RAID

RAID a sigla para Redundant Array of Independent Disks. Sua definio em portugus seria "Matriz Redundante de Discos Independentes". uma tecnologia que "une" vrios HDs formando assim uma nica unidade lgica, um conjunto de HDs que funcionam como se fossem um s, dependendo do nvel ele cria espelhamento de todos os dados, etc.. Tornando dessa maneira o armazenamento de dados mais seguros, tanto contra falhas de software como falhas fsicas, entre outros benefcios. O RAID trabalha em vrios niveis. No arquivo abaixo pode-se visualizar uma apresentao que tive uns 2 anos atrs no curso que fazia de graduao, nessa apresentao h detalhes sobre os nveis. CLIQUE AQUI PARA BAIXAR A APRESENTAO Postado por Anderson Weige Dias s 15:52 Nenhum comentrio: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Ferramentas, Segurana
tera-feira, 28 de dezembro de 2010

Certificao Digital - Conceito e Aplicaes

Atualmente todos ns buscamos praticidade e principalmente segurana em nosso dia-adia, os processos que lidamos em nosso cotidiano esto passando por uma fase de transformao, onde a agilidade e confiabilidade fazem parte dos negcios. Identidade Digital Uma dessas transformaes a possibilidade de identificar as pessoas atravs do uso da Identidade Digital, esta, uma credencial eletrnica segura e confivel, que pode ser utilizada para acesso a servios digitais do governo, bancos e diversas outras aplicaes de mercado. Est contida em um certificado digital, que uma tcnica fundamental na sociedade da informao para dar mais segurana, ao comrcio eletrnico, transaes de governo eletrnico e a privacidade dos cidados. Um certificado digital capaz de prover autenticao, assinatura eletrnica, cifras entre outros recursos. ICP-Brasil O Brasil utiliza atualmente o padro ICP-Brasil que significa Infra-Estrutura de Chaves Pblicas Brasileira, onde esto especificadas as polticas de certificados, normas tcnicas e operacionais a serem utilizadas. O ITI Instituto Nacional de Tecnologia da Informao uma autarquia federal, vinculado diretamente a Casa Civil tendo entre suas misses cuidar e manter a ICP-Brasil.

Autoridade de Certificao e Validade Jurdica Assim como um RG expedido pela Secretaria de Segurana Pblica, um Certificado Digital expedido atravs da Autoridade de Certificao. Essa AC responsvel pela emisso, controle e revogao dos seus certificados emitidos. Abaixo da hierarquia da Autoridade Certificadora encontramos a AR, Autoridade de Registro, que responsvel pela validao presencial e requisio dos certificados. A medida provisria 2.200-2 com fora de lei, garante aos certificados emitidos pela ICP-Brasil a autenticidade, integridade e validade jurdica dos documentos em forma eletrnica, das aplicaes de suporte e das aplicaes habilitadas que utilizem certificados digitais, bem como a realizao de transaes eletrnicas seguras. Confiabilidade na Assinatura Digital Um documento assinado digitalmente reconhecido como sua prpria assinatura, os seus mecanismos de segurana garantem a autenticidade que prova que o assinante realmente quem diz ser, prova tambm a sua integridade que a garantia que esse documento no foi alterado aps a assinatura. Isso muito importante para evitar, principalmente, falsificaes em documentos. O no-repdio a garantia que a pessoa que realizou determinada transao eletrnica, no poder posteriormente negar sua autoria, visto que somente aquela chave privada poderia ter gerado assinatura digital prpria. A utilizao dos certificados digitais tende a crescer cada vez mais no Brasil e no mundo. Uma srie de atividades que antes requeriam a validao presencial e porte de documentos j est sendo substituda por validao eletrnica. Onde atravs do seu certificado digital, pessoas fsicas e jurdicas realizam suas transaes eletrnicas. Principais Vantagens Os principais ganhos com a utilizao de certificados digitais so: 1)Maior segurana e confiana nos processos; 2)Eliminao de burocracia; 3)Ganho de eficincia; 4)Otimizao de tempo; 5)Reduo de custos. Exemplos de Utilizao Alguns exemplos de utilizao do certificado digital: - Assinatura digital de e-mail Os e-mails podem ser assinados e cifrados para maior segurana - Autenticao de aplicaes em Internet Banking

O acesso a conta bancria e transaes financeiras passam por um processo de autenticao forte, garantindo maior segurana contra fraudes eletrnicas - Autenticao de aplicaes como VPN Atravs da internet, os usurios tm acesso aos sistemas internos, utilizando autenticao por certificados digitais com smart card, assim como a criao de comunicao segura. - Acesso aos servios e-CAC A Receita Federal disponibiliza o Centro Virtual de Atendimento ao Contribuinte, onde atravs de certificados digitais e-CPF e e-CNPJ so disponibilizados diversos servios como alteraes cadastrais, acompanhamento processos tributrios eletronicamente, situao fiscal e procurao eletrnica. - Assinatura de documentos eletrnicos individuais e em lote Um documento assinado eletronicamente possui validade legal, dispensando o uso e armazenamento em papel. Com esse recurso possvel a assinatura de centenas de documentos ao mesmo tempo, ganhando muita agilidade em aprovaes, podendo ainda ser realizado a partir de qualquer localidade. Composio do Certificado Um certificado digital normalmente contm as seguintes informaes: - Sua chave pblica - Seu nome e endereo de e-mail - Para qual fim destinado o certificado - A validade da chave pblica - O nome da Autoridade Certificadora - O nmero de srie do Certificado Digital - A assinatura digital da Autoridade Certificadora Processo de Assinatura Digital Vamos exemplificar o processo da assinatura digital realizado por Paulo: Num processo de assinatura digital o documento passa por uma funo matemtica chamada Hash, onde gerado um resumo nico do documento. Com a chave privada, esse Hash criptografado e enviado juntamente com o documento assinado eletronicamente. Ao receber o documento, o destinatrio aplica a funo Hash novamente obtendo o resumo1.

Utilizando a chave pblica de Paulo o resumo decriptografado e ambos so comparados resumo1 e resumo, se eles forem iguais, o documento est ntegro e autntico, ou seja, no foi alterado e realmente foi enviado por Paulo. Qualquer alterao no documento geraria uma funo Hash diferente, o fato da chave pblica de Jos abrir o arquivo criptografado, prova que o mesmo foi assinado digitalmente com a chave privada correspondente. Todo esse processo realizado de forma automtica pelo sistema instalado em seu computador, tornando o processo seguro e confivel. Certificado Digital padro A3 Existem diversos tipos e utilizaes para os certificados digitais, abordaremos somente o padro A3. O certificado digital Tipo A3 oferece maior segurana, pois, seus dados so gerados, armazenados e processados em smart card ou token, permanecendo assim inviolveis e nicos, uma vez que a chave privada gerada dentro do dispositivo e no pode ser exportada. Somente o detentor da senha de acesso pode fazer utilizao da chave privada. Por estar contido em um dispositivo como smart card ou token, ter a possibilidade de ser transportado e utilizado em qualquer computador. A finalidade dos dispositivos smart card e token a mesma, para utilizao do smart card necessria uma leitora de carto, j o token, possui interface padro USB e dispensa o uso de leitora. Segurana no Certificado A3 Para utilizao do certificado digital do tipo A3 so necessrios dois itens, algo que voc sabe sua senha e algo que voc possui, seu smart card ou token. Dessa forma, mesmo que um programa malicioso capture sua senha, no ser possvel a utilizao do seu certificado, pois, a chave privada est contida dentro do seu dispositivo que somente voc possui. PIN e PUK O acesso a chave privada protegido por senha conhecido como PIN. Sendo sua senha primria, ao inserir corretamente oPIN liberado o uso da chave privada contida no certificado. Existe uma senha mestra conhecida como PUK utilizada somente quando o PIN bloqueado, atravs dela possvel reaver a senha de PIN. Este ltimo bloqueado aps trs tentativas de senha invlida. O PUK tambm passvel de bloqueio com trs tentativas invlidas. Lembre-se que a senha de PIN e PUK de uso pessoal e intransfervel, assim como sua senha do banco. A proteo do smart card ou token muito importante, pois a chave privada contida no mesmo nica, se houver perda ou roubo desse dispositivo, o certificado deve ser imediatamente revogado junto a Autoridade de Registro. Aps isso, o certificado no reconhecido como confivel para qualquer tipo de uso nos sistemas. Cuidados com seu Certificado Digital

Os principais cuidados que devem ser tomados com o seu certificado e dispositivos so: - Perda do smart card ou token - Perda da senha PIN e PUK - Formatao do dispositivo - Remoo das chaves - Dano fsico ao smart card ou token A emisso de um novo certificado digital gera custo, alm de ser necessrio um novo processo de emisso presencial, junto a um agente de validao da Autoridade de Registro. Postado por Anderson Weige Dias s 15:07 Nenhum comentrio: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Segurana
tera-feira, 14 de dezembro de 2010

