HQuintas Posted January 24, 2018 at 11:55 AM Report #609079 Posted January 24, 2018 at 11:55 AM Boas Tenho algumas dúvidas: A firewall do windows server 2012 é suficiente segura? (se sim, como melhor a configurar?) Devo implementar outra (hardware ou software)? (sem anuidades, preferência gratuita) Tenho um ip fixo, como ligar remotamente a um pc da rede ou as pastas do servidor? (VPN como?) Obrigado
apocsantos Posted January 24, 2018 at 01:37 PM Report #609082 Posted January 24, 2018 at 01:37 PM Boa tarde, Respondendo ponto a ponto Citação A firewall do windows server 2012 é suficiente segura? (se sim, como melhor a configurar?) A firewall do Windows Server é relativamente segura, mas repara, se tens um windows server dentro da rede e o vais expor ao exterior, a menos que isso seja realmente necessário, a melhor solução seria não o "expor" ao exterior, e quem precisar de lhe aceder de fora usar uma VPN. Citação Devo implementar outra (hardware ou software)? (sem anuidades, preferência gratuita) Dependendo do uso e da configuração da rede, pode ser boa ideia implementar uma. Conseguem-se boas firewalls de hardware, bastante baratas, no ebay, ou podes sempre pegar numa maquina sem uso, instalar-lhe duas placas de rede, GNU/Linux e configurar uma firewall. Em alternativa, arranjas um router que corra DD-WRT ou OpenWRT e ficas com algumas funcionalidades de firewall interessantes. Citação Tenho um ip fixo, como ligar remotamente a um pc da rede ou as pastas do servidor? (VPN como?) O melhor seria mesmo VPN! Existem umas quantas gratuitas, é escolher uma! Eu pessoalmente gosto do sofether vpn. Entretanto creio que vá sair na programar um artigo sobre esse software de vpn e respecitvas configurações (cliente e servidor), para os vários sistemas operativos (Windows [cliente, ambos com softether client e windows vpn client, via powershell e servidor], GNU/Linux [cliente e servidor], MacOS [cliente, com recurso a scripts para facilitar a configuração e utilização e servidor], Android e iOS [apenas cliente]). O OpenVPN é mais conhecido, mas honestamente gosto das funcionalidades do sofether, desde a integração com Azure, passando pela compatibilidade, protocolos suportados, etc... Caso estejas interessado, só faltam alguns dias par a PROGRAMAR sair, mas se tiveres realmente pressa, posso deixar aqui algumas instruções de configuração. Cordiais cumprimentos, Apocsantos "A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"
HQuintas Posted January 24, 2018 at 03:06 PM Author Report #609085 Posted January 24, 2018 at 03:06 PM Boa tarde Muito obrigado, se for 2 ou 3 dias tudo bem, consigo esperar. Senão agradecia umas dicas entretanto, até mesmo para ir me ambientado. Não percebi bem, como não expor ao exterior? Vou usar uma vpn. Quanto a firewall tenho uma maquina 32bits sem uso, qual o software que a aconcelhas? Cumprimentos, HQuintas
apocsantos Posted January 24, 2018 at 09:26 PM Report #609096 Posted January 24, 2018 at 09:26 PM Boa noite, Serão mais que dois ou 3 dias, a revista sai em Fevereiro, mas posso ir dando algumas dicas cá, até porque estou a escrever o artigo, portanto, não me custa ir dando algumas dicas, sem colocar aqui o texto todo, antes da revista sair. Expor ao exterior, referia-me ao encaminhamento de portas, no router. Se encaminhares portas, para o servidor, ele fica "exposto", à internet. Passa a ser visível em scans, e afins! Ultimamente têm acontecido uns quantos, seguidos de tentativas de brute-force, mas não vale a pena entrar em pormenores sobre essa matéria! Se usares a VPN, apenas a VPN fica exposta e se estiver bem configurada, não terás grande espinha! Quanto a montar uma firewall, bem, uma maquina de 32 bits, com duas placas de rede, com GNU/Linux, possivelmente Debian, mas podes escolher outro, Snort, iptables e squidguard. Isto se realmente fores estar a encaminhar portas no router, ou a filtrar o que entra e sai da internet para a tua rede interna, porque se o servidor Windows Server, vai ficar sossegado dentro da rede interna, a firewall do Windows deve ser suficiente, desde que o acesso do exterior seja feito via VPN. Como tens essa maquina, podes sempre aproveita-la para servir de Servidor de VPN dedicado! 