[TUTORIAL] Firewall seguro no Linux (avançado)

[PSouza]

O que é CSF?

 

CSF é uma sigla para ConfigServer Security & Firewall. 

[alexandre.mbm]

1. Site oficial

2. CSF: O que é, como instalar e configurar

How To Install and Configure Config Server Firewall (CSF) on Ubuntu

[Amanda Santini]

Nenhum produto de segurança que possua código fonte fechado pode ser considerado confiável, e esse é o caso do CSF. Vocês podem olhar a licença dele que diz:

 

3.1 You shall not: 3.1.1 modify, adapt, merge, translate, decompile, disassemble, or reverse engineer the Product, except as permitted by law; or 3.1.2 sell, assign, rent, sub-license, loan, mortgage, charge or otherwise deal in any way in the Product or Documentation or any interest in them except as expressly provided in this Licence.

 

Tradução ao pé-da-letra:

3.1 Você não deve

3.1.1 Modificar, adaptar, unir, traduzir, descompilar, desmontar, ou fazer engenharia reversa no produto, exceto quando permitido por lei; ou

3.1.2 Vender, assinar, alugar, modificar a licença, emprestar, hipotecar, cobrar ou de outra forma fazer acordo de qualquer natureza com o produto ou documentação ou quaisquer taxas neles, exceto quando expressamente providenciado nessa Licença.

 

 

Não sei sobre as práticas de segurança de vocês, mas eu jamais usaria tal ferramenta. Melhor o GUFW mesmo

[PSouza]

Nenhum produto de segurança que possua código fonte fechado pode ser considerado confiável, e esse é o caso do CSF. Vocês podem olhar a licença dele que diz:

 

 

Tradução ao pé-da-letra:

 

Não sei sobre as práticas de segurança de vocês, mas eu jamais usaria tal ferramenta. Melhor o GUFW mesmo

 

Sério? O Windows tem código aberto? E você confia nele?

 

Empresas como UOL Host usam CSF. Será mesmo que não é confiável? 

[Amanda Santini]

Não uso Windows, uso somente software com licença GPL
 

Empresas como UOL Host usam CSF. Será mesmo que não é confiável?

Não importa qual empresa usa, por maior que ela seja. Garanto que essas empresas também usam Windows, mesmo ele tendo backdoor nativo que garante a Microsoft acesso irrestrito aos computadores.

[PSouza]

Não uso Windows, uso somente software com licença GPL

 

Não importa qual empresa usa, por maior que ela seja. Garanto que essas empresas também usam Windows, mesmo ele tendo backdoor nativo que garante a Microsoft acesso irrestrito aos computadores.

 

Seu conceito de confiável está errado. Dizer que algo precisa ter código aberto para ser confiável é no mínimo ridículo. Eu apoio programas Open Source, mas isso não significa que sejam mais confiáveis. A política do CSF apenas não te permite alterar o software, onde deixa de ser confiável? 

[Amanda Santini]

Seu conceito de confiável está errado. Dizer que algo precisa ter código aberto para ser confiável é no mínimo ridículo.

De forma alguma está errado ou é ridículo. Até que se prove o contrário todo programa ClosedSource é suspeito e passível de código malicioso. Não poder ver o código fonte é dar confiança máxima de graça a uma empresa/organização cujo você não conhece por trás dos panos.

 

Dadas as ocasiões históricas onde empresas grandes já implantaram código malicioso (Microsoft, Apple, Google, Sony em 2005, etc), não há porque se confiar em programas de código fechado: ou você confia cegamente (uma prática ignorante, muito parecido com praticas religiosas) ou tem certeza absoluta de que o programa está limpo, após ver o código fonte (método científico).

 

Eu apoio programas Open Source, mas isso não significa que sejam mais confiáveis.

Há 2 conceitos para a palavra confiável:

 

• Você consegue ver que o programa não é malicioso, após examinar seu código
• Você sabe que, mesmo tendo código aberto e limpo, as operações de segurança não são corretamente implementadas.

Logicamente um programa Open-Source pode não ser seguro do ponto de vista "o antivirus ClamAV não detecta tantos virus", mas as operações do programa em relação ao sistema são limpas e transparentes, todos conseguem ver o que o programa faz. E melhor, todos conseguem alterar o código, redistribuir o código original, vender, e vender o código modificado, desde que também obedeça as regras das 4 liberdades GNU.

 

A política do CSF apenas não te permite alterar o software, onde deixa de ser confiável?

Mas ele é OpenSource? Ou o código fonte dele é restrito?

Se for OpenSource então é outros 500, desde que fique comprovado que a compilação do código fonte fornecido pela empresa resulte num mesmo binário fornecido por ela.

