Certificação Digital - Conceito e Aplicações

Atualmente todos nós buscamos praticidade e principalmente segurança em nosso dia-a-dia, os processos que lidamos em nosso cotidiano estão passando por uma fase de transformação, onde a agilidade e confiabilidade fazem parte dos negócios.

Identidade Digital
Uma dessas transformações é a possibilidade de identificar as pessoas através do uso da Identidade Digital, esta, é uma credencial eletrônica segura e confiável, que pode ser utilizada para acesso a serviços digitais do governo, bancos e diversas outras aplicações de mercado.
Está contida em um certificado digital, que é uma técnica fundamental na sociedade da informação para dar mais segurança, ao comércio eletrônico, transações de governo eletrônico e a privacidade dos cidadãos. Um certificado digital é capaz de prover autenticação, assinatura eletrônica, “cifras” entre outros recursos.
ICP-Brasil
O Brasil utiliza atualmente o padrão ICP-Brasil que significa Infra-Estrutura de Chaves Públicas Brasileira, onde estão especificadas as políticas de certificados, normas técnicas e operacionais a serem utilizadas. O ITI Instituto Nacional de Tecnologia da Informação é uma autarquia federal, vinculado diretamente a Casa Civil tendo entre suas missões cuidar e manter a ICP-Brasil.
Autoridade de Certificação e Validade Jurídica
Assim como um RG é expedido pela Secretaria de Segurança Pública, um Certificado Digital é expedido através da Autoridade de Certificação. Essa AC é responsável pela emissão, controle e revogação dos seus certificados emitidos.
Abaixo da hierarquia da Autoridade Certificadora encontramos a AR, Autoridade de Registro, que é responsável pela validação presencial e requisição dos certificados.

A medida provisória 2.200-2 com força de lei, garante aos certificados emitidos pela ICP-Brasil a autenticidade, integridade e validade jurídica dos documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras.
Confiabilidade na Assinatura Digital
Um documento assinado digitalmente é reconhecido como sua própria assinatura, os seus mecanismos de segurança garantem a autenticidade que prova que o “assinante” é realmente quem diz ser, prova também a sua integridade que é a garantia que esse documento não foi alterado após a assinatura. Isso é muito importante para evitar, principalmente, falsificações em documentos. O não-repúdio é a garantia que a pessoa que realizou determinada transação eletrônica, não poderá posteriormente negar sua autoria, visto que somente aquela chave privada poderia ter gerado assinatura digital própria.
A utilização dos certificados digitais tende a crescer cada vez mais no Brasil e no mundo.
Uma série de atividades que antes requeriam a validação presencial e porte de documentos já está sendo substituída por validação eletrônica. Onde através do seu certificado digital, pessoas físicas e jurídicas realizam suas transações eletrônicas.
Principais Vantagens
Os principais ganhos com a utilização de certificados digitais são:
1)Maior segurança e confiança nos processos;
2)Eliminação de burocracia;
3)Ganho de eficiência;
4)Otimização de tempo;
5)Redução de custos.
Exemplos de Utilização

Alguns exemplos de utilização do certificado digital:
- Assinatura digital de e-mail

Os e-mails podem ser assinados e cifrados para maior segurança
- Autenticação de aplicações em Internet Banking

O acesso a conta bancária e transações financeiras passam por um processo de autenticação forte, garantindo maior segurança contra fraudes eletrônicas
- Autenticação de aplicações como VPN

Através da internet, os usuários têm acesso aos sistemas internos, utilizando autenticação por certificados digitais com smart card, assim como a criação de comunicação segura.
- Acesso aos serviços e-CAC

A Receita Federal disponibiliza o Centro Virtual de Atendimento ao Contribuinte, onde através de certificados digitais e-CPF e e-CNPJ são disponibilizados diversos serviços como alterações cadastrais, acompanhamento processos tributários eletronicamente, situação fiscal e procuração eletrônica.
- Assinatura de documentos eletrônicos individuais e em lote

Um documento assinado eletronicamente possui validade legal, dispensando o uso e armazenamento em papel. Com esse recurso é possível a assinatura de centenas de documentos ao mesmo tempo, ganhando muita agilidade em aprovações, podendo ainda ser realizado a partir de qualquer localidade.
Composição do Certificado
Um certificado digital normalmente contém as seguintes informações:
- Sua chave pública

- Seu nome e endereço de e-mail

- Para qual fim é destinado o certificado

- A validade da chave pública

- O nome da Autoridade Certificadora

- O número de série do Certificado Digital

- A assinatura digital da Autoridade Certificadora
Processo de Assinatura Digital

Vamos exemplificar o processo da assinatura digital realizado por Paulo:

Num processo de assinatura digital o documento passa por uma função matemática chamada “Hash”, onde é gerado um “resumo” único do documento. Com a chave privada, esse “Hash” é criptografado e enviado juntamente com o documento assinado eletronicamente. Ao receber o documento, o destinatário aplica a função “Hash” novamente obtendo o “resumo1”.
Utilizando a chave pública de Paulo o “resumo” é decriptografado e ambos são comparados “resumo1” e “resumo”, se eles forem iguais, o documento está íntegro e autêntico, ou seja, não foi alterado e realmente foi enviado por Paulo. Qualquer alteração no documento geraria uma função “Hash” diferente, o fato da chave pública de José abrir o arquivo criptografado, prova que o mesmo foi assinado digitalmente com a chave privada correspondente.
Todo esse processo é realizado de forma automática pelo sistema instalado em seu computador, tornando o processo seguro e confiável.
Certificado Digital padrão A3
Existem diversos tipos e utilizações para os certificados digitais, abordaremos somente o padrão A3. O certificado digital Tipo A3 oferece maior segurança, pois, seus dados são gerados, armazenados e processados em smart card ou token, permanecendo assim invioláveis e únicos, uma vez que a chave privada é gerada dentro do dispositivo e não pode ser exportada. Somente o detentor da senha de acesso pode fazer utilização da chave privada. Por estar contido em um dispositivo como smart card ou token, terá a possibilidade de ser transportado e utilizado em qualquer computador.
A finalidade dos dispositivos smart card e token é a mesma, para utilização do smart card é necessária uma leitora de cartão, já o token, possui interface padrão USB e dispensa o uso de leitora.
Segurança no Certificado A3

Para utilização do certificado digital do tipo A3 são necessários dois itens, algo que você sabe “sua senha” e algo que você possui, “seu smart card ou token”. Dessa forma, mesmo que um programa malicioso capture sua senha, não será possível a utilização do seu certificado, pois, a chave privada está contida dentro do seu dispositivo que somente você possui.
PIN e PUK

O acesso a chave privada é protegido por senha conhecido como PIN. Sendo sua senha primária, ao inserir corretamente o PIN é liberado o uso da chave privada contida no certificado.
Existe uma senha mestra conhecida como PUK utilizada somente quando o PIN é bloqueado, através dela é possível reaver a senha de PIN. Este último é bloqueado após três tentativas de senha inválida. O PUK também é passível de bloqueio com três tentativas inválidas. Lembre-se que a senha de PIN e PUK é de uso pessoal e intransferível, assim como sua senha do banco.
A proteção do smart card ou token é muito importante, pois a chave privada contida no mesmo é única, se houver perda ou roubo desse dispositivo, o certificado deve ser imediatamente revogado junto a Autoridade de Registro. Após isso, o certificado não é reconhecido como confiável para qualquer tipo de uso nos sistemas.
Cuidados com seu Certificado Digital
Os principais cuidados que devem ser tomados com o seu certificado e dispositivos são:
- Perda do smart card ou token
- Perda da senha PIN e PUK
- Formatação do dispositivo
- Remoção das chaves
- Dano físico ao smart card ou token
A emissão de um novo certificado digital gera custo, além de ser necessário um novo processo de emissão presencial, junto a um agente de validação da Autoridade de Registro.

