Post on 10-Feb-2018
7/22/2019 REDES segurana
1/38
RAID
RAID a sigla para Redundant Array of Independent Disks. Sua definio em
portugus seria "Matriz Redundante de Discos Independentes". uma tecnologia que "une" vrios HDs formando assim uma nica unidade lgica, um conjunto de HDs que funcionam como se fossem um s, dependendo do nvel elecria espelhamento de todos os dados, etc..
Tornando dessa maneira o armazenamento de dados mais seguros, tanto contra falhas desoftware como falhas fsicas, entre outros benefcios.
O RAID trabalha em vrios niveis. No arquivo abaixo pode-se visualizar umaapresentao que tive uns 2 anos atrs no curso que fazia de graduao, nessa
apresentao h detalhes sobre os nveis.CLIQUE AQUI PARA BAIXAR A APRESENTAO
Postado porAnderson Weige Dias s15:52Nenhum comentrio:Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar noFacebookCompartilhar no OrkutMarcadores:Ferramentas,Segurana
tera-feira, 28 de dezembro de 2010
Certificao Digital - Conceito e AplicaesAtualmente todos ns buscamos praticidade e principalmente segurana em nosso dia-a-
dia, os processos que lidamos em nosso cotidiano esto passando por uma fase detransformao, onde a agilidade e confiabilidade fazem parte dos negcios.
Identidade Digital
Uma dessas transformaes a possibilidade de identificar as pessoas atravs do uso daIdentidade Digital, esta, uma credencial eletrnica segura e confivel, que pode serutilizada para acesso a servios digitais do governo, bancos e diversas outras aplicaesde mercado.
Est contida em um certificado digital, que uma tcnica fundamental na sociedade dainformao para dar mais segurana, ao comrcio eletrnico, transaes de governoeletrnico e a privacidade dos cidados. Um certificado digital capaz de proverautenticao, assinatura eletrnica, cifras entre outros recursos.
ICP-Brasil
O Brasil utiliza atualmente o padro ICP-Brasil que significa Infra-Estrutura de ChavesPblicas Brasileira, onde esto especificadas as polticas de certificados, normastcnicas e operacionais a serem utilizadas. O ITI Instituto Nacional de Tecnologia daInformao uma autarquia federal, vinculado diretamente a Casa Civil tendo entre
suas misses cuidar e manter a ICP-Brasil.
http://pontoderedes.blogspot.com/2012/06/raid.htmlhttp://pontoderedes.blogspot.com/2012/06/raid.htmlhttp://www.anterhost.com.br/raid_pontoderedes.ppthttp://www.anterhost.com.br/raid_pontoderedes.ppthttps://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906http://pontoderedes.blogspot.com/2012/06/raid.htmlhttp://pontoderedes.blogspot.com/2012/06/raid.htmlhttp://pontoderedes.blogspot.com/2012/06/raid.html#comment-formhttp://pontoderedes.blogspot.com/2012/06/raid.html#comment-formhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7974455554739304908&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7974455554739304908&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7974455554739304908&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7974455554739304908&target=facebookhttp://pontoderedes.blogspot.com/search/label/Ferramentashttp://pontoderedes.blogspot.com/search/label/Ferramentashttp://pontoderedes.blogspot.com/search/label/Ferramentashttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/2010/12/certificacao-digital-conceito-e.htmlhttp://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=7974455554739304908http://pontoderedes.blogspot.com/2010/12/certificacao-digital-conceito-e.htmlhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Ferramentashttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7974455554739304908&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7974455554739304908&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7974455554739304908&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7974455554739304908&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7974455554739304908&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7974455554739304908&target=emailhttp://pontoderedes.blogspot.com/2012/06/raid.html#comment-formhttp://pontoderedes.blogspot.com/2012/06/raid.htmlhttps://plus.google.com/113181100233160550906http://www.anterhost.com.br/raid_pontoderedes.ppthttp://pontoderedes.blogspot.com/2012/06/raid.htmlhttp://pontoderedes.blogspot.com/2012/06/raid.html7/22/2019 REDES segurana
2/38
Autoridade de Certificao e Validade Jurdica
Assim como um RG expedido pela Secretaria de Segurana Pblica, um CertificadoDigital expedido atravs da Autoridade de Certificao. Essa AC responsvel pelaemisso, controle e revogao dos seus certificados emitidos.
Abaixo da hierarquia da Autoridade Certificadora encontramos a AR, Autoridade deRegistro, que responsvel pela validao presencial e requisio dos certificados.
A medida provisria 2.200-2 com fora de lei, garante aos certificados emitidospela ICP-Brasil a autenticidade, integridade e validade jurdica dos documentos emforma eletrnica, das aplicaes de suporte e das aplicaes habilitadas que utilizemcertificados digitais, bem como a realizao de transaes eletrnicas seguras.
Confiabilidade na Assinatura Digital
Um documento assinado digitalmente reconhecido como sua prpria assinatura, osseus mecanismos de segurana garantem a autenticidade que prova que o assinante realmente quem diz ser, prova tambm a sua integridade que a garantia que essedocumento no foi alterado aps a assinatura. Isso muito importante para evitar,
principalmente, falsificaes em documentos. O no-repdio a garantia que a pessoaque realizou determinada transao eletrnica, no poder posteriormente negar suaautoria, visto que somente aquela chave privada poderia ter gerado assinatura digital
prpria.A utilizao dos certificados digitais tende a crescer cada vez mais no Brasil e nomundo.Uma srie de atividades que antes requeriam a validao presencial e porte dedocumentos j est sendo substituda por validao eletrnica. Onde atravs do seucertificado digital, pessoas fsicas e jurdicas realizam suas transaes eletrnicas.
Principais Vantagens
Os principais ganhos com a utilizao de certificados digitais so:
1)Maior segurana e confiana nos processos;2)Eliminao de burocracia;3)Ganho de eficincia;
4)Otimizao de tempo;5)Reduo de custos.
Exemplos de Utilizao
Alguns exemplos de utilizao do certificado digital:
- Assinatura digital de e-mail
Os e-mails podem ser assinados e cifrados para maior segurana
- Autenticao de aplicaes em Internet Banking
7/22/2019 REDES segurana
3/38
O acesso a conta bancria e transaes financeiras passam por um processo deautenticao forte, garantindo maior segurana contra fraudes eletrnicas
- Autenticao de aplicaes como VPN
Atravs da internet, os usurios tm acesso aos sistemas internos, utilizandoautenticao por certificados digitais com smart card, assim como a criao decomunicao segura.
- Acesso aos servios e-CAC
A Receita Federal disponibiliza o Centro Virtual de Atendimento ao Contribuinte, ondeatravs de certificados digitais e-CPF e e-CNPJ so disponibilizados diversos servioscomo alteraes cadastrais, acompanhamento processos tributrios eletronicamente,situao fiscal e procurao eletrnica.
- Assinatura de documentos eletrnicos individuais e em lote
Um documento assinado eletronicamente possui validade legal, dispensando o uso earmazenamento em papel. Com esse recurso possvel a assinatura de centenas dedocumentos ao mesmo tempo, ganhando muita agilidade em aprovaes, podendo aindaser realizado a partir de qualquer localidade.
Composio do Certificado
Um certificado digital normalmente contm as seguintes informaes:
- Sua chave pblica
- Seu nome e endereo de e-mail
- Para qual fim destinado o certificado
- A validade da chave pblica
- O nome da Autoridade Certificadora
- O nmero de srie do Certificado Digital- A assinatura digital da Autoridade Certificadora
Processo de Assinatura Digital
Vamos exemplificar o processo da assinatura digital realizado por Paulo:
Num processo de assinatura digital o documento passa por uma funo matemticachamada Hash, onde gerado um resumo nico do documento. Com a chave
privada, esse Hash criptografado e enviado juntamente com o documento assinado
eletronicamente. Ao receber o documento, o destinatrio aplica a funo Hashnovamente obtendo o resumo1.
7/22/2019 REDES segurana
4/38
Utilizando a chave pblica de Paulo o resumo decriptografado e ambos socomparados resumo1 e resumo, se eles forem iguais, o documento est ntegro eautntico, ou seja, no foi alterado e realmente foi enviado por Paulo. Qualqueralterao no documento geraria uma funo Hash diferente, o fato da chave pblicade Jos abrir o arquivo criptografado, prova que o mesmo foi assinado digitalmente com
a chave privada correspondente.
Todo esse processo realizado de forma automtica pelo sistema instalado em seucomputador, tornando o processo seguro e confivel.
Certificado Digital padro A3
Existem diversos tipos e utilizaes para os certificados digitais, abordaremos somenteo padro A3. O certificado digital Tipo A3 oferece maior segurana, pois, seus dadosso gerados, armazenados e processados em smart card ou token, permanecendo assiminviolveis e nicos, uma vez que a chave privada gerada dentro do dispositivo e no
pode ser exportada. Somente o detentor da senha de acesso pode fazer utilizao dachave privada. Por estar contido em um dispositivo como smart card ou token, ter a
possibilidade de ser transportado e utilizado em qualquer computador.
A finalidade dos dispositivos smart card e token a mesma, para utilizao do smartcard necessria uma leitora de carto, j o token, possui interface padro USB edispensa o uso de leitora.
Segurana no Certificado A3
Para utilizao do certificado digital do tipo A3 so necessrios dois itens, algo quevoc sabe sua senha e algo que voc possui, seu smart card ou token. Dessa forma,mesmo que um programa malicioso capture sua senha, no ser possvel a utilizao doseu certificado, pois, a chave privada est contida dentro do seu dispositivo que somentevoc possui.PIN e PUK
O acesso a chave privada protegido por senha conhecido como PIN. Sendo sua senhaprimria, ao inserir corretamente oPIN liberado o uso da chave privada contida nocertificado.Existe uma senha mestra conhecida como PUK utilizada somente quando o PIN
bloqueado, atravs dela possvel reaver a senha de PIN. Este ltimo bloqueado apstrs tentativas de senha invlida. O PUK tambm passvel de bloqueio com trstentativas invlidas. Lembre-se que a senha de PIN e PUK de uso pessoal eintransfervel, assim como sua senha do banco.
