----- Original Message -----
Sent: Friday, March 03, 2006 3:08
PM
Subject: Re: [Fedora-users-br] VPN -
protegendo a rede interna.
wanderlei wrote:
> Oi gente..
Hau!
> Eu
to pensando em implementar algo mais robusto para quem sabe vender
>
uma ideia em futuros projetos, mas esbarrei com um problema que esta me
> deixando doido..
>
> Vamos imaginar que eu tenha
uma rede formada por alguns servidores
> dedicados com IPs validos,
clientes acessando esses servidores e a
> internet via NAT e esse mesmo
servidor NAT é tb meu servidor de VPN
> (linux). Pra complicar um
pouco mais vamos imaginar que eu tenha um
> firewall fisico entre o
router e a rede interna :)..
>
> A situação atual
(vamos dizer)..
>
> O firewall configuradom, direcionando
todas as requisições para os
> devidos servidores, inclusivo a
autenticação no VPN Server.
>
> O Problema (que naum existe
mais com certeza vai existir)..
>
> O cliente X contrata um
serviço de Colocation e quer ter acesso SSH em
> seu server, mas por
segurança eu naum libero esse acesso direto, faço
> ele logar no
meu VPN Server e ter um IP da minha rede interna, assim ele
> vai ter
acesso ao seu server por SSH sem problema (com algumas
> configurações
mas que naum vem ao caso)..
>
> Porem, assim como ele tem
acesso ao seu server ele tb tem acesso ao
> restante da rede, é esse o
pepino, como fazer para que ele tenha acesso
> somente ao servidor que
é dele e somente na porta que ele desejar seja
> ela qual
for??
>
> A principio pensei em usar um IP FIXO (classo C)
para cada cliente
> pre-configurado no chap e/ou pap, assim eu saberia
qual cliente estaria
> com qual ip e assim com a ajuda do iptables eu
criaria regras de alow e
> deny. mas ai esbarro com outros
problemas.
Configure na VPN para que quando estabelecer a conexao, o
usuário que
conectar receba um IP com máscara 255.255.255.252, e apenas
rotas para a
sua máquina do servidor. Assim o usuário fica preso a esta
sub-rede
virtual criada pela VPN :P
> Pergunto:
>
> Existe, nas configurações do PPTPD algo que restrinja o acesso a uma
ou
> mais maquinas e principalmente, que cada permissão de acesso à
server
> possa ter configurações especificas (serviços)..
PPTPD?
:-)
Isso é muito dependente do programa que você usa para fazer a VPN.
Melhor procurar na documentação do programa que você usa para isso...
Que você não disse qual era :P
Mas mesmo assim, para o que eu falei
acima, se alguem acessa via SSH sua
máquina interna, ela vai ter acesso às
outras pois estará trabalhando na
máquina local. Para resolver isso também
há outra solução, implementar
no servidor local em questão um firewall
iptables que permita o usuário
apenas trabalhar localmente a nível de
rede.
Então uma boa prática de segurança para isso seria:
1.
Restringir a VPN para apenas uma subnet de 2 IPs, exemplo:
192.168.0.1
(servidor) e 192.168.0.2 (cliente). O próximo usuário seria
192.168.0.5
(servidor) e 192.168.0.6 (cliente), e por aí vai. Inclusive
aí você
conseguiria por um cadastro saber quem está conectado ou não,
comparando o
cadastro com o IP associado ao cliente.
2. Como login SSH, criar um
ambiente chroot para que o usuário não tenha
nenhum outro acesso na
máquina, a não ser no diretório que você quiser.
O ambiente chroot deve
conter apenas os binários e executáveis
necessários para o
cliente.
3. Habilitar os limites de processos, arquivos abertos, usos
de memória
e etc para cada usuário (via PAM, limits.conf), assim ele não
conseguirá
executar algo na sua máquina que consuma tudo e faça a máquina
"cair de
joelhos".
4. Utilizar o mecanismo "-m owner" do iptables
(ver manpage dele,
procurar por OWNER) para restringir o usuário para
apenas rodar coisas
localmente, sem acessar nada em outros IPs e
redes.
Claro que isso vai depender muito do seu caso, e restringir um
serviço
de colocation por exemplo não é uma boa idéia :)
Se o
cliente tem total acesso a máquina, então a solução seria comprar
um
switch gerenciável e adicionar VLANs para cada máquina da rede. Bem,
deu pra entender né? Dependendo do caso, as possibilidades podem
ser
infinitas.
> Agradeço ideias.
Qualquer coisa falaí!
:D
> Wanderlei
--
[]'s
Eitch
http://www.devin.com.br/eitch/
"Talk
is cheap. Show me the code." - Linus Torvalds
--
Fedora-users-br
mailing list
Fedora-users-br@redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br