Criptografia com GnuPG

O GNU Privacy Guard (GnuPG ou GPG) é uma alternativa de software livre para a suíte de criptografia PGP, liberado sob a licença GNU General Public License. Ele é parte do projeto GNU da Free Software Foundation e recebe a maior parte do seu financiamento do governo alemão. O GnuPG é completamente compatível com o padrão IETF para o OpenPGP.

1)Instalação do GPG
Primeiramente é necessário instalar o GPG (www.info.abril.com.br/download/5293.shtml). Faça a instalação no local-padrão de seu PC (por exemplo: C:\Arquivos de programas\GNU\GnuPG). Não é preciso alterar nenhuma opção durante a instalação. Reinicie o PC e rode o aplicativo WinPT, no menu do GPG.

2) Criação das chaves

Agora devemos criar as chaves pública e privada do GPG, para criptografar e assinar as mensagens. Para isso, selecione Generate a GnuPG Key Pair. Pressione OK. Tecle, então, seu nome e o e-mail que será usado com a chave, clicando em OK depois disso. A seguir, digite a senha da chave. É importante que ela seja longa (no mínimo oito caracteres) e difícil de quebrar. Pressione OK, tecle a senha novamente e clique em OK.

3)Backup


É importante manter um backup das chaves do GPG. Se elas forem perdidas, não será mais possível desembaralhar os e-mails já enviados ou recebidos. O processo de criação das chaves permite fazer isso agora, pressionando o botão Sim. Escolha um drive onde ficam outros backups — ou um pen drive para permitir o uso das chaves em qualquer lugar — e clique em Salvar. Depois disso, será mostrada a tela principal do gerenciador de chaves do GPG, com o item recém-criado. Clique no botão X para minimizar o gerenciador para a área de notificação.

4) Extensão FireGPG

O próximo passo é instalar a extensão FireGPG no navegador Firefox. Para isso, acesse www.info.abril.com.br/download/4844.shtml e, ao chegar à página do produto, clique no botão de download. Será mostrada uma mensagem do Firefox indicando que a instalação da extensão foi bloqueada. Pressione, na barra que surgiu, o botão Editar Opções. Na janela que aparece, pressione Permitir. Clique no botão de download do programa novamente. Espere alguns segundos e pressione o botão Instalar Agora. Depois, reinicie o Firefox.

5) Configuração

Com o Firefox aberto, clique com o botão direito do mouse em qualquer local numa página da web e escolha FireGPG > Opções. Na janela que aparece, passe à seção GPG, marque o item Especificar Manualmente a Localização do GnuPG e pressione o botão Configurar a Localização do GnuPG. Localize a pasta onde o GPG foi instalado, clique no arquivo gpg.exe e pressione Abrir. Clique no botão OK para confirmar as mudanças.

6) Teste de funcionamento

Abra o Gmail no Firefox. Ao criar uma nova mensagem, verifique se os botões de acesso rápido ao FireGPG são mostrados. Eles permitem assinar e criptografar a mensagem, com envio automático ou não. Escreva algo no corpo da mensagem e clique no botão Cifrar. Note que o texto fica embaralhado.

7) Outros serviços

O FireGPG também funciona para desembaralhar dados em outros serviços de webmail. Para fazer essa operação, basta selecionar todo o texto criptografado, incluindo os cabeçalhos (ou seja, com as linhas Begin GPG Message e End GPG Message), clicar com o botão direito na página e acessar FireGPG > Decifrar. Será mostrada uma janela com o texto desembaralhado.

Adaptado de: http://info.abril.com.br/dicas/internet/email/proteja-as-mensagens-do-gmail-contra-crackers-e-arapongas.shtml

Gerenciar e monitorar redes com o Zabbix e Ubuntu

Zabix é uma ferramenta que pode ser utilizada para monitorar toda sua infra-estrutura de rede, além de aplicações.

Características

• Possui suporte a maioria dos sistemas operacionais: Linux, Solaris, HP-UX, AIX, FreeBSD, OpenBSD, NetBSD, Mac OS X, Windows, entre outros;
• Monitora serviços simples (http, pop3, imap, ssh) sem o uso de agentes;
• Suporte nativo ao protocolo SNMP;
• Interface de gerenciamento Web, de fácil utilização;
• Integração com banco de dados (MySQL, Oracle,PostgreSQL ou SQLite);
• Geração de gráficos em tempo real;
• Fácil instalação e customização;
• Agentes disponíveis para diversas plataformas: Linux,Solaris, HP-UX, AIX, FreeBSD, OpenBSD,SCO-OpenServer, Mac OS X, Windows 2000/XP/2003/Vista;
• Agentes para plataformas 32 bits e 64 bits;
• Integração com os Contadores de Performance do Windows;
• Software Open Source distribuído pela Licença GPL v2;
• Excelente Manual (Em Inglês) – Possui licenciamento próprio – Não GPL;
• Envio de alertas para: e-mail, Jabber, SMS;
• Scripts personalizados.

Vantagens/Pontos fortes

A principal vantagem do Zabbix é a facilidade de manipulação dos objetos, o que agiliza muito o trabalho do dia-a-dia, por exemplo, digamos que você possui 50 switches iguais, e você quer monitorar o tráfego de rede de cada porta.
Você vai criar os itens de cada porta uma única vez e salva-los como template, depois basta usar este template para os 50 switches.
Você vai criar os gráficos apenas do primeiro switch e depois copia-lo para os outros 49.
Tudo isso selecionando itens e clicando em botões como copy e/ou clone.

Fonte: http://zabbixbrasil.org/?page_id=59

Sem dúvida um dos melhores programas para gerência de redes é o zabbix. Todo dinâmico e polido, utiliza o MySQL como gerenciador da base de dados. Tem agentes de monitoramento para praticamente todas as plataformas.

O zabbix é fácil fácil de instalar:

sudo su

apt-get install zabbix-agent zabbix-server-mysql zabbix-frontend-php snmpd php5-mysql

Só vai ter perguntas óbvias, como senhas e next, next, next e ok. Tudo em bom portugês.

E algumas configurações adicionais:

pico /etc/php5/apache2/php.ini

Localize os campos abaixo e altere:
max_execution_time = 300 ;

date.timezone = America/Sao_Paulo

Reinicie o Apache:

/etc/init.d/apache2 restart

pico /etc/zabbix/zabbix_agentd.conf

Ache o campo abaixo e troque o “localhost” por:
Hostname=ZABBIX Server

E reinicie o agente:

/etc/init.d/zabbix-agent restart

Agora basta abrir o firefox:

http:///zabbix/

E pronto. A partir daí baixe o agente para o seu sistema em www.zabbix.com e comece a monitorar com a interface do zabbix!

Onde está o NET SEND no Windows 7 e no Windows Vista?

O famoso serviço “mensageiro”, do Windows XP, ficou tão famoso, a ponto de diversos usuários leigos utilizarem ele por linha de comando. Quem nunca viu alguém clicar no “Iniciar”, “Executar” e digitar “NET SEND fulano sua máquina será desligada???” :D… O comando NET SEND faz parte do mensageiro do Windows XP, e só funciona se esse serviço estiver ativado. Muitas empresas aboliram o uso do NET SEND justamente por isso. Um usuário pode digitar NET SEND * Olá!. O asterisco, quando liberado, simplesmente envia mensagens instantâneas a todos os usuários que estão conectados ao mesmo servidor. Imagine… cerca de 500 pessoas recebendo a mensagem.

O NET SEND não é usado só para brincadeira. Aliás, usá-lo como brincadeira é apenas uma de suas utilidades. Vários softwares o utilizam como maneira de trocar mensagens, até mesmo com servidores de banco de dados.

A novidade, no Windows Vista e, consequentemente no Windows 7, é: onde está nosso amigo NET SEND? Experimente digitar o comando e terá uma surpresa: o serviço “NET” ainda existe, porém foi retirada a função SEND, certamente por alguns problemas de segurança.