A proteo do smart card ou token muito importante, pois a chave privada contida nomesmo nica, se houver perda ou roubo desse dispositivo, o certificado deve serimediatamente revogado junto a Autoridade de Registro. Aps isso, o certificado no reconhecido como confivel para qualquer tipo de uso nos sistemas.
Cuidados com seu Certificado Digital
7/22/2019 REDES segurana
5/38
Os principais cuidados que devem ser tomados com o seu certificado e dispositivos so:- Perda do smart card ou token
- Perda da senha PIN e PUK- Formatao do dispositivo
- Remoo das chaves- Dano fsico ao smart card ou token
A emisso de um novo certificado digital gera custo, alm de ser necessrio um novoprocesso de emisso presencial, junto a um agente de validao da Autoridade deRegistro.Postado porAnderson Weige Dias s15:07Nenhum comentrio:Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar noFacebookCompartilhar no OrkutMarcadores:Segurana
tera-feira, 14 de dezembro de 2010Criptografia com GnuPGO GNU Privacy Guard (GnuPG ou GPG) uma alternativa de software livre para asute de criptografia PGP, liberado sob a licena GNU General Public License. Ele
parte do projeto GNU da Free Software Foundation e recebe a maior parte do seufinanciamento do governo alemo. O GnuPG completamente compatvel com o
padro IETF para o OpenPGP.
1)Instalao do GPGPrimeiramente necessrio instalar o GPG(www.info.abril.com.br/download/5293.shtml). Faa a instalao no local-padro de seuPC (por exemplo: C:\Arquivos de programas\GNU\GnuPG). No preciso alterarnenhuma opo durante a instalao. Reinicie o PC e rode o aplicativo WinPT, no menudo GPG.
2) Criao das chaves
Agora devemos criar as chaves pblica e privada do GPG, para criptografar e assinar as
https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906http://pontoderedes.blogspot.com/2010/12/certificacao-digital-conceito-e.htmlhttp://pontoderedes.blogspot.com/2010/12/certificacao-digital-conceito-e.htmlhttp://pontoderedes.blogspot.com/2010/12/certificacao-digital-conceito-e.html#comment-formhttp://pontoderedes.blogspot.com/2010/12/certificacao-digital-conceito-e.html#comment-formhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=5735065509986420230&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=5735065509986420230&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=5735065509986420230&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=5735065509986420230&target=facebookhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/2010/12/criptografia-com-gnupg.htmlhttp://www.info.abril.com.br/download/5293.shtmlhttp://www.info.abril.com.br/download/5293.shtmlhttp://www.info.abril.com.br/download/5293.shtmlhttp://www.gophoto.it/view.php?i=http://4.bp.blogspot.com/_enup9U-2Nqc/TQeWPW_ljsI/AAAAAAAAAXU/i86mKHpmd0c/s1600/gnupg1.jpghttp://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=5735065509986420230http://www.gophoto.it/view.php?i=http://4.bp.blogspot.com/_enup9U-2Nqc/TQeWPW_ljsI/AAAAAAAAAXU/i86mKHpmd0c/s1600/gnupg1.jpghttp://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=5735065509986420230http://www.info.abril.com.br/download/5293.shtmlhttp://pontoderedes.blogspot.com/2010/12/criptografia-com-gnupg.htmlhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=5735065509986420230&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=5735065509986420230&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=5735065509986420230&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=5735065509986420230&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=5735065509986420230&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=5735065509986420230&target=emailhttp://pontoderedes.blogspot.com/2010/12/certificacao-digital-conceito-e.html#comment-formhttp://pontoderedes.blogspot.com/2010/12/certificacao-digital-conceito-e.htmlhttps://plus.google.com/1131811002331605509067/22/2019 REDES segurana
6/38
mensagens. Para isso, selecioneGenerate a GnuPG Key Pair. Pressione OK. Tecle,ento, seu nome e o e-mail que ser usado com a chave, clicando emOKdepois disso. Aseguir, digite a senha da chave. importante que ela seja longa (no mnimo oitocaracteres) e difcil de quebrar. Pressione OK, tecle a senha novamente e cliqueem OK.
3)Backup
importante manter um backup das chaves do GPG. Se elas forem perdidas, no sermais possvel desembaralhar os e-mails j enviados ou recebidos. O processo de criaodas chaves permite fazer isso agora, pressionando o boto Sim. Escolha um drive ondeficam outros backupsou um pen drive para permitir o uso das chaves em qualquerlugare clique em Salvar. Depois disso, ser mostrada a tela principal do gerenciadorde chaves do GPG, com o item recm-criado. Clique no boto X para minimizar ogerenciador para a rea de notificao.
4) Extenso FireGPG
O prximo passo instalar a extenso FireGPG no navegador Firefox. Para isso, acessewww.info.abril.com.br/download/4844.shtml e, ao chegar pgina do produto, cliqueno boto de download. Ser mostrada uma mensagem do Firefox indicando que ainstalao da extenso foi bloqueada. Pressione, na barra que surgiu, o botoEditarOpes. Na janela que aparece, pressione Permitir. Clique no boto de download do
programa novamente. Espere alguns segundos e pressione o boto Instalar Agora.Depois, reinicie o Firefox.
http://www.gophoto.it/view.php?i=http://2.bp.blogspot.com/_enup9U-2Nqc/TQeW_xuNiUI/AAAAAAAAAXk/Wv-pdXE5Jp8/s1600/gnupg3.jpghttp://www.gophoto.it/view.php?i=http://4.bp.blogspot.com/_enup9U-2Nqc/TQeWcKeWY2I/AAAAAAAAAXc/N1l3yLZxGuE/s1600/gnupg2.jpghttp://www.gophoto.it/view.php?i=http://2.bp.blogspot.com/_enup9U-2Nqc/TQeW_xuNiUI/AAAAAAAAAXk/Wv-pdXE5Jp8/s1600/gnupg3.jpghttp://www.gophoto.it/view.php?i=http://4.bp.blogspot.com/_enup9U-2Nqc/TQeWcKeWY2I/AAAAAAAAAXc/N1l3yLZxGuE/s1600/gnupg2.jpg7/22/2019 REDES segurana
7/38
5) Configurao
Com o Firefox aberto, clique com o boto direito do mouse em qualquer local numapgina da web e escolhaFireGPG > Opes. Na janela que aparece, passe seo GPG, marque o item Especificar Manualmente a Localizao do GnuPG e
pressione o boto Configurar a Localizao do GnuPG. Localize a pasta onde oGPG foi instalado, clique no arquivo gpg.exe e pressione Abrir. Clique no
boto OKpara confirmar as mudanas.
6) Teste de funcionamento
Abra o Gmail no Firefox. Ao criar uma nova mensagem, verifique se os botes deacesso rpido ao FireGPG so mostrados. Eles permitem assinar e criptografar amensagem, com envio automtico ou no. Escreva algo no corpo da mensagem eclique no boto Cifrar. Note que o texto fica embaralhado.
http://www.gophoto.it/view.php?i=http://1.bp.blogspot.com/_enup9U-2Nqc/TQeXSj7FHVI/AAAAAAAAAXs/uGSQYvQapwE/s1600/gnupg4.jpghttp://www.gophoto.it/view.php?i=http://1.bp.blogspot.com/_enup9U-2Nqc/TQeXSj7FHVI/AAAAAAAAAXs/uGSQYvQapwE/s1600/gnupg4.jpghttp://www.gophoto.it/view.php?i=http://1.bp.blogspot.com/_enup9U-2Nqc/TQecW5r0_XI/AAAAAAAAAX0/4UBaWHqMnb0/s1600/gnupg5.jpghttp://www.gophoto.it/view.php?i=http://1.bp.blogspot.com/_enup9U-2Nqc/TQecW5r0_XI/AAAAAAAAAX0/4UBaWHqMnb0/s1600/gnupg5.jpghttp://www.gophoto.it/view.php?i=http://1.bp.blogspot.com/_enup9U-2Nqc/TQecW5r0_XI/AAAAAAAAAX0/4UBaWHqMnb0/s1600/gnupg5.jpghttp://www.gophoto.it/view.php?i=http://1.bp.blogspot.com/_enup9U-2Nqc/TQeXSj7FHVI/AAAAAAAAAXs/uGSQYvQapwE/s1600/gnupg4.jpghttp://www.gophoto.it/view.php?i=http://1.bp.blogspot.com/_enup9U-2Nqc/TQecW5r0_XI/AAAAAAAAAX0/4UBaWHqMnb0/s1600/gnupg5.jpghttp://www.gophoto.it/view.php?i=http://1.bp.blogspot.com/_enup9U-2Nqc/TQeXSj7FHVI/AAAAAAAAAXs/uGSQYvQapwE/s1600/gnupg4.jpg7/22/2019 REDES segurana
8/38
7) Outros servios
O FireGPG tambm funciona para desembaralhar dados em outros servios dewebmail. Para fazer essa operao, basta selecionar todo o texto criptografado,
incluindo os cabealhos (ou seja, com as linhas Begin GPG Message eEnd GPGMessage), clicar com o boto direito na pgina e acessarFireGPG > Decifrar. Sermostrada uma janela com o texto desembaralhado.
Adaptado de: http://info.abril.com.br/dicas/internet/email/proteja-as-mensagens-do-gmail-contra-crackers-e-arapongas.shtml
Postado porAnderson Weige Dias s13:59Nenhum comentrio:Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar noFacebookCompartilhar no OrkutMarcadores:Segurana
sexta-feira, 12 de novembro de 2010Samba com LDAP
1 - Instalando Samba com LDAP O objetivo deste artigo explicar o processo de instalao do servidor Sambaatuando como PDC e utilizando o OpenLdap como backend (banco de dados).
