Para os mais informados sobre esse assunto posso fazer algumas perguntas meio leigas, mas só assim vou saber me proteger kkk, enfim, eu tenho um servidor nextcloud com meus arquivos num raspberry pi, tenho acesso localmente e externamente, tudo funciona bem, mas tenho uma preocupação, acesso ao meu dispositivo raspberry por alguma porta aberta indevidamente e consequentemente aos meu outros computadores da rede.
Minha primeira duvida:
é possível invadir por qualquer porta aberta no roteador?
segunda duvida:
Meu roteador é um powerbox gvt e nele não consigo bloquear portas, só abrir, e mesmo assim ja verifiquei pelo ShieldsUP vejo que tem portas abertas e muitas por sinal que não deveriam estar abertas, porém há como fechar elas pelo roteador? Ou caso eu feche elas no raspberry posso ficar mais tranquilo? tendo em vista que somente o raspberry pode ser acessado externamente ja que o dominio do no-ip redireciona para o ip associado ao servidor nextcloud no raspberry, porém se utilizar o mesmo dominio com portas diferentes da usada para acessar o nextcloud posso acessar coisas que não queria que permiti-se como por exemplo acesso ao vnc, acesso ao ssh e até mesmo a um programa de monitoramento de ram que uso no raspberry que utiliza a porta 8888, posso acessar tudo isso simplesmente mudando a porta junto ao domínio e vejo que isso pode ser perigoso e só quero acessar de dentro da minha rede isso tudo.
Então retomo a pergunta, não posso fechar as portas no roteador(pelo menos acho que não posso, só consigo abrir) então se eu fechar as portas no próprio raspberry eu estarei protegendo o acesso ao restante da rede ja que os outros computadores não vão conseguir ser acessados pelo dominio. Penso que acessando o rasp eles podem acessar meus outros computadores, estou certo?
Vou adicionar um ssl no meu servidor também para proteger minhas transferência externas, porém meu problema nem é com a captura de arquivos, se quiserem pegar fotos ou qualquer coisa do nextcloud não me faz teoricamente mal, o problema é ser invadido mesmo já que utilizo muito o cartão e faço transações por internet banking.
Poderiam me dar dicas de proteção?
Eu tbm no manjo muito sobre o assunto e tbm tenho interesse nisso, mas surgiu uma dúvida sobre a sua dúvida em relação as portas abertas e fechadas.
Eu achava que se uma porta não estivesse aberta, então tecnicamente elas estão fechadas, não? Não sabia que existia uma opção de fechar portas, para mim simplesmente o fato delas não estarem abertas então estão fechadas.
O que eu faço pra ter um pouco mais de segurança é mudando as portas padrão, invés de manter a porta 80 pro servidor WEB ou a 22 pro SSH, eu mudo pra uma putro, de pelo menos 4 dígitos aleatórios.
@leonardopn … em relação sua primeira dúvida “é possível invadir por qualquer porta aberta no roteador?”… O que vai tornar possível uma “invasão” não é a porta em si… mas sim o serviço ou aplicação que está utilizando a porta, se for um serviço que tem uma falha ou esteja mal configurado por exemplo.
Em relação aos resultados do ShieldsUP você disse que tem muitas portas abertas, isso pode ocorrer pela forma que você fez as configurações da sua rede e os serviços que você habilitou, ou então no caso você disse que utiliza a GVT as portas abertas podem ser do “servidor” da GVT e não da sua rede, isso ocorre com algumas provedoras de internet.
Sim, teoricamente se não está aberta significa que ela está fechada, qual o problema? Elas vem fechadas por padrão a não ser que vc ou algo as abra, no meu caso, algo abriu, eu quero fechar oq for melhor kkk
Sobre alterar a porta acredito que não adiante muito pq vc só vai estar fechando a porta 22 e abrindo outra porta no lugar, se alguém for fazer o escaneamento da sua rede e achar a porta que vc selecionou no lugar da 22 vai identificar do mesmo jeito, no final tem uma aberta kk
1 curtida
Então quer dizer que por exemplo, tem uma porta aberta a 8888 que um programa usa para fazer o monitoramento da temperatura e ram e ele mostra tudo pelo navegador, dai se tiver alguma falha de segurança envolvendo o programa ela pode ser explorada para uma possível invasão, é isso? Dai teoricamente pra evitar isso, mesmo que não tenha a falha, posso fechar essa porta para o acesso externo ja que é desnecessário eu ver o programa fora da minha rede, e por ser desnecessário mas mesmo assim estar aberta eu posso estar dando margem para algum invasor?
E sobre o roteador seria interessante por segurança até mesmo para minha rede como um todo fechar portas que eu não utilizo? E sobre o raspberry oq eu fiz foi fechar todas as portas para ele de entrada e saída e vou liberar somente as que eu precisar, seria o certo por segurança?
Em relação a primeira dúvida, sim, qualquer porta aberta é um potencial vetor de ataque. Mas é necessário que exista alguma vulnerabilidade para que um ataque possa ser realizado, então sempre mantenha o sistema e todos os softwares que rodam nele atualizados, de preferência configure o sistema para atualizar automaticamente. A porta do SSH é uma exceção, é possível ganhar acesso a uma máquina que utilize usuário e senha para efetuar login através de um ataque do tipo brute force. É recomendável criar uma chave de autenticação e desabilitar acesso ao sistema através de usuário e senha, o uso do Fail2ban também é altamente recomendável.