E agora??? Não fique triste: muitos não perceberam, mas o Microsoft implementou um novo substituto ao NET SEND: o MSG. Isso mesmo: MSG. Basta digitar esse comando no prompt de comando e verá que existem várias formas de utilizá-lo, inclusive a mais simples sendo semelhante ao seu avô NET SEND. Veja só o exemplo, digitado no prompt de comando do Windows 7:

Sintaxe: MSG Anderson JesusSalva (onde “Anderson” é o nome do usuário de destino)

OBS: caso você esteja em uma rede de domínio e o envio da mensagem não ocorrer, talvez se faça necessário alterar a chave de registro “AllowRemoteRPC” para “1″ em cada máquina local, no seguinte caminho do REGEDIT:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

Teste a Velocidade de Sua Conexão

Abaixo há uma lista de "speed-meters" para você testar a velocidade de sua conexão:

Destaque:

http://www.pingtest.net/

Nacionais:

http://www.rjnet.com.br/velocimetro/teste100.asp
http://www.ip2.com.br/home/content/ip2/ban...rga/default.asp
http://www.testesuavelocidade.com.br/

Internacionais:

http://www.numion.com/YourSpeed/
http://www.numion.com/MaxSpeed
http://promos.mcafee.com/speedometer/test_0150.asp
http://www.pcpitstop.com/internet/BwDownTest.asp
http://www.adsl4ever.com/test


Quanto mais próximo da sua região o site de testes se localizar, maior será a eficácia da sua medição.

Dica: Façam o teste pelo menos 3 vezes no mesmo site, geralmente desconsiderando o 1º resultado e fazendo uma média dos dois últimos (claro, resultados absurdos não devem ser levados a sério, neste caso façam o teste em outro site).

Fibra Óptica

Os cabos de fibra óptica utilizam o fenômeno da refração interna total para transmitir feixes de luz a longas distâncias. Um núcleo de vidro muito fino, feito de sílica com alto grau de pureza é envolvido por uma camada (também de sílica) com índice de refração mais baixo, chamada de cladding, o que faz com que a luz transmitida pelo núcleo de fibra seja refletida pelas paredes internas do cabo. Com isso, apesar de ser transparente, a fibra é capaz de conduzir a luz por longas distâncias, com um índice de perda muito pequeno.

Embora a sílica seja um material abundante, os cabos de fibra óptica são caros devido ao complicado processo de fabricação, assim como no caso dos processadores, que são produzidos a partir do silício. A diferença entre sílica e silício é que o silício é o elemento Si puro, enquanto a sílica é composta por dióxido de silício, composto por um átomo de silício e dois de oxigênio. O silício é cinza escuro e obstrui a passagem da luz, enquanto a sílica é transparente.

O núcleo e o cladding são os dois componentes funcionais da fibra óptica. Eles formam um conjunto muito fino (com cerca de 125 microns, ou seja, pouco mais de um décimo de um milímetro) e frágil, que é recoberto por uma camada mais espessa de um material protetor, que tem a finalidade de fortalecer o cabo e atenuar impactos chamado de coating, ou buffer. O cabo resultante é então protegido por uma malha de fibras protetoras, composta de fibras de kevlar (que têm a função de evitar que o cabo seja danificado ou partido quando puxado) e por uma nova cobertura plástica, chamada de jacket, ou jaqueta, que sela o cabo:

Cabos destinados a redes locais tipicamente contêm um único fio de fibra, mas cabos destinados a links de longa distância e ao uso na área de telecomunicações contêm vários fios, que compartilham as fibras de kevlar e a cobertura externa:

Como os fios de fibra são muito finos, é possível incluir um grande volume deles em um cabo de tamanho modesto, o que é uma grande vantagem sobre os fios de cobre. Como a capacidade de transmissão de cada fio de fibra é bem maior que a de cada fio de cobre e eles precisam de um volume muito menor de circuitos de apoio, como repetidores, usar fibra em links de longa distância acaba saindo mais barato. Outra vantagem é que os cabos de fibra são imunes a interferência eletromagnética, já que transmitem luz e não sinais elétricos, o que permite que sejam usados mesmo em ambientes onde o uso de fios de cobre é problemático.

Como criar links de longa distância cavando valas ou usando cabos submarinos é muito caro, é normal que seja usado um volume de cabos muito maior que o necessário. Os cabos adicionais são chamados de fibra escura (dark fiber), não por causa da cor, mas pelo fato de não serem usados. Eles ficam disponíveis para expansões futuras e para substituição de cabos rompidos ou danificados. Quando ouvir falar em padrões "para fibras escuras", tenha em mente que são justamente padrões de transmissão adaptados para uso de fibras antigas ou de mais baixa qualidade, que estão disponíveis como sobras de instalações anteriores.

A transmissão de dados usando sinais luminosos oferece desafios, já que os circuitos eletrônicos utilizam eletricidade e não luz. Para solucionar o problema, é utilizado um transmissor óptico, que converte o sinal elétrico no sinal luminoso enviado através da fibra e um receptor, que faz o processo inverso. O transmissor utiliza uma fonte de luz, combinada com uma lente, que concentra o sinal luminoso, aumentando a percentagem que é efetivamente transmitida pelo cabo. Do outro lado, é usado um receptor ótico, que amplifica o sinal recebido e o transforma novamente nos sinais elétricos que são processados.

Para reduzir a atenuação, não é utilizada luz visível, mas sim luz infravermelha, com comprimentos de onda de 850 a 1550 nanômetros, de acordo com o padrão de rede usado. Antigamente, eram utilizados LEDs nos transmissores, já que eles são uma tecnologia mais barata, mas com a introdução dos padrões Gigabit e 10 Gigabit eles foram quase que inteiramente substituídos por laseres, que oferecem um chaveamento mais rápido, suportando, assim, a velocidade de transmissão exigida pelos novos padrões de rede.

Existem padrões de fibra óptica para uso em redes Ethernet desde as redes de 10 megabits. Antigamente, o uso de fibra óptica em redes Ethernet era bastante raro, mas com o lançamento dos padrões de 10 gigabits a utilização vem crescendo, com os links de fibra sendo usados sobretudo para criar backbones e links de longa distância.

Existem dois tipos de cabos de fibra óptica, os multimodo ou MMF (multimode fibre) e os monomodo ou SMF (singlemode fibre). As fibras monomodo possuem um núcleo muito mais fino, de 8 a 10 mícrons de diâmetro, enquanto as multimodo utilizam núcleos mais espessos, tipicamente com 62.5 microns:

As fibras multimodo são mais baratas e o núcleo mais espesso demanda uma precisão menor nas conexões, o que torna a instalação mais simples, mas, em compensação, a atenuação do sinal luminoso é muito maior.

Isso acontece porque o pequeno diâmetro do núcleo das fibras monomodo faz com que a luz se concentre em um único feixe, que percorre todo o cabo com um número relativamente pequeno de reflexões. O núcleo mais espesso das fibras multimodo, por sua vez, favorece a divisão do sinal em vários feixes separados, que ricocheteiam dentro do cabo em pontos diferentes, aumentando brutalmente a perda durante a transmissão, como você pode ver nos desenhos a seguir:

Para efeito de comparação, as fibras multimodo permitem um alcance de até 550 metros no Gigabit Ethernet e 300 metros no 10 Gigabit, enquanto as fibras monomodo podem atingir até 80 km no padrão 10 Gigabit. Esta brutal diferença faz com que as fibras multimodo sejam utilizadas apenas em conexões de curta distância, já que sairia muito mais caro usar cabos multimodo e repetidores do que usar um único cabo monomodo de um ponto ao outro.

Fonte: http://www.gdhpress.com.br/redes/leia/index.php?p=cap1-12

Komba (linux enxergando Windows na rede)

O Samba também inclui um módulo cliente, o smbclient que pode ser usado para fazer inverso, ou seja, acessar compartilhamentos de máquinas Windows apartir do Linux.