2 - Contexto da instalao:
Este o contexto utilizado neste documento.
Debian 5.0 - Lenny
Linguagem: pt_br
Endereo do servidor remoto: 10.1.0.17
Principais pacotes a serem instalados:
slapd
ldap-utils
phpldapadmin
samba
smbldap-tools libnss-ldap
http://www.gophoto.it/view.php?i=http://3.bp.blogspot.com/_enup9U-2Nqc/TQech7seS3I/AAAAAAAAAX8/vYJaXsTnuJY/s1600/gnupg6.jpghttp://www.gophoto.it/view.php?i=http://3.bp.blogspot.com/_enup9U-2Nqc/TQech7seS3I/AAAAAAAAAX8/vYJaXsTnuJY/s1600/gnupg6.jpghttps://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906http://pontoderedes.blogspot.com/2010/12/criptografia-com-gnupg.htmlhttp://pontoderedes.blogspot.com/2010/12/criptografia-com-gnupg.htmlhttp://pontoderedes.blogspot.com/2010/12/criptografia-com-gnupg.html#comment-formhttp://pontoderedes.blogspot.com/2010/12/criptografia-com-gnupg.html#comment-formhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4416298271790755923&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4416298271790755923&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4416298271790755923&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4416298271790755923&target=facebookhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/2010/11/samba-com-ldap.htmlhttp://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=4416298271790755923http://www.gophoto.it/view.php?i=http://3.bp.blogspot.com/_enup9U-2Nqc/TQech7seS3I/AAAAAAAAAX8/vYJaXsTnuJY/s1600/gnupg6.jpghttp://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=4416298271790755923http://www.gophoto.it/view.php?i=http://3.bp.blogspot.com/_enup9U-2Nqc/TQech7seS3I/AAAAAAAAAX8/vYJaXsTnuJY/s1600/gnupg6.jpghttp://pontoderedes.blogspot.com/2010/11/samba-com-ldap.htmlhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4416298271790755923&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4416298271790755923&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4416298271790755923&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4416298271790755923&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4416298271790755923&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4416298271790755923&target=emailhttp://pontoderedes.blogspot.com/2010/12/criptografia-com-gnupg.html#comment-formhttp://pontoderedes.blogspot.com/2010/12/criptografia-com-gnupg.htmlhttps://plus.google.com/1131811002331605509067/22/2019 REDES segurana
9/38
3 - Configurar o debconf
A instalao inicial do debconf necessria para que as mesmas perguntas destesdocumento sejam feitas quando a instalao for realizada.
# dpkg-reconfigure debconf
Escolher prioridade de perguntas "baixa".
4 - Servidor LDAP
Instalao do pacote do servidor LDAP:
# aptitude install slapd ldap-utils
Omitir a configurao do servidor LDAP? No Nome do domnio DNS: debian-go.org
Nome da organizao: debian-go
Senha do admin: segredo
"Backend" de base de dados a ser usado: BDB
Voc deseja que sua base de dados seja removida quando o slapd for expurgado?No
Mover base de dados antiga? Sim
Permitir Protocolo LDAP v2? No
Confira se as configuraes respondidas via debconf esto de acordo com o arquivo deconfigurao:
# vi /etc/ldap/slapd.conf
Reinicialize o servidor:
# /etc/init.d/slapd restart
Verifique os dados iniciais disponveis no servidor LDAP atravs do comando slapcat:
# slapcatdn: dc=debian-go,dc=orgobjectClass: topobjectClass: dcObjectobjectClass: organizationo: debian-godc: debian-gostructuralObjectClass: organizationentryUUID: ab548b92-0361-102d-9ca7-a5cb93af3e92creatorsName:modifiersName:createTimestamp: 20080821001304ZmodifyTimestamp: 20080821001304ZentryCSN: 20080821001304Z#000000#00#000000
7/22/2019 REDES segurana
10/38
dn: cn=admin,dc=debian-go,dc=orgobjectClass: simpleSecurityObjectobjectClass: organizationalRolecn: admindescription: LDAP administratoruserPassword:: e2NyeXB0fUU1UXFQZ09zZFQ0YmM=
structuralObjectClass: organizationalRoleentryUUID: ab555aea-0361-102d-9ca8-a5cb93af3e92creatorsName:modifiersName:createTimestamp: 20080821001304ZmodifyTimestamp: 20080821001304ZentryCSN: 20080821001304Z#000001#00#000000
5 - Frontend PHPLdapadmin
O Phpldapadmin um frontend que permite gerenciar o servidor LDAP atravs de umainterface Web.
6 - Instalao do PHPldapadmin# aptitude install phpldapadmin apache2
tipo de autenticao: session
servidores web com quais ser configurado automaticamente: apache2 (pelomenos)
reiniciar o servidor web: sim
7 - Conferindo a instalao do
phpldapadminUtilizando um navegador web, aponte para o endereo:
http://10.1.0.17/phpldapadmin
E efetue o logon utilizando o usurio:
cn=admin,cn=debian-go,cn=org
Utilize a senha fornecida na instalao do servidor LDAP: "segredo".
8 - Instalao do servidor SAMBA# aptitude install samba
Domnio: debian-go.org
Usar senhas criptografadas? Sim
Modificar smb.conf para usar configuraes WINS fornecidas via DHCP? No
Como voc deseja que o Samba seja executado? daemons
Gerar a base de dados para senhas /var/lib/samba/samba.tdb? No
7/22/2019 REDES segurana
11/38
9 - Configurando o LDAP para dar
suporte ao Samba# aptitude install samba-doc
# cd /usr/share/doc/samba-doc/examples/LDAP/# cp samba.schema.gz /etc/ldap/schema/# cd /etc/ldap/schema
# gunzip samba.schema.gz
# vi /etc/ldap/slapd.conf
...
include /etc/ldap/schema/samba.schema...
access to attrs=userPassword,shadowLastChange,sambaNTPassword,sambaLMPassword by dn="cn=admin,dc=debian-go,dc=org" write
As ltimas linhas fazem com que o LDAP tenha suporte ao schema dos objetos LDAPdo Samba e o usurio admin ter acesso a escrita aos atributos userPassword,shadowLastChange, sambaNTPassword e sambaLMPassword.
/etc/init.d/slapd restart
10 - Configurando o Samba# vi /etc/samba/smb.conf
security = userdomain logons = yes# passdb backend = tdbsam# invalid users = root
...
# nao utilizar as restries impostas pelo PAM
obey pam restrictions = no
# Na linha abaixo especifique o IP do servidor Slapd
passdb backend = ldapsam:ldap://127.0.0.1ldap passwd sync = yesldap delete dn = Yes# Especifique o seu domnioldap admin dn = cn=admin,dc=debian-go,dc=orgldap suffix = dc=debian-go,dc=orgldap machine suffix = ou=Computadoresldap user suffix = ou=Usuariosldap group suffix = ou=Gruposldap idmap suffix = ou=Idmap# Novamente o IP do servidor Slapdidmap backend = ldap:ldap://127.0.0.1idmap uid = 10000-20000
idmap gid = 10000-20000#Nas linhas abaixo necessrio especificar corretamente a#path dos utilitrios para gerenciamento de usurios e grupos
7/22/2019 REDES segurana
12/38
#para samba+ldap estes utilitrios so do pacote smbldap-toolsadd user script = /usr/sbin/smbldap-useradd -m "%u"delete user script = /usr/sbin/smbldap-userdel "%u"add group script = /usr/sbin/smbldap-groupadd -p "%g"delete group script = /usr/sbin/smbldap-groupdel "%g"add user to group script = /usr/sbin/smbldap-groupmod -m "%u"
"%g"delete user from group script = /usr/sbin/smbldap-groupmod -x"%u" "%g"set primary group script = /usr/sbin/smbldap-usermod -g "%g""%u"add machine script = /usr/sbin/smbldap-useradd -w "%u"
11 - Gerao da senha de acesso do
samba ao LDAP# rm /var/lib/samba/secrets.tdb
# smbpasswd -w segredo# net getlocalsid
SID for domain LAB11 is: S-1-5-21-739826692-572011436-1394361479
O primeiro comando remove o arquivo secrets.tdb, que contm informaes de senha. Aremoo deste necessria para um nova instalao do Samba integrado ao LDAP. Osegundo comando insere a senha do usurio admin do ldap no arquivo/var/lib/samba/secrets.tdb. O ltimo comando fornece um identificador para a redeWindows, este ser necessrio para o prximo passo.
12 - Configurao do smbldap-tools# aptitude install smbldap-tools# vi /etc/smbldap-tools/smbldap_bind.conf
slaveDN="cn=admin,dc=debian-go,dc=org"slavePw="segredo"masterDN="cn=admin,dc=debian-go,dc=org"masterPw="segredo"
# vi /etc/smbldap-tools/smbldap.conf
# Esta primeira linha voc deve especificar o SID da rede,#para isso use o comando: net getlocalsid
SID="S-1-5-21-739826692-572011436-1394361479"# Especifique o workgroup do sambasambaDomain="debian-go.org"# Ip do servidor SlapdslaveLDAP="127.0.0.1"slavePort="389"# Ip do servidor SlapdmasterLDAP="127.0.0.1"masterPort="389"ldapTLS="0"verify=""cafile=""clientcert=""
clientkey=""suffix="dc=debian-go,dc=org"
7/22/2019 REDES segurana
13/38
usersdn="ou=Usuarios,${suffix}"computersdn="ou=Computadores,${suffix}"groupsdn="ou=Grupos,${suffix}"idmapdn="ou=Idmap,${suffix}"sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"scope="sub"
hash_encrypt="SSHA"crypt_salt_format=""userLoginShell="/bin/bash"userHome="/home/%U"userHomeDirectoryMode="700"userGecos="System User"defaultUserGid="513"defaultComputerGid="515"skeletonDir="/etc/skel"defaultMaxPasswordAge="45"userSmbHome="\lab17\%U"userProfile="\lab17\%U"userHomeDrive="H:"
with_smbpasswd="0"smbpasswd="/usr/bin/smbpasswd"with_slappasswd="0"slappasswd="/usr/sbin/slappasswd"
13 - Popular o LDAP#smbldap-populate
Este comando acima ir popular a base de dados ldap com objetos necessrios para aadministrao do smbldap-tools. Verifique no phpldapadmin os objetos ldap criados,especialmente note os grupos e usurios criados.
