Instalando firewall no linux de modo fácil

Antonio Carlos V. da Silva (acvsilva_AT_terra.com.br) nos enviou:
Um firewall hoje é essencial para navegar com segurança na Internet e sua presença independe do sistema operacional que se usa. Assim, o usuário de linux não deve desprezar esta ferramente poderosa e cada vez mais fácil de usar. Vamos explicar uma configuração básica para um firewall doméstico usando um excelente programa gráfico chamado "guarddog". Ele funciona alterando as configurações do iptables e com alguns cliques você já o terá operando.

Sem dúvida um ferramenta que merece a nossa atenção pela facilidade e velocidade.

Instalando firewall no linux de modo fácil

Por Antonio Carlos V. da Silva - acvsilva_AT_terra.com.br
Testado no Red Hat 9.0, Mandrake 9.1 e 9.2, Slackware, Fedora Core 1

Um firewall hoje é essencial para navegar com segurança na Internet e sua presença independe do sistema operacional que se usa.
Assim, o usuário de linux não deve desprezar esta ferramente poderosa e cada vez mais fácil de usar.
Se "outrora" configurá-lo necessitava da pessoa enfiar a cara por dias a fio em tutoriais sobre iptables, rede, envio os pacotes etc, "hoje" pode-se fazer um bom serviço apenas observando-se as interfaces gráficas cada vez mais explicativas: o ideal para quem não quer ser "expert" e deseja apenas navegar na internet como outro mortal qualquer. ;-))
Vamos explicar uma configuração básica para um firewall doméstico usando um excelente programa gráfico chamado "guarddog".
Ele funciona alterando as configurações do iptables e com alguns cliques você já o terá operando.
O único senão que vejo é que ele é exclusivo para o ambiente gráfico KDE.

INSTALANDO

1) Vá em www.simonzone.com, clique em "guarddog" e baixe o binário para sua distribuição (rpm para mandrake, red hat e que também funciona no fedora); para slack, terá de procurar na internet e o google é uma boa partida.
2) Você terá de satisfazer as dependências que o programa exigir se for compilá-lo a partir do tar.gz
3) A instalação não tem mistério. Clique sobre o executável ou então #rpm -ivh nome_do_pacote... ;-))

CONFIGURANDO

1) Como root, vá no menu iniciar do KDE > configurações (ou configurações do sistema) e clique no ícone do programa; ou então digite #guarddog.

2) Da primeira vez, aparecerá um aviso em inglês dizendo que o firewall não encontrou o arquivo de configuração rc.firewall em /etc. Dê "ok" e parta diretamente para a configuração.

3) Aparecerá uma interface como a da figura abaixo:

(c) www.guiadohardware.net

4) Observe que à esquerda existe o "Defined Network Zones": internet e local. Elas é que serão configuradas.

5) Clique na aba "protocol" > internet e a seguir vejas todos os protocolos disponíveis: chat, data serve, file transfer, interective session etc. Deverá analisar cada um deles.

6) Abra o protocolo "chat" e encontrará as regras para os protoclos de comunicação que usam diversos programas para comunicação.
Selecione apenas o que você usa (por ex.: ICQ) segundo o guia logo baixo para "protocol is blocked", "protocol is permitted" e "protocol is rejected".
Os que tiverem selecionados como "blocked" ou "rejected" não passarão pelo firewall.

7) A regra acima vale para todos os protocolos e aqui vai a configuração mínima para você poder navegar na Internet num desktop sem
rede:

a) chat - escolha de acordocom sua preferência;
b) data serve - CDDB
c) file transfer - FTP,HTTP
d) game - o que quizer jogar via internet, se tiver
e) mail - pop3, smtp
f) network - DNS, ident/auth

8) Clique em "apply", "ok" em uma janela que mostrará a configuração do iptables e depois "ok" para fechar o programa. Pronto, seu firewall está funcionando e seu pc conta com uma proteção a mais.

