Autor Tópico: Não consigo acessar o Banco do Brasil  (Lida 4400 vezes)

Offline Sampayu

  • Usuário Ubuntu
  • *
  • Mensagens: 309
  • "Não é possível semear de mãos fechadas"
    • Ver perfil
    • YouTube
Re:Não consigo acessar o Banco do Brasil
« Resposta #30 Online: 20 de Março de 2017, 09:30 »

Acho que descobri qual é o problema...


Antes, porém, preciso explicar uns conceitos. É pouca coisa. Lá vai:

1) O núcleo (o "conjunto básico de instruções") do sistema operacional Linux chama-se kernel Linux.
2) O kernel possui um componente interno, denominado netfilter, que funciona como firewall. Ou seja: mesmo que você não instale um firewall no Linux, ele já vem com um "embutido" no núcleo do sistema. Embora por padrão o netfilter venha pré-configurado no modo "passivo" (permissivo), ele está lá e pode ser configurado pelo/a usuário/a, se ele/ela quiser.
3) O netfilter não é configurado diretamente: você precisa usar o programa iptables, para poder configurar o netfilter. Você executa o iptables no terminal do shell do Linux ("linha de comandos").
4) Como o iptables é meio "chato" (complicado e trabalhoso) de se configurar, existem programas mais simples que nos ajudam a mexer no iptables. Um desses programas é o ufw, que embora também seja executado no shell, é bem mais fácil de se mexer que o iptables.
5) O programa gufw facilita ainda mais as coisas, pois enquanto o ufw é um programa por "linha de comandos" (é executado no shell do Linux), o gufw é uma aplicação gráfica, é executado dentro de uma janela, em um ambiente gráfico tal como Unity, GNOME, KDE, XFCE etc. O gufw é um frontend (ambiente) gráfico para você poder usar o ufw apontando e clicando, ao invés de ter de memorizar e digitar comandos no teclado.

Apresentados esses esclarecimentos, ocorre que:

a) No sistema XUbuntu 16.04 de 64 bits do meu computador eu uso o gufw, portanto meu XUbuntu tem um firewall ativado com diversas regras que deixam fechadas praticamente todas as portas de rede.
b) Resolvi criar uma máquina virtual nesse meu XUbuntu e então instalar nela o LUbuntu 16.10 de 64 bits. Fiz uma instalação "limpa", do LUbuntu: não instalei nada de adicional, para evitar que o sistema recebesse configurações e/ou bibliotecas que pudessem afetar o funcionamento do Warsaw. Inclusive, não ativei o ufw nem instalei o gufw. Em seguida, instalei o HDA_BB e, por intermédio dele, instalei o Warsaw, reiniciei a máquina virtual e... VOILÁ! FUNCIONOU: a página https://seg.bb.com.br informou-me que tenho o módulo de segurança Warsaw instalado, daí acessei https://www2.bancobrasil.com.br/aapf/login.jsp e de fato consegui acessar minha conta bancária.  :D
c) Então, ainda no "LUbuntu virtualizado", executei o comando abaixo para listar todas as regras do netfilter atualmente em vigor:
Código: [Selecionar]
sudo iptables -S...e obtive este resultado:
Código: [Selecionar]
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
...o que significa que o firewall do kernel do LUbuntu está configurado para aceitar (ACCEPT) todas as conexões de entrada (INPUT), de saída (OUTPUT), e também todos os encaminhamentos (FORWARD).
d) Como uma das minhas desconfianças era que esse módulo de "segurança" Warsaw usa umas portas inseguras, e que por isso o firewall do Linux as bloqueia (por isso o Warsaw não estaria funcionando, no meu XUbuntu), resolvi instalar o gufw nessa máquina virtual (LUbuntu 16.10), pois quando o gufw é instalado ele "de cara" (automaticamente) já envia para o ufw umas regras básicas de segurança, que o ufw então repassa para o iptables, que por sua vez as envia ao netfilter. Resultado: assim que ativei o firewall gufw, o módulo de segurança parou de funcionar.
e) Então executei este comando, para visualizar as regras do netfilter:
Código: [Selecionar]
sudo iptables -S...e vi que o gufw realmente havia criado várias regras de proteção, no LUbuntu virtualizado.
Resolvi então rodar este comando, para "resetar" o netfilter:
Código: [Selecionar]
sudo iptables -F ; sudo iptables -X ; sudo iptables -SAo executar o comando acima, obtive o seguinte resultado:
Código: [Selecionar]
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
...que é igual ao resultado que eu havia mostrado lá no item "c" e significa que o firewall voltou a ficar em "modo passivo" (permite todos os encaminhamentos e todas as conexões de entrada e de saída).
f) Após eu executar esse "reset" no netfilter, reiniciei o computador, abri novamente o navegador e... TADÁÁÁÁ! Módulo de "segurança" funcionando. :P