14 - Instalao do libnss-ldap# aptitude install libnss-ldap
Identificador Uniforme de Recursos do servidor LDAP: ldap://127.0.0.1
Nome distitnto da base de pesquisa: dc=debian-go,dc=org
Verso LDAP a usar: 3
A base de dados LDAP requer login: Sim
Privlegios especiais LDAP para o root? Sim
Permitir a leitura/escrita no ficheiro de configurao apenas para o dono? No
Conta LDAP para o root: cn=admin,dc=debian-go,dc=org
Password da conta root do LDAP: segredo
Utilizador sem privilegios da base de dados: cn=admin,dc=debian-go,dc=org
Password da conta para fazer login na base de dados: segredo
15 - Configurao do libnss# vi /etc/nsswitch.conf#passwd: compatpasswd: files ldap#group: compatgroup: files ldap
16 - Incluso de usurio para testes
7/22/2019 REDES segurana
14/38
# vi /etc/nextuid.ldifdn: cn=NextFreeUnixId,dc=debian-go,dc=orgobjectClass: inetOrgPersonobjectClass: sambaUnixIdPooluidNumber: 10000gidNumber: 10000
cn: NextFreeUnixIdsn: NextFreeUnixId# ldapadd -x -D cn=admin,dc=debian-go,dc=org -W -f nextuid.ldif# smbldap-useradd teste
# smbldap-usershow teste# smbldap-passwd teste
# smbpasswd -a teste# smbldap-usershow teste
# mkdir /home/teste
Note a diferena entre os dois comandos smbldap-usershow acima.
17 - Incluso do usurio root# smbldap-useradd root
# smbldap-usershow root# smbldap-passwd root
# smbpasswd -a root
# smbldap-usershow root
18 - Teste com cliente Windows Entrar no Windows como administrador
Mouse boto-direito no Meu Computador
Aba "Nome do computador"
Clicar em mudar
Boto renomear o computador
Selecionar a opo domnio;
Alterar o domnio desejado (debian-go.org)
19 - Referncias: 1. Openldap instalation on Debian -http://www.debian-administration.org/articles/585
2. Jarbas Jnior - Instalando LDAP + Samba -http://wiki.sintectus.com/bin/view/GrupoLinux/InstalacaoLdapSamba
3. Geovanny Junio da Silva -http://www.vivaolinux.com.br/artigo/Configuracao-simples-Samba-+-LDAP
4. Debian for dummies -http://www.debianfordummies.org/wiki/index.php/Samba_Ldap_Howtohttp://www.debianfo
rdummies.org/wiki/index.php/Samba_Ldap_HowtoPostado porAnderson Weige Dias s13:372 comentrios:
http://www.debian-administration.org/articles/585http://www.debian-administration.org/articles/585http://www.debian-administration.org/articles/585http://www.debian-administration.org/articles/585http://wiki.sintectus.com/bin/view/GrupoLinux/InstalacaoLdapSambahttp://wiki.sintectus.com/bin/view/GrupoLinux/InstalacaoLdapSambahttp://www.vivaolinux.com.br/artigo/Configuracao-simples-Samba-+-LDAPhttp://www.vivaolinux.com.br/artigo/Configuracao-simples-Samba-+-LDAPhttp://www.vivaolinux.com.br/artigo/Configuracao-simples-Samba-+-LDAPhttp://www.debianfordummies.org/wiki/index.php/Samba_Ldap_Howtohttp:/www.debianfordummies.org/wiki/index.php/Samba_Ldap_Howtohttp://www.debianfordummies.org/wiki/index.php/Samba_Ldap_Howtohttp:/www.debianfordummies.org/wiki/index.php/Samba_Ldap_Howtohttp://www.debianfordummies.org/wiki/index.php/Samba_Ldap_Howtohttp:/www.debianfordummies.org/wiki/index.php/Samba_Ldap_Howtohttps://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906http://pontoderedes.blogspot.com/2010/11/samba-com-ldap.htmlhttp://pontoderedes.blogspot.com/2010/11/samba-com-ldap.htmlhttp://pontoderedes.blogspot.com/2010/11/samba-com-ldap.html#comment-formhttp://pontoderedes.blogspot.com/2010/11/samba-com-ldap.html#comment-formhttp://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=3661674093867466116http://pontoderedes.blogspot.com/2010/11/samba-com-ldap.html#comment-formhttp://pontoderedes.blogspot.com/2010/11/samba-com-ldap.htmlhttps://plus.google.com/113181100233160550906http://www.debianfordummies.org/wiki/index.php/Samba_Ldap_Howtohttp:/www.debianfordummies.org/wiki/index.php/Samba_Ldap_Howtohttp://www.debianfordummies.org/wiki/index.php/Samba_Ldap_Howtohttp:/www.debianfordummies.org/wiki/index.php/Samba_Ldap_Howtohttp://www.vivaolinux.com.br/artigo/Configuracao-simples-Samba-+-LDAPhttp://wiki.sintectus.com/bin/view/GrupoLinux/InstalacaoLdapSambahttp://www.debian-administration.org/articles/585http://www.debian-administration.org/articles/5857/22/2019 REDES segurana
15/38
Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar noFacebookCompartilhar no OrkutMarcadores:Segurana
sexta-feira, 29 de outubro de 2010
LDAPUma autenticao centralizada faz parte do processo de adequao do ambiente as boasprticas de segurana. Esta soluo prov recursos que atendem aos principios deautenticidade e no-repdio. Usando a criptografia juntamente com esta soluo pode-se
previnir ataques de hijacking, spoofing e man in the middle.O LDAP (Lightweight Directory Access Protocol) um protocolo cliente-servidor,utilizado para acessar um servio de Diretrio. Ele foi inicialmente usado como umainterface para o X.500, mas tambm pode ser usado com autonomia e com outros tiposde servidores de Diretrio. Atualmente vem se tornando um padro, diversos programas
j tm suporte a LDAP. Livros de endereos, autenticao, armazenamento decertificados digitais (S/MIME) e de chaves pblicas (PGP), so alguns dos exemplos
onde o LDAP j amplamente utilizado.O Openldap a soluo livre para a implementao do LDAP. Diferentemente dassolues proprietrias ( e.g. Active Directory (tm) ), ele implementa de forma fidedignaas especificaes das RFCs deste protocolo.
Uma das principais vantagens do LDAP a facilidade em localizar informaes earquivos disponibilizados. Pesquisando pelo sobrenome de um funcionrio possvellocalizar dados sobre ele, como telefone, departamento onde trabalha, projetos em queest envolvido e outras informaes includas no sistema, alm de arquivos criados porele ou que lhe faam referncia. Cada funcionrio pode ter uma conta de acesso noservidor LDAP, para que possa cadastrar informaes sobre s e compartilhar arquivos.
O LDAP oferece uma grande escalabilidade. possvel replicar servidores (para backupou balanceamento de carga) e incluir novos servidores de uma forma hierrquica,interligando departamentos e filiais de uma grande multinacional por exemplo. Aorganizao dos servidores neste caso similar ao DNS: especificado um servidor raize a partir da possvel ter vrios nveis de sub-servidores, alm de mirrors do servidor
principal.
Tela do LDAP, um dos passos para se criar um usurio:
http://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3661674093867466116&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3661674093867466116&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3661674093867466116&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3661674093867466116&target=facebookhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/2010/10/ldap.htmlhttp://www.gophoto.it/view.php?i=http://4.bp.blogspot.com/_enup9U-2Nqc/TMsES2U7ITI/AAAAAAAAAVs/xy6MAw6x2Ng/s1600/ss3.pnghttp://pontoderedes.blogspot.com/2010/10/ldap.htmlhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3661674093867466116&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3661674093867466116&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3661674093867466116&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3661674093867466116&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3661674093867466116&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3661674093867466116&target=email7/22/2019 REDES segurana
16/38
Postado porAnderson Weige Dias s15:11Nenhum comentrio:Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar noFacebookCompartilhar no OrkutMarcadores:Segurana
sexta-feira, 22 de outubro de 2010
Portscanner - NessusUm port scanner (scanner de porta) um aplicativo com o objetivo de testar as portaslgicas de determinado host remoto. Neste teste ele identifica o status das portas, seesto fechadas, escutando ou abertas.
O Nessus um programa de verificao de falhas/vulnerabilidades de segurana(portas, vulnerabilidades, exploits). Ele composto por um cliente e servidor, sendo queo scan propriamente dito feito pelo servidor. O nessusd (servidor Nessus) faz um portscan ao computador alvo, depois disso vrios scripts (escritos em NASL, Nessus AttackScripting Language) ligam-se a cada porta aberta para verificar problemas de segurana.
O Nessus ajuda a identificar e resolver alguns problemas de vulnerabilidades. A parteServidor executa os testes enquanto a parte cliente permite a configurao e emisso derelatrios.Postado porAnderson Weige Dias s13:45Nenhum comentrio:Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar noFacebookCompartilhar no OrkutMarcadores:Ferramentas,Segurana
quarta-feira, 13 de outubro de 2010
ShorewallShorewall (mais apropriadamente como Shoreline Firewall) uma ferramenta defirewall Linux de cdigo aberto, que se baseia no Netfilter (iptables / ipchains) sistemaembutido no kernel do Linux, possibilita uma configurao mais organizada e rpida doseu firewall, tornando mais fcil para gerenciar sistemas de configurao maiscomplexa.
