Aluna: Júlia Frank da Cunha

Hardening em servidor Firewall com os serviços

De SSH e DHCP instalados

Protegendo o SSH

O SSH fornece a o usuário uma conexão com um computador remoto. Como uma
substituição ao Remote Shell (RSH) e ao Telnet, o SSH é comumente utilizado pelos
administradores de sistema para efetuar login em seus servidores a partir de um
computador remoto para executar tarefas de manutenção e administração. Embora o
SSH forneça um nível muito maior de segurança do que os protocolos que substituiu, há
algumas coisas que podem ser feitas para torná-lo mais seguro.

Um dos métodos mais comuns para proteger o SSH é alterar o número da porta que é
utilizada para acessá-lo. A teoria é que um hacker utilizando a porta padrão ou TCP 22
para estabelecer uma conexão terá o acesso negado porque o serviço está em execução
em uma porta segura.
Alterar o número da porta não evita que a porta do SSH seja localizada por um hacker
com um scanner de porta que tenha tempo de varrer todas as portas no servidor; e por
este motivo, muitos administradores de sistema não se dão ao trabalho de alterar a porta.
Mas esta abordagem evita que script kiddies (hackers amadores) ataquem o SSH sem
ferramentas automatizadas dedicadas a localizar portas TCP 22 abertas e hackers
impacientes podem cansar de varrer seu servidor se não localizarem o SSH em execução
no primeiro intervalo de portas que varrerem.

O arquivo de configurações do OpenSSH está localizado em /etc/ssh/sshd_config. É

requerido estar em modo root ou usar sudo para editar e controlar o servidor SSH.

Arquivo de Configuração de Backup

Fazer backup de todos os arquivos antes de editá-los é uma ótima maneira de iniciar a
configuração.

# cp /etc/ssh/sshd_config /etc/ssh/backup.sshd_config

Editando o Arquivo de Configuração

# vi /etc/ssh/sshd_config

Verificando o protocolo
No diretório /etc/ssh/sshd_config, efetuar a verificação da linha que começa
com Protocol. Certificando-se de que esteja configurado para 2 e não 1.

Protocol 2
Desativar Root
Em vez de utilizar login como root, deve-se usar a conexão como usuário com
permissão sudo. Certificando-se de ter o sudo configurado corretamente antes de
continuar. Então, desativando a permissão do root para efetuar login usando o
SSH. Dentro do arquivo de configuração:

PermitRootLogin yes

Mudando para “no”:

PermitRootLogin no

Permissão de usuários
Pode-se limitar os usuários que têm permissão para efetuar login no SSH. E através do
comando AllowUser, somente usuários listados serão permitidos. Todos os outros
serão negados. Digamos que se queira permitir que o usuário aluno efetue login
remotamente por meio do SSH. Será adicionada a linha:

AllowUsers aluno

Obs.: Não esquecendo de adicionar o próprio login de usuário à lista do AllowUser.

Alterando portas
Normalmente, o SSH é executado na porta 22. Em teoria, a maioria dos kiddies de script
são direcionados a essa porta, e alterando-a, pode haver diminuição dos ataques. No
arquivo de configuração:

Port 22

Mudando-a para outra porta disponível, como por exemplo 2222.

Port 2222
Desativar autenticação de senha
Tendo chaves SSH funcionando, pode-se apenas desativar toda a autenticação de senha.

PasswordAuthentication yes

Alterando para “no”.

PasswordAuthentication no

Fail2Ban
Este é um ótimo programa que pode verificar logs e banir temporariamente os IPs com
base em possíveis atividades maliciosas. Requerindo instalar o Fail2ban.

# apt-get install fail2ban

Uma vez instalado, copia-se o arquivo de configuração do fail2ban.

# cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

E após abrir o diretório /etc/fail2ban/jail.local, basta encontrar a linha de

[sshd]. Adicionando enabled = true:

[sshd]
enabled = true
port = ssh
logpath =% (sshd_log) s

Em seguida, reiniciando o fail2ban.

# service fail2ban restart

Requisitos de número de porta para filtros de firewall do DHCP
Quando se configura um filtro de firewall para executar alguma ação em pacotes DHCP
no Mecanismo de Roteamento, como proteger o Mecanismo de Roteamento permitindo
somente pacotes DHCP apropriados, deve-se especificar a porta 67 (bootps) e a porta 68
(bootpc) para a origem e destino. O filtro de firewall atua nas placas de linha e no
mecanismo de roteamento.

Esse requisito se aplica ao servidor local DHCP e ao de transmissão DHCP, mas se aplica
somente quando o DHCP é fornecido pelo processo jdhcpd.
Os pacotes DHCP recebidos nas placas de linha são encapsulados pelo jdhcpd com um
novo cabeçalho UDP, em que seus endereços de origem e de destino são definidos para
a porta 68 antes de serem encaminhados para o mecanismo de roteamento.

Para o DHCP relay e o proxy DHCP, os pacotes enviados ao servidor DHCP pelo roteador
têm as portas UDP de origem e de destino definidas como 67. O servidor DHCP responde
usando as mesmas portas. No entanto, quando a placa de linha recebe esses pacotes de
resposta DHCP, ele altera ambos os números de porta de 67 para 68 antes de passar os
pacotes para o mecanismo de roteamento. Consequentemente, o filtro precisa aceitar a
porta 67 para os pacotes retransmitidos do cliente para o servidor e a porta 68 para os
pacotes retransmitidos do servidor para o cliente.

Não incluir a porta 67 e a porta 68 conforme descrito aqui resulta na maioria dos pacotes
DHCP não sendo aceitos.