Enfim: para poder usar o módulo de "segurança", você precisa escancarar a "porteira" do seu sistema. >:(

Agora resta saber quais são as portas de rede (uma delas é a 30900), e de quais protocolos (TCP, UDP...), têm de ficar abertas para que o Warsaw funcione. Essa informação precisa ser disponibilizada para os usuários, pois é absurdo o computador ter de ficar completamente desprotegido para um módulo desses poder funcionar. Sabendo quais são as portas e os protocolos, dá para ativar o firewall e configurá-lo para bloquear tudo exceto o que possuir uma regra de exceção, daí basta adicionar uma regra, no firewall, permitindo que cada uma dessas portas seja usada livremente, em determinado protocolo. Assim o firewall fica ativo, mas o Warsaw não deixa de se comunicar com o servidor remoto.
« Última modificação: 24 de Março de 2017, 00:39 por Sampayu »
Yuri Sucupira ("Sampayu")

Offline Sampayu

  • Usuário Ubuntu
  • *
  • Mensagens: 309
  • "Não é possível semear de mãos fechadas"
    • Ver perfil
    • YouTube
Re:Não consigo acessar o Banco do Brasil
« Resposta #31 Online: 20 de Março de 2017, 10:01 »
O comando:

Código: [Selecionar]
sudo netstat -tulapv |grep -i /core
...retornou-me:

Código: [Selecionar]
tcp        0      0 localhost:30900         *:*                     OUÇA       1128/core       
tcp        0      0 localhost:30800         *:*                     OUÇA       1128/core

Portanto, o arquivo binário executável core - que fica em /usr/local/bin/warsaw/ - está usando as portas 30800 e 30900, no protocolo TCP.

Agora é pensar num modo de, por padrão (política / regra geral), manter todas as portas fechadas, no firewall, porém abrir essas (e somente essas) portas que o Warsaw utiliza... ::)
« Última modificação: 24 de Março de 2017, 02:05 por Sampayu »
Yuri Sucupira ("Sampayu")

Offline joan_alvarez

  • Usuário Ubuntu
  • *
  • Mensagens: 13
    • Ver perfil
Re:Não consigo acessar o Banco do Brasil
« Resposta #32 Online: 20 de Março de 2017, 15:46 »
Ou seja executando esta linha de comando
Código: [Selecionar]
sudo iptables -F ; sudo iptables -X ; sudo iptables -SEstou deixando o sistema completamente desprotegido, certo? Então não recomendável executá-lo

Bem que os desenvolvedores poderiam dar uma olhadinha nestes tópicos, né haha? Será que ele recebe atualizações automáticas?
Ubuntu MATE 16.04 VAIO VPCEB46FX

Offline hpholivetti

  • Usuário Ubuntu
  • *
  • Mensagens: 1
    • Ver perfil

Offline druidaobelix

  • Usuário Ubuntu
  • *
  • Mensagens: 4.245
    • Ver perfil
Re:Não consigo acessar o Banco do Brasil
« Resposta #34 Online: 23 de Março de 2017, 00:45 »
http://www.edivaldobrito.com.br/modulo-de-seguranca-do-banco-do-brasil-no-linux/ nesse link tem o bizu

Então, "hpholivetti",

Essa página do colega "edivaldobrito" é boa e útil, como tantas outras que ele faz e são úteis à divulgação e suporte do mundo Linux, porém no caso em tela não traz nada de novo que já não tenha sido debatido e exposto aqui no Fórum e, principalmente, não contempla a questão maior aqui identificada pelo colega Sampayu, que é o não funcionamento com o firewall ativado.