Assim como o cdrecord usado pelo xcdroast e tantos outros exemplos, o smbclient é um programa base, que pode ser tanto usando diretamente (via texto) ou então usado com a ajuda de um utilitário gráfico que torne a coisa mais palatável e prática.

Komba

O melhor exemplo de front-end gráfico para o smbclient é o Komba, que simula o ambiente de rede do windows, mostrando todos os grupos de trabalho, PCs e compartilhamentos da rede e permitindo você monte e desmonte-os conforme necessário:

Para facilitar, o Komba monta os compartilhamentos por default dentro da pasta "komba", dentro do seu diretório de usuário. Facilita as coisas no início, principalmente se você for utiliza-lo numa rede onde os usuários não estão muito familiarizados com o conceito de montagem e desmontagem.

É possível inclusive configurar o komba para montar os compartilhamentos automaticamente ao ser aberto e fecha-los ao ser finalizado. Para isto, basta marcar as opções "Unmount all connections on exit" e "remount all on next start" em Configurações > Configurar > Scan/Mount.

Clicando sobre um compartilhamento você pode inserir seu login e senha de usuário, que será usado para acessar o compartilhamento. É possível definir um login e senha diferentes para cada compartilhamento, para cada PC ou mesmo usar o mesmo login para todos os compartilhamentos da rede. Você pode ainda configura-lo para pedir a senha ao acessar cada compartilhamento, caso precise de mais segurança.


A dupla Samba/Komba funciona melhor, sempre conseguindo exibir todos os compartilhamentos disponíveis na rede corretamente, enquanto o Windows se perde muito fácil: demora para exibir micros que acabaram de ser ligados, trava durante um tempinho ao tentar acessar um micro que foi desligado, mas que continua aparecendo no ambiente de rede e assim por diante.

O Komba foi incluído no Mandrake 9.0, Red Hat 8.0 entre outras distribuições . Se ele já estiver instalado, basta chama-lo usando o comando "komba2"

Para instalar em distribuições derivadas do Debian (como o Ubuntu, por exemplo) basta digitar no konsole: apt-get install komba2.

esse tutorial foi adaptado e retiradodo site: www.guiadohardware.net

Samba com LDAP

1 - Instalando Samba com LDAP

• O objetivo deste artigo é explicar o processo de instalação do servidor Samba atuando como PDC e utilizando o OpenLdap como backend (banco de dados).

2 - Contexto da instalação:

Este é o contexto utilizado neste documento.

• Debian 5.0 - Lenny
• Linguagem: pt_br
• Endereço do servidor remoto: 10.1.0.17
• Principais pacotes a serem instalados:
  • slapd
  • ldap-utils
  • phpldapadmin
  • samba
  • smbldap-tools
  • libnss-ldap

3 - Configurar o debconf

A instalação inicial do debconf é necessária para que as mesmas perguntas destes documento sejam feitas quando a instalação for realizada.

# dpkg-reconfigure debconf

Escolher prioridade de perguntas "baixa".

4 - Servidor LDAP

Instalação do pacote do servidor LDAP:

# aptitude install slapd ldap-utils

• Omitir a configuração do servidor LDAP? Não
• Nome do domínio DNS: debian-go.org
• Nome da organização: debian-go
• Senha do admin: segredo
• "Backend" de base de dados a ser usado: BDB
• Você deseja que sua base de dados seja removida quando o slapd for expurgado? Não
• Mover base de dados antiga? Sim
• Permitir Protocolo LDAP v2? Não

Confira se as configurações respondidas via debconf estão de acordo com o arquivo de configuração:

# vi /etc/ldap/slapd.conf

Reinicialize o servidor:

# /etc/init.d/slapd restart

Verifique os dados iniciais disponíveis no servidor LDAP através do comando slapcat:

# slapcat
dn: dc=debian-go,dc=org
objectClass: top
objectClass: dcObject
objectClass: organization
o: debian-go
dc: debian-go
structuralObjectClass: organization
entryUUID: ab548b92-0361-102d-9ca7-a5cb93af3e92
creatorsName:
modifiersName:
createTimestamp: 20080821001304Z
modifyTimestamp: 20080821001304Z
entryCSN: 20080821001304Z#000000#00#000000

dn: cn=admin,dc=debian-go,dc=org
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword:: e2NyeXB0fUU1UXFQZ09zZFQ0YmM=
structuralObjectClass: organizationalRole
entryUUID: ab555aea-0361-102d-9ca8-a5cb93af3e92
creatorsName:
modifiersName:
createTimestamp: 20080821001304Z
modifyTimestamp: 20080821001304Z
entryCSN: 20080821001304Z#000001#00#000000

5 - Frontend PHPLdapadmin

O Phpldapadmin é um frontend que permite gerenciar o servidor LDAP através de uma interface Web.

6 - Instalação do PHPldapadmin

# aptitude install phpldapadmin apache2

• tipo de autenticação: session
• servidores web com quais será configurado automaticamente: apache2 (pelo menos)
• reiniciar o servidor web: sim

7 - Conferindo a instalação do phpldapadmin

Utilizando um navegador web, aponte para o endereço:

http://10.1.0.17/phpldapadmin

E efetue o logon utilizando o usuário:

cn=admin,cn=debian-go,cn=org

Utilize a senha fornecida na instalação do servidor LDAP: "segredo".

8 - Instalação do servidor SAMBA

# aptitude install samba

• Domínio: debian-go.org
• Usar senhas criptografadas? Sim
• Modificar smb.conf para usar configurações WINS fornecidas via DHCP? Não
• Como você deseja que o Samba seja executado? daemons
• Gerar a base de dados para senhas /var/lib/samba/samba.tdb? Não

9 - Configurando o LDAP para dar suporte ao Samba

# aptitude install samba-doc

# cd /usr/share/doc/samba-doc/examples/LDAP/
# cp samba.schema.gz /etc/ldap/schema/
# cd /etc/ldap/schema

# gunzip samba.schema.gz

# vi /etc/ldap/slapd.conf

...

include         /etc/ldap/schema/samba.schema
...

access to attrs=userPassword,shadowLastChange,sambaNTPassword,
sambaLMPassword by dn="cn=admin,dc=debian-go,dc=org" write

As últimas linhas fazem com que o LDAP tenha suporte ao schema dos objetos LDAP do Samba e o usuário admin ter acesso a escrita aos atributos userPassword, shadowLastChange, sambaNTPassword e sambaLMPassword.

/etc/init.d/slapd restart

10 - Configurando o Samba

# vi /etc/samba/smb.conf
security = user
domain logons = yes
# passdb backend = tdbsam
# invalid users = root

...

# nao utilizar as restrições impostas pelo PAM

obey pam restrictions = no


# Na linha abaixo especifique o IP do servidor Slapd
passdb backend = ldapsam:ldap://127.0.0.1
ldap passwd sync = yes
ldap delete dn = Yes
# Especifique o seu domínio
ldap admin dn = cn=admin,dc=debian-go,dc=org
ldap suffix = dc=debian-go,dc=org
ldap machine suffix = ou=Computadores
ldap user suffix = ou=Usuarios
ldap group suffix = ou=Grupos
ldap idmap suffix = ou=Idmap
# Novamente o IP do servidor Slapd
idmap backend = ldap:ldap://127.0.0.1
idmap uid = 10000-20000
idmap gid = 10000-20000
#Nas linhas abaixo é necessário especificar corretamente a
#path dos utilitários para gerenciamento de usuários e grupos
#para samba+ldap estes utilitários são do pacote smbldap-tools
add user script = /usr/sbin/smbldap-useradd -m "%u"
delete user script = /usr/sbin/smbldap-userdel "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u"
"%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x
"%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g"
"%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"

11 - Geração da senha de acesso do samba ao LDAP

   # rm /var/lib/samba/secrets.tdb
# smbpasswd -w segredo
# net getlocalsid

SID for domain LAB11 is: S-1-5-21-739826692-572011436-1394361479

O primeiro comando remove o arquivo secrets.tdb, que contém informações de senha. A remoção deste é necessária para um nova instalação do Samba integrado ao LDAP. O segundo comando insere a senha do usuário admin do ldap no arquivo /var/lib/samba/secrets.tdb. O último comando fornece um identificador para a rede Windows, este será necessário para o próximo passo.