Criptografia com GnuPG

O GNU Privacy Guard (GnuPG ou GPG) uma alternativa de software livre para a sute de criptografia PGP, liberado sob a licena GNU General Public License. Ele parte do projeto GNU da Free Software Foundation e recebe a maior parte do seu financiamento do governo alemo. O GnuPG completamente compatvel com o padro IETF para o OpenPGP. 1)Instalao do GPG Primeiramente necessrio instalar o GPG (www.info.abril.com.br/download/5293.shtml). Faa a instalao no local-padro de seu PC (por exemplo: C:\Arquivos de programas\GNU\GnuPG). No preciso alterar nenhuma opo durante a instalao. Reinicie o PC e rode o aplicativo WinPT, no menu do GPG. 2) Criao das chaves

Agora devemos criar as chaves pblica e privada do GPG, para criptografar e assinar as

mensagens. Para isso, selecioneGenerate a GnuPG Key Pair. Pressione OK. Tecle, ento, seu nome e o e-mail que ser usado com a chave, clicando emOK depois disso. A seguir, digite a senha da chave. importante que ela seja longa (no mnimo oito caracteres) e difcil de quebrar. Pressione OK, tecle a senha novamente e clique em OK. 3)Backup

importante manter um backup das chaves do GPG. Se elas forem perdidas, no ser mais possvel desembaralhar os e-mails j enviados ou recebidos. O processo de criao das chaves permite fazer isso agora, pressionando o boto Sim. Escolha um drive onde ficam outros backups ou um pen drive para permitir o uso das chaves em qualquer lugar e clique em Salvar. Depois disso, ser mostrada a tela principal do gerenciador de chaves do GPG, com o item recm-criado. Clique no boto X para minimizar o gerenciador para a rea de notificao. 4) Extenso FireGPG

O prximo passo instalar a extenso FireGPG no navegador Firefox. Para isso, acesse www.info.abril.com.br/download/4844.shtml e, ao chegar pgina do produto, clique no boto de download. Ser mostrada uma mensagem do Firefox indicando que a instalao da extenso foi bloqueada. Pressione, na barra que surgiu, o botoEditar Opes. Na janela que aparece, pressione Permitir. Clique no boto de download do programa novamente. Espere alguns segundos e pressione o boto Instalar Agora. Depois, reinicie o Firefox.

5) Configurao

Com o Firefox aberto, clique com o boto direito do mouse em qualquer local numa pgina da web e escolhaFireGPG > Opes. Na janela que aparece, passe seo GPG, marque o item Especificar Manualmente a Localizao do GnuPG e pressione o boto Configurar a Localizao do GnuPG. Localize a pasta onde o GPG foi instalado, clique no arquivo gpg.exe e pressione Abrir. Clique no boto OK para confirmar as mudanas. 6) Teste de funcionamento

Abra o Gmail no Firefox. Ao criar uma nova mensagem, verifique se os botes de acesso rpido ao FireGPG so mostrados. Eles permitem assinar e criptografar a mensagem, com envio automtico ou no. Escreva algo no corpo da mensagem e clique no boto Cifrar. Note que o texto fica embaralhado.

7) Outros servios

O FireGPG tambm funciona para desembaralhar dados em outros servios de webmail. Para fazer essa operao, basta selecionar todo o texto criptografado, incluindo os cabealhos (ou seja, com as linhas Begin GPG Message eEnd GPG Message), clicar com o boto direito na pgina e acessar FireGPG > Decifrar. Ser mostrada uma janela com o texto desembaralhado. Adaptado de: http://info.abril.com.br/dicas/internet/email/proteja-as-mensagens-dogmail-contra-crackers-e-arapongas.shtml Postado por Anderson Weige Dias s 13:59 Nenhum comentrio: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Segurana
sexta-feira, 12 de novembro de 2010

Samba com LDAP

1 - Instalando Samba com LDAP

O objetivo deste artigo explicar o processo de instalao do servidor Samba atuando como PDC e utilizando o OpenLdap como backend (banco de dados).

2 - Contexto da instalao:
Este o contexto utilizado neste documento.

Debian 5.0 - Lenny Linguagem: pt_br Endereo do servidor remoto: 10.1.0.17 Principais pacotes a serem instalados: slapd ldap-utils phpldapadmin samba smbldap-tools libnss-ldap

3 - Configurar o debconf
A instalao inicial do debconf necessria para que as mesmas perguntas destes documento sejam feitas quando a instalao for realizada.
# dpkg-reconfigure debconf

Escolher prioridade de perguntas "baixa".

4 - Servidor LDAP
Instalao do pacote do servidor LDAP:
# aptitude install slapd ldap-utils

Omitir a configurao do servidor LDAP? No Nome do domnio DNS: debian-go.org Nome da organizao: debian-go Senha do admin: segredo "Backend" de base de dados a ser usado: BDB Voc deseja que sua base de dados seja removida quando o slapd for expurgado? Mover base de dados antiga? Sim Permitir Protocolo LDAP v2? No Confira se as configuraes respondidas via debconf esto de acordo com o arquivo de configurao:
# vi /etc/ldap/slapd.conf

No

Reinicialize o servidor:
# /etc/init.d/slapd restart

Verifique os dados iniciais disponveis no servidor LDAP atravs do comando slapcat:

# slapcat dn: dc=debian-go,dc=org objectClass: top objectClass: dcObject objectClass: organization o: debian-go dc: debian-go structuralObjectClass: organization entryUUID: ab548b92-0361-102d-9ca7-a5cb93af3e92 creatorsName: modifiersName: createTimestamp: 20080821001304Z modifyTimestamp: 20080821001304Z entryCSN: 20080821001304Z#000000#00#000000

dn: cn=admin,dc=debian-go,dc=org objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP administrator userPassword:: e2NyeXB0fUU1UXFQZ09zZFQ0YmM= structuralObjectClass: organizationalRole entryUUID: ab555aea-0361-102d-9ca8-a5cb93af3e92 creatorsName: modifiersName: createTimestamp: 20080821001304Z modifyTimestamp: 20080821001304Z entryCSN: 20080821001304Z#000001#00#000000

5 - Frontend PHPLdapadmin
O Phpldapadmin um frontend que permite gerenciar o servidor LDAP atravs de uma interface Web.

6 - Instalao do PHPldapadmin
# aptitude install phpldapadmin apache2

tipo de autenticao: session servidores web com quais ser configurado automaticamente: apache2 (pelo reiniciar o servidor web: sim

menos)

7 - Conferindo a instalao do phpldapadmin

Utilizando um navegador web, aponte para o endereo:
http://10.1.0.17/phpldapadmin

E efetue o logon utilizando o usurio: cn=admin,cn=debian-go,cn=org Utilize a senha fornecida na instalao do servidor LDAP: "segredo".

8 - Instalao do servidor SAMBA

# aptitude install samba

Domnio: debian-go.org Usar senhas criptografadas? Sim Modificar smb.conf para usar configuraes WINS fornecidas via DHCP? No Como voc deseja que o Samba seja executado? daemons Gerar a base de dados para senhas /var/lib/samba/samba.tdb? No

9 - Configurando o LDAP para dar suporte ao Samba

# aptitude install samba-doc # cd /usr/share/doc/samba-doc/examples/LDAP/ # cp samba.schema.gz /etc/ldap/schema/ # cd /etc/ldap/schema # gunzip samba.schema.gz # vi /etc/ldap/slapd.conf ... include ... /etc/ldap/schema/samba.schema

access to attrs=userPassword,shadowLastChange,sambaNTPassword, sambaLMPassword by dn="cn=admin,dc=debian-go,dc=org" write

As ltimas linhas fazem com que o LDAP tenha suporte ao schema dos objetos LDAP do Samba e o usurio admin ter acesso a escrita aos atributos userPassword, shadowLastChange, sambaNTPassword e sambaLMPassword.
/etc/init.d/slapd restart

10 - Configurando o Samba
# vi /etc/samba/smb.conf security = user domain logons = yes # passdb backend = tdbsam # invalid users = root ... # nao utilizar as restries impostas pelo PAM obey pam restrictions = no # Na linha abaixo especifique o IP do servidor Slapd passdb backend = ldapsam:ldap://127.0.0.1 ldap passwd sync = yes ldap delete dn = Yes # Especifique o seu domnio ldap admin dn = cn=admin,dc=debian-go,dc=org ldap suffix = dc=debian-go,dc=org ldap machine suffix = ou=Computadores ldap user suffix = ou=Usuarios ldap group suffix = ou=Grupos ldap idmap suffix = ou=Idmap # Novamente o IP do servidor Slapd idmap backend = ldap:ldap://127.0.0.1 idmap uid = 10000-20000 idmap gid = 10000-20000 #Nas linhas abaixo necessrio especificar corretamente a #path dos utilitrios para gerenciamento de usurios e grupos