Usando uma analogia compreensvel para programadores: Shorewall iptables, o C alinguagem assembly. Ele fornece um nvel maior de abstrao para descrever regras deuso de arquivos de texto.
Abaixo temos o link para o tutorial passo a passo de como instalar e configurar o
Shorewall no Debian:http://www.megaupload.com/?d=OYQZ7PI8
Postado porAnderson Weige Dias s13:44Nenhum comentrio:Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar noFacebookCompartilhar no OrkutMarcadores:Segurana
quinta-feira, 30 de setembro de 2010
SnifferSniffers ou farejadores so softwares muito teis. To grande a utilidade deles, que atos sistemas de IDS (como o Snort) so feitos com base em sniffers. Um sniffer um
programa que consegue capturar todo o trfego que passa em um segmento de uma
https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906http://pontoderedes.blogspot.com/2010/10/ldap.htmlhttp://pontoderedes.blogspot.com/2010/10/ldap.htmlhttp://pontoderedes.blogspot.com/2010/10/ldap.html#comment-formhttp://pontoderedes.blogspot.com/2010/10/ldap.html#comment-formhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4445674143202932960&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4445674143202932960&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4445674143202932960&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4445674143202932960&target=facebookhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/2010/10/portscanner-nessus.htmlhttps://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906http://pontoderedes.blogspot.com/2010/10/portscanner-nessus.htmlhttp://pontoderedes.blogspot.com/2010/10/portscanner-nessus.htmlhttp://pontoderedes.blogspot.com/2010/10/portscanner-nessus.html#comment-formhttp://pontoderedes.blogspot.com/2010/10/portscanner-nessus.html#comment-formhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=6228041582680473185&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=6228041582680473185&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=6228041582680473185&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=6228041582680473185&target=facebookhttp://pontoderedes.blogspot.com/search/label/Ferramentashttp://pontoderedes.blogspot.com/search/label/Ferramentashttp://pontoderedes.blogspot.com/search/label/Ferramentashttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/2010/10/shorewall.htmlhttp://www.megaupload.com/?d=OYQZ7PI8http://www.megaupload.com/?d=OYQZ7PI8http://www.megaupload.com/?d=OYQZ7PI8https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906http://pontoderedes.blogspot.com/2010/10/shorewall.htmlhttp://pontoderedes.blogspot.com/2010/10/shorewall.htmlhttp://pontoderedes.blogspot.com/2010/10/shorewall.html#comment-formhttp://pontoderedes.blogspot.com/2010/10/shorewall.html#comment-formhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3351886541205345950&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3351886541205345950&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3351886541205345950&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3351886541205345950&target=facebookhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/2010/09/sniffer.htmlhttp://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=3351886541205345950http://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=6228041582680473185http://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=4445674143202932960http://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=3351886541205345950http://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=6228041582680473185http://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=4445674143202932960http://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=3351886541205345950http://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=6228041582680473185http://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=4445674143202932960http://pontoderedes.blogspot.com/2010/09/sniffer.htmlhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3351886541205345950&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3351886541205345950&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3351886541205345950&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3351886541205345950&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3351886541205345950&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=3351886541205345950&target=emailhttp://pontoderedes.blogspot.com/2010/10/shorewall.html#comment-formhttp://pontoderedes.blogspot.com/2010/10/shorewall.htmlhttps://plus.google.com/113181100233160550906http://www.megaupload.com/?d=OYQZ7PI8http://pontoderedes.blogspot.com/2010/10/shorewall.htmlhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Ferramentashttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=6228041582680473185&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=6228041582680473185&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=6228041582680473185&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=6228041582680473185&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=6228041582680473185&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=6228041582680473185&target=emailhttp://pontoderedes.blogspot.com/2010/10/portscanner-nessus.html#comment-formhttp://pontoderedes.blogspot.com/2010/10/portscanner-nessus.htmlhttps://plus.google.com/113181100233160550906http://pontoderedes.blogspot.com/2010/10/portscanner-nessus.htmlhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4445674143202932960&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4445674143202932960&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4445674143202932960&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4445674143202932960&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4445674143202932960&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4445674143202932960&target=emailhttp://pontoderedes.blogspot.com/2010/10/ldap.html#comment-formhttp://pontoderedes.blogspot.com/2010/10/ldap.htmlhttps://plus.google.com/1131811002331605509067/22/2019 REDES segurana
17/38
rede. Para tornar mais fcil o entendimento, observe a imagem abaixo:
Quando ligamos computador no HUB, e enviamos informao de um computador parao outro, na realidade esses dados vo para todas as portas do HUB, e conseqentemente
para todas as mquinas. Acontece que s a mquina na qual a informao foi destinadaenviar para o sistema operacional.
Se um sniffer estivesse rodando nos outros computadores, mesmo sem esses sistemasenviarem a informao que trafega ali para o sistema operacional, o farejadorinterceder na camada de rede, capturando os dados e mostrando-os para o usurio, de
forma pouco amigvel. Geralmente os dados so organizados por tipos de protocolo(TCP, UDP, FTP, ICMP, etc...) e cada pacote mostrado pode ter seu contedo lido.Postado porAnderson Weige Dias s22:49Um comentrio:Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar noFacebookCompartilhar no OrkutMarcadores:Segurana
quarta-feira, 22 de setembro de 2010
Criptografia ConvencionalPrincpios da Criptografia Convencional
A criptografia convencional possui cinco elementos: o texto plano; o algoritmo de criptografia; a chave secreta; o texto cifrado (codificado); o algoritmo de decriptografia.
Observao: A segurana da criptografia depende do segredo da chave, e no doalgoritmo que, geralmente, de domnio pblico.
A criptografia pode ser classificada de acordo com: o tipo de operao utilizada para transformar o texto plano em texto cifrado;
https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906http://pontoderedes.blogspot.com/2010/09/sniffer.htmlhttp://pontoderedes.blogspot.com/2010/09/sniffer.htmlhttp://pontoderedes.blogspot.com/2010/09/sniffer.html#comment-formhttp://pontoderedes.blogspot.com/2010/09/sniffer.html#comment-formhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=561682138525058168&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=561682138525058168&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=561682138525058168&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=561682138525058168&target=facebookhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/2010/09/criptografia-convencional.htmlhttp://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=561682138525058168http://www.gophoto.it/view.php?i=http://4.bp.blogspot.com/_enup9U-2Nqc/TKtrvoGgAII/AAAAAAAAAUo/d1YCn8ZBg4o/s1600/Sem+t%C3%ADtulo.jpghttp://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=561682138525058168http://www.gophoto.it/view.php?i=http://4.bp.blogspot.com/_enup9U-2Nqc/TKtrvoGgAII/AAAAAAAAAUo/d1YCn8ZBg4o/s1600/Sem+t%C3%ADtulo.jpghttp://pontoderedes.blogspot.com/2010/09/criptografia-convencional.htmlhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=561682138525058168&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=561682138525058168&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=561682138525058168&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=561682138525058168&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=561682138525058168&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=561682138525058168&target=emailhttp://pontoderedes.blogspot.com/2010/09/sniffer.html#comment-formhttp://pontoderedes.blogspot.com/2010/09/sniffer.htmlhttps://plus.google.com/1131811002331605509067/22/2019 REDES segurana
18/38
o nmero de chaves utilizadas:- simtrica: utiliza uma nica chave;- assimtrica: utiliza duas chaves ou criptografia de chave pblica; a forma como o texto plano processado.
Tempo mdio necessrio para decriptografia utilizando a fora bruta:
Postado porAnderson Weige Dias s09:26Nenhum comentrio:Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no
FacebookCompartilhar no OrkutMarcadores:Segurana
quarta-feira, 1 de setembro de 2010
Configurando Snort e GuardianInstalando o Snort no Debian
Snort um "farejador" que analisa todo o trfego da rede, porm no toma nenhumaatitude. Neste tutorial voc ver como integrar o Snort com o Guardian. O Guardian,
por sua vez, toma a ao de atualizar o iptables com os alertas gerados pelo Snort, ouseja, ele interpreta o log do Snort e atualiza a regra do iptables.
Antes de iniciar, vamos colocar os seguintes mirrors em nosso sources.list:
Cdigo: Selecionar todosdeb http://ftp.us.debian.org/debian lenny main contrib non-freedeb http://de.debian.org/debian squeeze main
Agora vamos atualizar a lista de pacotes:
# apt-get update
Criar diretrio IDS na raiz:
# mkdir /IDS
Criar diretrio para instalao do http:
# mkdir /www
Copiar todos os pacotes para /IDS:
https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906http://pontoderedes.blogspot.com/2010/09/criptografia-convencional.htmlhttp://pontoderedes.blogspot.com/2010/09/criptografia-convencional.htmlhttp://pontoderedes.blogspot.com/2010/09/criptografia-convencional.html#comment-formhttp://pontoderedes.blogspot.com/2010/09/criptografia-convencional.html#comment-formhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4700334708116782302&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4700334708116782302&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4700334708116782302&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4700334708116782302&target=facebookhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/2010/09/configurando-snort-e-guardian.htmlhttp://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=4700334708116782302http://www.gophoto.it/view.php?i=http://4.bp.blogspot.com/_enup9U-2Nqc/TJn3UyrVB5I/AAAAAAAAAUI/9ovcjJZOMuU/s1600/Captura_de_tela-src02_cripto1.pdf.pnghttp://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=4700334708116782302http://www.gophoto.it/view.php?i=http://4.bp.blogspot.com/_enup9U-2Nqc/TJn3UyrVB5I/AAAAAAAAAUI/9ovcjJZOMuU/s1600/Captura_de_tela-src02_cripto1.pdf.pnghttp://pontoderedes.blogspot.com/2010/09/configurando-snort-e-guardian.htmlhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4700334708116782302&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4700334708116782302&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4700334708116782302&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4700334708116782302&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4700334708116782302&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4700334708116782302&target=emailhttp://pontoderedes.blogspot.com/2010/09/criptografia-convencional.html#comment-formhttp://pontoderedes.blogspot.com/2010/09/criptografia-convencional.htmlhttps://plus.google.com/1131811002331605509067/22/2019 REDES segurana
19/38
# cp snort-xxx.tar.gz /IDS# cp http-xxx.tar.gz /IDS
Descompactar em /IDS e fazer a compilao:
# tar -zxvf http-xxx.tar.gz# cd http-xxx
Obs.: Verifique se o pacote build-essential est instalado, pois utilizaremos ocompilador GCC e esse pacote j vem o GCC e outros softwares. Caso no estejadevidamente instalado, utilize:
# apt-get -y install build-essential# ./configure --prefix=/www# make && make install
Verifique se o iptables est instalado e sua verso utilizando:
# iptables -V
Antes de instalar o Snort, vamos instalar a Libcap, que necessria para a instalao doSnort:
# apt-cache search libpcap
(assim verificamos o nome e a verso do pacote)
# apt-get -y install libpcap0.8-dev
Foi utilizada a verso 0.8 da libpcap.