12 - Configuração do smbldap-tools

# aptitude install smbldap-tools
# vi /etc/smbldap-tools/smbldap_bind.conf

slaveDN="cn=admin,dc=debian-go,dc=org"
slavePw="segredo"
masterDN="cn=admin,dc=debian-go,dc=org"
masterPw="segredo"


# vi /etc/smbldap-tools/smbldap.conf

# Esta primeira linha você deve especificar o SID da rede,
#para isso use o comando: net getlocalsid
SID="S-1-5-21-739826692-572011436-1394361479"
# Especifique o workgroup do samba
sambaDomain="debian-go.org"
# Ip do servidor Slapd
slaveLDAP="127.0.0.1"
slavePort="389"
# Ip do servidor Slapd
masterLDAP="127.0.0.1"
masterPort="389"
ldapTLS="0"
verify=""
cafile=""
clientcert=""
clientkey=""
suffix="dc=debian-go,dc=org"
usersdn="ou=Usuarios,${suffix}"
computersdn="ou=Computadores,${suffix}"
groupsdn="ou=Grupos,${suffix}"
idmapdn="ou=Idmap,${suffix}"
sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
scope="sub"
hash_encrypt="SSHA"
crypt_salt_format=""
userLoginShell="/bin/bash"
userHome="/home/%U"
userHomeDirectoryMode="700"
userGecos="System User"
defaultUserGid="513"
defaultComputerGid="515"
skeletonDir="/etc/skel"
defaultMaxPasswordAge="45"
userSmbHome="\lab17\%U"
userProfile="\lab17\%U"
userHomeDrive="H:"
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"

13 - Popular o LDAP

#smbldap-populate

Este comando acima irá popular a base de dados ldap com objetos necessários para a administração do smbldap-tools. Verifique no phpldapadmin os objetos ldap criados, especialmente note os grupos e usuários criados.

14 - Instalação do libnss-ldap

#  aptitude install libnss-ldap

• Identificador Uniforme de Recursos do servidor LDAP: ldap://127.0.0.1
• Nome distitnto da base de pesquisa: dc=debian-go,dc=org
• Versão LDAP a usar: 3
• A base de dados LDAP requer login: Sim
• Privlegios especiais LDAP para o root? Sim
• Permitir a leitura/escrita no ficheiro de configuração apenas para o dono? Não
• Conta LDAP para o root: cn=admin,dc=debian-go,dc=org
• Password da conta root do LDAP: segredo
• Utilizador sem privilegios da base de dados: cn=admin,dc=debian-go,dc=org
• Password da conta para fazer login na base de dados: segredo

15 - Configuração do libnss

# vi /etc/nsswitch.conf
#passwd:         compat
passwd:          files ldap
#group:          compat
group:          files ldap

16 - Inclusão de usuário para testes

# vi /etc/nextuid.ldif
dn: cn=NextFreeUnixId,dc=debian-go,dc=org
objectClass: inetOrgPerson
objectClass: sambaUnixIdPool
uidNumber: 10000
gidNumber: 10000
cn: NextFreeUnixId
sn: NextFreeUnixId
# ldapadd -x -D cn=admin,dc=debian-go,dc=org -W -f nextuid.ldif
# smbldap-useradd teste

# smbldap-usershow teste
# smbldap-passwd teste

# smbpasswd -a teste
# smbldap-usershow teste

# mkdir /home/teste

Note a diferença entre os dois comandos smbldap-usershow acima.

17 - Inclusão do usuário root

# smbldap-useradd root

# smbldap-usershow root
# smbldap-passwd root


# smbpasswd -a root

# smbldap-usershow root

18 - Teste com cliente Windows

• Entrar no Windows como administrador
• Mouse botão-direito no Meu Computador
• Aba "Nome do computador"
• Clicar em mudar
• Botão renomear o computador
• Selecionar a opção domínio;
• Alterar o domínio desejado (debian-go.org)

19 - Referências:

• 1. Openldap instalation on Debian - http://www.debian-administration.org/articles/585
• 2. Jarbas Júnior - Instalando LDAP + Samba - http://wiki.sintectus.com/bin/view/GrupoLinux/InstalacaoLdapSamba
• 3. Geovanny Junio da Silva - http://www.vivaolinux.com.br/artigo/Configuracao-simples-Samba-+-LDAP
• 4. Debian for dummies - http://www.debianfordummies.org/wiki/index.php/Samba_Ldap_Howtohttp://www.debianfordummies.org/wiki/index.php/Samba_Ldap_Howto

LDAP

Uma autenticação centralizada faz parte do processo de adequação do ambiente as boas práticas de segurança. Esta solução provê recursos que atendem aos principios de autenticidade e não-repúdio. Usando a criptografia juntamente com esta solução pode-se previnir ataques de hijacking, spoofing e man in the middle.
O LDAP (Lightweight Directory Access Protocol) é um protocolo cliente-servidor, utilizado para acessar um serviço de Diretório. Ele foi inicialmente usado como uma interface para o X.500, mas também pode ser usado com autonomia e com outros tipos de servidores de Diretório. Atualmente vem se tornando um padrão, diversos programas já têm suporte a LDAP. Livros de endereços, autenticação, armazenamento de certificados digitais (S/MIME) e de chaves públicas (PGP), são alguns dos exemplos onde o LDAP já é amplamente utilizado.
O Openldap é a solução livre para a implementação do LDAP. Diferentemente das soluções proprietárias ( e.g. Active Directory (tm) ), ele implementa de forma fidedigna as especificações das RFCs deste protocolo.

Uma das principais vantagens do LDAP é a facilidade em localizar informações e arquivos disponibilizados. Pesquisando pelo sobrenome de um funcionário é possível localizar dados sobre ele, como telefone, departamento onde trabalha, projetos em que está envolvido e outras informações incluídas no sistema, além de arquivos criados por ele ou que lhe façam referência. Cada funcionário pode ter uma conta de acesso no servidor LDAP, para que possa cadastrar informações sobre sí e compartilhar arquivos.

O LDAP oferece uma grande escalabilidade. É possível replicar servidores (para backup ou balanceamento de carga) e incluir novos servidores de uma forma hierárquica, interligando departamentos e filiais de uma grande multinacional por exemplo. A organização dos servidores neste caso é similar ao DNS: é especificado um servidor raiz e a partir daí é possível ter vários níveis de sub-servidores, além de mirrors do servidor principal.

Tela do LDAP, um dos passos para se criar um usuário:

Portscanner - Nessus

Um port scanner (scanner de porta) é um aplicativo com o objetivo de testar as portas lógicas de determinado host remoto. Neste teste ele identifica o status das portas, se estão fechadas, escutando ou abertas.

O Nessus é um programa de verificação de falhas/vulnerabilidades de segurança (portas, vulnerabilidades, exploits). Ele é composto por um cliente e servidor, sendo que o scan propriamente dito é feito pelo servidor. O nessusd (servidor Nessus) faz um port scan ao computador alvo, depois disso vários scripts (escritos em NASL, Nessus Attack Scripting Language) ligam-se a cada porta aberta para verificar problemas de segurança. O Nessus ajuda a identificar e resolver alguns problemas de vulnerabilidades. A parte Servidor executa os testes enquanto a parte cliente permite a configuração e emissão de relatórios.