#para samba+ldap estes utilitrios so do pacote smbldap-tools add user script = /usr/sbin/smbldap-useradd -m "%u" delete user script = /usr/sbin/smbldap-userdel "%u" add group script = /usr/sbin/smbldap-groupadd -p "%g" delete group script = /usr/sbin/smbldap-groupdel "%g" add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" add machine script = /usr/sbin/smbldap-useradd -w "%u"

11 - Gerao da senha de acesso do samba ao LDAP

# rm /var/lib/samba/secrets.tdb # smbpasswd -w segredo # net getlocalsid SID for domain LAB11 is: S-1-5-21-739826692-572011436-1394361479

O primeiro comando remove o arquivo secrets.tdb, que contm informaes de senha. A remoo deste necessria para um nova instalao do Samba integrado ao LDAP. O segundo comando insere a senha do usurio admin do ldap no arquivo /var/lib/samba/secrets.tdb. O ltimo comando fornece um identificador para a rede Windows, este ser necessrio para o prximo passo.

12 - Configurao do smbldap-tools
# aptitude install smbldap-tools # vi /etc/smbldap-tools/smbldap_bind.conf slaveDN="cn=admin,dc=debian-go,dc=org" slavePw="segredo" masterDN="cn=admin,dc=debian-go,dc=org" masterPw="segredo" # vi /etc/smbldap-tools/smbldap.conf # Esta primeira linha voc deve especificar o SID da rede, #para isso use o comando: net getlocalsid SID="S-1-5-21-739826692-572011436-1394361479" # Especifique o workgroup do samba sambaDomain="debian-go.org" # Ip do servidor Slapd slaveLDAP="127.0.0.1" slavePort="389" # Ip do servidor Slapd masterLDAP="127.0.0.1" masterPort="389" ldapTLS="0" verify="" cafile="" clientcert="" clientkey="" suffix="dc=debian-go,dc=org"

usersdn="ou=Usuarios,${suffix}" computersdn="ou=Computadores,${suffix}" groupsdn="ou=Grupos,${suffix}" idmapdn="ou=Idmap,${suffix}" sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}" scope="sub" hash_encrypt="SSHA" crypt_salt_format="" userLoginShell="/bin/bash" userHome="/home/%U" userHomeDirectoryMode="700" userGecos="System User" defaultUserGid="513" defaultComputerGid="515" skeletonDir="/etc/skel" defaultMaxPasswordAge="45" userSmbHome="\lab17\%U" userProfile="\lab17\%U" userHomeDrive="H:" with_smbpasswd="0" smbpasswd="/usr/bin/smbpasswd" with_slappasswd="0" slappasswd="/usr/sbin/slappasswd"

13 - Popular o LDAP
#smbldap-populate

Este comando acima ir popular a base de dados ldap com objetos necessrios para a administrao do smbldap-tools. Verifique no phpldapadmin os objetos ldap criados, especialmente note os grupos e usurios criados.

14 - Instalao do libnss-ldap
# aptitude install libnss-ldap

Identificador Uniforme de Recursos do servidor LDAP: ldap://127.0.0.1 Nome distitnto da base de pesquisa: dc=debian-go,dc=org Verso LDAP a usar: 3 A base de dados LDAP requer login: Sim Privlegios especiais LDAP para o root? Sim Permitir a leitura/escrita no ficheiro de configurao apenas para o dono? No Conta LDAP para o root: cn=admin,dc=debian-go,dc=org Password da conta root do LDAP: segredo Utilizador sem privilegios da base de dados: cn=admin,dc=debian-go,dc=org Password da conta para fazer login na base de dados: segredo

15 - Configurao do libnss
# vi /etc/nsswitch.conf #passwd: compat passwd: files ldap #group: compat group: files ldap

16 - Incluso de usurio para testes

# vi /etc/nextuid.ldif dn: cn=NextFreeUnixId,dc=debian-go,dc=org objectClass: inetOrgPerson objectClass: sambaUnixIdPool uidNumber: 10000 gidNumber: 10000 cn: NextFreeUnixId sn: NextFreeUnixId # ldapadd -x -D cn=admin,dc=debian-go,dc=org -W -f nextuid.ldif # smbldap-useradd teste # smbldap-usershow teste # smbldap-passwd teste # smbpasswd -a teste # smbldap-usershow teste # mkdir /home/teste

Note a diferena entre os dois comandos smbldap-usershow acima.

17 - Incluso do usurio root

# smbldap-useradd root # smbldap-usershow root # smbldap-passwd root # smbpasswd -a root # smbldap-usershow root

18 - Teste com cliente Windows

Entrar no Windows como administrador Mouse boto-direito no Meu Computador Aba "Nome do computador" Clicar em mudar Boto renomear o computador Selecionar a opo domnio; Alterar o domnio desejado (debian-go.org)

19 - Referncias:

1. Openldap instalation on Debian - http://www.debianadministration.org/articles/585 2. Jarbas Jnior - Instalando LDAP + Samba http://wiki.sintectus.com/bin/view/GrupoLinux/InstalacaoLdapSamba 3. Geovanny Junio da Silva http://www.vivaolinux.com.br/artigo/Configuracao-simples-Samba-+-LDAP 4. Debian for dummies http://www.debianfordummies.org/wiki/index.php/Samba_Ldap_Howtohttp://www.debianfo rdummies.org/wiki/index.php/Samba_Ldap_Howto Postado por Anderson Weige Dias s 13:37 2 comentrios:

Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Segurana

sexta-feira, 29 de outubro de 2010

LDAP
Uma autenticao centralizada faz parte do processo de adequao do ambiente as boas prticas de segurana. Esta soluo prov recursos que atendem aos principios de autenticidade e no-repdio. Usando a criptografia juntamente com esta soluo pode-se previnir ataques de hijacking, spoofing e man in the middle. O LDAP (Lightweight Directory Access Protocol) um protocolo cliente-servidor, utilizado para acessar um servio de Diretrio. Ele foi inicialmente usado como uma interface para o X.500, mas tambm pode ser usado com autonomia e com outros tipos de servidores de Diretrio. Atualmente vem se tornando um padro, diversos programas j tm suporte a LDAP. Livros de endereos, autenticao, armazenamento de certificados digitais (S/MIME) e de chaves pblicas (PGP), so alguns dos exemplos onde o LDAP j amplamente utilizado. O Openldap a soluo livre para a implementao do LDAP. Diferentemente das solues proprietrias ( e.g. Active Directory (tm) ), ele implementa de forma fidedigna as especificaes das RFCs deste protocolo. Uma das principais vantagens do LDAP a facilidade em localizar informaes e arquivos disponibilizados. Pesquisando pelo sobrenome de um funcionrio possvel localizar dados sobre ele, como telefone, departamento onde trabalha, projetos em que est envolvido e outras informaes includas no sistema, alm de arquivos criados por ele ou que lhe faam referncia. Cada funcionrio pode ter uma conta de acesso no servidor LDAP, para que possa cadastrar informaes sobre s e compartilhar arquivos. O LDAP oferece uma grande escalabilidade. possvel replicar servidores (para backup ou balanceamento de carga) e incluir novos servidores de uma forma hierrquica, interligando departamentos e filiais de uma grande multinacional por exemplo. A organizao dos servidores neste caso similar ao DNS: especificado um servidor raiz e a partir da possvel ter vrios nveis de sub-servidores, alm de mirrors do servidor principal. Tela do LDAP, um dos passos para se criar um usurio:

Postado por Anderson Weige Dias s 15:11 Nenhum comentrio: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Segurana
sexta-feira, 22 de outubro de 2010

Portscanner - Nessus
Um port scanner (scanner de porta) um aplicativo com o objetivo de testar as portas lgicas de determinado host remoto. Neste teste ele identifica o status das portas, se esto fechadas, escutando ou abertas. O Nessus um programa de verificao de falhas/vulnerabilidades de segurana (portas, vulnerabilidades, exploits). Ele composto por um cliente e servidor, sendo que o scan propriamente dito feito pelo servidor. O nessusd (servidor Nessus) faz um port scan ao computador alvo, depois disso vrios scripts (escritos em NASL, Nessus Attack Scripting Language) ligam-se a cada porta aberta para verificar problemas de segurana. O Nessus ajuda a identificar e resolver alguns problemas de vulnerabilidades. A parte Servidor executa os testes enquanto a parte cliente permite a configurao e emisso de relatrios. Postado por Anderson Weige Dias s 13:45 Nenhum comentrio: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Ferramentas, Segurana
quarta-feira, 13 de outubro de 2010

