Pessoal, bora lá testar as firewalls.
A maioria de nossos computadores são apenas clientes de Internet, isso quer dizer que o nosso Pc estabelece ligação com as máquinas servidoras mas não se comporta como um servidor, o nosso Pc liga-se a outros lados, mas os outros lados não se ligam ao nosso.
Para quem tem uma máquina servidora, gerir a sua segurança contra invasões é complicado já que não podem defender-se como uma máquina cliente pode, se o fizessem, a sua máquina deixava de servir aos outros, então recorrem a truques para evitar que os "outros" sirvam-se demais do que é suposto servirem-se, e manteem constante vigilancia sobre os relatórios de quem fez o quê, para detetarem possiveis intrusões. Frequentemente leio gestores de servidores postarem relatórios de invasão e pedirem ajuda a como eliminar uma falha... Gerir esta segurança num servidor é complicado.
Mas se a sua máquina é apenas um cliente de Internet, como a maioria dos utilizadores caseiros, há uma regra simples que faz toda a diferença:
Todas as tentativas de ligação pedidas a partir do exterior (Internet) devem ser ignoradas!
Ignorar a ligação é muito melhor que rejeitar a ligação, porque ao rejeitar a ligação, do outro lado fica-se a saber que existe uma máquina a responder naquele endereço, enquanto ao ignorar a ligação, do outro lado é como se nem existisse uma máquina no endereço, não há qualquer tipo de resposta. E isto é conseguido com a Firewall. Mas este tipo de comportamento não pode ser verificado no vosso Pc, tem que ser verificado por uma outra máquina que tente aceder ao vosso Pc.
A vossa firewall está a ignorar as ligações de entrada? Testem isso no "Levantem Escudos".
"Your internet connection has no reverse DNS".
Continuem no botão "proceed" que chegarão a uma parte onde estão vários testes a fazer e entre eles "Common Ports" e "All Service Ports", estes testes irão efectuar tentativas de ligação ao vosso Pc recorrendo porta a porta e dará o resultado no final... vejam se atingem com ambos testes o nível "Passed" com esta descrição:
""Your system has achieved a perfect "TruStealth" rating. Not a single packet — solicited or otherwise — was received from your system as a result of our security probing tests. Your system ignored and refused to reply to repeated Pings (ICMP Echo Requests). From the standpoint of the passing probes of any hacker, this machine does not exist on the Internet. Some questionable personal security systems expose their users by attempting to "counter-probe the prober", thus revealing themselves. But your system wisely remained silent in every way. Very nice.""
Isto quer dizer que o meu sistema nem pestanejou, manteve-se imóvel como se nem existisse.
E isto quer dizer também que a iptables (a minha firewall) aprovou neste teste...
Se falharem no teste é porque a vossa firewall está mal configurada ou simplesmente não presta.
É claro que se tentarem este teste com uma máquina servidora de Internet, vão falhar redondamente, mas isso é normal e quem tem servidores sabe isso melhor do que eu.
Gostava de ver em comentários os vossos resultados, e caso falhem, digam qual é a firewall que usam e sistema operativo. Bora lá, quero ver todos a participar, especialmente quem usa windows, pois há muitas firewalls para ele e vamos descobrir quais são as melhores.
Abraços
ArameFarpado
26 comentários:
15 julho, 2007 17:11
De momento o meu pc corre, em dual-boot, o Linux Mint e o Windows XP SP2. No Windows a firewall que uso é a versão básica (gratuita) da Zone Alarm, que passou nos testes mencionados no post. Em Linux ainda não consegui configurar a placa wireless, portanto não vou à net e esse problema não se põe ;)
15 julho, 2007 17:19
Este foi o meu resultado:
GRC Port Authority Report created on UTC: 2007-07-15 at 16:18:02
Results from scan of ports: 0-1055
0 Ports Open
2 Ports Closed
1054 Ports Stealth
---------------------
1056 Ports Tested
NO PORTS were found to be OPEN.