Esse é o problema central e não a instalação, assunto já amplamente debatido e com várias soluções expostas aqui no Fórum, não há novidades nisso.
A novidade verdadeira é que não funciona com o firewall ativado, que no caso do Ubuntu por padrão é o UFW e ainda não apareceu, ao menos por enquanto, uma forma de configurá-lo adequadamente.
« Última modificação: 23 de Março de 2017, 00:48 por druidaobelix »
www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

Offline Sampayu

  • Usuário Ubuntu
  • *
  • Mensagens: 309
  • "Não é possível semear de mãos fechadas"
    • Ver perfil
    • YouTube
Re:Não consigo acessar o Banco do Brasil
« Resposta #35 Online: 24 de Março de 2017, 01:46 »
Ou seja executando esta linha de comando
Código: [Selecionar]
sudo iptables -F ; sudo iptables -X ; sudo iptables -SEstou deixando o sistema completamente desprotegido, certo? Então não recomendável executá-lo

Bem que os desenvolvedores poderiam dar uma olhadinha nestes tópicos, né haha? Será que ele recebe atualizações automáticas?

Se você nunca instalou um firewall como o GUFW no seu sistema Linux, então seu sistema muito provavelmente está desprotegido. Execute este comando:

Código: [Selecionar]
sudo iptables -S
Se o resultado do comando acima for assim:
Código: [Selecionar]
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

...então seu sistema realmente está desprotegido: embora ele possua o netfilter dentro do kernel, e embora ele possua o iptables (para você poder enviar comandos ao netfilter do kernel), as políticas (-P) atuais do seu netfilter são ACCEPT ("aceitar") para todos os encaminhamentos (FORWARD) e para todas as conexões de entrada (INPUT) e de saída (OUTPUT).

Se quiser proteger seu sistema, há basicamente duas opções (ambas farão o Warsaw parar de funcionar, ou melhor, ele continuará funcionando, porém não conseguirá mais se comunicar com o servidor do Banco do Brasil na Internet, o que significa que na prática o daemon do Warsaw continuará em execução na memória, porém será "barrado" pelo firewall do kernel e daí tornar-se-á completamente inútil):

1) A primeira opção - que é a mais fácil - consiste em instalar o GUFW e executá-lo:

Código: [Selecionar]
sudo apt-get install gufw -y ; sudo gufw
Daí, quando a janela do GUFW aparecer, vá ao campo Entrada:, selecione a opção Recusar e pronto, feche a janela do GUFW.

2) A segunda opção - que é um pouco mais complicada - consiste em configurar o netfilter por intermédio do iptables. A configuração consiste em executar o supercomando abaixo, que fará o iptables instruir o netfilter a desabilitar as conexões de entrada (INPUT) e os encaminhamentos de porta (FORWARD), de modo que somente requisições de saída continuem sendo aceitas. Se você reiniciar o computador, essas configurações serão perdidas. Para que isso não ocorra, é necessário salvá-las em um arquivo e em seguida configurar o Linux para restaurar essas configurações (que estarão dentro desse arquivo) a cada nova inicialização do sistema operacional. O supercomando abaixo também realizará essas ações (salvar as configurações num arquivo e recuperar tais configurações a cada novo boot):

Código: [Selecionar]
sudo iptables -P INPUT DROP ; sudo iptables -P FORWARD DROP ; sudo iptables-save | sudo tee /etc/iptables.conf ; sudo sed -i -e 's|exit 0||' "/etc/rc.local" ; echo iptables-restore \< /etc/iptables.conf | sudo tee -a /etc/rc.local ; echo ' ' | sudo tee -a /etc/rc.local ; echo exit 0 | sudo tee -a /etc/rc.local
O comando acima adicionará a regra DROP ("ignorar") à política para pacotes de entrada (INPUT) e de encaminhamento (FORWARD), salvará essa nova configuração dentro de /etc/iptables.conf, e então adicionará ao arquivo /etc/rc.local o comando iptables-restore < /etc/iptables.conf, o que fará com que a cada novo boot do Linux as configurações presentes dentro do arquivo /etc/iptables.conf sejam "lidas" pelo comando iptables-restore e repassadas ao netfilter. ;)