IPSec VPN

IPSec não é o mecanismo de encriptação ou autenticação, mas sim o que vem gerenciar estes. Em poucas palavras, é um framework (um conjunto de diversas ferramentas, compondo um sistema) de padrões abertos que visa a garantir uma comunicação segura em redes IP. Baseado em padrões desenvolvidos pela IETF (Internet Engineering Task Force, organização que desenvolve os padrões da Internet), o IPSec busca garantir confidencialidade, integridade e autenticidade nas comunicações de dados em uma rede IP pública.

Encriptação e autenticação podem ser implementadas tanto na camada de rede, quanto na de enlace ou aplicação. Antes do IPSec, as redes adotavam soluções parciais, que resolviam apenas parte dos problemas. Por exemplo, a utilização de SSL (Secure Sockets Layer, que simulam túneis seguros entre aplicativos) fornece encriptação no nível de aplicação, muito usado em navegadores de Internet, por exemplo, para acesso à serviços bancários. Uma das deficiências da encriptação no nível de aplicação é que ela protege somente os dados enviados pela aplicação que a está usando, mas não de todas as outras. Cada sistema ou aplicativo deve estar adaptado a SSL, para que uma segurança geral possa ser garantida. Atualmente, a maior parte dos aplicativos não utiliza SSL.

Já em instituições militares, o que vem sendo usado há anos é a encriptação no nível do enlace de dados. Neste esquema, todas as comunicações estarão protegidas por dispositivos de encriptação colocados em cada fim do enlace. Apesar de oferecer excelente cobertura, este tipo de encriptação necessita de um par de dispositivos de encriptação a cada enlace, o que pode ser inviável; também não é adequado para a Internet, já que apenas os enlaces dentro de um sistema autônomo estarão ao alcance das empresas/instituições.

O IPSec implementa encriptação e autenticação na camada de rede, fornecendo uma solução de segurança fim-a-fim, ao contrário da anterior (enlace), que é ponto-a-ponto. O IPSec pode ser implementado nos roteadores ou no sistema operacional dos terminais, assim os aplicativos não precisam de alterações para poder utilizar comunicações seguras. Como os pacotes encriptados têm o mesmo formato de pacotes IP comuns, eles podem ser roteados sem problemas em qualquer rede IP, e sem qualquer alteração nos equipamentos de rede intermediários. Os únicos dispositivos de rede que precisam ser alterados são os do início e fim das comunicações IPSec, reduzindo assim os custos de implementação e gerenciamento.

A figura abaixo mostra onde a encriptação atua nas diferentes camadas:

Encriptação na camada de enlace, na de rede e na aplicação.

Fonte: http://www.gta.ufrj.br/~rezende/cursos/eel879/trabalhos/vpn/ipsec.html#mozTocId786656

Shorewall

Shorewall (mais apropriadamente como Shoreline Firewall) é uma ferramenta de firewall Linux de código aberto, que se baseia no Netfilter (iptables / ipchains) sistema embutido no kernel do Linux, possibilita uma configuração mais organizada e rápida do seu firewall, tornando mais fácil para gerenciar sistemas de configuração mais complexa.

Usando uma analogia compreensível para programadores: Shorewall é iptables, o C é a linguagem assembly. Ele fornece um nível maior de abstração para descrever regras de uso de arquivos de texto.

Abaixo temos o link para o tutorial passo a passo de como instalar e configurar o Shorewall no Debian: http://www.megaupload.com/?d=OYQZ7PI8

Sniffer

Sniffers ou farejadores são softwares muito úteis. Tão grande é a utilidade deles, que até os sistemas de IDS (como o Snort) são feitos com base em sniffers. Um sniffer é um programa que consegue capturar todo o tráfego que passa em um segmento de uma rede. Para tornar mais fácil o entendimento, observe a imagem abaixo:

Quando ligamos computador no HUB, e enviamos informação de um computador para o outro, na realidade esses dados vão para todas as portas do HUB, e conseqüentemente para todas as máquinas. Acontece que só a máquina na qual a informação foi destinada enviará para o sistema operacional.

Se um sniffer estivesse rodando nos outros computadores, mesmo sem esses sistemas enviarem a informação que trafega ali para o sistema operacional, o farejador intercederá na camada de rede, capturando os dados e mostrando-os para o usuário, de forma pouco amigável. Geralmente os dados são organizados por tipos de protocolo (TCP, UDP, FTP, ICMP, etc...) e cada pacote mostrado pode ter seu conteúdo lido.

Criptografia Convencional

Princípios da Criptografia Convencional

A criptografia convencional possui cinco elementos:
• o texto plano;
• o algoritmo de criptografia;
• a chave secreta;
• o texto cifrado (codificado);
• o algoritmo de decriptografia.

Observação: A segurança da criptografia depende do segredo da chave, e não do algoritmo que, geralmente, é de domínio público.

A criptografia pode ser classificada de acordo com:
• o tipo de operação utilizada para transformar o texto plano em texto cifrado;
• o número de chaves utilizadas:
- simétrica: utiliza uma única chave;
- assimétrica: utiliza duas chaves ou criptografia de chave pública;
• a forma como o texto plano é processado.

Tempo médio necessário para decriptografia utilizando a força bruta:

Tempo de Inatividade

Pesso desculpas aos usuários do Ponto de Redes, mas vou ter que ficar um tempo sem postar artigos por falta de tempo para fazer os mesmos.
Em breve voltarei a postar novos artigos.
Obrigado pela compreenção.

Configurando Snort e Guardian

Instalando o Snort no Debian



Snort é um "farejador" que analisa todo o tráfego da rede, porém não toma nenhuma atitude. Neste tutorial você verá como integrar o Snort com o Guardian. O Guardian, por sua vez, toma a ação de atualizar o iptables com os alertas gerados pelo Snort, ou seja, ele interpreta o log do Snort e atualiza a regra do iptables.

Antes de iniciar, vamos colocar os seguintes mirrors em nosso sources.list:


Código: Selecionar todos
deb http://ftp.us.debian.org/debian lenny main contrib non-free
deb http://de.debian.org/debian squeeze main

Agora vamos atualizar a lista de pacotes:

# apt-get update

Criar diretório IDS na raiz:

# mkdir /IDS

Criar diretório para instalação do http:

# mkdir /www

Copiar todos os pacotes para /IDS:

# cp snort-xxx.tar.gz /IDS
# cp http-xxx.tar.gz /IDS

Descompactar em /IDS e fazer a compilação:

# tar -zxvf http-xxx.tar.gz
# cd http-xxx

Obs.: Verifique se o pacote build-essential está instalado, pois utilizaremos o compilador GCC e esse pacote já vem o GCC e outros softwares. Caso não esteja devidamente instalado, utilize:

# apt-get -y install build-essential
# ./configure --prefix=/www
# make && make install

Verifique se o iptables está instalado e sua versão utilizando:

# iptables -V

Antes de instalar o Snort, vamos instalar a Libcap, que é necessária para a instalação do Snort:

# apt-cache search libpcap

(assim verificamos o nome e a versão do pacote)

# apt-get -y install libpcap0.8-dev

Foi utilizada a versão 0.8 da libpcap.