Shorewall
Shorewall (mais apropriadamente como Shoreline Firewall) uma ferramenta de firewall Linux de cdigo aberto, que se baseia no Netfilter (iptables / ipchains) sistema embutido no kernel do Linux, possibilita uma configurao mais organizada e rpida do seu firewall, tornando mais fcil para gerenciar sistemas de configurao mais complexa. Usando uma analogia compreensvel para programadores: Shorewall iptables, o C a linguagem assembly. Ele fornece um nvel maior de abstrao para descrever regras de uso de arquivos de texto. Abaixo temos o link para o tutorial passo a passo de como instalar e configurar o Shorewall no Debian:http://www.megaupload.com/?d=OYQZ7PI8 Postado por Anderson Weige Dias s 13:44 Nenhum comentrio: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Segurana
quinta-feira, 30 de setembro de 2010

Sniffer
Sniffers ou farejadores so softwares muito teis. To grande a utilidade deles, que at os sistemas de IDS (como o Snort) so feitos com base em sniffers. Um sniffer um programa que consegue capturar todo o trfego que passa em um segmento de uma

rede. Para tornar mais fcil o entendimento, observe a imagem abaixo:

Quando ligamos computador no HUB, e enviamos informao de um computador para o outro, na realidade esses dados vo para todas as portas do HUB, e conseqentemente para todas as mquinas. Acontece que s a mquina na qual a informao foi destinada enviar para o sistema operacional. Se um sniffer estivesse rodando nos outros computadores, mesmo sem esses sistemas enviarem a informao que trafega ali para o sistema operacional, o farejador interceder na camada de rede, capturando os dados e mostrando-os para o usurio, de forma pouco amigvel. Geralmente os dados so organizados por tipos de protocolo (TCP, UDP, FTP, ICMP, etc...) e cada pacote mostrado pode ter seu contedo lido. Postado por Anderson Weige Dias s 22:49 Um comentrio: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Segurana
quarta-feira, 22 de setembro de 2010

Criptografia Convencional
Princpios da Criptografia Convencional A criptografia convencional possui cinco elementos: o texto plano; o algoritmo de criptografia; a chave secreta; o texto cifrado (codificado); o algoritmo de decriptografia. Observao: A segurana da criptografia depende do segredo da chave, e no do algoritmo que, geralmente, de domnio pblico. A criptografia pode ser classificada de acordo com: o tipo de operao utilizada para transformar o texto plano em texto cifrado;

 o nmero de chaves utilizadas: - simtrica: utiliza uma nica chave; - assimtrica: utiliza duas chaves ou criptografia de chave pblica; a forma como o texto plano processado. Tempo mdio necessrio para decriptografia utilizando a fora bruta:

Postado por Anderson Weige Dias s 09:26 Nenhum comentrio: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Segurana
quarta-feira, 1 de setembro de 2010

Configurando Snort e Guardian

Instalando o Snort no Debian

Snort um "farejador" que analisa todo o trfego da rede, porm no toma nenhuma atitude. Neste tutorial voc ver como integrar o Snort com o Guardian. O Guardian, por sua vez, toma a ao de atualizar o iptables com os alertas gerados pelo Snort, ou seja, ele interpreta o log do Snort e atualiza a regra do iptables. Antes de iniciar, vamos colocar os seguintes mirrors em nosso sources.list:

Cdigo: Selecionar todos deb http://ftp.us.debian.org/debian lenny main contrib non-free deb http://de.debian.org/debian squeeze main Agora vamos atualizar a lista de pacotes: # apt-get update Criar diretrio IDS na raiz: # mkdir /IDS Criar diretrio para instalao do http: # mkdir /www Copiar todos os pacotes para /IDS:

# cp snort-xxx.tar.gz /IDS # cp http-xxx.tar.gz /IDS Descompactar em /IDS e fazer a compilao: # tar -zxvf http-xxx.tar.gz # cd http-xxx Obs.: Verifique se o pacote build-essential est instalado, pois utilizaremos o compilador GCC e esse pacote j vem o GCC e outros softwares. Caso no esteja devidamente instalado, utilize: # apt-get -y install build-essential # ./configure --prefix=/www # make && make install Verifique se o iptables est instalado e sua verso utilizando: # iptables -V Antes de instalar o Snort, vamos instalar a Libcap, que necessria para a instalao do Snort: # apt-cache search libpcap (assim verificamos o nome e a verso do pacote) # apt-get -y install libpcap0.8-dev Foi utilizada a verso 0.8 da libpcap. Precisamos instalar tambm o Libpcre: # apt-get -y install libpcre3-dev Agora vamos instalar o Snort-xxx: # tar -zxvf snort-xxx.tar.gz # cd snort-xxx # ./configure # make && make install Crie os seguintes diretrios: # mkdir /etc/snort # mkdir /etc/snort/rules Ainda no diretrio /IDS/snort-xxx faa: # cd etc/

# cp classification.config gen* threshold.conf unicode.map sid* snort.conf reference.config /etc/snort/ Agora vamos colocar as rules baixadas do site snort.org (lembrando que necessrio ter login no referido site para baixar as rules): # cd /IDS # tar -zxvf snortrules-snapshot-CURRENT.tar.gz # cd rules # cp * /etc/snort/rules Obs.: O link direto para download : snortrules-snapshot-CURRENT.tar.gz Para isso voc precisa ter login, mas para criar seu login no site FREE, grtis. :) Crie o arquivo que ir guardar os logs: # mkdir /var/log/snort # cd /var/log/snort # touch alert Para rodar o Snort, edite o arquivo: # vim /etc/snort/snort.conf Altere a linha: var RULE_PATH ../rules Para: var RULE_PATH /etc/snort/rules E faa assim: # snort -c /etc/snort/snort.conf -o Ou melhor: # snort -c /etc/snort/snort.conf -o -i eth0 -D

Definio do Guardian:

"O Guardian, uma ferramenta que l os logs do snort em tempo real e bloqueia algum ataque que esteja vindo de algum lugar na internet, ou melhor, bloqueia alguma coisa que possa vir a ser um problema para seu servidor e/ou voc." - Snort + MySQL + Guardian + ACID - ataliba.eti.br

Agora vamos instalar o Guardian: # cd /IDS # tar -zxvf guardian-1.7.tar.gz # cd guardian-1.7/scripts O programa Guardian utiliza sempre os scripts denominados guardian_block.sh e guardian_unblock.sh. Assim, devero ser copiados para os arquivos com esses nomes correspondentes ao firewall que pretendemos utilizar. Copie: # cp iptables_block.sh /usr/bin/guardian_block.sh # cp iptables_unblock.sh /usr/bin/guardian_unblock.sh # chmod 755 /usr/bin/guardian_block.sh /usr/bin/guardian_unblock.sh # cd .. # cp guardian.pl /usr/bin # chmod 755 /usr/bin/guardian.pl # cp guardian.conf /etc/ Vamos configurar alguns parmetros no guardian.conf: Interface eth0 #Interface eth0, a que ter os terminais bloqueados AlertFile /var/adm/secure #Mude para /var/log/snort/alert TimeLimit 86400 #Mude para um valor em segundos que pretendemos que o endereo IP fique bloqueado pela firewall. O valor 99999999 remove esta opo. Crie o arquivo de log do guardian: # touch /var/log/guardian.log Crie o arquivo guardian.ignore com os endereos IP que se pretende ignorar: # touch /etc/guardian.ignore Inicie o Guardian: # guardian.pl -c /etc/guardian.conf Caso retorne um erro relacionado a seu IP, ex.: Warning! HostIpAddr undefined! Attempting to guess... Abra o arquivo /etc/guardian.conf, no comeo do arquivo, descomente a linha: # HostIpAddr Deixando assim: HostIpAddr SEUIP

Ex.: HostIpAddr 192.168.0.102 Agora, tente de novo iniciar o Guardian... Para visualizar o log use: # tail -f /var/log/snort/alert Uma observao importante que o Snort, com o pacote bsico das regras, gera muitos falsos positivos, porm serve muito bem! Exstem tambm regras para serem compradas prontas, oque geraria um maior nivel de preciso.

Fonte: VOL Postado por Anderson Weige Dias s 13:58 Nenhum comentrio: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Segurana
sbado, 14 de agosto de 2010

MRTG
O Multi Router Traffic Grapher (MRTG) uma ferramenta de monitorao que gera pginas HTML com grficos de dados coletados a partir de SNMP ou scripts externos. conhecido principalmente pelo seu uso na monitorao de trfego de rede, mas pode monitorar qualquer coisa desde que o host fornea os dados via SNMP ou script. Foi desenvolvido por Tobias Oetiker e Dave Rand. Foi escrito em Perl mas utiliza um mdulo em C para gerar os grficos.