Após a execução do supercomando acima, execute o comando:

Código: [Selecionar]
cat /etc/rc.local
Se o resultado do comando acima terminar com este código:

Código: [Selecionar]
iptables-restore < /etc/iptables.conf
 
exit 0

...a configuração do arquivo rc.local está correta. Você também pode executar:

Código: [Selecionar]
cat /etc/iptables.conf
...para ver se de fato as configurações do netfilter foram gravadas dentro do arquivo iptables.conf: se esse arquivo não estiver vazio, é porque as configurações do netfilter foram gravadas dentro dele.  :)

Agora reinicie o sistema:

Código: [Selecionar]
sudo telinit 6
...para que as alterações surtam efeito. Isso vale tanto para quem instalou o GUFW quanto para quem configurou o netfilter via iptables.

=> Para desfazer as configurações realizadas com o iptables, execute este supercomando:

Código: [Selecionar]
sudo iptables -F ; sudo iptables -X ; sudo iptables -P INPUT ACCEPT ; sudo iptables -P FORWARD ACCEPT ; sudo sed -i -e 's|iptables-restore < /etc/iptables.conf||' "/etc/rc.local" ; sudo rm /etc/iptables.conf
O comando acima irá "resetar" o netfilter, adicionando a regra ACCEPT ("aceitar") às políticas INPUT e FORWARD do netfilter. O comando acima também eliminará do arquivo rc.local a linha de código iptables-restore < /etc/iptables.conf, e por fim excluirá o arquivo de configuração iptables.conf localizado em /etc/iptables.conf.

Para quem instalou o GUFW, a desinstalação consiste em executar:

Código: [Selecionar]
sudo apt-get purge gufw -y ; sudo iptables -F ; sudo iptables -X ; sudo iptables -P INPUT ACCEPT ; sudo iptables -P FORWARD ACCEPT
Considero extremamente improvável que algum desenvolvedor do Warsaw ou alguém do suporte técnico do Banco do Brasil esteja acompanhando este tópico, ou sequer este fórum.
« Última modificação: 24 de Março de 2017, 15:45 por Sampayu »
Yuri Sucupira ("Sampayu")

Offline Sampayu

  • Usuário Ubuntu
  • *
  • Mensagens: 309
  • "Não é possível semear de mãos fechadas"
    • Ver perfil
    • YouTube
Re:Não consigo acessar o Banco do Brasil
« Resposta #36 Online: 24 de Março de 2017, 01:58 »
http://www.edivaldobrito.com.br/modulo-de-seguranca-do-banco-do-brasil-no-linux/ nesse link tem o bizu

Então, "hpholivetti",

Essa página do colega "edivaldobrito" é boa e útil, como tantas outras que ele faz e são úteis à divulgação e suporte do mundo Linux, porém no caso em tela não traz nada de novo que já não tenha sido debatido e exposto aqui no Fórum e, principalmente, não contempla a questão maior aqui identificada pelo colega Sampayu, que é o não funcionamento com o firewall ativado.

Esse é o problema central e não a instalação, assunto já amplamente debatido e com várias soluções expostas aqui no Fórum, não há novidades nisso.
A novidade verdadeira é que não funciona com o firewall ativado, que no caso do Ubuntu por padrão é o UFW e ainda não apareceu, ao menos por enquanto, uma forma de configurá-lo adequadamente.