Ports found to be CLOSED were: 0, 1
Other than what is listed above, all ports are STEALTH.
TruStealth: FAILED - NOT all tested ports were STEALTH,
- NO unsolicited packets were received,
- A PING REPLY (ICMP Echo) WAS RECEIVED.
15 julho, 2007 17:27
Esse tipo é honesto e já faz esses testes há muito tempo. ele tem várias outras coisas na secção free stuff que também são interessantes.
Penso que foi o primeiro tipo a disponibilizar na internet testes a portas.
o meu deu todo verde: stealth.
Tem intersse para vocês porque estou a a usar um xp apenas com o firewall do xp activado.
E uma coisa chamada winpatrol + spybot activado com o tea timer.
E ele não tenta vender os programas profissionais que tem lá : apenas disponibiliza testes em modo freware + programas livres e depois tem as soluções profissionais.
Ele baseia o negócio dele nessa questão da reputação da fiabilidade dos testes e na interacção com os utilizadores...
Espero que isto tenha ajudado...
15 julho, 2007 17:29
Esqueci-me de dizer que estou a usar o Ubuntu 7.04 com apenas a firewall do router activa
15 julho, 2007 17:36
Bruno, é melhor verificares a firewall do teu router, apesar de ele não estar a permitir uma invasão, ela está a denunciar que existe uma máquina nesse endereço. Não é grave, mas era melhor que todas dessem Stealth
15 julho, 2007 19:41
Eu gostava de fazer uma pergunta,souberem responder. Uma amiga minhafez o teste e deu tudo azul, menos dois que deu vermelho.
Ou seja, é grave.
Isto éo quê: firewall desactivado?
Ou actualizações do windows sem estarem feitas?
(estas foi as duas que me lembrei..)
Ou uma terceira coisa?
se alguém tiver alguma ideia ,agradecia, que é para eu mandar a ideia à senhora que está pânico de perder dados, porque o computador já está ter comportamentos de quem tem la um Trojan que os Antivirus não detectam...
15 julho, 2007 21:21
Pedro...
Os quadrados azuis podem indicar duas coisas, ou a porta está bloqueada por firewall mas em modo que responde que está a rejeitar a ligação denunciando-se, ou não há firewall alguma e simplesmente não está nenhum programa a aceitar ligações nessa porta... como estão tantas a azul eu diria que a 2ª opção é a mais correta.
Eu estive agora a comprovar isso, abri porta 119 (aberta mesmo), mas como não tenho nenhum programa servidor de newsgroups, a ligação não foi completada pois não tenho programa a responder na porta 119.
os quadrados vermelhos são mais graves, pois além dessa porta estar aberta, há também alguém do outro lado a escutar e a aceitar ligações.
leva-me a concluir que esse pc ou não tem firewall ou ela foi comprometida por malware.
é possivel que ela tenha um backdoor instalado, esses normalmente são silenciosos e não provocam estragos visiveis no sistema, em vez disso, baixam as defesas dele e expõem o pc a invasores que possam espiar, roubar informação, usar o pc dela em proveito deles, etc...
o detalhe do antivirus não reconhecer nada pode ter 3 explicações:
1- neste momento não há um unico anti-virus que detecte todas as ameaças.
2- esse malware pode nao ter sido ainda detectado e classificado, pois os malwares silenciosos dificilmente são detectados, pois parecem não modificar nada no sistema.
3- o antivirus pode estar comprometido.
nunca se pode confiar plenamente num antivirus especialmente se ele está instalado num pc contaminado, muito do malware ataca o antivirus também, deixando-o mutilado.
também pode ser simplesmente a firewall desactivada, mas quando fazemos isso no windows, há sempre avisos de perigo.
Esse pc precisa ser revisto, disso não há dúvida. Mas entrarem em pânico é o pior caminho a tomar. eu começava por desligá-lo da net caso não seja simplesmente a firewall desligada.