Precisamos instalar tambm o Libpcre:
# apt-get -y install libpcre3-dev
Agora vamos instalar o Snort-xxx:
# tar -zxvf snort-xxx.tar.gz# cd snort-xxx# ./configure# make && make install
Crie os seguintes diretrios:
# mkdir /etc/snort# mkdir /etc/snort/rules
Ainda no diretrio /IDS/snort-xxx faa:
# cd etc/
7/22/2019 REDES segurana
20/38
# cp classification.config gen* threshold.conf unicode.map sid* snort.confreference.config /etc/snort/
Agora vamos colocar as rules baixadas do site snort.org (lembrando que necessrio terlogin no referido site para baixar as rules):
# cd /IDS# tar -zxvf snortrules-snapshot-CURRENT.tar.gz# cd rules# cp * /etc/snort/rules
Obs.: O link direto para download : snortrules-snapshot-CURRENT.tar.gz
Para isso voc precisa ter login, mas para criar seu login no site FREE, grtis. :)
Crie o arquivo que ir guardar os logs:
# mkdir /var/log/snort# cd /var/log/snort# touch alert
Para rodar o Snort, edite o arquivo:
# vim /etc/snort/snort.conf
Altere a linha:
var RULE_PATH ../rules
Para:
var RULE_PATH /etc/snort/rules
E faa assim:
# snort -c /etc/snort/snort.conf -o
Ou melhor:# snort -c /etc/snort/snort.conf -o -i eth0 -D
Definio do Guardian:
"O Guardian, uma ferramenta que l os logs do snort em tempo real e bloqueia algumataque que esteja vindo de algum lugar na internet, ou melhor, bloqueia alguma coisaque possa vir a ser um problema para seu servidor e/ou voc." - Snort + MySQL +
Guardian + ACID - ataliba.eti.br
7/22/2019 REDES segurana
21/38
Agora vamos instalar o Guardian:
# cd /IDS# tar -zxvf guardian-1.7.tar.gz# cd guardian-1.7/scripts
O programa Guardian utiliza sempre os scripts denominados guardian_block.sh eguardian_unblock.sh. Assim, devero ser copiados para os arquivos com esses nomescorrespondentes ao firewall que pretendemos utilizar. Copie:
# cp iptables_block.sh /usr/bin/guardian_block.sh# cp iptables_unblock.sh /usr/bin/guardian_unblock.sh# chmod 755 /usr/bin/guardian_block.sh /usr/bin/guardian_unblock.sh# cd ..# cp guardian.pl /usr/bin# chmod 755 /usr/bin/guardian.pl
# cp guardian.conf /etc/
Vamos configurar alguns parmetros no guardian.conf:
Interface eth0 #Interface eth0, a que ter os terminais bloqueadosAlertFile /var/adm/secure #Mude para /var/log/snort/alertTimeLimit 86400 #Mude para um valor em segundos que pretendemos que o endereoIP fique bloqueado pela firewall. O valor 99999999 remove esta opo.
Crie o arquivo de log do guardian:
# touch /var/log/guardian.log
Crie o arquivo guardian.ignore com os endereos IP que se pretende ignorar:
# touch /etc/guardian.ignore
Inicie o Guardian:
# guardian.pl -c /etc/guardian.conf
Caso retorne um erro relacionado a seu IP, ex.:Warning! HostIpAddr undefined!Attempting to guess...
Abra o arquivo /etc/guardian.conf, no comeo do arquivo, descomente a linha:
# HostIpAddr
Deixando assim:
HostIpAddr SEUIP
7/22/2019 REDES segurana
22/38
Ex.: HostIpAddr 192.168.0.102
Agora, tente de novo iniciar o Guardian...
Para visualizar o log use:
# tail -f /var/log/snort/alert
Uma observao importante que o Snort, com o pacote bsico das regras, gera muitosfalsos positivos, porm serve muito bem! Exstem tambm regras para serem compradas
prontas, oque geraria um maior nivel de preciso.
Fonte: VOLPostado porAnderson Weige Dias s13:58Nenhum comentrio:Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no
FacebookCompartilhar no OrkutMarcadores:Segurana
sbado, 14 de agosto de 2010
MRTG
O Multi Router Traffic Grapher (MRTG) uma ferramenta de monitorao que gerapginas HTML com grficos de dados coletados a partir de SNMP ou scripts externos. conhecido principalmente pelo seu uso na monitorao de trfego de rede, mas podemonitorar qualquer coisa desde que o host fornea os dados via SNMP ou script.
Foi desenvolvido por Tobias Oetiker e Dave Rand. Foi escrito em Perl mas utiliza ummdulo em C para gerar os grficos.
Caractersticas Mede sempre 2 valores, no caso de trfego, pode ser Entrada e Sada.
Faz as leituras via SNMP ou atravs de script que retorne um formato padro.
Coleta dados a cada 5 minutos por padro, mas este tempo pode ser aumentadoou diminuido.
Cria uma pgina HTML com 4 grficos (dirio, semanal, mensal e anual). Sealgum deles no for necessrio pode ser suprimido.
O MRTG pode avisar caso o valor do grfico atinja um valor pr-estabelecido.Por exemplo: se determinado servidor atinge 95% do espao do disco, o MRTG podemandar um e-mail para o administrador informando o ocorrido.
Possui uma ferramenta para gerar os arquivos de configurao: o CFGMAKER.
Possui uma ferramenta para gerar um pgina de ndice para os casos em quemuitos tens so monitorados: o INDEXMAKER.
O MRTG software livre distribudo nos termos da GNU General Public License.Postado porAnderson Weige Dias s14:27Um comentrio:Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar no
FacebookCompartilhar no OrkutMarcadores:Ferramentas,Segurana
https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906http://pontoderedes.blogspot.com/2010/09/configurando-snort-e-guardian.htmlhttp://pontoderedes.blogspot.com/2010/09/configurando-snort-e-guardian.htmlhttp://pontoderedes.blogspot.com/2010/09/configurando-snort-e-guardian.html#comment-formhttp://pontoderedes.blogspot.com/2010/09/configurando-snort-e-guardian.html#comment-formhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4217575922376948169&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4217575922376948169&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4217575922376948169&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4217575922376948169&target=facebookhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/2010/08/mrtg.htmlhttps://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906http://pontoderedes.blogspot.com/2010/08/mrtg.htmlhttp://pontoderedes.blogspot.com/2010/08/mrtg.htmlhttp://pontoderedes.blogspot.com/2010/08/mrtg.html#comment-formhttp://pontoderedes.blogspot.com/2010/08/mrtg.html#comment-formhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4757307548584142100&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4757307548584142100&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4757307548584142100&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4757307548584142100&target=facebookhttp://pontoderedes.blogspot.com/search/label/Ferramentashttp://pontoderedes.blogspot.com/search/label/Ferramentashttp://pontoderedes.blogspot.com/search/label/Ferramentashttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=4757307548584142100http://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=4217575922376948169http://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=4757307548584142100http://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=4217575922376948169http://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Ferramentashttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4757307548584142100&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4757307548584142100&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4757307548584142100&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4757307548584142100&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4757307548584142100&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4757307548584142100&target=emailhttp://pontoderedes.blogspot.com/2010/08/mrtg.html#comment-formhttp://pontoderedes.blogspot.com/2010/08/mrtg.htmlhttps://plus.google.com/113181100233160550906http://pontoderedes.blogspot.com/2010/08/mrtg.htmlhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4217575922376948169&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4217575922376948169&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4217575922376948169&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4217575922376948169&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4217575922376948169&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=4217575922376948169&target=emailhttp://pontoderedes.blogspot.com/2010/09/configurando-snort-e-guardian.html#comment-formhttp://pontoderedes.blogspot.com/2010/09/configurando-snort-e-guardian.htmlhttps://plus.google.com/1131811002331605509067/22/2019 REDES segurana
23/38
quarta-feira, 11 de agosto de 2010
Instalando e configurando SNMP e MRTGNeste artigo veremos como instalar e usar o SNMP e MRTG.Os agentes SNMP devem ser executados no modo SOMENTE-LEITURA (RO) porqueo coletor SNMP somente precisa ler os dados nas mquinas remotas. Limitando como
tem a permisso de acessar os agentes nos dispositivos remotos aumentando um pouco asegurana.
Nunca esquea que a comunidade SNMP est cruzando a rede em texto limpo e podeser facilmente interceptada usando ferramentas como o WireShark, antigo Ethereal.
