<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.3790.0" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2>ja tinha meio que pensado nisso mas discartei a
ideia por achar ela meio boba.. mas vindo de outra pessoa notei que nao era tão
boba assim.. </FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>vou montar o projeto usando essa ideia e assim que
estiver planejado posto novamente alguma coisa sobre.. </FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Valeu :)</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>Wanderlei</FONT></DIV>
<BLOCKQUOTE
style="PADDING-RIGHT: 0px; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 2px solid; MARGIN-RIGHT: 0px">
<DIV style="FONT: 10pt arial">----- Original Message ----- </DIV>
<DIV
style="BACKGROUND: #e4e4e4; FONT: 10pt arial; font-color: black"><B>From:</B>
<A title=hugo@devin.com.br href="mailto:hugo@devin.com.br">Hugo Cisneiros</A>
</DIV>
<DIV style="FONT: 10pt arial"><B>To:</B> <A title=fedora-users-br@redhat.com
href="mailto:fedora-users-br@redhat.com">Lista de discussão voltada para os
usuários brasileiros do Fedora</A> </DIV>
<DIV style="FONT: 10pt arial"><B>Sent:</B> Friday, March 03, 2006 3:08
PM</DIV>
<DIV style="FONT: 10pt arial"><B>Subject:</B> Re: [Fedora-users-br] VPN -
protegendo a rede interna.</DIV>
<DIV><BR></DIV>wanderlei wrote:<BR>> Oi gente.. <BR><BR>Hau!<BR><BR>> Eu
to pensando em implementar algo mais robusto para quem sabe vender <BR>>
uma ideia em futuros projetos, mas esbarrei com um problema que esta me
<BR>> deixando doido..<BR>> <BR>> Vamos imaginar que eu tenha
uma rede formada por alguns servidores <BR>> dedicados com IPs validos,
clientes acessando esses servidores e a <BR>> internet via NAT e esse mesmo
servidor NAT é tb meu servidor de VPN <BR>> (linux). Pra complicar um
pouco mais vamos imaginar que eu tenha um <BR>> firewall fisico entre o
router e a rede interna :)..<BR>> <BR>> A situação atual
(vamos dizer)..<BR>> <BR>> O firewall configuradom, direcionando
todas as requisições para os <BR>> devidos servidores, inclusivo a
autenticação no VPN Server.<BR>> <BR>> O Problema (que naum existe
mais com certeza vai existir)..<BR>> <BR>> O cliente X contrata um
serviço de Colocation e quer ter acesso SSH em <BR>> seu server, mas por
segurança eu naum libero esse acesso direto, faço <BR>> ele logar no
meu VPN Server e ter um IP da minha rede interna, assim ele <BR>> vai ter
acesso ao seu server por SSH sem problema (com algumas <BR>> configurações
mas que naum vem ao caso)..<BR>> <BR>> Porem, assim como ele tem
acesso ao seu server ele tb tem acesso ao <BR>> restante da rede, é esse o
pepino, como fazer para que ele tenha acesso <BR>> somente ao servidor que
é dele e somente na porta que ele desejar seja <BR>> ela qual
for??<BR> ><BR>> A principio pensei em usar um IP FIXO (classo C)
para cada cliente <BR>> pre-configurado no chap e/ou pap, assim eu saberia
qual cliente estaria <BR>> com qual ip e assim com a ajuda do iptables eu
criaria regras de alow e <BR>> deny. mas ai esbarro com outros
problemas.<BR><BR>Configure na VPN para que quando estabelecer a conexao, o
usuário que <BR>conectar receba um IP com máscara 255.255.255.252, e apenas
rotas para a <BR>sua máquina do servidor. Assim o usuário fica preso a esta
sub-rede <BR>virtual criada pela VPN :P<BR><BR>> Pergunto:<BR>>
<BR>> Existe, nas configurações do PPTPD algo que restrinja o acesso a uma
ou <BR>> mais maquinas e principalmente, que cada permissão de acesso à
server <BR>> possa ter configurações especificas (serviços)..<BR><BR>PPTPD?
:-)<BR>Isso é muito dependente do programa que você usa para fazer a VPN.
<BR>Melhor procurar na documentação do programa que você usa para isso...
<BR>Que você não disse qual era :P<BR><BR>Mas mesmo assim, para o que eu falei
acima, se alguem acessa via SSH sua <BR>máquina interna, ela vai ter acesso às
outras pois estará trabalhando na <BR>máquina local. Para resolver isso também
há outra solução, implementar <BR>no servidor local em questão um firewall
iptables que permita o usuário <BR>apenas trabalhar localmente a nível de
rede.<BR><BR>Então uma boa prática de segurança para isso seria:<BR><BR>1.
Restringir a VPN para apenas uma subnet de 2 IPs, exemplo: <BR>192.168.0.1
(servidor) e 192.168.0.2 (cliente). O próximo usuário seria <BR>192.168.0.5
(servidor) e 192.168.0.6 (cliente), e por aí vai. Inclusive <BR>aí você
conseguiria por um cadastro saber quem está conectado ou não, <BR>comparando o
cadastro com o IP associado ao cliente.<BR><BR>2. Como login SSH, criar um
ambiente chroot para que o usuário não tenha <BR>nenhum outro acesso na
máquina, a não ser no diretório que você quiser. <BR>O ambiente chroot deve
conter apenas os binários e executáveis <BR>necessários para o
cliente.<BR><BR>3. Habilitar os limites de processos, arquivos abertos, usos
de memória <BR>e etc para cada usuário (via PAM, limits.conf), assim ele não
conseguirá <BR>executar algo na sua máquina que consuma tudo e faça a máquina
"cair de <BR>joelhos".<BR><BR>4. Utilizar o mecanismo "-m owner" do iptables
(ver manpage dele, <BR>procurar por OWNER) para restringir o usuário para
apenas rodar coisas <BR>localmente, sem acessar nada em outros IPs e
redes.<BR><BR>Claro que isso vai depender muito do seu caso, e restringir um
serviço <BR>de colocation por exemplo não é uma boa idéia :)<BR><BR>Se o
cliente tem total acesso a máquina, então a solução seria comprar <BR>um
switch gerenciável e adicionar VLANs para cada máquina da rede. Bem,
<BR> deu pra entender né? Dependendo do caso, as possibilidades podem
ser <BR>infinitas.<BR><BR>> Agradeço ideias.<BR><BR>Qualquer coisa falaí!
:D<BR><BR>> Wanderlei<BR><BR>-- <BR>[]'s<BR>Eitch<BR><BR><A
href="http://www.devin.com.br/eitch/">http://www.devin.com.br/eitch/</A><BR>"Talk
is cheap. Show me the code." - Linus Torvalds<BR><BR>--<BR>Fedora-users-br
mailing list<BR><A
href="mailto:Fedora-users-br@redhat.com">Fedora-users-br@redhat.com</A><BR><A
href="https://www.redhat.com/mailman/listinfo/fedora-users-br">https://www.redhat.com/mailman/listinfo/fedora-users-br</A><BR></BLOCKQUOTE></BODY></HTML>