Caractersticas

Mede sempre 2 valores, no caso de trfego, pode ser Entrada e Sada. Faz as leituras via SNMP ou atravs de script que retorne um formato padro. Coleta dados a cada 5 minutos por padro, mas este tempo pode ser aumentado ou diminuido. Cria uma pgina HTML com 4 grficos (dirio, semanal, mensal e anual). Se algum deles no for necessrio pode ser suprimido. O MRTG pode avisar caso o valor do grfico atinja um valor pr-estabelecido. Por exemplo: se determinado servidor atinge 95% do espao do disco, o MRTG pode mandar um e-mail para o administrador informando o ocorrido. Possui uma ferramenta para gerar os arquivos de configurao: o CFGMAKER. Possui uma ferramenta para gerar um pgina de ndice para os casos em que muitos tens so monitorados: o INDEXMAKER. O MRTG software livre distribudo nos termos da GNU General Public License. Postado por Anderson Weige Dias s 14:27 Um comentrio: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Ferramentas, Segurana

quarta-feira, 11 de agosto de 2010

Instalando e configurando SNMP e MRTG

Neste artigo veremos como instalar e usar o SNMP e MRTG. Os agentes SNMP devem ser executados no modo SOMENTE-LEITURA (RO) porque o coletor SNMP somente precisa ler os dados nas mquinas remotas. Limitando como tem a permisso de acessar os agentes nos dispositivos remotos aumentando um pouco a segurana. Nunca esquea que a comunidade SNMP est cruzando a rede em texto limpo e pode ser facilmente interceptada usando ferramentas como o WireShark, antigo Ethereal. Sero necessrios os pacotes SNMP, MRTG e o Apache rodando. Baixe os fontes de acordo com sua distribuio e instale. Instale e configure o SNMP e o MRTG nesta ordem. Tem que ser feito desta forma, pois preciso que o SNMP esteja devidamente configurado para que o MRTG possa atuar sem problemas. Em mquinas debian/Ubuntu Linux: Instale o servio SNMP: #apt-get install snmpd Instale o apache: #apt-get install apache2 Depois de instalados, iremos configurar o SNMP. Edite o arquivo snmpd.conf: # vi /etc/snmp/snmpd.conf Existem diversos tipos de configurao para monitoramento via MRTG, neste texto trataremos de uma configurao simples e funcional. Ache o tpico "## sec.name source community" e descomente as linhas:
com2sec com2sec com2sec local mynet public localhost 192.168.0.0/24 default private public public

Observe a segunda linha, onde est definido o nome e o endereo da rede. Em seguida descomente e defina as seguinte linhas:
group group group group group group mygroup mygroup local local public public v1 v2c v1 v2c v1 v2c mynet mynet local local public public 80 noauth noauth noauth 0 0 0 all all all none none all none none all

view all included .1 access mygroup "" any access public "" any access local "" any

Essas linhas vm descomentadas por padro. Deixe-as:

syslocation Unknown (edit /etc/snmp/snmpd.conf) syscontact Root (configure /etc/snmp/snmp.local.conf)

Pronto salve o arquivo e inicie o servio: # service snmpd start

Configurando MRTG
Voc pode usar o comando apt-get install mrtg e o programa ir baixar e instalar automaticamente. Agora se voc quiser baix-lo, visite a pgina oficial do MRTG: MRTG http://oss.oetiker.ch/mrtg/ O MRTG requer o seguinte para compilar e funcionar no seu Linux: gcc, perl, gd, libpng, zlib. Provavelmente sua distribuio j veio com esses pacotes, ento no os cobrirei neste tutorial. Vamos agora comear a instalao: # tar zpfx mrtg-2.9.25.tar.gz # cd mrtg-2.9.25 # ./configure --prefix=/usr --sysconfdir=/etc/mrtg [...configurando a compilao...] # make [...compilando...] # make install E pronto. Se tudo ocorrer bem, o MRTG estar instalado corretamente no seu sistema, e pronto para o uso! Mas antes, teremos que criar um arquivo de configurao para o MRTG usar. Para isso utilizaremos um utilitrio do MRTG chamado cfgmaker. Tenha em mos o IP do seu roteador e a senha community dele Se voc no souber o que diabos isso, ento est precisando mexer um pouco mais com o roteador :) Execute o comando: cfgmaker --global 'WorkDir: /var/www/html/mrtg' \ --global 'Options[_]: bits,growright' \ --output /etc/mrtg/exemplo.cfg \ community@xxx.xxx.xxx.xxx Onde xxx.xxx.xxx.xxx o IP do seu roteador. Este comando ir gerar o arquivo /etc/mrtg/exemplo.cfg e servir para alterarmos manualmente, comparando com o resultado. Veja este exemplo de configurao final comentada: # --------------------# Configuraes Globais

# --------------------# Diretrio onde vai ficar a pgina com os grficos gerados # pelo MRTG WorkDir: /var/www/html/mrtg # Lngua usada pelo MRTG para as mensagens na pgina Language: brazilian # Opes: # bits = Mostrar a velocidade em bits (bits/bytes) # growright = O grfico cresce para a direita Options[_]: bits,growright # Rodar como Daemon? Assim no ser preciso colocar # no crontab, s precisar colocar um comando na # inicializao do Linux. RunAsDaemon: yes # -------------------------------# Configurao do link 1 (256kbps) # -------------------------------# Aqui voc ter de comparar com o exemplo gerado # pelo comando 'cfgmaker', coloque o valor igual # ao que foi mostrado. O primeiro nmero essencial # para saber a ligao que estamos usando no roteador. Target[EXEMPLO]: 1:community@xxx.xxx.xxx.xxx: # A quantidade de bytes que o link suporta. # 64kbps = 8000 # 256kbps = 32000 MaxBytes[EXEMPLO]: 32000 AbsMax[EXEMPLO]: 32000 # Com essa opo, todos os 4 grficos no sero # redimensionados de acordo com o uso do link. Eles sempre # tero a altura do mximo de trfego que se pode chegar # (de acordo com os itens acima). Unscaled[EXEMPLO]: dwmy # Configuraes da pgina. Ttulo e frase no Topo. Title[EXEMPLO]: Exemplo de Anlise de Trfego para link de 256kbps PageTop[EXEMPLO]: Exemplo de Anlise de Trfego para link de 256kbps Pronto. J temos uma configurao bsica para o MRTG. Agora vamos rod-lo: # mrtg Postado por Anderson Weige Dias s 23:03 Nenhum comentrio:

Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Ferramentas, Segurana

sexta-feira, 18 de junho de 2010

Segurana do Bluetooth
O Bluetooth tem trs modos de segurana, variando desde nenhuma segurana at total criptografia de dados e controle de integridade. Se a segurana for destivada, no haver nenhuma segurana. Grande parte dos usurios mantma segurana desativada at ocorrer uma sria violao, depois eles a ativam. No mundo agrcola, essa abordagem conhecida como trancar a porteira depois que o cavalo escapou. O Bluetooth fornece segurana em vrias camadas. Na camada fsica, os saltos de frequncia oferecem um nvel mnimo de segurana mas, como qualquer dispositivo Bluetooth que se desloca em uma piconet tem de ser informado da sequncia de saltos de frequencia, bvio que essa frequncia no um segredo. A segurana real comea quando o escravo recm-chegado solicita um canal ao mestre. Supe-se que os dois dispositivos compartilham uma chave secreta configurada com antecedncia. Para estabelecer um canal, o escravo e o mestre verificam se a outra mquina conhece a chave de passagem. Nesse caso, eles negociam para ver se esse canal ser criptografado, ter sua integridade controlada ou ambos. Em seguida, eles selecionam uma chave de sesso aleatria de 128 bits, na qual alguns bits podem ser pblicos. A razo para permitir o enfraquecimento dessa chave obedecer a algumas restries do governo de vrios pases, criadas para impedir a exportao ou o uso de chaves mais longas do que o governo pode violar. O Bluetooth efetua a autenticao apenas de dispositivos, no de usurios. Desse modo, quando um ladro rouba um dispositivo Bluetooth ele pode ter acesso s finanas e s contas do usurio. No entento, o Bluetooth tambm implementa segurana nas camadas superiores do que a do enlace. Assim mesmo se houver violao da segurana no nvel de enlace, deve restar alguma segurana, especialmente para aplicaes que exigem a digitao de um cdigo PIN em algum tipo de teclado para completar a transao. Postado por Anderson Weige Dias s 15:47 Nenhum comentrio: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Segurana
segunda-feira, 7 de junho de 2010

Segurana de Rede - Linux

Introduo A cada dia novos usurios de Linux surgem todos os dias, e graas facilidade de acesso Internet nos dias atuais a maior parte deles conecta suas mquinas pessoais a redes abertas sem maiores dificuldades. Sabendo que o Linux um sistema capaz de ser administrado remotamente, e que muitas configuraes default de distribuies habilitam muitos processos servidores para iniciar automaticamente aps a instalao, estes novos usurios acabam se transformando em uma ameaa a si prprios, pois expem Internet uma mquina aberta, devido sua falta de conhecimento tcnico.

