Dicas sobre invasão remota e acesso a portas(Associado nextcloud)

#1

Para os mais informados sobre esse assunto posso fazer algumas perguntas meio leigas, mas só assim vou saber me proteger kkk, enfim, eu tenho um servidor nextcloud com meus arquivos num raspberry pi, tenho acesso localmente e externamente, tudo funciona bem, mas tenho uma preocupação, acesso ao meu dispositivo raspberry por alguma porta aberta indevidamente e consequentemente aos meu outros computadores da rede.

Minha primeira duvida:

é possível invadir por qualquer porta aberta no roteador?

segunda duvida:

Meu roteador é um powerbox gvt e nele não consigo bloquear portas, só abrir, e mesmo assim ja verifiquei pelo ShieldsUP vejo que tem portas abertas e muitas por sinal que não deveriam estar abertas, porém há como fechar elas pelo roteador? Ou caso eu feche elas no raspberry posso ficar mais tranquilo? tendo em vista que somente o raspberry pode ser acessado externamente ja que o dominio do no-ip redireciona para o ip associado ao servidor nextcloud no raspberry, porém se utilizar o mesmo dominio com portas diferentes da usada para acessar o nextcloud posso acessar coisas que não queria que permiti-se como por exemplo acesso ao vnc, acesso ao ssh e até mesmo a um programa de monitoramento de ram que uso no raspberry que utiliza a porta 8888, posso acessar tudo isso simplesmente mudando a porta junto ao domínio e vejo que isso pode ser perigoso e só quero acessar de dentro da minha rede isso tudo.

Então retomo a pergunta, não posso fechar as portas no roteador(pelo menos acho que não posso, só consigo abrir) então se eu fechar as portas no próprio raspberry eu estarei protegendo o acesso ao restante da rede ja que os outros computadores não vão conseguir ser acessados pelo dominio. Penso que acessando o rasp eles podem acessar meus outros computadores, estou certo?

Vou adicionar um ssl no meu servidor também para proteger minhas transferência externas, porém meu problema nem é com a captura de arquivos, se quiserem pegar fotos ou qualquer coisa do nextcloud não me faz teoricamente mal, o problema é ser invadido mesmo já que utilizo muito o cartão e faço transações por internet banking.

Poderiam me dar dicas de proteção?

0 Likes

#2

Eu tbm no manjo muito sobre o assunto e tbm tenho interesse nisso, mas surgiu uma dúvida sobre a sua dúvida em relação as portas abertas e fechadas.

Eu achava que se uma porta não estivesse aberta, então tecnicamente elas estão fechadas, não? Não sabia que existia uma opção de fechar portas, para mim simplesmente o fato delas não estarem abertas então estão fechadas.

O que eu faço pra ter um pouco mais de segurança é mudando as portas padrão, invés de manter a porta 80 pro servidor WEB ou a 22 pro SSH, eu mudo pra uma putro, de pelo menos 4 dígitos aleatórios.

0 Likes

#3

@leonardopn … em relação sua primeira dúvida “é possível invadir por qualquer porta aberta no roteador?”… O que vai tornar possível uma “invasão” não é a porta em si… mas sim o serviço ou aplicação que está utilizando a porta, se for um serviço que tem uma falha ou esteja mal configurado por exemplo.
Em relação aos resultados do ShieldsUP você disse que tem muitas portas abertas, isso pode ocorrer pela forma que você fez as configurações da sua rede e os serviços que você habilitou, ou então no caso você disse que utiliza a GVT as portas abertas podem ser do “servidor” da GVT e não da sua rede, isso ocorre com algumas provedoras de internet.

0 Likes

#4

Sim, teoricamente se não está aberta significa que ela está fechada, qual o problema? Elas vem fechadas por padrão a não ser que vc ou algo as abra, no meu caso, algo abriu, eu quero fechar oq for melhor kkk

Sobre alterar a porta acredito que não adiante muito pq vc só vai estar fechando a porta 22 e abrindo outra porta no lugar, se alguém for fazer o escaneamento da sua rede e achar a porta que vc selecionou no lugar da 22 vai identificar do mesmo jeito, no final tem uma aberta kk

1 Like

#5

Então quer dizer que por exemplo, tem uma porta aberta a 8888 que um programa usa para fazer o monitoramento da temperatura e ram e ele mostra tudo pelo navegador, dai se tiver alguma falha de segurança envolvendo o programa ela pode ser explorada para uma possível invasão, é isso? Dai teoricamente pra evitar isso, mesmo que não tenha a falha, posso fechar essa porta para o acesso externo ja que é desnecessário eu ver o programa fora da minha rede, e por ser desnecessário mas mesmo assim estar aberta eu posso estar dando margem para algum invasor?