15 julho, 2007 21:26
""Eu estive agora a comprovar isso, abri porta 119 (aberta mesmo), mas como não tenho nenhum programa servidor de newsgroups, a ligação não foi completada pois não tenho programa a responder na porta 119.""
esqueci de referir que neste teste fui contemplado com um quadradinho azul :)
15 julho, 2007 22:02
Arame farpado: antes de mais obrigado pela resposta.
As portas dela abertas( a vermelho) são a 23 e a 53, que
eu assumi que seriam portas de sistema
( telnet e dhcp, julgo).
Eu disse-lhe para ela passar pelo antivir - o antivirus alemão que é um cão de fila como antivirus, mesmo na versão freeware, e pelo trendmicro online, mais spybot.
Ela diz que retirou muito lixo e sentiu o computador mais rápido,mas não o suficiente para uma banda larga de 12 MB clix.
eu aclculei algumas da coisas que me estás a dizer, mas atençãoque eu não ou da area, apenas um curioso, só que no meu caso pessoal como já fui escaldado algumas vezes agora activo uma serie de coisas que é por causa de evitar problemas e tenho os discos particionados
Ela não tem e tem dados que não lhe interessam perder. Além disso por causa do trabalho dela tem que visitar sites de países de leste e por ai, é virus uns atrás dos outros( servias e Albanias etc...)
Mandei-a outra vez,passar os antívirus todos
Chegará (disse-lhe eu)mandar instalar uma coisa chamada winpatrol que bloqueia e avisa quais os programas que se ligam à internet ou este tipo de malware fura isso?
E de qualquer maneira , também para mim, obrigado pela informação que o malware ataca antívirus- essa eu próprio não sabia, partia do principio que o antívirus- qualquer fosse resistia a ataques de vírus...estava feito assim.
Ok agora já percebi que não.
se aina puderes ar uma opinião a pergunta de cima agradecia.
e vou avisar a minha amiga que está mesmo com qualquer coisa desagradável lá. Desconfiava, agora,arame farpado confirmei ...
Obrigado pela atenção.
ps:vejo o meu teste todo a verde; surpresa; manda-me ela os resultados do dela com 2 vermelhos e o resto azul, até eu fiquei de boca aberta - aquilo era um queijo cheio de buracos....
15 julho, 2007 22:31
Pedro:
a porta 23 é Telnet, é de alto risco estar aberta dessa maneira, além disso existem mesmo um programa telnet no sistema a aceitar ligações o que torna a coisa ainda mais grave.
a porta 53 é DNS, é médio risco e também não tinha nada que estar aberta... já que ela usa DNS sim mas para consultar nos servidores e ninguém o irá consultar a ela, o facto dela ter um servidor DNS a funcionar pode ser simplesmente porque tem a partilha de internet configurada mesmo sem estar a partilhar internet para mais pc nenhum.
em principio todas as portas daquele pc estarão abertas, apenas estão só dois serviços de servidor a funcionar, ou terias mais vermelhos... mas atenção a um detalhe, o teste só vai até à porta 1056 e as portas são mais de 65000, o teste apenas testa as mais perigosas.
existem muitas outras portas que podem estar a receber ligações e essas é pena não termos onde testar, e muitas dessas portas altas o windows constuma tê-las abertas, por exemplo a msn transmite ficheiros e video pelas portas 6890 a 6900 e é custume o windows tê-las aberta s em modo servidor.
pelo que li de fugida o winpatrol não é uma firewall e era por aí que eu começava a defender o sistema, 1º fechá-lo e depois limpá-lo.
além disso não está em causa quais são os programas que podem comunicar, o que está em causa é que estão a ser aceites ligações vindas do exterior e isso deve ser bloqueado, independentemente de que programa seja.
quanto aos sites manhosos que ela visita, para isso o melhor é usar um bom browser, com java desactivado e sem suporte a activeX... posso avançar a recomendar o mozilla firefox, e nas preferencias dele, autorizem java só nos sites que tenham confiança.
os sites em que não confiam, deixem-nos protestar á vontade.
algum malware ataca anti-virus, não todo. e algum tambem altera defenições da firewall, chegando mesmo a desligá-la.
outra coisa, a velocidade de internet (a 12Mb) não está directamente relacionada com o facto dum pc estar mais lento ou mais rápido...