Para piorar a situao, h abundncia de textos sobre "segurana" disponveis na internet, "ensinando" que para garantir uma configurao segura da sua mquina, tudo o que voc tem a fazer "comentar as linhas do inetd.conf", um conselho enganoso. Primeiros passos A segurana comea pela instalao do seu sistema Linux. Se voc tem uma mquina sem configuraes especiais de segurana e quer torn-la segura, uma opo interessante reinstal-la completamente, suprimindo assim qualquer erro que tenha sido cometido no passado; lembre-se que uma mquina invadida e onde estranhos obtiveram privilgios de superusurio jamais poder ser considerada segura novamente, exceto se totalmente reinstalada a partir de uma mdia original (e se voc corrigir as falhas que permitiram a invaso original). Ao instalar o sistema, lembre-se dos seguintes itens: *S exponha o sistema Internet aps completar todos os procedimentos de segurana. H muitos relatos de mquinas invadidas durante o processo de configurao inicial, graas a administradores que preferem confiar na sorte; *Se a sua distribuio permitir, opte por uma instalao personalizada, e escolha apenas os pacotes que voc sabe que ir usar. muito fcil adicionar pacotes posteriormente, e ser sempre um alvio quando voc receber e-mail do seu fornecedor recomendando um upgrade urgente de segurana do servidor de Real Audio, e em seguida perceber que no precisa fazer nada a respeito pois no o instalou; *Monte seu esquema de parties adequadamente. Se voc for rodar algum servio que gere armazenamento de dados em disco (uma proxy web, um servidor de mail, um servidor de news...), certifique-se de criar uma partio separada para o /var, evitando assim que os arquivos dos seus processos servidores possam lotar o espao de armazenamento da mquina, tirando-a de operao (coisa que normalmente s pode ocorrer em caso de m configurao dos servidores, mas no h por que no levar a srio esta possibilidade); *Aps instalar todos os pacotes, instale todas as atualizaes de segurana disponveis no web site do seu fornecedor. Assine a lista de divulgao de novas atualizaes, se disponvel; *Habitue-se a visitar sites de segurana para saber as novas vulnerabilidades a que voc pode estar exposto. Servios desnecessrios Uma instalao padronizada de sistema operacional costuma habilitar uma srie de servios dos quais voc no precisa, e que podem vir a servir como ponto de acesso para um invasor. Remov-los relativamente fcil, e um passo essencial. Editar corretamente o arquivo /etc/inetd.conf bsico. Este arquivo define quais os servios bsicos de internet estaro habilitados na sua mquina, e portanto acessveis a partir de outras mquinas. Verifique atentamente quais destes servios esto habilitados, e retire os que voc no tiver uma boa justificativa para manter. Na dvida, retire! Retirar um servio do inetd.conf simples, basta acrescentar um caracter # no incio da

linha, transformando-a em um comentrio. Se posteriormente voc precisar habilitar novamente o servio, basta retirar o #. Mquinas domsticas em geral no precisam de nenhum servio habilitado no inetd.conf, e podem at mesmo deixar de carregar o servio inetd (inetd) na inicializao. Usurios de servios online (como o irc) podem querer habilitar apenas o servio auth. No se deixe enganar pela iluso de rodar servidores telnet, ftp e finger na sua mquina domstica, exceto se voc realmente tiver uma boa justificativa. Aps definir a sua configurao do inetd.conf, reinicie o processo do inetd, comandando killall -HUP inetd Em seguida, voc precisa verificar os servios de rede standalone, que no so gerenciados pelo inetd.conf, mas sim pelos init scripts, de modo geral localizados abaixo do diretrio /etc/rc.d. Cada distribuio de Linux lida com estes scripts de uma maneira um pouco diferente, ento voc ter que ler um pouco da documentao da sua preferida. Ferramentas como o ntsysv, o ksysv e o tksysv podem ajudar, e a sua distribuio pode ter oferecido algum outro pacote adicional que permita selecionar os scripts facilmente. De modo geral, os init scripts definem quais servios sero inicializados no momento do boot. Alguns servios so aparentemente incuos do ponto de vista de uma possvel invaso (e.g. sound, random, apmd), enquanto outros claramente oferecem algum raio de ao para o potencial invasor (e.g. portmap, xntpd, netfs, rstatd, rusersd, rwalld, rwhod, bootparamd, squid, yppasswd, ypserv, dhcpd, snmpd, named, routed, lpd, gated, httpd, xfs, linuxconf e muitos outros). Ao definir quais scripts voc executar no boot, use o mesmo critrio da seleo dos servios do inetd; na dvida, retire - se mais tarde voc precisar, adicione novamente (aps avaliar o impacto sobre a segurana). Particularmente evite rodar o servidor do linuxconf, rstatd, rusersd, rwalld, rwhod, os servios do NIS (yp*) e os daemons de roteamento (como o gated). Se voc for rodar um servidor web para uso interno, ou para testes, certifique-se de configur-lo para aceitar requests apenas da sua rede interna, ou de sua mquina pessoal - segurana de servidores no ser coberta neste texto. Cuidado ao mexer nos scripts de inicializao Leia sempre a documentao antes, e tenha mo um disquete de inicializao completa, como o tomsrtbt para emergncias, j que provavelmente o disquete de boot gerado durante a sua instalao do Linux no resolver o problema. Outra boa dica aprender a iniciar o sistema em modo monousurio quando tudo falhar. Detalhes *Desenvolva uma estratgia de backups confivel; *Instale ferramentas de anlise e rotao de logs; *Instale ferramentas de garantia de integridade, como o tripwire (principalmente nos servidores); *Certifique-se de estar usando shadow passwords (nada de senhas criptografadas visveis no /etc/passwd - este recurso j vem habilitado como default em algumas das

distribuies); *Se voc estiver com o servidor de ftp habilitado, configure-o adequadamente; no permita o acesso de root, restrinja a rvore de diretrios, reveja os direitos de acesso annimos, considere a possibilidade de as senhas de acesso estarem sendo monitoradas em sua rede local; *Desabilite o telnet e o ftp. Se voc precisar deste tipo de servio, use o ssh (tanto para login quanto para transferncia de arquivos); *Habilite os tcp wrappers (tcpd) e configure adequadamente os arquivos de restrio e permisso de acesso (em geral, /etc/hosts.deny e /etc/hosts.allow); *Habilite filtros de pacotes (usando ipfwadm, ipchains ou a ferramenta que estiver disponvel na sua verso); *No permita que outras mquinas iniciem conexes com a sua, exceto para as portas que voc explicitamente definir; *Bloqueie o acesso s portas dos seus servios locais (xfs, X, servidor web utilizado para testes...). Postado por Anderson Weige Dias s 13:17 Nenhum comentrio: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Linux, Segurana
domingo, 6 de junho de 2010

Monitorao remota (RMON)

A monitorao emota (RMON) uma especificao padro de monitorao, que habilita vrios sistemas e console e monitores de rede para o intercmbio de dados de monitorao de rede. A RMON proporciona aos administradores de rede maior liberdade para seleo de consoles e sondas de monitorao com caractersticas que satisfaam s necessidades especficas de suas redes. A especificao RMON define um conjunto de estatsticas e funes que podem ser permutadas entre sondas de rede e gerentes de console compatveis com a RMON. Dessa maneira a RMON, proporciona aos administradores uma diagnose abrangente de falhas na rede, planejamento e informaes para o ajuste de desempenho. Grupos RMON A RMON fornece informaes em nove grupos RMON de elementos de monitorao, cada um oferecendo conjuntos especficos de dados para atender s necessidades de monitorao de rede. Cada grupo opcional, permitindo que cada fabricante o precise incluir na MIB (Base de informae de administrao) todos os grupos. Alguns grupos de RMON precisam de suporte de outros grupos RMON para que possam funcionar de maneira correta. Extrado das pginas 525 e 526 do livro INTERNET WORKING MANUAL DE TECNOLOGIAS - Traduo da Segunda Edio. Postado por Anderson Weige Dias s 14:32 Nenhum comentrio: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut

Marcadores: Segurana
segunda-feira, 31 de maio de 2010

IPTables
Iptables um Firewall. Um firewall uma barreira inteligente entre duas redes, atravs do qual s passa trfego autorizado. Este trfego examinado pelo firewall em tempo real e a seleo feita de acordo com a poltica de segurana estabelecida. O IPTables composto por 3 tabelas: filter: Tabela de filtros de pacotes; NAT (network address translation): Conexo de vrias mquinas com endereo falso internet atravs de poucos endereos IP s vlidos; mangle: Altera o contedo dos pacotes. O que so regras: As regras so como comandos passados ao iptables para que ele realize uma determinada ao (como bloquear ou deixar passar um pacote) de acordo com o endereo/porta de origem/destino, interface de origem/destino, etc. As regras so armazenadas dentro dos chains e processadas na ordem que so inseridas. As regras so armazenadas no kernel, o que significa que quando o computador for reiniciado tudo o que fez ser perdido. Por este motivo elas devero ser gravadas em um arquivo para serem carregadas a cada inicializao. Um exemplo de regra: iptables -A INPUT -s 123.123.123.1 -j DROP. O que so chains: Os Chains so locais onde as regras do firewall definidas pelo usurio so armazenadas para operao do firewall. Existem dois tipos de chains: os embutidos (como os chains INPUT, OUTPUT e FORWARD) e os criados pelo usurio. Os nomes dos chains embutidos devem ser especificados sempre em maisculas (note que os nomes dos chains so case-sensitive, ou seja, o chain input completamente diferente de INPUT).

Quando um pacote chega a uma table verificado se alguma regra se aplica a ele. Caso no haja, aplicada a poltica defaut. Constitudo por 3 chains: INPUT Pacote destinado a maquina de firewall. OUTPUT Pacote originado da maquina de firewall. FORWARD Pacote com destino e origem separados pela maquina de firewall. Quando um pacote entra numa interface de rede: Se o pacote para a mquina enviado para o chain INPUT;

Se o destino no esta mquina e o servio de routing est ativo, o pacote vai para o chain FORWARD; Se um processo da mquina envia um pacote para a rede o pacote vai para o chain OUTPUT. Poltica Default: A poltica default do firewall consiste na regra que ser utilizada caso algum pacote no se encaixe em nenhuma das regras estabelecidas. altamente recomendado que a poltica default seja DROP, ou seja, tudo o que no for expressamente permitido ser descartado (proibido). Postado por Anderson Weige Dias s 23:20 Nenhum comentrio: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Ferramentas, Segurana
quinta-feira, 6 de maio de 2010

Operaes do SNMP
Lista de operaes suportadas pelo SNMP: *Get - Utilizada para ler o valor de uma varivel; o gerente solicita que o agente obtenha o valor da varivel; *Set - Utilizada para alterar o valor da varivel; o gerente solicita que o agente faa uma alterao no valor de uma varivel; *Trap - Utilizada para comunicar um evento ; o agente comunica ao gerente o acontecimento de um evento previamente determinado. Postado por Anderson Weige Dias s 16:07 Nenhum comentrio: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Ferramentas, Segurana
segunda-feira, 19 de abril de 2010

Diferenas entre as verses SNMP

SNMP v1 O SNMPv1 consiste de trs documentos: RFC 1155 define o Structure of Management Information (SMI). Ou seja, os mecanismos usados para descrever e nomear os objetos que sero gerenciados >RFC 1212 define um mecanismo de descrio mais conciso mas inteiramente consistente ao SMI. >RFC 1157 define o Simple Network Management Protocol (SNMP) Os dois primeiros documentos definem a linguagem de dados. O terceiro documento define as operaes do protocolo SNMPv1 utilizando protocol data units (PDUs). Os operadores definidos no SNMPv1 so: get, get-next, get-response, set-request e trap. Muitos dos conceitos de segurana e administrao encontrados no SNMPv3 so encontrados no modelo do SNMPv1. O SNMPv1 introduz o conceito servio de autenticao suportando um ou mais

mtodos. No SNMPv3 o conceito de autenticao foi expandido para incluir servios como privacidade. O modelo SNMPv1 possui o controle de acesso baseado num conceito chamado SNMP MIB view. O SNMPv3 especifica um conceito fundamentalmente similar chamado view-based access control. Apesar do SNMPv1 ter antecipado um servio de autenticao suportando vrios mtodos, no foi criado nenhum mtodo alm de uma simples autenticao baseada em community strings. Essa foi a grande deficincia do SNMPv1. Como o conceito de "segurana" pode ser interpretado de modo bastante diferente por cada usurio, o servio de autenticao do SNMPv1 ficou para ser definido em um outro bloco o qual nunca foi posto em prtica. O modelo SNMPv3 j possui uma arquitetura para esse bloco. SNMPv2 O SNMPv2 est descrito nas RFCs: 1902, 1903,1904, 1905, 1906, and 1907. A relao entre o SNMPv1 e o SNMPv2 est descrita no RFC 1908. O SNMPv2 possui algumas vantagens sobre o SNMPv1. So elas: *Mais um tipo de dados: 64 bit counter; *Melhora na eficincia e na performance: operador get-bulk; *Notificao de evento confirmado: operador inform; *Maior detalhamento dos erros; *Modos facilitados de criao e deleo de linhas na MIB; *Melhorias na definio da linguagem de dados. Apesar do modelo SNMPv2 estar descrito no RFCs 1902-1907, alguns objetivos iniciais do projeto no foram implementados. Os objetivos no alcanados incluem o fornecimento de segurana tais como: *autenticao: identificao da origem, integridade da mensagem; *privacidade: confidencialidade; *autorizao e controle de acesso. SNMPv3 Os RFCs do SNMPv3 foram produzidos pelo SNMPv3 Working Group da Internet Engineering Task Force (IETF). Esse Working Group se baseou bastante nos documentos Draft Standard do SNMPv2. Como resultado o SNMPv3 o SNMPv2 com blocos de segurana e administrao. O modelo SNMPv3 descrito nos RFCs 2570, 2571, 2572, 2573, 2574, e 2575, relaciona as deficincias no SNMPv2 em relao a segurana e admninistrao. A co-existncia do SNMPv1, SNMPv2 e SNMPv3 est descrita no RFC 2576 . Novas ferramentas foram adicionadas no SNMPv3. So elas: *Segurana; *autenticao e privacidade ; *autorizao e controle de acesso; *Modelo administrativo;

*nomeao das entidades; *gerncia das chaves; *notificao dos destinos; *relao dos proxys configurao remota atravs de operadores SNMP. Postado por Anderson Weige Dias s 14:18 Nenhum comentrio: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Ferramentas, Segurana
quarta-feira, 14 de abril de 2010

Protocolo de gerenciamento SNMP

Definio O protocolo SNMP (Simple Network Management Protocol) tem como premissa flexibilidade e a facilidade de implementao, tambm em relao aos produtos futuros. O SNMP um protocolo de gerncia definido a nvel de aplicao, utilizado para obter informaes de servidores SNMP - agentes espalhados em uma rede baseada na pilha de protocolos TCP/IP. Os dados so obtidos atravs de requisies de um gerente a um ou mais agentes utilizando os servios do protocolo de transporte UDP - User Datagram Protocol para enviar e receber suas mensagens atravs da rede. Dentre as variveis que podem ser requisitadas utilizaremos as MIBs podendo fazer parte da MIB II, da experimental ou da privada. O gerenciamento da rede atravs do SNMP permite o acompanhamento simples e fcil do estado, em tempo real, da rede, podendo ser utilizado para gerenciar diferentes tipos de sistemas. Este gerenciamento conhecido como modelo de gerenciamento SNMP, ou simplesmente, gerenciamento SNMP. Portanto, o SNMP o nome do protocolo no qual as informaes so trocadas entre a MIB e a aplicao de gerncia como tambm o nome deste modelo de gerncia. Os comandos so limitados e baseados no mecanismo de busca/alterao. No mecanismo de busca/alterao esto disponveis as operaes de alterao de um valor de um objeto, de obteno dos valores de um objeto e suas variaes. A utilizao de um nmero limitado de operaes, baseadas em um mecanismo de busca/alterao, torna o protocolo de fcil implementao, simples, estvel e flexvel. Como conseqncia reduz o trfego de mensagens de gerenciamento atravs da rede e permite a introduo de novas caractersticas. O funcionamento do SNMP baseado em dois dispositivos o agente e o gerente. Cada mquina gerenciada vista como um conjunto de variveis que representam informaes referentes ao seu estado atual, estas informaes ficam disponveis ao gerente atravs de consulta e podem ser alteradas por ele. Cada mquina gerenciada pelo SNMP deve possuir um agente e uma base de informaes MIB.