Precisamos instalar também o Libpcre:

# apt-get -y install libpcre3-dev

Agora vamos instalar o Snort-xxx:

# tar -zxvf snort-xxx.tar.gz
# cd snort-xxx
# ./configure
# make && make install

Crie os seguintes diretórios:

# mkdir /etc/snort
# mkdir /etc/snort/rules

Ainda no diretório /IDS/snort-xxx faça:

# cd etc/
# cp classification.config gen* threshold.conf unicode.map sid* snort.conf reference.config /etc/snort/

Agora vamos colocar as rules baixadas do site snort.org (lembrando que é necessário ter login no referido site para baixar as rules):

# cd /IDS
# tar -zxvf snortrules-snapshot-CURRENT.tar.gz
# cd rules
# cp * /etc/snort/rules

Obs.: O link direto para download é: snortrules-snapshot-CURRENT.tar.gz

Para isso você precisa ter login, mas para criar seu login no site é FREE, grátis. :)

Crie o arquivo que irá guardar os logs:

# mkdir /var/log/snort
# cd /var/log/snort
# touch alert

Para rodar o Snort, edite o arquivo:

# vim /etc/snort/snort.conf

Altere a linha:

var RULE_PATH ../rules

Para:

var RULE_PATH /etc/snort/rules

E faça assim:

# snort -c /etc/snort/snort.conf -o

Ou melhor:

# snort -c /etc/snort/snort.conf -o -i eth0 -D


Definição do Guardian:


"O Guardian, é uma ferramenta que lê os logs do snort em tempo real e bloqueia algum ataque que esteja vindo de algum lugar na internet, ou melhor, bloqueia alguma coisa que possa vir a ser um problema para seu servidor e/ou você." - Snort + MySQL + Guardian + ACID - ataliba.eti.br

Agora vamos instalar o Guardian:

# cd /IDS
# tar -zxvf guardian-1.7.tar.gz
# cd guardian-1.7/scripts

O programa Guardian utiliza sempre os scripts denominados guardian_block.sh e guardian_unblock.sh. Assim, deverão ser copiados para os arquivos com esses nomes correspondentes ao firewall que pretendemos utilizar. Copie:

# cp iptables_block.sh /usr/bin/guardian_block.sh
# cp iptables_unblock.sh /usr/bin/guardian_unblock.sh
# chmod 755 /usr/bin/guardian_block.sh /usr/bin/guardian_unblock.sh
# cd ..
# cp guardian.pl /usr/bin
# chmod 755 /usr/bin/guardian.pl
# cp guardian.conf /etc/

Vamos configurar alguns parâmetros no guardian.conf:

Interface eth0 #Interface eth0, a que terá os terminais bloqueados
AlertFile /var/adm/secure #Mude para /var/log/snort/alert
TimeLimit 86400 #Mude para um valor em segundos que pretendemos que o endereço IP fique bloqueado pela firewall. O valor 99999999 remove esta opção.

Crie o arquivo de log do guardian:

# touch /var/log/guardian.log

Crie o arquivo guardian.ignore com os endereços IP que se pretende ignorar:

# touch /etc/guardian.ignore

Inicie o Guardian:

# guardian.pl -c /etc/guardian.conf

Caso retorne um erro relacionado a seu IP, ex.:

Warning! HostIpAddr undefined!
Attempting to guess...

Abra o arquivo /etc/guardian.conf, no começo do arquivo, descomente a linha:

# HostIpAddr

Deixando assim:

HostIpAddr SEUIP

Ex.: HostIpAddr 192.168.0.102

Agora, tente de novo iniciar o Guardian...

Para visualizar o log use:

# tail -f /var/log/snort/alert

Uma observação importante é que o Snort, com o pacote básico das regras, gera muitos falsos positivos, porém serve muito bem! Exstem também regras para serem compradas prontas, oque geraria um maior nivel de precisão.


Fonte: VOL

Testando o Wireshark

Ambiente de Teste:

- Configurar o Servidor Debian com duas interfaces de rede:
1) nat
2) interna

- Configurar o cliente com interface gráfica com uma interface
de rede (interna)

- Instalar o sniffer no cliente:

apt-get install wireshark

- executar no terminal:

sudo wireshark

- selecionar a interface eth0 para captura

- instalar servidor de ftp no servidor:

apt-get install proftpd

- através do cliente conectar no servidor de ftp:

ex.: no terminal digitar:

ftp 192.168.0.1 (ip do servidor)
-digitar um usuário e senha válidos
-comandos disponíveis (dir, quit, etc.)

- parar a captura no wireshark e analisar os
pacotes FTP (capturar usuário e senha)
- a partir do terminal do cliente executar o
comando ping para alguns sites e capturar os pacotes

Configuração de interfaces do servidor:
Virtualbox (1-NAT, 2-INTERNA)

editar /etc/network/interfaces

auto lo
iface lo inet loopback

auto eth0
allow-hotplug eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255

Configuração de interfaces do cliente:
virtualbox (1-INTERNA)

editar /etc/network/interfaces

auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.1.2
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255

adicionar a rota default no cliente:

route add default gw 192.168.1.1


No Servidor (ativar roteamento e ativar mascaramento de ip para
a rede do cliente)

Para manter as configurações deve-se editar o arquivo
/etc/rc.local
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -p all
-j MASQUERADE

Criando VPN com o OpenVPN

Neste artigo traremos passo a passo como criar sua VPN com o OpenVPN:
O pacote necessario e o openvpn, em distribuicoes como
debian, basta usar o apt e instalar o pacote.
-> apt-get install openvpn
Apos instalado o pacote, certificar de que o modulo
tun esteja carregado, se nao estiver, use o comando
abaixo para poder carrega-lo.
-> modprobe tun
Depois de instalado e o modulo carregado, comecaremos a configurar
a vpn. Para este exemplo, usaremos os nomes de matriz e filial
por questao de definicao,
-> O diretorio padrao de trabalho e: /etc/openvpn/
O primeiro passo a ser feito, e gerar a chave de encriptacao
no roteador da matriz, com o comando, isso ira gerar um arquivo
com o nome de vpnkey e a key dentro dele:
-> openvpn –genkey –secret vpnkey
-Configuracao de rede na matriz:
*Exemplo de configuracao no roteador da matriz:
eth0: 200.10.10.1
eth1: 192.168.0.1
-Configuracao de rede na Filial:
eth0: 230.110.10.34
eth1: 192.168.1.1
Iremos criar agora os arquivos de configuracoes da filial, no
roteador da matriz e daremos o nome ao arquivo de filial.conf
——————-filial.conf——————————–
# Usa o modulo de interface tun carregado anteriormente
dev tun
# Ip remoto a conectar (No caso o ip da Matriz)
remote 200.10.10.1
# Primeiro ip local tunelado(filial) e segundo ip tunelado Matriz.
ifconfig 10.0.0.1 10.0.0.2
# Arquivo que contem a chave.
secret vpnkey
# Porta UDP que sera usada pelo VPN
# Mais de 1 VPN tera que usar portas difirentes
# esta porta fica a mesma na matriz e na filial
port 5003
# Testa a conexao do VPN
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key# Verbosity level.
# 0 — quiet except for fatal errors.
# 1 — mostly quiet, but display non-fatal network errors.
# 3 — medium output, good for normal operation.
# 9 — verbose, good for troubleshooting
verb 3
# Scripts a serem rodados quando o vpn for ativado
# e quando o vpn for desativado
up /etc/openvpn/filial.up
down /etc/openvpn/filial.down
- Agora iremos criar o arquivo filial.up que colocara as rotas para nosso vpn com a filial.
#!/bin/sh
echo
echo “Criando rotas para redes tuneladas…”
ip route add 192.168.0.0/24 via 10.0.0.2
touch /etc/openvpn/up.running
- Agora iremos criar o arquivo filial.down que ira retirar as rotas para nosso vpn com a filial.
#!/bin/sh
echo
echo “Removendo rotas para redes tuneladas…”
ip route del 192.168.0.0/24 via 10.0.0.2
touch /etc/openvpn/down.running
PRONTO!! As configuracoes do vpn na matriz ja esta certa, vamos agora
para o roteador da filial configura-lo.
-Com os mesmos pacotes e modulos carregados..
1- Copie o arquivo vpnkey que voce gerou no rotedor da matriz e coloque
dentro da pasta /etc/openvpn no roteador da filial.
2- Crie os arquivos abaixo(parecido com os que voce criou na matriz).
——————-matriz.conf——————————–
# Usa o modulo de interface tun carregado anteriormente
dev tun
# Ip remoto a conectar (No caso o ip da Filial)
remote 230.110.10.34
# Primeiro ip local tunelado(Matriz) e segundo ip tunelado filial.
ifconfig 10.0.0.2 10.0.0.1
# Arquivo que contem a chave.
secret vpnkey
# Porta UDP que sera usada pelo VPN
# Mais de 1 VPN tera que usar portas difirentes
# esta porta fica a mesma na matriz e na filial
port 5003
# Testa a conexao do VPN
ping 15
ping-restart 45
ping-timer-rempersist-tun
persist-key
# Verbosity level.
# 0 — quiet except for fatal errors.
# 1 — mostly quiet, but display non-fatal network errors.
# 3 — medium output, good for normal operation.
# 9 — verbose, good for troubleshooting
verb 3
# Scripts a serem rodados quando o vpn for ativado
# e quando o vpn for desativado
up /etc/openvpn/matriz.up
down /etc/openvpn/matriz.down
- Agora iremos criar o arquivo matriz.up que colocara as rotas para nosso vpn com a filial.
#!/bin/sh
echo
echo “Criando rotas para redes tuneladas…”
ip route add 192.168.1.0/24 via 10.0.0.1
touch /etc/openvpn/up.running
- Agora iremos criar o arquivo matriz.down que ira retirar as rotas para nosso vpn com a filial.
#!/bin/sh
echo
echo “Removendo rotas para redes tuneladas…”
ip route del 192.168.1.0/24 via 10.0.0.1
touch /etc/openvpn/down.running
PRONTO!!
Inicie o openvpn tanto na matriz quando na filial.
/etc/init.d/openvnp start