15 julho, 2007 22:38
Windows XP SP2 com firewall do windows
Apenas queixou-se da porta 445.
15 julho, 2007 22:52
Isto é o que eu tenho sobre a porta 45
mpm 45/tcp Message Processing Module [recv]
mpm 45/udp Message Processing Module [recv]
não sei grande coisa acerca deste protocolo, mas deixo aqui um link para leres e decidires se precisas dela aberta
http://www.auditmypc.com/port/udp-port-45.asp
talvez algum programa que esteja instalado, tenha criado uma regra especial para essa porta. é questão de veres na firewall do xp onde fala em "excepções" e tentar ver mesmo se precisas dessa porta aberta.
cumps
15 julho, 2007 23:01
arame:
ok ,quanto a telnet 23. era o que eu calculava/suspeitava.
na 53 penso que deve ser isso: aquilo estar configurado para partilha e ela nem sequer ter percebido(ela mudou de netcabo há 2 meses para clix.)
quanto as portas eu sei que vão até as 65 mil,mas ela não usa p2p nem nada disso - não sabe como usar.(É o que a safa,que eu uso o btuga e já vi como às vezes se cola - se tenta colar algo às portas do btuga...)
Mas mais uma vez obrigado pela informação do MSN - ela usa o MSN sistematicamente. Eu não uso - aliás- é um pouco estúpido dizer isto mas é verdade eu nunca usei o MSN. Serei normal?
o win patrol é uma espécie de tranca de porta,sem ser firewall.
Avisa quando algo está a ligar-se e não deixa pura e simplesmente algo ligar-se a menos que nós deixemos. É tipo armadura teimosa.
Eu uso, e mandei-lhe o link para ela o tirar.
Mas obrigado pela confirmação; isso significa que eu estava a raciocinar no caminho certo e a pensar em bloquear primeiro aquilo e depois limpar.
sites manhosos:
Arame: o problema é que os sites manhosos, muitas vezes ?? são sites oficiais daquela zona que ela tem que consultar, por causa do trabalho dela, porque ela fala sérvio. (rir... :---)))
Daí o problema.
Eu próprio já tinha percebido pessoalmente que para ali -aquelas zonas(por causa de p2p) e em chineses e russos é uma lotaria...
Ela está a usar o firefox.
e para usar o trend micro online aquilo pede java.
e eu falei na banda larga, porque com 12mb ela estava a carregar paginas de quase 1 MB de tamanho em 3 minutos.
Isto não é nada normal,creio...
Mas, arame, obrigado - isto foi útil.
vou ver se lhe dou umas explicações para se livrar da pestaria.
O pior é que agora estou com problemas de consciência. disse-lhe para instalar java para utilizar o trendmicro e na volta estava a abrir-lhe o sistema..
Ora bolas...
Mas obrigado.Muito obrigado.Até para mim foi esclarecedor...
E não chateio mais...
15 julho, 2007 23:50
pedro:
achas que és anormal por não usares msn?
pois eu tb não uso, então seremos os dois anormais?... :)
com tantos IMs que existem porque razão todos teremos que usar a msn?
um sistema de mensagens que constatemente altera a sua maneira de funcionar, obrigando os utilizadores a actualizarem os seus clientes, só para mais uma vezes desviarem-se dum exploit, não pode ser segura.
em principio se esses sites sérvios e etc, são oficiais, então serão minimamente de confiança, e e era com o firefox que eram visitados, eu não começava já por ai a apontar como causador do problema, até proque o firefoz tem uma defesa que não deixa nenhum site instalar nada sem permissão do utilizador. E eu acho que o utlizador deve ser dono e senhor do seu pc, se isso o levar a cometer erros, então deve-se aprender com esses erros para que não sejam repetidos... é como se diz, para aprender a andar tem que se cair, e não deixa de ser verdade. mas temos que aprender a não cair constantemente, e isso aprende-se com a experiencia...