O Agente um processo executado na mquina gerenciada, responsvel pela manuteno das informaes de gerncia da mquina. As funes principais de um agente so: * Atender as requisies enviadas pelo gerente; *Enviar automaticamente informaes de gerenciamento ao gerente, quando previamente programado. O agente utiliza as chamadas de sistema para realizar o monitoramento das informaes da mquina e utiliza as RPC (Remote Procedure Call) para o controle das informaes da mquina.

O Gerente um programa executado em uma estao servidora que permite a obteno e o envio de informaes de gerenciamento junto aos dispositivos gerenciados mediante a comunicao com um ou mais agentes.

Esta figura mostra como funciona o relacionamento de um gerente com o objeto gerenciado

O gerente fica responsvel pelo monitoramento, relatrios e decises na ocorrncia de problemas enquanto que o agente fica responsvel pelas funes de envio e alterao das informaes e tambm pela notificao da ocorrncia de eventos especficos ao gerente.

Esta figura mostra o relacionamento entre gerente e agente baseado no modelo TCP/IP Postado por Anderson Weige Dias s 14:30 Nenhum comentrio: Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no FacebookCompartilhar no Orkut Marcadores: Ferramentas, Protocolos, Segurana
tera-feira, 16 de maro de 2010

Listas de Controle de Acesso ACLs

Objetivos Neste tutorial ser apresentado os conceitos de ACLs para controlar o trfego de rede no desejado, bem como utiliz-las para implementar um recurso mnimo de segurana no ambiente. Ser abordado tambm como e onde posicionar uma ACL para que a rede se torne eficiente. Pr-requisitos: Conhecer os modos de configurao de um roteador, salvar um arquivo de configurao, bem como os conceitos bsicos do protocolo TCP/IP, tais como, endereos de rede, mscaras de sub-rede, protocolos TCP/UDP e portas de conexo. Parte 1 Conceitos de ACLs Atualmente, um dos grandes desafios do administrador de redes de uma empresa sem dvida alguma manter seu ambiente seguro e principalmente estabelecer um controle de trfego de pacotes nesta rede, da a necessidade de utilizarmos as Listas de Controle de Acesso. Os roteadores fornecem uma filtragem bsica de pacotes, como por exemplo, o bloqueio de acesso a determinados recursos na internet. Uma ACL nada mais que uma seqncia de instrues que permitem ou negam acesso a determinada rede ou recursos disponveis noutras redes. Toda Lista de Controle de Acesso primeiramente criada e depois aplicada a uma determinada interface do roteador, ao processar o pacote o roteador verifica as instrues definidas numa ACL e com base nessas informaes aceita ou recusa o pacote. Podemos criar listas de acesso para vrios protocolos da camada de rede,tais como, IPX e IP. Devemos sempre considerar a ordem de aplicao das ACLs, o Cisco IOS analisa uma seqncia de cima para baixo, ou seja, assim que haja uma correspondncia encontrada na

lista, existir uma permisso ou negao do pacote e as demais instrues na ACL no sero verificadas. Se no existir correspondncia em nenhuma das linhas de verificao da Lista de Acesso, automaticamente existir no final da ACL uma instruo deny any implcita por padro. Essa instruo tem por objetivo negar todo o trafego que passa por essa interface do roteador. Vale a pena ento lembrar que a partir do momento que criarmos uma linha de instruo, o equipamento passa a verificar essa ACL e logo aps estar implcito um deny any no final, por exemplo, digamos que eu queira liberar o trfego FTP para uma determinada rede, se apenas definir essa instruo o restante do trfego ser negado justamente por causa da negao implcita no final da regra. Para solucionar este problema devemos ter bem definidas todas as condies de trfego da rede a ser liberado e especific-los em cada linha da ACL. Caso no seja definida nenhuma Lista de acesso ao roteador, todo trfego que passar nas interfaces ser devidamente liberado a todas redes, tanto de entrada quanto de sada. A recomendao que no incio do aprendizado de ACLs devemos sempre adicionar no final da lista a instruo deny any, isso reforar a lembrana de que existe sempre um deny implcito no final. medida que a prtica na criao de ACLs for aumentando automaticamente lembraremos desta negao. Vejamos ento os objetivos de utilizarmos ACLS: Como mencionamos anteriormente para limitar o acesso de pacotes indesejados que entram ou saem da rede; Implementao mnima de segurana; Definir qual rede ser liberada ou bloqueada; Controlar o fluxo de pacotes preservando largura de banda da rede; Mscara Curinga Outro conceito importante que devemos entender ao estudarmos Listas de Acesso o que chamamos de mscara curinga. Uma mscara curinga composta de 32 bits tambm divididos em 4 octetos e estes octetos esto emparelhados com os 32 bits do endereo IP. A diferena da mscara curinga para a mscara de sub-rede que o numero 0 da mscara curinga representa verificar o octeto correspondente e o 1 representa descartar o octeto. Um exemplo seria: No endereo 192.168.10.89 com a mscara curinga 0.0.0.255, significa verificarmos os trs primeiros octetos e descartarmos o ltimo, Parte 2 Tipos de ACLs Existem especificamente trs tipos de Listas de Acesso que so:

 Listas de Acesso IP Padro Listas de Acesso IP Estendidas Listas de Acesso com Nome Listas de Acesso IP Padro Este um tipo de Lista de Acesso baseado no endereo IP de origem. Esta ACL permite ou nega o trfego de um conjunto inteiro de protocolos a partir dos endereos da rede, sub-rede ou host. Toda configurao de uma ACL num roteador seguida de um nmero que corresponde a um intervalo. Este nmero indica o tipo de Lista de Acesso definida. Para Listas do tipo Padro o intervalo vai de 1 a 99. Na verso 12.0.1 do IOS foi adicionado mais um intervalo que vai de 1300 a 1999. Com esse adicional podemos ter at 798 Listas de Acesso IP Padro. Primeiramente devemos definir as instrues de uma ACL e logo em seguida aplicarmos numa interface definindo o seu destino. Conceitualmente as listas de acesso IP Padro devem ser aplicadas mais prximo do destino. Obs. Todo o processo de configurao ser visto no tutorial Criando Listas de Acesso. Listas de Acesso IP Estendidas Este um tipo de Lista de Acesso bem mais utilizado, ele baseia todo o controle em endereos de rede de origem e destino, sub-rede, host, conjunto de protocolos e portas. Isso torna este tipo de ACL bem mais flexvel e completa que uma lista padro. possvel configurar vrias instrues para uma mesma lista de acesso, basta para isso conservar o mesmo nmero da lista. A quantidade de instrues definidas numa lista de acesso limitada pela capacidade de memria do roteador. O intervalo de uma Lista de Acesso Estendida vai de 100 a 199, tambm existe um intervalo adicional para verses de IOS mais recentes que vai de 2000 a 2699. No final da ACL estendida temos a opo de definirmos o tipo de porta a ser utilizada. possvel especificar operaes lgicas na configurao destas portas, tais como: eq igual neq diferente gt - Maior do que lt menor do que Essas operaes lgicas so utilizadas em determinados protocolos.

ACLs com Nome Este tipo de Lista de Acesso foi introduzido na verso 11.2 do Cisco IOS. Esta lista permite que sejam atribudos nomes ao invs de nmeros s listas de acesso. A principal vantagem deste tipo de configurao est na identificao da lista, ou seja, podemos atribuir um nome que seja relacionado diretamente a funo desta lista. Mas alm desta vantagem posso destacar: Quantidade ilimitada de listas de acesso, visto que no fica na dependncia da quantidade de nmeros disponveis nos intervalos; Permite a insero de instrues no final da lista; Devemos, porm considerar que neste tipo de lista no deve existir nome repetido, nem se o tipo de lista for diferente. Por exemplo: No possvel existir uma lista de acesso padro e uma lista de acesso estendida com o nome VENDAS. Definimos uma lista de acesso com nome atravs do comando ip Access list. Obs. Todo o processo de configurao ser visto no tutorial Criando Listas de Acesso. Consideraes sobre o posicionamento das Listas de Acesso Para o bom funcionamento de uma lista de acesso devemos saber exatamente como e onde posicion-las, isso far com que a rede seja muito mais eficiente. No geral a documentao da Cisco diz o seguinte: Para listas de Acesso IP Padro posicione o mais prximo do destino, pois estas se baseiam nos endereos de origem. Para as Listas de Acesso IP Estendidas posicione mais prximo da origem, pois como esta lista se baseia em endereos de origem, destino, tipo de protocolo e porta, o trfego analisado antes de sair da rede.

Extrado de: http://www.juliobattisti.com.br/tutoriais/luisepedroso/acl001.asp