Rapaz, tô perdendo feio para o netfilter: já criei zilhões de regras diferentes para o netfilter, tanto via iptables quanto via UFW (no terminal) e GUFW (na GUI), mas nada de uma dessas regras funcionar.  :(

Se eu conseguir fazer o iptables configurar o netfilter de modo que as políticas INPUT e FORWARD continuem com a regra padrão DROP, porém com as exceções "INPUT -j ACCEPT" e "FORWARD -j ACCEPT" funcionando para as conexões TCP nas portas 30800 e 30900, eu volto aqui e comento como foi que consegui fazer. Mas por enquanto tá difícil... :(

Espero que alguém com conhecimentos mais profundos que eu, a respeito da configuração do firewall do Linux, apareça com uma solução para esse problema.

Eu, por enquanto, sigo com o Warsaw instalado, porém bloqueado: não pretendo abrir mão das regras "INPUT -j DROP" e "FORWARD -j DROP", já que abandoná-las expõe o sistema a ataques de invasores externos. Enquanto isso, vou acessando o Banco do Brasil via métodos alternativos:

1) Firefox versão 51;

2) LUbuntu 16.10 virtualizado; e

3) Aplicativo do Banco do Brasil, executado dentro do Android 4.4 virtualizado (isso quando não acesso diretamente via esse aplicativo instalado no Android do meu smartphone mesmo :P).

Sou cliente do Banco do Brasil desde 2002, e sempre consegui contornar os infortúnios acarretados ao Linux por causa das mudanças que o pessoal do BB de tempos em tempos realiza no website de acesso ao internet banking, mas desta vez o pessoal do BB conseguiu criar um problema bem "chato" de se resolver no Linux. Afff... ::)
« Última modificação: 24 de Março de 2017, 02:01 por Sampayu »
Yuri Sucupira ("Sampayu")

Offline Sampayu

  • Usuário Ubuntu
  • *
  • Mensagens: 309
  • "Não é possível semear de mãos fechadas"
    • Ver perfil
    • YouTube
Como resolver o problema com a instalação do Warsaw do Banco do Brasil
« Resposta #37 Online: 24 de Março de 2017, 16:28 »
Solução para o problema do Warsaw no Banco do Brasil: :D

1) Instalar o Warsaw manualmente; e

2) Em seguida, retirar o bloqueio ao socket / websocket.
« Última modificação: 25 de Março de 2017, 23:13 por Sampayu »
Yuri Sucupira ("Sampayu")

Offline roos

  • Usuário Ubuntu
  • *
  • Mensagens: 1
    • Ver perfil
Re:Não consigo acessar o Banco do Brasil
« Resposta #38 Online: 24 de Março de 2017, 16:46 »
Apenas instalei o Warsaw direto do servidor, não usei o pacote .deb do Banco do Brasil.

Veja a solução em: https://talesam.org/2017/03/14/instalando-o-modulo-de-seguranca-banco-brasil-warsaw/

Offline Sampayu

  • Usuário Ubuntu
  • *
  • Mensagens: 309
  • "Não é possível semear de mãos fechadas"
    • Ver perfil
    • YouTube
Re:Não consigo acessar o Banco do Brasil
« Resposta #39 Online: 24 de Março de 2017, 16:51 »
Apenas instalei o Warsaw direto do servidor, não usei o pacote .deb do Banco do Brasil.

Veja a solução em: https://talesam.org/2017/03/14/instalando-o-modulo-de-seguranca-banco-brasil-warsaw/

Essa solução já foi citada aqui, mas ela não resolve o problema de quem, como eu, possui firewall ativado que está bloqueando a porta TCP 30900, usada pelo Warsaw. A única maneira de contornar esse problema (sem tem de desativar o firewall e excluir as regras de proteção do sistema) é ativar um recurso que bloqueia ataques do tipo "localhost SYN flood". Isso é explicado lá no link que citei anteriormente.
Yuri Sucupira ("Sampayu")

Offline Sampayu

  • Usuário Ubuntu
  • *
  • Mensagens: 309
  • "Não é possível semear de mãos fechadas"
    • Ver perfil
    • YouTube
Re:Não consigo acessar o Banco do Brasil
« Resposta #40 Online: 28 de Março de 2017, 12:46 »
Apenas instalei o Warsaw direto do servidor, não usei o pacote .deb do Banco do Brasil.