Sero necessrios os pacotes SNMP,MRTG e oApache rodando. Baixe os fontes deacordo com sua distribuio e instale. Instale e configure o SNMP e o MRTG nestaordem. Tem que ser feito desta forma, pois preciso que o SNMP esteja devidamenteconfigurado para que o MRTG possa atuar sem problemas.
Em mquinas debian/Ubuntu Linux:
Instale o servio SNMP:
#apt-get install snmpd
Instale o apache:#apt-get install apache2
Depois de instalados, iremos configurar o SNMP. Edite o arquivo snmpd.conf:
# vi /etc/snmp/snmpd.confExistem diversos tipos de configurao para monitoramento via MRTG, neste textotrataremos de uma configurao simples e funcional.
Ache o tpico "## sec.name source community" e descomente as linhas:
com2sec local localhost privatecom2sec mynet 192.168.0.0/24 publiccom2sec public default public
Observe a segunda linha, onde est definido o nome e o endereo da rede.
Em seguida descomente e defina as seguinte linhas:
group mygroup v1 mynetgroup mygroup v2c mynetgroup local v1 localgroup local v2c localgroup public v1 publicgroup public v2c public
view all included .1 80access mygroup "" any noauth 0 all none noneaccess public "" any noauth 0 all none noneaccess local "" any noauth 0 all all all
http://pontoderedes.blogspot.com/2010/08/instalando-e-configurando-snmp-e-mrtg.htmlhttp://pontoderedes.blogspot.com/2010/08/instalando-e-configurando-snmp-e-mrtg.html7/22/2019 REDES segurana
24/38
Essas linhas vm descomentadas por padro. Deixe-as:
syslocation Unknown (edit /etc/snmp/snmpd.conf)syscontact Root (configure /etc/snmp/snmp.local.conf)
Pronto salve o arquivo e inicie o servio:
# service snmpd start
Configurando MRTG
Voc pode usar o comando apt-get install mrtg e o programa ir baixar e instalarautomaticamente. Agora se voc quiser baix-lo, visite a pgina oficial do MRTG:
MRTGhttp://oss.oetiker.ch/mrtg/
O MRTG requer o seguinte para compilar e funcionar no seu Linux: gcc, perl, gd,libpng, zlib. Provavelmente sua distribuio j veio com esses pacotes, ento no oscobrirei neste tutorial. Vamos agora comear a instalao:
# tar zpfx mrtg-2.9.25.tar.gz# cd mrtg-2.9.25# ./configure --prefix=/usr --sysconfdir=/etc/mrtg
[...configurando a compilao...]
# make
[...compilando...]
# make install
E pronto. Se tudo ocorrer bem, o MRTG estar instalado corretamente no seu sistema, epronto para o uso! Mas antes, teremos que criar um arquivo de configurao para oMRTG usar. Para isso utilizaremos um utilitrio do MRTG chamado cfgmaker.Tenha em mos o IP do seu roteador e a senha community dele Se voc no soubero que diabos isso, ento est precisando mexer um pouco mais com o roteador :)Execute o comando:
cfgmaker --global 'WorkDir: /var/www/html/mrtg' \--global 'Options[_]: bits,growright' \--output /etc/mrtg/exemplo.cfg \community@xxx.xxx.xxx.xxx
Onde xxx.xxx.xxx.xxx o IP do seu roteador. Este comando ir gerar o arquivo/etc/mrtg/exemplo.cfg e servir para alterarmos manualmente, comparando com oresultado. Veja este exemplo de configurao final comentada:
# ---------------------# Configuraes Globais
http://oss.oetiker.ch/mrtg/http://oss.oetiker.ch/mrtg/http://oss.oetiker.ch/mrtg/http://oss.oetiker.ch/mrtg/7/22/2019 REDES segurana
25/38
# ---------------------
# Diretrio onde vai ficar a pgina com os grficos gerados# pelo MRTGWorkDir: /var/www/html/mrtg
# Lngua usada pelo MRTG para as mensagens na pginaLanguage: brazilian
# Opes:# bits = Mostrar a velocidade em bits (bits/bytes)# growright = O grfico cresce para a direitaOptions[_]: bits,growright
# Rodar como Daemon? Assim no ser preciso colocar# no crontab, s precisar colocar um comando na
# inicializao do Linux.RunAsDaemon: yes
# --------------------------------# Configurao do link 1 (256kbps)# --------------------------------
# Aqui voc ter de comparar com o exemplo gerado# pelo comando 'cfgmaker', coloque o valor igual# ao que foi mostrado. O primeiro nmero essencial# para saber a ligao que estamos usando no roteador.Target[EXEMPLO]: 1:community@xxx.xxx.xxx.xxx:
# A quantidade de bytes que o link suporta.# 64kbps = 8000# 256kbps = 32000MaxBytes[EXEMPLO]: 32000AbsMax[EXEMPLO]: 32000
# Com essa opo, todos os 4 grficos no sero# redimensionados de acordo com o uso do link. Eles sempre
# tero a altura do mximo de trfego que se pode chegar# (de acordo com os itens acima).Unscaled[EXEMPLO]: dwmy
# Configuraes da pgina. Ttulo e frase no Topo.Title[EXEMPLO]: Exemplo de Anlise de Trfego para link de 256kbpsPageTop[EXEMPLO]:Exemplo de Anlise de Trfego para link de 256kbps
Pronto. J temos uma configurao bsica para o MRTG. Agora vamos rod-lo:
# mrtg
Postado porAnderson Weige Dias s23:03Nenhum comentrio:
https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906http://pontoderedes.blogspot.com/2010/08/instalando-e-configurando-snmp-e-mrtg.htmlhttp://pontoderedes.blogspot.com/2010/08/instalando-e-configurando-snmp-e-mrtg.htmlhttp://pontoderedes.blogspot.com/2010/08/instalando-e-configurando-snmp-e-mrtg.html#comment-formhttp://pontoderedes.blogspot.com/2010/08/instalando-e-configurando-snmp-e-mrtg.html#comment-formhttp://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=7664202515030665983http://pontoderedes.blogspot.com/2010/08/instalando-e-configurando-snmp-e-mrtg.html#comment-formhttp://pontoderedes.blogspot.com/2010/08/instalando-e-configurando-snmp-e-mrtg.htmlhttps://plus.google.com/1131811002331605509067/22/2019 REDES segurana
26/38
Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar noFacebookCompartilhar no OrkutMarcadores:Ferramentas,Segurana
sexta-feira, 18 de junho de 2010
Segurana do BluetoothO Bluetooth tem trs modos de segurana, variando desde nenhuma segurana at totalcriptografia de dados e controle de integridade. Se a segurana for destivada, no havernenhuma segurana. Grande parte dos usurios mantma segurana desativada atocorrer uma sria violao, depois eles a ativam. No mundo agrcola, essa abordagem conhecida como trancar a porteira depois que o cavalo escapou.
O Bluetooth fornece segurana em vrias camadas. Na camada fsica, os saltos defrequncia oferecem um nvel mnimo de segurana mas, como qualquer dispositivoBluetooth que se desloca em uma piconet tem de ser informado da sequncia de saltosde frequencia, bvio que essa frequncia no um segredo. A segurana real comea
quando o escravo recm-chegado solicita um canal ao mestre. Supe-se que os doisdispositivos compartilham uma chave secreta configurada com antecedncia.
Para estabelecer um canal, o escravo e o mestre verificam se a outra mquina conhece achave de passagem. Nesse caso, eles negociam para ver se esse canal ser criptografado,ter sua integridade controlada ou ambos. Em seguida, eles selecionam uma chave desesso aleatria de 128 bits, na qual alguns bits podem ser pblicos. A razo para
permitir o enfraquecimento dessa chave obedecer a algumas restries do governo devrios pases, criadas para impedir a exportao ou o uso de chaves mais longas do queo governo pode violar.
O Bluetooth efetua a autenticao apenas de dispositivos, no de usurios. Desse modo,quando um ladro rouba um dispositivo Bluetooth ele pode ter acesso s finanas e scontas do usurio. No entento, o Bluetooth tambm implementa segurana nas camadassuperiores do que a do enlace. Assim mesmo se houver violao da segurana no nvelde enlace, deve restar alguma segurana, especialmente para aplicaes que exigem adigitao de um cdigo PIN em algum tipo de teclado para completar a transao.Postado porAnderson Weige Dias s15:47Nenhum comentrio:Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar noFacebookCompartilhar no OrkutMarcadores:Segurana
segunda-feira, 7 de junho de 2010
Segurana de Rede - LinuxIntroduoA cada dia novos usurios de Linux surgem todos os dias, e graas facilidade deacesso Internet nos dias atuais a maior parte deles conecta suas mquinas pessoais aredes abertas sem maiores dificuldades.