🙂 GNU/Linux + Softether Server! Link para o softether server para GNU/Linux x86 (32bits) a instalação é praticamente trivial (descarrega-lo com o wget) wget http://www.softether-download.com/files/softether/v4.25-9656-rtm-2018.01.15-tree/Linux/SoftEther_VPN_Server/32bit_-_Intel_x86/softether-vpnserver-v4.25-9656-rtm-2018.01.15-linux-x86-32bit.tar.gz Descomprimes o ficheiro tar xzvf softether-vpnserver-v4.25-9656-rtm-2018.01.15-linux-x86-32bit.tar.gz Depois entras na directoria vpn e instalas cd vpn ./install.sh Depois é preciso responder às perguntas, e pronto, primeira parte, feita! Segunda parte: Moves o vpnserver para /usr/local cd .. mv vpnserver /usr/local cd /usr/local/vpnserver/ Alteras as permissões chmod 600 * chmod 700 vpnserver chmod 700 vpncmd Crias o ficheiro vpnserver e editas: touch /etc/init.d/vpnserver nano /etc/init.d/vpnserver No interior do ficheiro colocas o seguinte: #!/bin/sh # chkconfig: 2345 99 01 # description: SoftEther VPN Server DAEMON=/usr/local/vpnserver/vpnserver LOCK=/var/lock/subsys/vpnserver test -x $DAEMON || exit 0 case "$1" in start) $DAEMON start touch $LOCK ;; stop) $DAEMON stop rm $LOCK ;; restart) $DAEMON stop sleep 3 $DAEMON start ;; *) echo "Usage: $0 {start|stop|restart}" exit 1 esac exit 0 Caso a directoria /var/lock/subsys não exista, cria-la: mkdir /var/lock/subsys Altera as permissões ao vpnserver chmod 755 /etc/init.d/vpnserver && /etc/init.d/vpnserver start E coloca-o a correr no arranque: update-rc.d vpnserver defaults e bora testar: cd /usr/local/vpnserver ./vpncmd Escolhe a opção 3 e digita: check Agora configuras a pass de administrador: ./vpncmd Opção 1 e digita: ServerPasswordSet Feito tudo isto, crias um hub virtual: ./vpncmd Opção 3 HubCreate VPN Depois seleccionas o hub que crias-te: Hub VPN e depois activa-se o secureNat: SecureNatEnable O resto da configuração e criação de users podes fazer com o Softether manager, que te facilita a vida, mas se precisares de ajuda diz! Cordiais cumprimentos, Apocsantos "A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"
HQuintas Posted March 1, 2018 at 07:11 PM Author Report #609548 Posted March 1, 2018 at 07:11 PM Após luta com o linux e com a máquina e a excelente ajuda do artigo, consegui por a funcionar a vpn. Apesar de ter que saltar alguns passos, como: Citação sudo apt-get update && apt-get upgrade sudo apt-get install build-essential sudo apt-get install libc sudo apt-get install libgcrypt11-dev zlib1g-dev sudo apt-get install libssl-dev sudo apt-get install openssl sudo apt-get install libreadline6 libreadline6-dev sudo apt-get install libncurses5-dev libncursesw5-dev Em diz que não encontra o pacote. Prossegui em frente. E com as dicas do amigo António Santos configurei a vpn sem mexer no router, com endereço DDNS (Azure). E o artigo deste site https://pipplware.pplware.pt/tutorial-vpn-l2tp-sobre-ipsec-com-o-softether-pplware/ também ajudou um pouco. Portanto eliminei as restantes portas e só deixei a tcp 443. Vou explorar mais as configurações. Agora a questão da firewall. É melhor usar uma. Qual será a melhor? Pensei usar a mesma máquina para instalar uma...também já pensei em mudar a vpn para um raspberry porque fica mais económico. Ou como já citado arranjar um router que corra DD-WRT ou OpenWRT. O que me dizem? Obrigado
HQuintas Posted March 2, 2018 at 07:38 AM Author Report #609552 Posted March 2, 2018 at 07:38 AM Mais um problema, a velocidade de transferência +- 60 KB/Seg (para copiar um ficheiro de 3 MB entre as máquinas demora bastante tempo) (a velocidade da internet está boa nas duas máquinas)
apocsantos Posted March 5, 2018 at 07:07 PM Report #609609 Posted March 5, 2018 at 07:07 PM Boa tarde, Essa velocidade, de 60kbps, é na LAN ou usando a VPN ? Cordiais cumprimentos, Apocsantos "A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"
HQuintas Posted March 8, 2018 at 08:32 AM Author Report #609659 Posted March 8, 2018 at 08:32 AM Boas, é usando a vpn.
