Ir para o conteúdo
HQuintas

Segurança: Firewall ? VPN ?

Mensagens Recomendadas

HQuintas

Boas

 

Tenho algumas dúvidas:

A firewall do windows server 2012 é suficiente segura? (se sim, como melhor a configurar?)

Devo implementar outra (hardware ou software)? (sem anuidades, preferência gratuita)

Tenho um ip fixo, como ligar remotamente a um pc da rede ou as pastas do servidor? (VPN como?)

 

Obrigado

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
apocsantos

Boa tarde,

Respondendo ponto a ponto

Citação

A firewall do windows server 2012 é suficiente segura? (se sim, como melhor a configurar?)

A firewall do Windows Server é relativamente segura, mas repara, se tens um windows server dentro da rede e o vais expor ao exterior, a menos que isso seja realmente necessário, a melhor solução seria não o "expor" ao exterior, e quem precisar de lhe aceder de fora usar uma VPN.

Citação

Devo implementar outra (hardware ou software)? (sem anuidades, preferência gratuita)

Dependendo do uso e da configuração da rede, pode ser boa ideia implementar uma. Conseguem-se boas firewalls de hardware, bastante baratas, no ebay, ou podes sempre pegar numa maquina sem uso, instalar-lhe duas placas de rede, GNU/Linux e configurar uma firewall. Em alternativa, arranjas um router que corra DD-WRT ou OpenWRT e ficas com algumas funcionalidades de firewall interessantes.

Citação

Tenho um ip fixo, como ligar remotamente a um pc da rede ou as pastas do servidor? (VPN como?)

O melhor seria mesmo VPN! Existem umas quantas gratuitas, é escolher uma!

Eu pessoalmente gosto do sofether vpn. Entretanto creio que vá sair na programar um artigo sobre esse software de vpn e respecitvas configurações (cliente e servidor), para os vários sistemas operativos (Windows [cliente, ambos com softether client e windows vpn client, via powershell e servidor], GNU/Linux [cliente e servidor], MacOS [cliente, com recurso a scripts para facilitar a configuração e utilização e servidor], Android e iOS [apenas cliente]). O OpenVPN é mais conhecido, mas honestamente gosto das funcionalidades do sofether, desde a integração com Azure, passando pela compatibilidade, protocolos suportados, etc...

Caso estejas interessado, só faltam alguns dias par a PROGRAMAR sair, mas se tiveres realmente pressa, posso deixar aqui algumas instruções de configuração.

Cordiais cumprimentos,

Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

assinatura.jpg

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
HQuintas

Boa tarde

Muito obrigado, se for 2 ou 3 dias tudo bem, consigo esperar. Senão agradecia umas dicas entretanto, até mesmo para ir me ambientado.

Não percebi bem, como não expor ao exterior? Vou usar uma vpn.

Quanto a firewall tenho uma maquina 32bits sem uso, qual o software que a aconcelhas?

Cumprimentos, 

HQuintas

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
apocsantos

Boa noite,

Serão mais que dois ou 3 dias, a revista sai em Fevereiro, mas posso ir dando algumas dicas cá, até porque estou a escrever o artigo, portanto, não me custa ir dando algumas dicas, sem colocar aqui o texto todo, antes da revista sair.

Expor ao exterior, referia-me ao encaminhamento de portas, no router. Se encaminhares portas, para o servidor, ele fica "exposto", à internet. Passa a ser visível em scans, e afins! Ultimamente têm acontecido uns quantos, seguidos de tentativas de brute-force, mas não vale a pena entrar em pormenores sobre essa matéria! Se usares a VPN, apenas a VPN fica exposta e se estiver bem configurada, não terás grande espinha!

Quanto a montar uma firewall, bem, uma maquina de 32 bits, com duas placas de rede, com GNU/Linux, possivelmente Debian, mas podes escolher outro, Snort, iptables e squidguard. Isto se realmente fores estar a encaminhar portas no router, ou a filtrar o que entra e sai da internet para a tua rede interna, porque se o servidor Windows Server, vai ficar sossegado dentro da rede interna, a firewall do Windows deve ser suficiente, desde que o acesso do exterior seja feito via VPN.

Como tens essa maquina, podes sempre aproveita-la para servir de Servidor de VPN dedicado! :) GNU/Linux + Softether Server!

 

Link para o softether server para GNU/Linux x86 (32bits)

a instalação é praticamente trivial (descarrega-lo com o wget)

wget http://www.softether-download.com/files/softether/v4.25-9656-rtm-2018.01.15-tree/Linux/SoftEther_VPN_Server/32bit_-_Intel_x86/softether-vpnserver-v4.25-9656-rtm-2018.01.15-linux-x86-32bit.tar.gz

Descomprimes o ficheiro

tar xzvf softether-vpnserver-v4.25-9656-rtm-2018.01.15-linux-x86-32bit.tar.gz

Depois entras na directoria vpn e instalas

cd vpn
./install.sh

Depois é preciso responder às perguntas, e pronto, primeira parte, feita!