E sobre o roteador seria interessante por segurança até mesmo para minha rede como um todo fechar portas que eu não utilizo? E sobre o raspberry oq eu fiz foi fechar todas as portas para ele de entrada e saída e vou liberar somente as que eu precisar, seria o certo por segurança?

0 Likes

#6

Em relação a primeira dúvida, sim, qualquer porta aberta é um potencial vetor de ataque. Mas é necessário que exista alguma vulnerabilidade para que um ataque possa ser realizado, então sempre mantenha o sistema e todos os softwares que rodam nele atualizados, de preferência configure o sistema para atualizar automaticamente. A porta do SSH é uma exceção, é possível ganhar acesso a uma máquina que utilize usuário e senha para efetuar login através de um ataque do tipo brute force. É recomendável criar uma chave de autenticação e desabilitar acesso ao sistema através de usuário e senha, o uso do Fail2ban também é altamente recomendável.

Sobre a segunda dúvida, portas que não estejam abertas estão automaticamente fechadas, no entanto eu não confiaria no firewall do modem/roteador, prefiro desabilitá-los e utilizar o firewall do sistema. É possível criar uma regra no UFW que permita acesso apenas dentro da rede local, no caso do ssh a regra seria a seguinte:

sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow from 192.168.0.0/24 to any port 22
sudo ufw enable

Estas regras permitiram todas as conexões de saída e recusariam todas as conexões de entrada, com exceção das portas que você abrir manualmente. O SSH seria acessível somente dentro da sua rede interna.

2 Likes

#7

Sobre a primeira pergunta: Sim, isso… Não somente invasão, mas sim teria que ter (ou ser descoberta) uma falha… Na realidade o melhor mesmo é o "invasor nem mesmo saber que você (PC) existe, pq se o cara fazer um scan e ver a porta fechada ele pode ficar curioso para saber o que tem atras e querer arrombar … kkkkk …"Como o @drakofrost falou… você deve “configurar” as regras no firewall. Em relação a este programa de temperatura que você falou (da porta 8888) ela não deve ser configurada para acesso externo (eu pelo menos não deixaria) a questão está nas configurações que você fez, ou você configura as rotas no firewall ou então “separar” as redes no seu raspberry… agora se você for mais hard faz um firewall com o raspberry e coloca ele antes do roteador assim você protege (não 100% é claro) toda a rede :slightly_smiling_face:

1 Like

#8

Antes de vc mandar a mensagem eu tinha feito algumas regras, na verdade permiti acesso ao ssh, vnc e a porta 8888(que tem um software de monitoramento do rasp) para somente dois computadores da rede, também liberei a porta 80 para a internet para acessar meu servidor web com nextcloud.
SObre o ssh vou ver de colocar Fail2ban, ele seria pra evitar ataques de brute force e banir o invasor que tentar certo? Também utilizo senha para acessar meus usuários.

Uma coisa que gostaria de saber é se existe a possibilidade de criar regras de firewall para um endereço mac especifico? Pq ai eu liberaria meu acesso externo na porta 80 para somente nos meus dispositivos mesmo, deixando meu domínio longe do acesso de quem não tem aquele mac especifico

0 Likes

#9

SIm eu imaginei mesmo, a unica porta que habilitei para acesso externo é a 80, todas as outras estão fechadas, até pra minha própria rede, só habilitei o ssh e o vnc para dois dispositivos dentro da minha rede. Mas gostaria de ficar mais tranquilo liberando a porta 80 para a rede, tipo liberar para dispositivos que eu reconheça, pelo endereço mac por exemplo

0 Likes

#10

Se você bloqueou o acesso ao ssh fora da sua rede doméstica, então o uso de uma chave de autenticação e do Fail2ban não seriam necessários.

Não sei se é possível criar uma regra baseada em MAC address no UFW, mas no iptables com certeza é possível, no entanto não tenho experiência no assunto.

0 Likes