Veja a solução em: https://talesam.org/2017/03/14/instalando-o-modulo-de-seguranca-banco-brasil-warsaw/

Se você simplesmente instalou o Warsaw e ele funcionou, é praticamente certo que seu Linux está desprotegido (está com o firewall "desativado"). Vamos fazer um teste? Execute este comando:

Código: [Selecionar]
for i in INPUT FORWARD; do sudo iptables -S |grep $i; done |grep ACCEPT
Se não apareceu nada, seu sistema está protegido por firewall. Mas, se apareceu isto:
Código: [Selecionar]
-P INPUT ACCEPT
-P FORWARD ACCEPT

...então o firewall do seu sistema está, por padrão, executando uma política de aceitar conexões de entrada e encaminhamento de portas, o que é uma má ideia (estou usando um eufemismo).

=> Tenho a impressão de que a maioria dos usuários de Linux está instalando o Warsaw sem vivenciar problemas justamente porque estão usando o Linux com o firewall ativado em "modo passivo": o que na prática é o mesmo que deixar o firewall desativado. :(

Para resolver isso, é recomendável seguir o que sugeri neste post: ele ensina a fazer uma "limpeza completa" (excluir HDA_BB, Warsaw, desligar o firewall etc.) e em seguida instalar o Warsaw e ativar o firewall com um conjunto básico de proteções.

PS: se o seu sistema estiver com a proteção básica do firewall ativada, então este comando:

Código: [Selecionar]
for i in INPUT FORWARD; do sudo iptables -S |grep $i; done |grep DROP
...retornará algo assim:
Código: [Selecionar]
-P INPUT DROP
-P FORWARD DROP

O que é um bom sinal. ;)
« Última modificação: 28 de Março de 2017, 12:52 por Sampayu »
Yuri Sucupira ("Sampayu")

Offline druidaobelix

  • Usuário Ubuntu
  • *
  • Mensagens: 4.245
    • Ver perfil
Re:Não consigo acessar o Banco do Brasil
« Resposta #41 Online: 28 de Março de 2017, 15:24 »
[...] Se você simplesmente instalou o Warsaw e ele funcionou, é praticamente certo que seu Linux está desprotegido (está com o firewall "desativado").
...então o firewall do seu sistema está, por padrão, executando uma política de aceitar conexões de entrada e encaminhamento de portas, o que é uma má ideia (estou usando um eufemismo).

=> Tenho a impressão de que a maioria dos usuários de Linux está instalando o Warsaw sem vivenciar problemas justamente porque estão usando o Linux com o firewall ativado em "modo passivo": o que na prática é o mesmo que deixar o firewall desativado. :(


Veja, prezado "Sampayu",

Penso que possa ser adequado esclarecer esse ponto de forma mais ampla.

Não uso firewall ativado no Linux e jamais usarei qualquer ferramenta dessa espécie, seja IFW ou IPTABLES, na instalação presente, que está devidamente protegida por um roteador Cisco profissional, o qual possui um excelente firewall por padrão e, querendo, configurável.

Numa outra instalação os computadores são clientes de servidores que fazem todo o gerenciamento de acesso, obviamente incluindo as restrições de firewall, então também não há necessidade de ativar firewall individualmente.

Então, suponho, de forma geral podemos dizer que quando o computador estiver atrás de um roteador no qual esteja ativado o firewall próprio dele, observados o login próprio (=não o que vem de fábrica) + senha forte, isso torna desnecessária a ativação de firewall no Linux.

Não consigo vislumbrar ganho e tampouco necessidade da superposição de dois firewalls ativados para a mesma instalação.

Entendo que para explicar, pelo que sim, pelo que não, é mais fácil mandar logo o cidadão ativar o firewall do Linux e pronto, mas esse não é um fato técnico.

Daí que, creio, como simples opinião, possamos estender essa explicação deixando clara essa exceção.

O usuário Linux é tipicamente bem informado tecnologicamente e consegue entender esses conceitos com facilidade.