[alexandre.mbm]

Eu prefiro software livre e código aberto, a software privativo, mas minha futura mulher, se eu a tiver, espero que tenha fechado pelo menos parte de seu código, o suficiente para eu confiar nela o tanto suficiente para um relacionamento saudável.

 

Se eu precisar ter alguma assinatura privada, quero que assim ela se mantenha. E para isso e somente com isso eu vou confiar nas autoridades certificadoras, que devem manter os nossos segredos a salvo, longe de quem não confiamos.

[Amanda Santini]

Hehehehe

Quanto a assinatura, de qual assinatura você se refere? A feita a mão ou a assinatura do GnuPG?

[alexandre.mbm]

Dadas as ocasiões históricas onde empresas grandes já implantaram código malicioso (Microsoft, Apple, Google, Sony em 2005, etc), não há porque se confiar em programas de código fechado: ou você confia cegamente (uma prática ignorante, muito parecido com praticas religiosas) ou tem certeza absoluta de que o programa está limpo, após ver o código fonte (método científico).

 

Você leu e compreendeu os milhares ou os milhões de linhas de código que fazem sua máquina funcionar neste momento? Você tem feito isso a cada atualização?

 

Não e não. Claro que não. Porque isso é simplesmente impraticável! Você deixa de confiar em empresas que pegaram seu dinheiro mas se obrigaram por contrato, para confiar em indivíduos que você nunca vai conhecer, reunidos numa pessoa chamada "comunidade". Eu faço a mesma coisa, mas não com a mesma ingenuidade. Eu simplesmente faço minha aposta na capacidade do seu humano ser bom, altruísta, generoso.

Quanto a assinatura, de qual assinatura você se refere? A feita a mão ou a assinatura do GnuPG?

 

Chaves criptográficas, token do CPF eletrônico, etc. Sei que tais coisas não são código fonte. Quero apenas fazer notar o seguinte: nós sempre confiamos em alguém, e precisamos disso, em alguma medida; é inerente às relações humanas. Do contrário, não haveria sentido nessa troca de mensagens.

[Amanda Santini]

Você leu e compreendeu os milhares ou os milhões de linhas de código que fazem sua máquina funcionar neste momento? Você tem feito isso a cada atualização?

 

Não e não. Claro que não. Porque isso é simplesmente impraticável!

Eu, pessoalmente, ainda não, mas tenho certeza que é MUITO difícil esconder malware quando o software é FOSS. Se uma receita de bolo for aberta ao público, não há porque tentar esconder um ingrediente venenoso. Mais cedo ou mais tarde alguém vai ler a receita e descobrir "as linhas más", o que nunca pode ser feito em programas de código fechado.

 

Aleḿ do mais, há scripts automatizados que detectam essas coisas no código fonte. Não são perfeitos e nem vão detectar 100% do que pode haver, mas certamente eliminam uma enorme parte do código que foi considerada "limpa", restando somente olhar o resto.

 

É como criar um script que detecte algumas palavras chave contendo os venenos conhecidos: se tiver algum na receita do bolo, ele marca.

 

Você deixa de confiar em empresas que pegaram seu dinheiro mas se obrigaram por contrato, para confiar em indivíduos que você nunca vai conhecer, reunidos numa pessoa chamada "comunidade". Eu faço a mesma coisa, mas não com a mesma ingenuidade. Eu simplesmente faço minha aposta na capacidade do seu humano ser bom, altruísta, generoso.

Mas essa aposta não seria ingenuidade também? Pois se você acha que confiar em software livre é ingenuidade, por que apostar que o ser humano é lindo e maravilhoso quando na verdade não é? Se você não confia 100% em software GPL (nem eu, pra falar a verdade), pode ir olhar o código do programa que você suspeita. Agora faça o mesmo com software de código fechado

 

E convenhamos, contratos não significam nada quando falamos de empresas como Microsoft, Google, Yahoo!, Apple, Sony, etc.

[alexandre.mbm]

Eu, pessoalmente, ainda não, mas tenho certeza que é MUITO difícil esconder malware quando o software é FOSS. Se uma receita de bolo for aberta ao público, não há porque tentar esconder um ingrediente venenoso. Mais cedo ou mais tarde alguém vai ler a receita e descobrir "as linhas más", o que nunca pode ser feito em programas de código fechado.

Você confia.

 

Aleḿ do mais, há scripts automatizados que detectam essas coisas no código fonte. Não são perfeitos e nem vão detectar 100% do que pode haver, mas certamente eliminam uma enorme parte do código que foi considerada "limpa", restando somente olhar o resto.

 

Você confia.

 

Todos nós elegemos em que ou em quem confiar, e confiamos, em maior ou menor medida.