Segunda parte:

Moves o vpnserver para /usr/local

cd ..
mv vpnserver /usr/local
cd /usr/local/vpnserver/

Alteras as permissões

chmod 600 *
chmod 700 vpnserver
chmod 700 vpncmd

Crias o ficheiro vpnserver e editas:

touch /etc/init.d/vpnserver
nano /etc/init.d/vpnserver

No interior do ficheiro colocas o seguinte:

#!/bin/sh
# chkconfig: 2345 99 01
# description: SoftEther VPN Server
DAEMON=/usr/local/vpnserver/vpnserver
LOCK=/var/lock/subsys/vpnserver
test -x $DAEMON || exit 0
case "$1" in
start)
$DAEMON start
touch $LOCK
;;
stop)
$DAEMON stop
rm $LOCK
;;
restart)
$DAEMON stop
sleep 3
$DAEMON start
;;
*)
echo "Usage: $0 {start|stop|restart}"
exit 1
esac
exit 0

Caso a directoria /var/lock/subsys não exista, cria-la:

mkdir /var/lock/subsys

Altera as permissões ao vpnserver

chmod 755 /etc/init.d/vpnserver && /etc/init.d/vpnserver start

E coloca-o a correr no arranque:

update-rc.d vpnserver defaults

e bora testar:

cd /usr/local/vpnserver
./vpncmd

Escolhe a opção 3

e digita:

check

Agora configuras a pass de administrador:

./vpncmd

Opção 1 e digita:

ServerPasswordSet

Feito tudo isto, crias um hub virtual:

./vpncmd

Opção 3

HubCreate VPN

Depois seleccionas o hub que crias-te:

Hub VPN

e depois activa-se o secureNat:

SecureNatEnable

O resto da configuração e criação de users podes fazer com o Softether manager, que te facilita a vida, mas se precisares de ajuda diz!

Cordiais cumprimentos,
Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

assinatura.jpg

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
HQuintas

Após luta com o linux e com a máquina e a excelente ajuda do artigo, consegui por a funcionar a vpn.

Apesar de ter que saltar alguns passos, como:
 

Citação

 

sudo apt-get update && apt-get upgrade

sudo apt-get install build-essential

sudo apt-get install libc

sudo apt-get install libgcrypt11-dev zlib1g-dev

sudo apt-get install libssl-dev

sudo apt-get install openssl

sudo apt-get install libreadline6 libreadline6-dev

sudo apt-get install libncurses5-dev libncursesw5-dev

 

Em diz que não encontra o pacote. Prossegui em frente. E com as dicas do amigo António Santos configurei a vpn sem mexer no router, com endereço DDNS (Azure). E o artigo deste site https://pipplware.pplware.pt/tutorial-vpn-l2tp-sobre-ipsec-com-o-softether-pplware/  também ajudou um pouco.

Portanto eliminei as restantes portas e só deixei a  tcp 443. Vou explorar mais as configurações.

Agora a questão da firewall. É melhor usar uma. Qual será a melhor? Pensei usar a mesma máquina para instalar uma...também já pensei em mudar a vpn para um raspberry porque fica mais económico. Ou como já citado arranjar um router que corra DD-WRT ou OpenWRT.

O que me dizem?

 

Obrigado

 

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
HQuintas

Mais um problema, a velocidade de transferência +- 60 KB/Seg (para copiar um ficheiro de 3 MB entre as máquinas demora bastante tempo)

(a velocidade da internet está boa nas duas máquinas)

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
apocsantos

Boa tarde,

Essa velocidade, de 60kbps, é na LAN ou usando a VPN ?

Cordiais cumprimentos,
Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

assinatura.jpg

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
apocsantos

Boa tarde,

Vê no "Security Policies" se tens o "Upload Bandwidth policy" e "Download bandwidth policy", definidos, para alguma velocidade. Por default ele não tem nenhum valor, mas caso o tenhas definido altera para 4,294,967,295 bps (4Gbps) que é o máximo.

Cordiais cumprimentos,
Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

assinatura.jpg

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
HQuintas

Não tenho nenhum valor definido. (também tenho a Security Policy desactivado)

Cumprimentos,

Helder

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
apocsantos

Boa tarde,

Só por curiosidade, o ISP é Meo ??? Se for, não percas tempo, anda mais gente a queixar-se que com a Meo isto acontece, mas o apoio a cliente nega qualquer trafic shaping, portanto, "lixou-se"!

Cordiais cumprimentos,
Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

assinatura.jpg

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
apocsantos

Boa tarde,

Ainda não tive oportunidade de testar algumas hipóteses para "contornar" essa questão, apesar de tanto quanto consegui até agora perceber, essa pratica consistir numa violação do contracto por parte da MEO, eles vão sempre negar que o estejam a fazer.

Uma hipótese que ainda não testei, porque recuso-me terminantemente a ser cliente da MEO, passaria por forçar todo o tráfego da VPN a usar a porta 443 protocolo TCP. Assim, em tese o operador teria mais algumas dificuldades em fazer "Bandwith Throttling", sem prejudicar o uso da internet no seu todo!

Assim, e "em teoria", pois como disse não tive oportunidade de testar, podes ir ao VPN Server Manager, em "Management of Listners" e podes parar todas as portas excepto a 443 (TCP 443), para o virtual hub que estás a utilizar. No cliente fazes igual, alteras a configuração para usar apenas a porta 443.

Se testares e resultar, avisa, pois como disse, não sou cliente Meo, e ainda não tive oportunidade de testar.

Cordiais cumprimentos,
Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

assinatura.jpg

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites
apocsantos

Boa tarde,

Já reparei que mais gente se queixa do "trafic shapping" da meo, incluindo na porta 443, sempre que essa porta é encaminhada no router.

Por curiosidade, fico a pensar se estarão a filtrar ao nível da porta, situação me que eu simplesmente trocaria de portas, para contornar esse medida, ou se estão a fazer um outro tipo de filtro, situação que teria de ver com mais atenção e pormenor.

Cordiais cumprimentos,
Apocsantos


"A paciência é uma das coisas que se aprendeu na era do 48k" O respeito é como a escrita de código, uma vez perdido, dificilmente se retoma o habito"

assinatura.jpg

Partilhar esta mensagem


Ligação para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!

Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.

Entrar Agora

×

Aviso Sobre Cookies

Ao usar este site você aceita os nossos Termos de Uso e Política de Privacidade. Este site usa cookies para disponibilizar funcionalidades personalizadas. Para mais informações visite esta página.