apocsantos Posted March 8, 2018 at 04:18 PM Report #609676 Posted March 8, 2018 at 04:18 PM Boa tarde, Vê no "Security Policies" se tens o "Upload Bandwidth policy" e "Download bandwidth policy", definidos, para alguma velocidade. Por default ele não tem nenhum valor, mas caso o tenhas definido altera para 4,294,967,295 bps (4Gbps) que é o máximo. Cordiais cumprimentos, Apocsantos "A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"
HQuintas Posted March 9, 2018 at 04:56 PM Author Report #609694 Posted March 9, 2018 at 04:56 PM Não tenho nenhum valor definido. (também tenho a Security Policy desactivado) Cumprimentos, Helder
apocsantos Posted March 9, 2018 at 07:25 PM Report #609699 Posted March 9, 2018 at 07:25 PM Boa tarde, Só por curiosidade, o ISP é Meo ??? Se for, não percas tempo, anda mais gente a queixar-se que com a Meo isto acontece, mas o apoio a cliente nega qualquer trafic shaping, portanto, "lixou-se"! Cordiais cumprimentos, Apocsantos "A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"
HQuintas Posted March 10, 2018 at 07:41 AM Author Report #609702 Posted March 10, 2018 at 07:41 AM Sim é meo. Só mundando de isp!?
apocsantos Posted March 10, 2018 at 01:37 PM Report #609704 Posted March 10, 2018 at 01:37 PM Boa tarde, Ainda não tive oportunidade de testar algumas hipóteses para "contornar" essa questão, apesar de tanto quanto consegui até agora perceber, essa pratica consistir numa violação do contracto por parte da MEO, eles vão sempre negar que o estejam a fazer. Uma hipótese que ainda não testei, porque recuso-me terminantemente a ser cliente da MEO, passaria por forçar todo o tráfego da VPN a usar a porta 443 protocolo TCP. Assim, em tese o operador teria mais algumas dificuldades em fazer "Bandwith Throttling", sem prejudicar o uso da internet no seu todo! Assim, e "em teoria", pois como disse não tive oportunidade de testar, podes ir ao VPN Server Manager, em "Management of Listners" e podes parar todas as portas excepto a 443 (TCP 443), para o virtual hub que estás a utilizar. No cliente fazes igual, alteras a configuração para usar apenas a porta 443. Se testares e resultar, avisa, pois como disse, não sou cliente Meo, e ainda não tive oportunidade de testar. Cordiais cumprimentos, Apocsantos "A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"
HQuintas Posted March 13, 2018 at 01:45 PM Author Report #609760 Posted March 13, 2018 at 01:45 PM Ok, fiz a alteração mas o resultado foi mesmo.
apocsantos Posted March 13, 2018 at 01:59 PM Report #609761 Posted March 13, 2018 at 01:59 PM Boa tarde, Já reparei que mais gente se queixa do "trafic shapping" da meo, incluindo na porta 443, sempre que essa porta é encaminhada no router. Por curiosidade, fico a pensar se estarão a filtrar ao nível da porta, situação me que eu simplesmente trocaria de portas, para contornar esse medida, ou se estão a fazer um outro tipo de filtro, situação que teria de ver com mais atenção e pormenor. Cordiais cumprimentos, Apocsantos "A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now