CONCLUINDO

Você pode criar outras zonas com endereços especificados por domínios ou o DNS. Máscaras de rede seguem o padrão da configuração da própria rede.
Na aba "advanced" você pode acrescentar quantos protocolos quiser com a respectiva porta, clicando em "new protocol". Servidor DHCP também é configurado nesta aba.

Não se esqueça que o guarddog parte de ação de "negar tudo" e libera apenas o que o usuário permite. Assim, o que não foi explicitamente liberado não vai passar por ele.

COMPLEMENTANDO (1)

Você pode complementar a segurança do seu linux adicionando as regras abaixo no arquivo /etc/rc.d/rc.local:

echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo 1 > /proc/sys/net/ipv4/icmp_ignore_all

for i in /proc/sys/net/ipv4/conf/*; do
echo 0 > $i/accept_redirects
echo 0 > $i/accept_source_route
echo 1 > $i/log_martians
echo 1 > $i/rp_filter;
done

onde:

a) icmp_echo_ignore_all e icmp_echo_ignore_broadcasts - esse arquivo é responsável por rejeitar todas as requisições de ICMP ECHO, ou apenas aquelas destinadas a endereços broadcasting ou multicasting;

b) icmp_ignore_bogus_error_responses - esse arquivo é responsável por ignorar mensagens falsas de icmp_error_responses;

c) tpc_syncookies - é importante ativar essa opção evitando ataques como 'syn flood atack';

d) conf/accept_redirects - essa opção decide se o kernel aceita redirecionar mensagens ICMP ou não;

e) conf/accept_source_route - essa opção permite estabelecer o caminho que um pacote segue ate chegar a seu destino, e conseqüentemente o caminho de volta desse pacote. Ativar essa opção abre chances para que um cracker realize ataques do tipo IP Spoofing

f) conf/*/log_martians - permite que pacotes de origem suspeita ou desconhecida (como pacotes forjados) sejam logados pelo próprio kernel.

g) conf/*/rp_filter - verifica o Endereço de Origem do Pacote, prevenindo a sua maquina de ataques como 'IP Spoofing'.

OBS: (1) fonte - http://www.comlinux.com.br/docs/dicas/antiataque.shtml

Salve o arquivo e, como root, vá para /etc/rc.d e execute:

# ./rc.local

Execute agora:

# sysctl -a

e veja se as regras que você configrou acima foram alteradas. Veja exemplo abaixo (é um recorte, o arquivo original é bem maior):

net.ipv4.conf.lo.log_martians = 1
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_echo_ignore_all = 1

Para saber se o iptables está carregado e protegendo seu pc, digite:

# lsmod

e se aparecerem os módulos abaixo está tudo ok:

Module Size Used by Tainted: P
ipt_state 1080 18 (autoclean)
ipt_REJECT 4344 4 (autoclean)
ipt_limit 1560 6 (autoclean)
ipt_LOG 4248 6 (autoclean)
ip_conntrack_ftp 5168 0 (unused)
ip_conntrack 28840 2 [ipt_state ip_conntrack_ftp]
iptable_filter 2444 1 (autoclean)
ip_tables 15264 5 [ipt_state ipt_REJECT ipt_limit ipt_LOG iptable_filter]

TESTANDO

Vamos agora fazer um pequeno teste para sabermos se estamos "invisíveis" na internet. Lembre-se: não se pode atacar o que não se pode ver"...

1) Vá para o endereço: http://www.grc.com/default.htm
2) Clique em "ShieldsUP"
3) Clique em "proceed" e "continuar"
4) Clique em "all service ports"
5) As portas até 1024 serão testadas e se o resultado final for um "PASSED" em verde, seu pc não responde a pacotes icmp e, portanto, tem uma segurança a mais na navegação... ;-))

Autor: Antonio Carlos V. da Silva
Email: acvsilva_AT_terra.com.br