 

Mas essa aposta não seria ingenuidade também? Pois se você acha que confiar em software livre é ingenuidade, por que apostar que o ser humano é lindo e maravilhoso quando na verdade não é? Se você não confia 100% em software GPL (nem eu, pra falar a verdade), pode ir olhar o código do programa que você suspeita. Agora faça o mesmo com software de código fechado

Não, no sentido de que eu a faço com maior consciência do risco. Jogar não é sempre ingenuidade, mas jogar despreparado para o jogo, e pior, sem cogitar a ruína, isso sim é ingenuidade.

 

Eu NUNCA disse que "confiar em software é ingenuidade". Você quis entender assim, ou armar um espantalho. Meu parágrafo acima e afirmação a seguir evidenciam qual é a ingenuidade a que me refiro.

 

Apostar que um homem será lindo e maravilhoso, sem cogitar as grandes chances do contrário acontecer, é ingenuidade. Quando se aposta "realmente disposto a pagar pra ver" nunca se está sendo ingênuo.

[Amanda Santini]

Você confia.

Sim, porque há uma razão para isso. Não é como confiar cegamente em um programa onde somente poucas pessoas tem acesso ao código.

 

Você confia.

 

Todos nós elegemos em que ou em quem confiar, e confiamos, em maior ou menor medida.

Logicamente.

 

Não, no sentido de que a faça com maior consciência do risco. Jogar não é sempre ingenuidade, mas jogar despreparado para o jogo, e pior, sem cogitar a ruína, isso é ingenuidade.

Concordo.

 

Eu NUNCA disse que "confiar em software é ingenuidade". Você quis entender assim, ou armar um espantalho. Meu parágrafo acima e afirmação a seguir evidenciam qual é a ingenuidade a que me refiro.

Apostar que um homem será lindo e maravilhoso, sem cogitar as grandes chances do contrário acontecer, é ingenuidade. Quando se aposta "realmente disposto a pagar pra ver" nunca se está sendo ingênuo.

Sim, pelo que eu entendi você disse que eu deixei de confiar em empresas que possuem produtos com código fechado para confiar em indivíduos que eu nunca vou conhecer, e que você faz isso (só que não inteiramente), só que com menor ingenuidade. Acho que agora entendi melhor. S

 

ó que eu não confio no software GPL com ingenuidade e nem acho que todo software licenciado em GPL é livre de malware. Não foi isso que eu disse

[alexandre.mbm]

Sim, pelo que eu entendi você disse que eu deixei de confiar em empresas que possuem produtos com código fechado para confiar em indivíduos que eu nunca vou conhecer, e que você faz isso (só que não inteiramente), só que com menor ingenuidade. Acho que agora entendi melhor. S

 

ó que eu não confio no software GPL com ingenuidade e nem acho que todo software licenciado em GPL é livre de malware. Não foi isso que eu disse

É mais ou menos isso. Nós estamos suficientemente comunicados. Não vale à pena prosseguir para o detalhamento. Para isso, consigo aceitar sua interpretação. Encerremos.

 

Eu só me declarei não ingênuo (ou "menos ingênuo", como você prefere) tendo em vista que você parecia estar completamente seguro — "por método científico" — de não haver qualquer peça de software indesejada na sua máquina atual.

[Marcos FRM]

Falando em código fonte, para o pessoal que quiser "ver por dentro" o SuSEfirewall2 ou firewalld :

 

https://github.com/openSUSE/susefirewall2

 

https://github.com/t-woerner/firewalld

[Amanda Santini]

@Marcos FRM, muito interessante! Achei que ele teria mais do que 2.500 linhas. Vou analisar as regras que estão lá, tenho certeza que vou aprender muita coisa com aquele código.

[sprUser]

ip tables é bem complicado já usei para fazer outras coisas com maquina virtual

depois de migrar pro linux comecei usando o GUFW até aprender a mexer com

iptables, valeu ai bom post

[bot]

Otimo tópico!!

 

Voltando a discussão sobre segurança, de GPL ou código fechado. Eu tenho uma opinião sobre GPL, vejam se estou pensando errado:

 

O código é aberto, portanto fica muito, mas muito, mais fácil alguem mal intencionado encontrar falhas e se beneficiar delas não? Vejam, não estou dizendo que o código possui malwares ou algo do tipo, apenas que o acesso ao código facilita pessoas mal intencionadas encontrar vulnerabilidades neles.

[Amanda Santini]

Otimo tópico!!

 

Voltando a discussão sobre segurança, de GPL ou código fechado. Eu tenho uma opinião sobre GPL, vejam se estou pensando errado:

 

O código é aberto, portanto fica muito, mas muito, mais fácil alguem mal intencionado encontrar falhas e se beneficiar delas não? Vejam, não estou dizendo que o código possui malwares ou algo do tipo, apenas que o acesso ao código facilita pessoas mal intencionadas encontrar vulnerabilidades neles.