Sobre a segunda dúvida, portas que não estejam abertas estão automaticamente fechadas, no entanto eu não confiaria no firewall do modem/roteador, prefiro desabilitá-los e utilizar o firewall do sistema. É possível criar uma regra no UFW que permita acesso apenas dentro da rede local, no caso do ssh a regra seria a seguinte:
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw allow from 192.168.0.0/24 to any port 22
sudo ufw enable
Estas regras permitiram todas as conexões de saída e recusariam todas as conexões de entrada, com exceção das portas que você abrir manualmente. O SSH seria acessível somente dentro da sua rede interna.
3 curtidas
Sobre a primeira pergunta: Sim, isso… Não somente invasão, mas sim teria que ter (ou ser descoberta) uma falha… Na realidade o melhor mesmo é o "invasor nem mesmo saber que você (PC) existe, pq se o cara fazer um scan e ver a porta fechada ele pode ficar curioso para saber o que tem atras e querer arrombar … kkkkk …"Como o @anon48453804 falou… você deve “configurar” as regras no firewall. Em relação a este programa de temperatura que você falou (da porta 8888) ela não deve ser configurada para acesso externo (eu pelo menos não deixaria) a questão está nas configurações que você fez, ou você configura as rotas no firewall ou então “separar” as redes no seu raspberry… agora se você for mais hard faz um firewall com o raspberry e coloca ele antes do roteador assim você protege (não 100% é claro) toda a rede 
1 curtida
Antes de vc mandar a mensagem eu tinha feito algumas regras, na verdade permiti acesso ao ssh, vnc e a porta 8888(que tem um software de monitoramento do rasp) para somente dois computadores da rede, também liberei a porta 80 para a internet para acessar meu servidor web com nextcloud.
SObre o ssh vou ver de colocar Fail2ban, ele seria pra evitar ataques de brute force e banir o invasor que tentar certo? Também utilizo senha para acessar meus usuários.
Uma coisa que gostaria de saber é se existe a possibilidade de criar regras de firewall para um endereço mac especifico? Pq ai eu liberaria meu acesso externo na porta 80 para somente nos meus dispositivos mesmo, deixando meu domínio longe do acesso de quem não tem aquele mac especifico
SIm eu imaginei mesmo, a unica porta que habilitei para acesso externo é a 80, todas as outras estão fechadas, até pra minha própria rede, só habilitei o ssh e o vnc para dois dispositivos dentro da minha rede. Mas gostaria de ficar mais tranquilo liberando a porta 80 para a rede, tipo liberar para dispositivos que eu reconheça, pelo endereço mac por exemplo
Se você bloqueou o acesso ao ssh fora da sua rede doméstica, então o uso de uma chave de autenticação e do Fail2ban não seriam necessários.
Não sei se é possível criar uma regra baseada em MAC address no UFW, mas no iptables com certeza é possível, no entanto não tenho experiência no assunto.
Olá, como você fez para ter acesso externo à sua rede Nextcloud? Digo, gostaria de acessar na rua pelo celular e quem sabe poder mostrar a algum cliente. Você precisou de um domínio ou tem algum “truque” para ter tal acesso “0800”, ou seja, sem pagar nada.
Sinceramente, desisti do nextcloud a um bom tempo, dava muito trabalho e mesmo tendo mais espaço, era instável e preferi voltar pro google drive que era mais efetivo e menos trabalhoso kkk.
Mas respondendo sua pergunta, para ter acesso externo foi preciso liberar portas 80 para http (ou 443 para https) tanto no dispositivo quanto no roteador. Dai para acessar, foi preciso redirecionar tudo que chegar da porta 80 do roteador para a 80 do dispositivo. Para utilizar um domínio eu utilizei o noIp gratuitamente e meu roteador tinha opção para configurar o noip direto nele, mas caso não tenha isso pra vc, o no ip disponibiliza outro meio de ser utilizado.
Feito tudo isso tem um arquivo no nextcloud que vc coloca os domínios permitidos (se não estiver lá, não vai permitir acesso externo naquele ip ou domínio), dai vc coloca o domínio que vc registrou no noip e pronto, na teoria, já pode utilizar de fora .
Mas cara, vou dar a real pra vc, direto quando eu tentava transferir algo grande, dava problema, caia a conexão, ou corrompia…, mas funcionava muito bem para coisas pequenas. Então, sinceramente, paga o google one com 6,99/mês e vc tem 100 gb e um local muito mais seguro e com suporte, ou até mesmo 34,99/mês e tenha 2 teras. Vale muito mais a pena kkk. Oq vc vai pagar de energia ou pra deixar “parudo” o serviço, vc assina o google one.
1 curtida
Irmão, obrigado pela info e várias dicas, e, realmente, tem que pensar no custo/benefício, o que inclui o gasto e manutenção. O meu interesse é testar, digo, só para ver mesmo como é, e é bom saber que pode ter esses problemas. Quanto aos serviços, por conta dessa paranoia que a galera vem tendo com privacidade (e eu me incluo nisso), eu pensei em assinar o ownCloud, mas, enfim, tanto faz, o que importa é a praticidade desses serviços.
De novo, valeu pelo seu tempo.
Vai fundo amigo, conhecimento é sempre bom. Caso também te interesse, troquei o nextcloud por um servidor samba+openvpn. Acesso meus arquivos somente dos dispositivos conectados na rede local ou na vpn e com usuário autenticado. Acredito que se tornou bem prático e menos burocrático que o nextcloud.
1 curtida