A visualizar apenas posts da categoria Acesso à Internet e Redes

No seguimento do último artigo “Proteger o WordPress contra ataques de brute-force” partilho convosco uma forma adicional de aumentar a segurança na nossa ligação com encriptação e garantir um endereço de IP fixo para aceder a uma área de administração.

Segurança num túnel

No artigo mencionei como fazer o bloqueio através de um IP dedicado ao acesso à área de administração do WordPress, ou através de uma chave aleatória no User-Agent para quem não tem um IP dedicado na sua ligação em casa.

Mas se tiverem um servidor dedicado, Cloud ou VPS com acesso SSH podem facilmente ter acesso a um IP dedicado, o IP do vosso próprio servidor através de um túnel por SSH cujos dados são encriptados.

Apenas precisam de alterar algumas configurações no PuTTY, software que já devem usar para fazer o acesso por SSH. Antes de iniciarmos a ligação devemos clicar em Connection > SSH > Tunnels. Em Add new forwared port vamos colocar 8080 e em Destination escolher Dynamic e clicamos em Add, tal como demonstra a imagem abaixo.

Tunel SSH no PuTTY

Iniciamos a ligação e fazemos login no servidor por SSH como é normal. Agora, enquanto a sessão do PuTTY estiver activa, também o nosso proxy vai estar activo.

O segundo passo é configurar o proxy no browser como SOCKS com o endereço 127.0.0.1 e a porta 8080.

Opera com SOCKS Proxy

Et voilà, o nosso acesso pelo tunel SSH está activo. Podemos confirmar que o acesso está a ser devidamente feito pelo servidor remoto verificando se o IP da ligação corresponde ao do servidor.

Desta forma podemos proteger o acesso a um directório de administração através do IP do próprio servidor, permitindo ter um IP dinâmico na ligação à internet por questões de privacidade e segurança, e um IP dedicado à distância de um login por SSH para aceder a conteúdos específicos sem ser necessário um acesso VPN ou algo semelhante mais dispendioso.

Devem no entanto verificar os limites de tráfego impostos pelo Service Provider que fornece o servidor e se não vai contra os termos de utilização do serviço o acesso por um túnel SSH. Existem algumas extensões para o Chrome e Firefox que permitem activar um proxy com 1 clique e apenas para certos domínios o que ajuda a reduzir o tráfego feito por SSH.

No tempo dos modems ligados directamente ao PC era relativamente fácil saber qual o nosso endereço IP actual. Bastavam dois cliques no ícone de estado da ligação e obtínhamos o IP.

Actualmente com os routers e pontos de acesso Wi-Fi o IP atribuído é interno, foi por isso que disponibilizei aqui no blog a ferramenta Saber o meu IP.

Endereço IP

Sempre que pergunto o IP a alguém a resposta é quase sempre “Meu IP? Como é que posso saber o IP?” ou então indicam “O meu IP é 192.168…”. Assim, de uma forma simples podem obter o IP externo atribuído pelo ISP.

Esta ferramenta não se limita a indicar o endereço IP da ligação, também indica o browser que estão a utilizar, o sistema operativo, a resolução do ecrã e o User-Agent. É ainda possível fazer download destes dados num ficheiro de texto que pode ser enviado a acompanhar um email ou mensagem num fórum para ajudar a despistar problemas no acesso a um site ou serviço online.

Encontro-me neste momento a escrever este post ligado através de um hotspot wi-fi gratuíto na vila de Monchique. Trata-se de um dos muitos hotspots gratuítos do projecto Algarve Digital que possui um portal informativo bastante interessante, especialmente para quem se encontra cá a passar férias, sobre toda a região algarvia e as actividades que por lá decorrem.

Rua em Monchique

Encontrei este hotspot wi-fi por mero acaso. Estava a trabalhar online com a ligação 3G do telemóvel, e após ter gasto “bastante” tráfego GPRS (40Mb é muito), e como só tenho 100Mb gratuítos de tráfego na pen de internet móvel do Clix decidi tentar encontrar um hotspot wi-fi da Sonae, algo que seria bastante improvável, mas para mim é gratuíto por ser cliente Clix.

Encontrei então esta ligação do projecto Algarve Digital, a única ligação wi-fi existente na zona. Após ter conseguido a ligação, embora com um sinal fraco, a primeira coisa que fiz foi “googlar” o termo e lá encontrei, além do site do projecto, alguns fóruns que falavam destes hotspots.

Cada vez mais sou fã deste tipo de ligações, embora continue a usar a minha ligação 3G para acesso a dados mais importantes que não são transmitidos através de ligação segura. O ideal mesmo era encontrar um hotspot wi-fi numa praia, comprar um netbook com muita autonomia e mudava de escritório para um com vista para o mar ;)

Tenho andado a fazer suporte a várias empresas com problemas relacionados com autenticações SMTP e IP’s bloqueados e verifiquei que algumas destas empresas possuem IP’s fixos. Empresas cuja actividade na internet se resume à utilização exporadica do email e acesso web pelos empregados para assuntos que não estão relacionados com a empresa.

IP Fixo

Quando questionados com aquela escolha recebi várias respostas, entre a secretária que não percebe nada de informática mas achou bem pedir um IP fixo, outros em que o “rapaz da informática” disse que ficavam com a net mais rápida até ao cúmulo, mas com alguma razão de ser, que os IP’s estavam a acabar e as empresas sem IP fixo iam ficar sem acesso à net.

Apenas faz sentido possuir um IP fixo numa empresa se esta tiver um servidor interno que seja acessível do exterior ou numa empresa de desenvolvimento ou que trabalhe com dados criticos e que precise de limitar o acesso a determinada máquina ou serviço a alguns IP’s.

Um IP fixo pode até ser perigoso com ataques direcionados especificamente a esse IP, caso que pude comprovar numa das empresas onde dei assistencia em que o IP deles estava a ser usado como proxy e já estava divulgado em vários sites como um proxy aberto. É certo que uma falha destas também pode ocorrer com um IP dinamico, e com um bom administrador de sistemas conseguem-se minimizar estas situações, mas se não existe necessidade de um IP fixo mais vale não o ter, poupam dinheiro, recursos e aumentam a segurança da sua rede.

 
Copyright © 1985 - 2017 Eduardo Maio. Alguns direitos reservados.
eduardomaio.net - Às vezes mais valia ser Agricultor do que Programador
Ao navegar no blog eduardomaio.net está a concordar com os termos legais e de privacidade.