Ademais, note, se é adequado, vantajoso ou não ativar firewall no Linux é matéria estranha ao cerne do tópico, que é apenas conseguir acesso à conta corrente através do site do Banco do Brasil.Claro que suplementarmente isso possa ser um ponto, mas o fato é que não é necessário ter firewall ativado para ter acesso ao BB, daí que a questão uso ou não de firewall acaba ultrapassando os limites naturais do tópico, que é apenas acessar o BB.

É uma simples contribuição ao raciocínio, pois sei pela experiência da convivência que seus posts e tópicos são sempre muito bem elaborados, dos melhores deste Fórum, e primam pela qualidade técnica.



« Última modificação: 28 de Março de 2017, 15:42 por druidaobelix »
www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

Offline Sampayu

  • Usuário Ubuntu
  • *
  • Mensagens: 309
  • "Não é possível semear de mãos fechadas"
    • Ver perfil
    • YouTube
Re:Não consigo acessar o Banco do Brasil
« Resposta #42 Online: 28 de Março de 2017, 22:45 »
Não uso firewall ativado no Linux e jamais usarei qualquer ferramenta dessa espécie, seja IFW ou IPTABLES, na instalação presente, que está devidamente protegida por um roteador Cisco profissional, o qual possui um excelente firewall por padrão e, querendo, configurável...

Essa é uma questão polêmica: há quem prefira ativar só o firewall por hardware (que na verdade é um firewall por software, só que em execução num hardware fisicamente separado do computador), há quem prefira ativar os dois (firewall "por hardware" e firewall por software). Particularmente, considero extremamente difícil (para não dizer impossível) definir qual é o "melhor" cenário, tendo em vista a enorme quantidade de variáveis envolvidas no tema, entre elas:
1) Há diversos usuários que recentemente migraram do Windows para o Linux, não entendem praticamente nada de sistemas de arquitetura Unix e, por essas razões, possuem pouco ou absolutamente nenhum conhecimento que lhes possibilite configurar um firewall, seja no roteador ou no Linux.
2) Há roteador que possui firewall bom (bem completo), mas há roteador com firewall bem limitado (poucos recursos).
3) Não é todo mundo que configura por completo o firewall do roteador (mesmo quando o roteador possui um firewall bastante completo).
4) Se por um lado um firewall por software pode ser desconfigurado por um vírus presente em um sistema comprometido, por outro lado um usuário que use Linux em um dispositivo portátil (notebook, netbook etc.) pode acabar se conectando a uma rede wi-fi pública (em um shopping, aeroporto, rodoviária etc.) e daí o firewall por software será a única proteção do sistema dele contra aplicações maliciosas porventura em execução no computador que está servindo o acesso à web (servidor proxy dessa rede pública, por exemplo).
5) Caso a pessoa esteja usando o computador numa rede local (LAN) com vários computadores (em um laboratório de informática, por exemplo), o firewall do roteador pode não impedir certos tipos de ataque, já que "fecha" as portas acessadas por computadores remotos (na Internet, por exemplo) mas abre essas portas para os computadores que pertençam à mesma rede ou subrede desse roteador. Em casa eu uso 3 dispositivos na minha WAN (LAN sem fios), todos rodam o serviço SMB, mas estão com autenticação ligada e o firewall só permite passagem pelas portas TCP e UDP do serviço SMB nos endereços IP estáticos que reservei para os computadores que usam esse serviço. Isso evita que um dispositivo convidado (notebook de um colega ou vizinho que venha aqui em casa) consiga acesso indevido a algum dos meus outros dispositivos e os infecte com algum vírus, worm ou outro tipo de "malware".
6) Firewall por hardware não impede ataques quando o computador é um dispositivo móvel (tablet, por exemplo) e esse dispositivo móvel acessa a Internet via 3G ou 4G.