eu ainda não vi até hoje nenhum utilizador inexperiente não danificar o seu sistema windows, mas isto levava a uma discussão fora deste contexto.
velocidade:
12Mbits/s dá cerca de 1,5Mbytes por segundo. portanto a menos que de onde o ficheiro está a ser puxado seja muito pobre, um download de 1Mb deveria durar 1 segundo ou menos...
eu tenho ligação de 8Mbit/s e faço downloads a 1MByte por segundo quando puxo de bons servidores... 30Mb são cerca de 30segundos a puxar.
esquece os problemas de consciência, o java não abra portas, apenas algum script java manhoso o pode ter feito.
java e activeX são facas de 2 gumes, foram criados para ser úteis, mas houve logo quem os visse como ferramentas para fazer mal, expecialmente o activeX.
sabias que o inventor da dinamite não continuou a aperfeiçoá-la porque viu que estava a ser usada para fazer guerra, onde ele apenas queria ajudar a exploração mineira? e que os 1ºs gajos a dividirem o átomo queriam um fonte de energia potente e não uma bomba atómica?
16 julho, 2007 11:39
arame: em relaçãoao msn eu estva obviamente a gozar, como tu percebeste :-)))))))
quanto aos sites são sites de ong´s e outro tipo de coisas do mesmo estilo mas eles ali estão menos preocupados com segurança segundo julgo saber...
quantoaowindows e utilizadores inexperientes concordo: eu prórpio quando sabia um pouco menos só fazia asneiras- mas à conta delas aprendi a instalar windows, o que quer dizer que já serviram so erros para alguma coisa.
A minha amiga é algo inexperiente e funciona na boa fé de achar que se não entrar por certos sites não acontece nada; o que não é verdade...
É verdade que e coma experiência, mais ainda com um sistema windows que é tão cheio de buracos..
quanto às velocidades eu tinha essa ideia que explicas, mas repara, eu tenho uma ligação à volta ds 2 mb e até agora só trabalhei em sitios com ligações baixas por isso não tenho uma experiencia directa de maior velocidade dai não puder confirmar - mas agora com o teu comentário confirmo.
Mais uma vez obrigado.
quanto ao dinamite e ao átomo por acaso sabia.
Aliás para o Alfred nobel isso foi o pretexto para criar o prémio nobel.
e sei que alguns dos que dividiram oatomo uns 20 anos depois tornaram-se pacifistas e passaram a fazer campanha contra o nuclear isto noas anos 50.
Eu quando disse que estava com problemas de consciencia era por ter começado a pensar que teriam sido as minhas instruções que teriam criado o monstro, mas mais uma vez asseguraste-me que não..
Ok, isso significa que como utilizador mediano pelo menos estou a raciocinar com a lógica certa.
E obrigado pelas palavras de incentivo e pelas explicações confirmações.
Assim quer para dar ajuda à minha amiga, quer para me livrar de problemas eu próprio prevenindo-os isto foi útil como prevenção.
e não te preocupes: eu vejo e leio tudo o que o planet geek faz, logo leio este blog. :-)))
17 julho, 2007 16:54
Bom dia,
Julgo que foi esquecido um pormenor...o uso de NAT. O uso desta ferramenta pode falsear o resultado do teste. No meu caso ele detectou o redirecionamento da porta 80, mas para outra maquina da minha rede interna como se fosse uma falha na minha máquina. A porta 80 dessa máquina esta aberta propositadamente.
Generalizando um pouco (e corrijam se estiver enganado) ao usarem nat podem estar a gerar uma ideia errada de segurança a 100% apesar de isso não se virificar na realidade, ou o contrário em que têm segurança a 100% na vossa máquina e não na rede.
O meu so de eleição é Ubuntu.
17 julho, 2007 18:38
O uso de NAT para rede interna não é detectado pelo teste ou o meu seria detectado também.