Sabendo que o Linux um sistema capaz de ser administrado remotamente, e quemuitas configuraes default de distribuies habilitam muitos processos servidores
para iniciar automaticamente aps a instalao, estes novos usurios acabam se
transformando em uma ameaa a si prprios, pois expem Internet uma mquinaaberta, devido sua falta de conhecimento tcnico.
http://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7664202515030665983&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7664202515030665983&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7664202515030665983&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7664202515030665983&target=facebookhttp://pontoderedes.blogspot.com/search/label/Ferramentashttp://pontoderedes.blogspot.com/search/label/Ferramentashttp://pontoderedes.blogspot.com/search/label/Ferramentashttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/2010/06/seguranca-do-bluetooth.htmlhttps://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906http://pontoderedes.blogspot.com/2010/06/seguranca-do-bluetooth.htmlhttp://pontoderedes.blogspot.com/2010/06/seguranca-do-bluetooth.htmlhttp://pontoderedes.blogspot.com/2010/06/seguranca-do-bluetooth.html#comment-formhttp://pontoderedes.blogspot.com/2010/06/seguranca-do-bluetooth.html#comment-formhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7965218425774606827&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7965218425774606827&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7965218425774606827&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7965218425774606827&target=facebookhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/2010/06/seguranca-derede-linux.htmlhttp://www.blogger.com/email-post.g?blogID=5123524786961264506&postID=7965218425774606827http://pontoderedes.blogspot.com/2010/06/seguranca-derede-linux.htmlhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7965218425774606827&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7965218425774606827&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7965218425774606827&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7965218425774606827&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7965218425774606827&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7965218425774606827&target=emailhttp://pontoderedes.blogspot.com/2010/06/seguranca-do-bluetooth.html#comment-formhttp://pontoderedes.blogspot.com/2010/06/seguranca-do-bluetooth.htmlhttps://plus.google.com/113181100233160550906http://pontoderedes.blogspot.com/2010/06/seguranca-do-bluetooth.htmlhttp://pontoderedes.blogspot.com/search/label/Seguran%C3%A7ahttp://pontoderedes.blogspot.com/search/label/Ferramentashttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7664202515030665983&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7664202515030665983&target=facebookhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7664202515030665983&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7664202515030665983&target=twitterhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7664202515030665983&target=emailhttp://www.blogger.com/share-post.g?blogID=5123524786961264506&postID=7664202515030665983&target=email7/22/2019 REDES segurana
27/38
Para piorar a situao, h abundncia de textos sobre "segurana" disponveis nainternet, "ensinando" que para garantir uma configurao segura da sua mquina, tudo oque voc tem a fazer "comentar as linhas do inetd.conf", um conselho enganoso.
Primeiros passos
A segurana comea pela instalao do seu sistema Linux. Se voc tem uma mquinasem configuraes especiais de segurana e quer torn-la segura, uma opointeressante reinstal-la completamente, suprimindo assim qualquer erro que tenhasido cometido no passado; lembre-se que uma mquina invadida e onde estranhosobtiveram privilgios de superusurio jamais poder ser considerada segura novamente,exceto se totalmente reinstalada a partir de uma mdia original (e se voc corrigir asfalhas que permitiram a invaso original).
Ao instalar o sistema, lembre-se dos seguintes itens:
*S exponha o sistema Internet aps completar todos os procedimentos de segurana.H muitos relatos de mquinas invadidas durante o processo de configurao inicial,graas a administradores que preferem confiar na sorte;*Se a sua distribuio permitir, opte por uma instalao personalizada, e escolha apenasos pacotes que voc sabe que ir usar. muito fcil adicionar pacotes posteriormente, eser sempre um alvio quando voc receber e-mail do seu fornecedor recomendando umupgrade urgente de segurana do servidor de Real Audio, e em seguida perceber queno precisa fazer nada a respeito pois no o instalou;*Monte seu esquema de parties adequadamente. Se voc for rodar algum servio quegere armazenamento de dados em disco (uma proxy web, um servidor de mail, umservidor de news...), certifique-se de criar uma partio separada para o /var, evitandoassim que os arquivos dos seus processos servidores possam lotar o espao dearmazenamento da mquina, tirando-a de operao (coisa que normalmente s podeocorrer em caso de m configurao dos servidores, mas no h por que no levar asrio esta possibilidade);*Aps instalar todos os pacotes, instale todas as atualizaes de segurana disponveisno web site do seu fornecedor. Assine a lista de divulgao de novas atualizaes, sedisponvel;*Habitue-se a visitar sites de segurana para saber as novas vulnerabilidades a que voc
pode estar exposto.
Servios desnecessrios
Uma instalao padronizada de sistema operacional costuma habilitar uma srie deservios dos quais voc no precisa, e que podem vir a servir como ponto de acesso paraum invasor. Remov-los relativamente fcil, e um passo essencial.
Editar corretamente o arquivo /etc/inetd.conf bsico. Este arquivo define quais osservios bsicos de internet estaro habilitados na sua mquina, e portanto acessveis a
partir de outras mquinas. Verifique atentamente quais destes servios esto habilitados,e retire os que voc no tiver uma boa justificativa para manter. Na dvida, retire!
Retirar um servio do inetd.conf simples, basta acrescentar um caracter # no incio da
7/22/2019 REDES segurana
28/38
linha, transformando-a em um comentrio. Se posteriormente voc precisar habilitarnovamente o servio, basta retirar o #.
Mquinas domsticas em geral no precisam de nenhum servio habilitado noinetd.conf, e podem at mesmo deixar de carregar o servio inetd (inetd) na
inicializao. Usurios de servios online (como o irc) podem querer habilitar apenas oservio auth. No se deixe enganar pela iluso de rodar servidores telnet, ftp e finger nasua mquina domstica, exceto se voc realmente tiver uma boa justificativa.
Aps definir a sua configurao do inetd.conf, reinicie o processo do inetd, comandandokillall -HUP inetd
Em seguida, voc precisa verificar os servios de rede standalone, que no sogerenciados pelo inetd.conf, mas sim pelos init scripts, de modo geral localizadosabaixo do diretrio /etc/rc.d. Cada distribuio de Linux lida com estes scripts de umamaneira um pouco diferente, ento voc ter que ler um pouco da documentao da sua
preferida. Ferramentas como o ntsysv, o ksysv e o tksysv podem ajudar, e a suadistribuio pode ter oferecido algum outro pacote adicional que permita selecionar osscripts facilmente.
De modo geral, os init scripts definem quais servios sero inicializados no momento doboot. Alguns servios so aparentemente incuos do ponto de vista de uma possvelinvaso (e.g. sound, random, apmd), enquanto outros claramente oferecem algum raiode ao para o potencial invasor (e.g. portmap, xntpd, netfs, rstatd, rusersd, rwalld,rwhod, bootparamd, squid, yppasswd, ypserv, dhcpd, snmpd, named, routed, lpd, gated,httpd, xfs, linuxconf e muitos outros).
Ao definir quais scripts voc executar no boot, use o mesmo critrio da seleo dosservios do inetd; na dvida, retire - se mais tarde voc precisar, adicione novamente(aps avaliar o impacto sobre a segurana). Particularmente evite rodar o servidor dolinuxconf, rstatd, rusersd, rwalld, rwhod, os servios do NIS (yp*) e os daemons deroteamento (como o gated). Se voc for rodar um servidor web para uso interno, ou paratestes, certifique-se de configur-lo para aceitar requests apenas da sua rede interna, oude sua mquina pessoal - segurana de servidores no ser coberta neste texto.
Cuidado ao mexer nos scripts de inicializao
Leia sempre a documentao antes, e tenha mo um disquete de inicializaocompleta, como o tomsrtbt para emergncias, j que provavelmente o disquete de bootgerado durante a sua instalao do Linux no resolver o problema. Outra boa dica aprender a iniciar o sistema em modo monousurio quando tudo falhar.
Detalhes
*Desenvolva uma estratgia de backups confivel;*Instale ferramentas de anlise e rotao de logs;*Instale ferramentas de garantia de integridade, como o tripwire (principalmente nosservidores);
*Certifique-se de estar usando shadow passwords (nada de senhas criptografadasvisveis no /etc/passwd - este recurso j vem habilitado como default em algumas das
7/22/2019 REDES segurana
29/38
distribuies);*Se voc estiver com o servidor de ftp habilitado, configure-o adequadamente; no
permita o acesso de root, restrinja a rvore de diretrios, reveja os direitos de acessoannimos, considere a possibilidade de as senhas de acesso estarem sendo monitoradasem sua rede local;
*Desabilite o telnet e o ftp. Se voc precisar deste tipo de servio, use o ssh (tanto paralogin quanto para transferncia de arquivos);*Habilite os tcp wrappers (tcpd) e configure adequadamente os arquivos de restrio e
permisso de acesso (em geral, /etc/hosts.deny e /etc/hosts.allow);*Habilite filtros de pacotes (usando ipfwadm, ipchains ou a ferramenta que estiverdisponvel na sua verso);*No permita que outras mquinas iniciem conexes com a sua, exceto para as portasque voc explicitamente definir;*Bloqueie o acesso s portas dos seus servios locais (xfs, X, servidor web utilizado
para testes...).Postado porAnderson Weige Dias s13:17Nenhum comentrio:
Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar noFacebookCompartilhar no OrkutMarcadores:Linux,Segurana
domingo, 6 de junho de 2010
Monitorao remota (RMON)
A monitorao emota (RMON) uma especificao padro de monitorao, quehabilita vrios sistemas e console e monitores de rede para o intercmbio de dados demonitorao de rede. A RMON proporciona aos administradores de rede maiorliberdade para seleo de consoles e sondas de monitorao com caractersticas quesatisfaam s necessidades especficas de suas redes.
A especificao RMON define um conjunto de estatsticas e funes que podem serpermutadas entre sondas de rede e gerentes de console compatveis com a RMON.Dessa maneira a RMON, proporciona aos administradores uma diagnose abrangente defalhas na rede, planejamento e informaes para o ajuste de desempenho.
Grupos RMON
A RMON fornece informaes em nove grupos RMON de elementos de monitorao,
cada um oferecendo conjuntos especficos de dados para atender s necessidades demonitorao de rede. Cada grupo opcional, permitindo que cada fabricante o preciseincluir na MIB (Base de informae de administrao) todos os grupos.
Alguns grupos de RMON precisam de suporte de outros grupos RMON para quepossam funcionar de maneira correta.
Extrado das pginas 525 e 526 do livro INTERNET WORKING MANUAL DETECNOLOGIAS - Traduo da Segunda Edio.
Postado porAnderson Weige Dias s14:32Nenhum comentrio:
Enviar por e-mailBlogThis!Compartilhar no TwitterCompartilhar noFacebookCompartilhar no Orkut
https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906https://plus.google.com/113181100233160550906http://pontoderedes.blogspot.com/2010/06/seguranca-derede-linux.htmlhttp://pontoderedes.blogspot.com/2010/06/seguranca-derede-linux.htmlhttp://pontoderedes.blogspot.com/2010/06/seguranca-derede-linux.html#comment-fo