[Fedora-users-br] VPN - protegendo a rede interna.

wanderlei wanderlei em msbnet.com.br
Sex Mar 3 18:59:04 UTC 2006 

ja tinha meio que pensado nisso mas discartei a ideia por achar ela meio boba.. mas vindo de outra pessoa notei que nao era tão boba assim..   

vou montar o projeto usando essa ideia e assim que estiver planejado posto novamente alguma coisa sobre.. 

Valeu  :)


Wanderlei
  ----- Original Message ----- 
  From: Hugo Cisneiros 
  To: Lista de discussão voltada para os usuários brasileiros do Fedora 
  Sent: Friday, March 03, 2006 3:08 PM
  Subject: Re: [Fedora-users-br] VPN - protegendo a rede interna.


  wanderlei wrote:
  > Oi gente.. 

  Hau!

  > Eu to pensando em implementar algo mais robusto para quem sabe vender 
  > uma ideia em futuros projetos, mas esbarrei com um problema que esta me 
  > deixando doido..
  >  
  > Vamos imaginar que eu tenha uma rede formada por alguns servidores 
  > dedicados com IPs validos, clientes acessando esses servidores e a 
  > internet via NAT e esse mesmo servidor NAT é tb meu servidor de VPN 
  > (linux).  Pra complicar um pouco mais vamos imaginar que eu tenha um 
  > firewall fisico entre o router e a rede interna  :)..
  >  
  > A situação atual (vamos dizer)..
  >  
  > O firewall configuradom, direcionando todas as requisições para os 
  > devidos servidores, inclusivo a autenticação no VPN Server.
  >  
  > O Problema (que naum existe mais com certeza vai existir)..
  >  
  > O cliente X contrata um serviço de Colocation e quer ter acesso SSH em 
  > seu server, mas por segurança eu naum libero esse acesso direto,  faço 
  > ele logar no meu VPN Server e ter um IP da minha rede interna, assim ele 
  > vai ter acesso ao seu server por SSH sem problema (com algumas 
  > configurações mas que naum vem ao caso)..
  >  
  > Porem, assim como ele tem acesso ao seu server ele tb tem acesso ao 
  > restante da rede, é esse o pepino, como fazer para que ele tenha acesso 
  > somente ao servidor que é dele e somente na porta que ele desejar seja 
  > ela qual for??
   >
  > A principio pensei em usar um IP FIXO (classo C) para cada cliente 
  > pre-configurado no chap e/ou pap, assim eu saberia qual cliente estaria 
  > com qual ip e assim com a ajuda do iptables eu criaria regras de alow e 
  > deny. mas ai esbarro com outros problemas.

  Configure na VPN para que quando estabelecer a conexao, o usuário que 
  conectar receba um IP com máscara 255.255.255.252, e apenas rotas para a 
  sua máquina do servidor. Assim o usuário fica preso a esta sub-rede 
  virtual criada pela VPN :P

  > Pergunto:
  >  
  > Existe, nas configurações do PPTPD algo que restrinja o acesso a uma ou 
  > mais maquinas e principalmente, que cada permissão de acesso à server 
  > possa ter configurações especificas (serviços)..

  PPTPD? :-)
  Isso é muito dependente do programa que você usa para fazer a VPN. 
  Melhor procurar na documentação do programa que você usa para isso... 
  Que você não disse qual era :P

  Mas mesmo assim, para o que eu falei acima, se alguem acessa via SSH sua 
  máquina interna, ela vai ter acesso às outras pois estará trabalhando na 
  máquina local. Para resolver isso também há outra solução, implementar 
  no servidor local em questão um firewall iptables que permita o usuário 
  apenas trabalhar localmente a nível de rede.

  Então uma boa prática de segurança para isso seria:

  1. Restringir a VPN para apenas uma subnet de 2 IPs, exemplo: 
  192.168.0.1 (servidor) e 192.168.0.2 (cliente). O próximo usuário seria 
  192.168.0.5 (servidor) e 192.168.0.6 (cliente), e por aí vai. Inclusive 
  aí você conseguiria por um cadastro saber quem está conectado ou não, 
  comparando o cadastro com o IP associado ao cliente.

  2. Como login SSH, criar um ambiente chroot para que o usuário não tenha 
  nenhum outro acesso na máquina, a não ser no diretório que você quiser. 
  O ambiente chroot deve conter apenas os binários e executáveis 
  necessários para o cliente.

  3. Habilitar os limites de processos, arquivos abertos, usos de memória 
  e etc para cada usuário (via PAM, limits.conf), assim ele não conseguirá 
  executar algo na sua máquina que consuma tudo e faça a máquina "cair de 
  joelhos".

  4. Utilizar o mecanismo "-m owner" do iptables (ver manpage dele, 
  procurar por OWNER) para restringir o usuário para apenas rodar coisas 
  localmente, sem acessar nada em outros IPs e redes.

  Claro que isso vai depender muito do seu caso, e restringir um serviço 
  de colocation por exemplo não é uma boa idéia :)

  Se o cliente tem total acesso a máquina, então a solução seria comprar 
  um switch gerenciável e adicionar VLANs para cada máquina da rede. Bem, 
    deu pra entender né? Dependendo do caso, as possibilidades podem ser 
  infinitas.

  > Agradeço ideias.

  Qualquer coisa falaí! :D

  > Wanderlei

  -- 
  []'s
  Eitch

  http://www.devin.com.br/eitch/
  "Talk is cheap. Show me the code." - Linus Torvalds

  --
  Fedora-users-br mailing list
  Fedora-users-br em redhat.com
  https://www.redhat.com/mailman/listinfo/fedora-users-br
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://listman.redhat.com/archives/fedora-users-br/attachments/20060303/6351de25/attachment.htm>

Mais detalhes sobre a lista de discussão Fedora-users-br