Como eu não conheço o perfil e nível de conhecimentos técnicos de todos os usuários que leem estes tópicos, não conheço os dispositivos que eles usam, não sei quais são as necessidades deles, não sei quais estão usando roteador ou conectando o computador diretamente a um modem sem firewall, quais estão acessando a Internet via rede móvel (3G, 4G...) etc., estou optando pelo modo "paranoid", que consiste em recomendar a solução mais segura com o menor nível possível de complexidade. E isso (na minha opinião, claro  ;D) significa instalar o UFW (independentemente de o usuário possuir roteador com firewall ativo ou não), pois ao ser habilitado o UFW imediatamente muda para "DROP" ("ignorar") a política para todos os pacotes TCP e UDP de entrada (INPUT) e de encaminhamento (FORWARD). :)

No fim das contas, é mesmo uma questão de preferência pessoal. Mas, como há uma certa dose de responsabilidade em eu expor recomendações publicamente, optei por apresentar uma proposta genérica, que tende a favorecer a maioria. Digo: na pior das hipóteses, ativar o firewall por software não fará diferença nenhuma, e na melhor das hipóteses impedirá alguns ataques tanto dentro da própria rede local quanto em outros cenários possíveis (como no caso de ausência de roteador, acesso a uma rede pública ou acesso à Internet via rede móvel).

=> Alguns artigos que discutem um pouco esse tópico polêmico:

Yuri Sucupira ("Sampayu")

Offline druidaobelix

  • Usuário Ubuntu
  • *
  • Mensagens: 4.245
    • Ver perfil
Re:Não consigo acessar o Banco do Brasil
« Resposta #43 Online: 28 de Março de 2017, 23:54 »
OK, me convenceu, como sempre excelente análise.  :)

Considerando a generalidade de usuários e o princípio da cautela, esse argumento foi decisivo:

"[...] por outro lado um usuário que use Linux em um dispositivo portátil (notebook, netbook etc.) pode acabar se conectando a uma rede wi-fi pública (em um shopping, aeroporto, rodoviária etc.) e daí o firewall por software será a única proteção do sistema dele contra aplicações maliciosas porventura em execução no computador que está servindo o acesso à web (servidor proxy dessa rede pública, por exemplo)."
www.arredondar.org.br
Vencedor Desafio de Impacto Social Google 2016!
Você também pode participar e fazer a diferença.

Offline Sampayu

  • Usuário Ubuntu
  • *
  • Mensagens: 309
  • "Não é possível semear de mãos fechadas"
    • Ver perfil
    • YouTube
Re:Não consigo acessar o Banco do Brasil
« Resposta #44 Online: 29 de Março de 2017, 02:13 »
OK, me convenceu, como sempre excelente análise.  :)

Considerando a generalidade de usuários e o princípio da cautela, esse argumento foi decisivo:

"[...] por outro lado um usuário que use Linux em um dispositivo portátil (notebook, netbook etc.) pode acabar se conectando a uma rede wi-fi pública (em um shopping, aeroporto, rodoviária etc.) e daí o firewall por software será a única proteção do sistema dele contra aplicações maliciosas porventura em execução no computador que está servindo o acesso à web (servidor proxy dessa rede pública, por exemplo)."

Bacana.  :)

Off-topic: um colega que usa Fedora está "sofrendo" com a instalação do Warsaw. Fui dar uma "espiada" e vi que o instalador do Warsaw via script (aquele arquivo "RUN") está mal configurado e não está dando certo (embora para o caso do Ubuntu o script RUN esteja corretamente configurado): no caso do Fedora, é necessário pegar o pacote RPM e instalar. Outro problema é que no Fedora o Firefox 51 (mesmo sem Java) não consegue usar websocket com o certificado autoassinado do banco: é necessário rodar sudo yum upgrade firefox no Fedora e reiniciar o computador, para que o Firefox seja atualizado para a versão 52 e daí consiga usar o websocket (com o certificado autoassinado que o Warsaw cria para que a conexão SSL seja possível). Também é necessário ativar a proteção SYN FLood, no Fedora, senão os pedidos do daemon /usr/local/bin/warsaw/core também não passam pelo firewall (ou os pedidos do servidor remoto não passam pelo firewall). Enfim: a comunicação full-duplex não ocorre.

Enfim: esse tal de "Warsaw" tem umas falhas de implementação para as distros Linux... A principal delas é esse problema com os pacotes TCP SYN.  ::)

2h da madrugada.  :o Hora de ir dormir. ;D Zzzz...
Yuri Sucupira ("Sampayu")