Para se ter uma máquina ligada "partilhar a internet" não é preciso ter-se portas abertas a aceitar ligações vindas do exterior, mas apenas do interior da rede caseira... quero dizer, uma máquina que usa NAT (faz de gateway ou router) precisa ter portas abertas a aceitar ligações vindas de fora mas apenas da zona da sua rede caseira, e nunca das outras zonas (internet), além disso a página não pode detectar outras máquinas por detrás da gateway, para ela há apenas uma máquina.
Essa firewall parece estar bem configurada mas não está, falta-lhe ter a zona da rede interna defenida.
por exemplo na minha rede interna uso IPs fixos que são reservados para redes particulares e são eles 192.168.1.x, então na firewall defeni uma zona a que chamei de "rede casa" e na qual defeni estes valores para reconhecimento de zona: 192.168.1.0/255.255.255.0.
então tendo esta zona defenida na firewall, posso criar regras para esta zona diferentes das regras para internet
qualquer ligação vinda de 192.168.1.xxx a firewall sabe que vem da minha rede pessoal e para essa ligação as regras são outras, inclusive tenho abertas portas de protocolos de partilha de ficheiros e impressoras, os quais são perigosos para se usar na internet.
qualquer ligação vinda de outros endereços, então vem da internet e nessas a regra é ignorar tudo.
ao amigo anonimo que usa ubunto:
essas configurações de firewall precisam ser revistas, o que te falta é definir a zona da tua rede caseira para poderes ter regras diferentes nessa zona.
Se for só e apenas para partilha de internet não há absolutamente necessidade de abrir portas a "servir" em nenhuma das máquinas, apenas é preciso fazê-lo quando queremos partilhar coisas entre computadores: o pc que dá algo a partilhar, tem que abrir porta em modo servidor e essa porta depende do que está a ser partilhado e qual serviço está a fazê-lo. Mas essa porta aberta assim é exclusiva para ligações vindas de endereços qua autorizamos, e isto consegue-se definindo zonas na firewall.
depois das zonas definidas, criamos regras separadas para ligações:
internet -> pc local (ignorar tudo)
pc local -> internet (abrir só o necessário)
internet -> rede caseira (ignorar tudo)
rede caseira -> internet (abrir só o necessário)
pc local -> rede caseira (abrir só o necessário para partilhas)
rede caseira -> pc local (abrir só o necessário para partilhas)
Eu uso o Guarddog para gerir a minha firewall e este programa além de ser bastante intuitivo de usar, tem excelentes manuais que explicam como gerir uma firewall inteligentemente.
com apenas uma firewall metida na máquina que faz de gateway, controlo tudo o que se passa dentro da minha rede, à excepção das comunicações entre os outros pc's internos da minha rede, mas isso não me preocupa absolutamente nada.
Abraços
17 julho, 2007 20:21
Peço desculpa pelo anonimato:P, o meu nome é Marco:)
A minha configuração da firewall está assim por minha vontade (pois tenho um servidor http).
A minha intenção (e peço desculpa por não ter conseguido expressar-me) é dizer que esse teste não se aplica quando estamos no interior de uma rede com NAT.
-De seguida apresento o teste efectuado
Dados:
rede interna: 10.0.0.0/24
maquina de testes 10.0.0.99
servidor http 10.0.0.5
portos abertos (pelo menos durante os testes a todas as ligações):
10.0.0.5:22
10.0.0.5:80
10.0.0.99:22
10.0.0.99:23
Firewall: Redirecionamento das conecções *:80 para 10.0.0.5:80
Conclusão:
Após a realização do teste apenas foi detectado que o porto 80 estava aberto no entanto a minha maquina 10.0.0.99 continha os portos 22 e 23 abertos e isso não foi denunciado.
sem mais,
Marco
17 julho, 2007 20:45
Oi marco
""esse teste não se aplica quando estamos no interior de uma rede com NAT.""
se existir outras firewalls no caminho como é costume ou existir rederecionamento de portas, o teste pode nao dar resultados verdadeiros.