Logicamente que fica mais fácil, mas a vantagem é que há muito mais pessoas "boas" procurando corrigir do que há pessoas "más" tendando se aproveitar. Por isso que mesmo com código aberto temos um dos sistemas mais seguros que existe. Além do mais, não há tantas falhas no código e nem no "design" dos sistemas, como o que acontece no Windows.

[bot]

Logicamente que fica mais fácil, mas a vantagem é que há muito mais pessoas "boas" procurando corrigir do que há pessoas "más" tendando se aproveitar. Por isso que mesmo com código aberto temos um dos sistemas mais seguros que existe. Além do mais, não há tantas falhas no código e nem no "design" dos sistemas, como o que acontece no Windows.

 

Concordo plenamente que sempre há muitas pessoas boas melhorando o código.

 

Agora sobre ter menos falhas de código, ai eu já discordo, como citou o exemplo do Windows te garanto que acham muito mais falhas porque há muito mais gente interessada, inclusive equipes de testes. Os dois sistemas são feitos por pessoas (sujeitas a erros!!). Pior ainda no caso do código aberto que elas nem pagas pra isso são.

 

Faz um evento igual geralmente as grandes empresas fazem, paga 50 mil dólares pra quem achar falha grave num software de código aberto, te garanto que vão achar.

[Amanda Santini]

Concordo plenamente que sempre há muitas pessoas boas melhorando o código.

 

Agora sobre ter menos falhas de código, ai eu já discordo, como citou o exemplo do Windows te garanto que acham muito mais falhas porque há muito mais gente interessada, inclusive equipes de testes. Os dois sistemas são feitos por pessoas (sujeitas a erros!!). Pior ainda no caso do código aberto que elas nem pagas pra isso são.

 

Faz um evento igual geralmente as grandes empresas fazem, paga 50 mil dólares pra quem achar falha grave num software de código aberto, te garanto que vão achar.

Como acham muito mais falhas quando o número de pessoas olhando o código é infinitamente menor?

Quantas pessoas na Microsoft tem acesso ao código fonte? Pouquíssimas. Isso torna a descoberta de vulnerabilidades muito mais lenta e pouco garantida. É como sair pelo Espaço em direção à um planeta que nenhum telescópio consegue ver direito: você sabe que ele é um planeta, mas não sabe se tem água e oxigênio, e você vai ter que torcer muito para que as condições dele sejam favoráveis a vida.

[alexandre.mbm]

O código é aberto, portanto fica muito, mas muito, mais fácil alguem mal intencionado encontrar falhas e se beneficiar delas não? Vejam, não estou dizendo que o código possui malwares ou algo do tipo, apenas que o acesso ao código facilita pessoas mal intencionadas encontrar vulnerabilidades neles.

Pode ser. Mas não assuma "código aberto" = "código sem dispositivos de segurança". Lembremos da criptografia dentro de protocolos.

 

Pior ainda no caso do código aberto que elas nem pagas pra isso são.

Às vezes a motivação é maior do que o dinheiro para o pão do dia; e o produto será algo maior também.

[bot]

Como acham muito mais falhas quando o número de pessoas olhando o código é infinitamente menor?

Quantas pessoas na Microsoft tem acesso ao código fonte? Pouquíssimas. Isso torna a descoberta de vulnerabilidades muito mais lenta e pouco garantida. É como sair pelo Espaço em direção à um planeta que nenhum telescópio consegue ver direito: você sabe que ele é um planeta, mas não sabe se tem água e oxigênio, e você vai ter que torcer muito para que as condições dele sejam favoráveis a vida.

 

Discordo, mas tudo bem cada um com sua opinião.

 

Pode ser. Mas não assuma "código aberto" = "código sem dispositivos de segurança". Lembremos da criptografia dentro de protocolos.

 

Às vezes a motivação é maior do que o dinheiro para o pão do dia; e o produto será algo maior também.

 

Alexandre pode ser que sim, pode ser que não, pra te ser sincero os dois são grandes motivadores.

[Amanda Santini]

Tópico atualizado:
 

• A formatação foi toda refeita. De alguma forma, com esse fórum novo, a formatação foi perdida e tudo estava desorganizado.
• Adicionei regras para OpenPGP, GIT, FLIGHTGEAR, KTORRENT, SVN,  etc.

[Black Fox]

@AmarildoJr  Heeeeeeeeelllllllllllpppppppppppp

 

Linux Manjaro - O firewall não passa no teste do shieldUp - as duas primeiras portas sem dão como fechadas., as restantes dão como stealth. ai dá o resultado como fracassado. todas as portas deveriam ficar como stealth