000 8000 9000
servidor@ip

​

Para finalizar, utilizamos uma firewall que vem no servidor Ubuntu, UFW

Por defeito a firewall vem descativada, então o primeiro passo foi activa-la com o comando: ‘sudo ufw enable’, de seguida usamos o comando ‘sudo iptables –L’ para listar todas as regras da firewall. Para abrirmos a toda a gente a porta 80 utilizamos o seguinte comando ‘sudo ufw allow 80’ e para especificarmos que só um endereço ip tem acesso a porta 80 utiliza-se o comando ‘sudo ufw allow from 192.168.137.175 to any port 80’ e usamos o comando ‘sudo ufw delete allow from 192.168.137.175 to any port 80’ em caso de querermos eliminar a regra que fizemos.(Uncomplicated Firewall), numa outra máquina.

​

​