Maior segurança na entrada TS - NAT com abertura dinamica de portas

edumuitoloco
(usa CentOS)

Enviado em 25/04/2011 - 12:41h

Boa tarde!

Galera, estou com uma dúvida e um problema relativo a segurança da entrada de TS aqui na empresa... Meu cenário é o segunte:

Possuo um servidor com iptables + squid como gateway principal da rede.

Possuo um servidor Windows Server 2003 (infelizmente)...

Preciso que alguns funcionários se conectem no servidor de Windows Server via TS, o que já consegui fazer no Linux com a linha:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 3389 -j DNAT --to-destination $IPINTERNO

Beleza, o pessoal consegue entrar TS numa boa! Massss... e a segurança??

Queria que o pessoal tivesse que abrir a porta 3389, e não que ela ficasse asism, sempre disponível...

Tipo assim... quando alguem coloca meu IP de Internet no cliente de TS e clica em Conectar, não queria que abrisse direto a tela de meu servidor Windows...

Para evitar isso queria criar alguma regra que habilitasse a porta do TS e fizesse a NAT somente a usuários logados no linux (via ssh) ou então somente quando, via putty mesmo, o usuário bate em uma porta qualquer configurada por mim que tem a fubnção de abrir a porta 3389 e a NAT funcione por x tempo (faço isso com o ssh)... tem como?

Ou então alguém tem alguma outra sugestão?

Só para explicar.... para entrar SSH aqui tenho que primeiro tentar conectar em uma porta aleatória aqui, abrindo assim a porta do ssh por 10 segundos... o tempo exato para conectar e fechar a porta...

Desde já agradeço!

Um abraço!

renato_pacheco
(usa Debian)

Enviado em 25/04/2011 - 13:36h

Veja sobre port knocking do iptables:

http://spdlab.net/iptables-port-knocking-single-port-used
http://www.vivaolinux.com.br/dica/Port-knocking-para-SSH-rapido-e-facil-com-iptables

Ele faz com q vc acesse uma porta secreta antes pra liberar o acesso ao serviço desejado.

edumuitoloco
(usa CentOS)

Enviado em 25/04/2011 - 13:47h

Ok, vou ver lá e posto os resultados! Valeu!

edumuitoloco
(usa CentOS)

Enviado em 25/04/2011 - 14:04h

só mais uma dúvida... estamos quase lá... será que existe algum método semelhante ao port knocking en que o usuário deve fazer login no meu servidor de internet via ssh, e, com ele logado, a porta e/ou nat é liberada?

Assim fica mais seguro...

Abraço!

renato_pacheco
(usa Debian)

Enviado em 25/04/2011 - 14:39h

Tem como vc utilizar uma máquina para fazer um caminho mais longo. Ex.: suponha q vc pegou uma máquina qq lá e deixou somente para isso. Vc libera o SSH dela e faz o redirecionamento d fora pra dentro (DNAT), certo? A partir desse acesso, vc consegue acessar as máquinas internas da sua rede, concorda? Então acesse o seu SSH em modo gráfico:

# ssh -X -C usuario@IP_SERVIDOR

E depois vc acessa a parada do TS.