Liberação de Portas no Firewall

Temos recebido nos últimos tempos uma quantidade significativa de ataques, tanto voltados à descoberta de vulnerabilidades como de credenciais fracas. Desta maneira, estamos adotando alguns critérios para a liberação de portas no Firewall

SSH

O SSH tem sido um dos principais focos nos últimos tempos, e a USP como um todo tem sofrido problemas constantes com máquinas invadidas por meio de senhas fracas nos usuários SSH. As recomendações abaixo são baseadas em boas práticas adotadas por diversos grupos de segurança e foram baseadas na configuração do daemon OpenSSH;

1. Trocar a porta do SSH para uma outra porta alta (ex.: 12322);
2. Limitar o protocolo apenas à versão 2;
3. Usar apenas chaves SSH para o acesso no lugar de senhas de usuários, com as seguintes opções:
   • PasswordAuthentication no
   • PubkeyAuthentication yes
4. Desabilitar o login remoto via root (todo acesso administrativo deve ser feito via sudo em usuário normal) - usar a opção PermitRootLogin no;
5. Limitar quais usuários poderão efetuar o login em ssh (opção AllowUsers);
6. Usar um mecanismo para mitigar ataques de força bruta, como o Fail2ban;
7. Se possível, limitar quais são os IPs de origem que acessarão a porta SSH;
8. Desativar o encaminhamento de conexões TCP e X11 (opções AllowTcpForwarding no e X11Forwarding no)
9. Se houver algum impedimento forte para o uso de autenticação de chaves, utilizar as seguintes opções extras nas senhas:
   • Colocar um baixo número máximo de tentativas de login permitidas (opção MaxAuthTries 3)
   • Desabilitar senhas vazias (opção PermitEmptyPasswords no)
   • Usar senhas fortes, com mistura de letras maiúsculas, minúsculas, simbolos e números, e no mínimo 8 caracteres (evitar palavras que possam ser encontradas em um dicionário, de qualquer língua, ou informações pessoais como Nomes e Datas)
10. Colocar um baixo número máximo de tentativas de login simultâneas permitidas (opção MaxStartups 5)

Em caso de dúvida, solicite o auxílio aos administradores da rede do LARC.