""pós a realização do teste apenas foi detectado que o porto 80 estava aberto no entanto a minha maquina 10.0.0.99 continha os portos 22 e 23 abertos e isso não foi denunciado.""
e de certeza que as ports 22 e 23 dessa máquina estão acessíveis desde o exterior (internet)? não haverá outra firewall no caminho?
se estão, acedes a ela do exterior mesmo pela porta 22 e 23 ou usas outra que é redirecionada para essas?
Bom, eu disse no artigo que este teste não é para ser usado em servidores, e se têm servidores com truques como o port-forwarding o mais certo é enganarem o teste.
mas já agora explica-me uma coisa que sempre me fez confusão:
como é que, a partir do exterior, estabeleces ligação directa a uma máquina que está atrás duma gateway e tem ip de rede local? tens que criar uma rota especial para aceder a essa máquina certo?
sempre achei que seria muito mais fácil usar algo como se faz no mail, usando um endereço de destino mais ou menos como isto:
10.0.0.19@223.56.212.100
:) ehehehehe não era mais fixe?
Abraço
18 julho, 2007 00:01
boa noite.
Infelizmente logo na primeira página antes de iniciar o teste, o site disse que a minha ligação tinha "reverse DNS.". que chatice. De resto tudo a 100%, mas também estou atrás de um router com NAT
Agora tenho uma dúvida em relação ao "reverse DNS". segundo o que sei não posso fazer nada em relação a isso visto ser uma limitação/funcionalidade do meu isp, e que por sua vez, penso eu que muda cada vez que estabelecemos nova ligação.
Cumprimentos
18 julho, 2007 01:05
Nelson, o teres reverse DNS não pode ser do teu ISP. E o teu DNS não muda de cada vez que estabeleces ligação, isso acontece é com o IP, o DNS é verificado e normalmente é sempre o mesmo que fica registrado no teu router.
Eu não tenho certezas acerca dessa mensagem... abaixo dessa mensagem no teste, não estava lá mais informação?
no entanto, posso avançar com o que me parece ser lógico:
Isso deve ser o teu router (que tem um serviço reencaminhador DNS) que está a aceitar pedidos vindos de fora e a reencaminhá-los para o servidor DNS do teu ISP, que esse sim é o servidor DNS real que usas. O trabalho do router está correcto, mas devia-se limitar a aceitar pedidos vindos da tua rede interna.
Se o resto está ok, então a tua firewall está bem. verifica só na configuração do router quais as opções que ele tem sobre o servidor DNS interno dele.
Cumprimentos
19 julho, 2007 00:59
Boa noite,
Desde já agradeço o comentário, aramefarpado.
Depois de uma análise mais detalhada verifiquei que o endereço que aparecia tem o seguinte formato bl8-xxx-xxx.dsl.telepac.pt, onde os 'xxx' são os ultimos octetos do meu ip.
Testei se este endereço se alterava com a atribuição de um novo IP. Verifiquei que tal aconteceu, pronto, menos mal.
Em relação ou reverse DNS não há nada a fazer é uma funcionalidade útil qb quando temos o endereço IP de qualquer máquina com endereço publico e pretendemos o nome da mesma. Encontrei uma página na Wikipedia com alguma informação util: http://en.wikipedia.org/wiki/Reverse_DNS_lookup
Depois de ler esta página fiquei curioso se havia alguma maneira de fazer isto no nosso computador e descobri. Num site onde está um tutorial de como se configurar um servidor DNS está lá essa informação de como fazer, o site é o seguinte:
http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch18_:_Configuring_DNS#BIND
já agora ficam já a saber que no linux é simplesmente escrever o comando 'host [IP]' e ele devolve o nome ou 'host [NOME_SERVIDOR]' e ele devolve o IP da máquina pretendida.
Resumindo e concluindo não é uma vulnerabilidade do sistema. O que me deixa um bocado mais preocupado é o facto de com o nosso endereço IP é possível obter uma data de informações, até o nosso paradeiro aproximadamente (Ainda bem, que não é muito certeiro). Um desses sites é o "http://www.ip-adress.com/", onde no meu caso dá um erro de cerca de 40Km, mas já tive noutro que com o mesmo IP obteve um erro 13Km, dá para nos assustar-mos.
Cumprimentos
19 julho, 2007 20:03
""So, to reverse-resolve a known IP address is to look up what the associated domain name is belonging to that IP address.""
Nelson, isto quer dizer que a página de teste, atraves do teu ip conseguiu ler o teu nome de máquina, o hostname, e isso para ser bloqueado tem que ser na tua máquina... a página de teste disse-te qual hostname foi apanhado? eu continuo a dizer que há algo errado com esse router (pode ter sido o hostname dele o apanhado) e apesar de teres o Pc bem protegido, talvez seja possivel aceder ao teu router a partir do exterior, e às configurações dele...
como não tenho prática a invadir aparelhos alheios na internet ;), não te sei dizer mais, sei dizer que eu tenho o bind instalado para servir de servidor dns e o teste dá página não me apanhou "nome" nenhum no meu ip.
apenas te posso garantir que ao teres reverse dns, se alguém sondar o teu ip, isso vai-te denunciar.
""já agora ficam já a saber que no linux é simplesmente escrever o comando 'host [IP]' e ele devolve o nome ou 'host [NOME_SERVIDOR]' e ele devolve o IP da máquina pretendida.""
Só se a máquina sondada permitir isso, porque se ela quiser, nem aos ping responde.
""Um desses sites é o "http://www.ip-adress.com/", onde no meu caso dá um erro de cerca de 40Km""
Isso é porque os nossos ISPs disponibilizam essa informação, talvez sejam obrigados a isso, não sei...
no meu caso deu um erro ainda bastante grande, nem sequer acertando na cidade exacta, mas caindo numa cidade vizinha.
Abraços
23 julho, 2007 03:00
Há tempos queria instalar o firewall, mas devido às circunstâncias só me ocorreu de fazê-lo hoje. O gnome-lokkit não afunciona no meu ubuntu 7.04 e por este motivo instalei o firestarter. Tentei configura algumas coisas, mas sou um zero à esquerda em firewall. Veja só o que o teste dá:
Greetings!
Without your knowledge or explicit permission, the Windows networking technology which connects your computer to the Internet may be offering some or all of your computer's data to the entire world at this very moment!
Caramba! O firewall não está funcionando? E eu não uso o windows! Estou com um modem router com adsl.
Como eu poderia configurar para ter proteção?
Abraços,
Renato
23 julho, 2007 19:46
Renato:
eu não conheço a interface firestarter, se tivesses escolhido o guarddog, podia dar-te indicações mais concretas.
no entanto, mesmo no firestarter deverás ter protocolos e portas para ligar e desligar e deverás ter pelo menos dois sentidos:
--local->internet (sendo a internet o servidor)
--internet->local (sendo o teu pc o servidor)
no sentido em que o teu pc é o servidor deves fechar tudo em modo "drop" ou seja a ignorar pedidos.
no sentido em que a internet é o servidor, então é comum abrir-se tudo, mas o melhor, e para ficares a perceber mais de firewalls e o que elas fazem, é procurares abrir só aquilo que precisas.
não te esqueças de abrir a porta (53) do protocolo DNS, porque esse é crucial para começar.
se tiveres duvidas com algum programa que não comunique e não consigas perceber que porta abrir para ele, pergunta.
abraço
25 julho, 2007 02:20
Ehehehe... Passou a tudo excepto no reverse dns. Vou ver isso agora.
Para passar basta por a policy da tabela input a DROP e depois na tabela output abrir as portas uma a uma para os servicos que queremos!
Não esquecer por um related! :p
Já agora este teste não faz mais o que o nmap faz!
Saudações!
Manifest0
Enviar um comentário