Usando o comando wget no Windows

Muitos gostam de usar o comando wget, com seus infinitos recursos. Veremos como usá-lo no windows

Bem em seu pacote original http://www.gnu.org/software/wget/
Seu código pode ser baixado aqui http://ftp.gnu.org/gnu/wget/

Os que são programadores podem compilar suas próprias versões, usando Visual Studio C da Microsoft, ou o da Borland. Dentro da pasta windows do seu código tem um arquivo README que explica mais detalhes.

Bem existe nesse site http://users.ugent.be/~bpuype/wget/ uma versão já compilada.
Vamos abrir o cmd . Em inicia > executar : comando cmd
Pode-se salvar esse executavel no G:isos.
Para entrar na pasta digitei
g:

Depois

cd isos

Para poder executar o binário. Para executar o programa:

wget website/arquivo

Foi usado o comando que lê o conteúdo de um arquivo com links,
a opção -c continua o download se houver algum problema
e a opção i para ler o arquivo chamado mandriva:
wget -ci  mandriva

Baixando o kubuntu

wget -c http://ubuntu.c3sl.ufpr.br/releases/kubuntu/karmic/
kubuntu-9.10-desktop-i386.iso

A tela do comando no Windows ,nesse caso baixando o dvd do mandriva:

Extraído de: http://www.oficinadanet.com.br/artigo/windows/usando_o_comando_wget_no_windows

MRTG

O Multi Router Traffic Grapher (MRTG) é uma ferramenta de monitoração que gera páginas HTML com gráficos de dados coletados a partir de SNMP ou scripts externos. É conhecido principalmente pelo seu uso na monitoração de tráfego de rede, mas pode monitorar qualquer coisa desde que o host forneça os dados via SNMP ou script.

Foi desenvolvido por Tobias Oetiker e Dave Rand. Foi escrito em Perl mas utiliza um módulo em C para gerar os gráficos.

Características

• Mede sempre 2 valores, no caso de tráfego, pode ser Entrada e Saída.
• Faz as leituras via SNMP ou através de script que retorne um formato padrão.
• Coleta dados a cada 5 minutos por padrão, mas este tempo pode ser aumentado ou diminuido.
• Cria uma página HTML com 4 gráficos (diário, semanal, mensal e anual). Se algum deles não for necessário pode ser suprimido.
• O MRTG pode avisar caso o valor do gráfico atinja um valor pré-estabelecido. Por exemplo: se determinado servidor atinge 95% do espaço do disco, o MRTG pode mandar um e-mail para o administrador informando o ocorrido.
• Possui uma ferramenta para gerar os arquivos de configuração: o CFGMAKER.
• Possui uma ferramenta para gerar um página de índice para os casos em que muitos ítens são monitorados: o INDEXMAKER.

O MRTG é software livre distribuído nos termos da GNU General Public License.

Instalando e configurando SNMP e MRTG

Neste artigo veremos como instalar e usar o SNMP e MRTG.
Os agentes SNMP devem ser executados no modo SOMENTE-LEITURA (RO) porque o coletor SNMP somente precisa ler os dados nas máquinas remotas. Limitando como tem a permissão de acessar os agentes nos dispositivos remotos aumentando um pouco a segurança.
Nunca esqueça que a comunidade SNMP está cruzando a rede em texto limpo e pode ser facilmente interceptada usando ferramentas como o WireShark, antigo Ethereal.

Serão necessários os pacotes SNMP, MRTG e o Apache rodando. Baixe os fontes de acordo com sua distribuição e instale. Instale e configure o SNMP e o MRTG nesta ordem. Tem que ser feito desta forma, pois é preciso que o SNMP esteja devidamente configurado para que o MRTG possa atuar sem problemas.

Em máquinas debian/Ubuntu Linux:

Instale o serviço SNMP:

#apt-get install snmpd

Instale o apache:
#apt-get install apache2

Depois de instalados, iremos configurar o SNMP. Edite o arquivo snmpd.conf:

# vi /etc/snmp/snmpd.conf

Existem diversos tipos de configuração para monitoramento via MRTG, neste texto trataremos de uma configuração simples e funcional.

Ache o tópico "## sec.name source community" e descomente as linhas:

com2sec     local     localhost        private
com2sec     mynet     192.168.0.0/24   public
com2sec     public    default          public

Observe a segunda linha, onde está definido o nome e o endereço da rede.

Em seguida descomente e defina as seguinte linhas:

group mygroup   v1          mynet
group mygroup   v2c         mynet
group local     v1          local
group local     v2c         local
group public    v1          public
group public    v2c         public

view all    included  .1         80
access mygroup  ""  any    noauth    0    all    none   none
access public   ""  any    noauth    0    all    none   none
access local    ""  any    noauth    0    all    all    all

Essas linhas vêm descomentadas por padrão. Deixe-as:

syslocation Unknown (edit /etc/snmp/snmpd.conf)
syscontact Root  (configure /etc/snmp/snmp.local.conf)

Pronto salve o arquivo e inicie o serviço:

# service snmpd start

Configurando MRTG

Você pode usar o comando apt-get install mrtg e o programa irá baixar e instalar automaticamente. Agora se você quiser baixá-lo, visite a página oficial do MRTG:

• MRTG – http://oss.oetiker.ch/mrtg/

O MRTG requer o seguinte para compilar e funcionar no seu Linux: gcc, perl, gd, libpng, zlib. Provavelmente sua distribuição já veio com esses pacotes, então não os cobrirei neste tutorial. Vamos agora começar a instalação:

# tar zpfx mrtg-2.9.25.tar.gz
# cd mrtg-2.9.25
# ./configure --prefix=/usr --sysconfdir=/etc/mrtg

[...configurando a compilação...]

# make

[...compilando...]

# make install

E pronto. Se tudo ocorrer bem, o MRTG estará instalado corretamente no seu sistema, e pronto para o uso! Mas antes, teremos que criar um arquivo de configuração para o MRTG usar. Para isso utilizaremos um utilitário do MRTG chamado “cfgmaker”. Tenha em mãos o IP do seu roteador e a senha “community” dele… Se você não souber o que diabos é isso, então está precisando mexer um pouco mais com o roteador :) Execute o comando:

cfgmaker --global 'WorkDir: /var/www/html/mrtg' \
--global 'Options[_]: bits,growright' \
--output /etc/mrtg/exemplo.cfg \
community@xxx.xxx.xxx.xxx

Onde “xxx.xxx.xxx.xxx” é o IP do seu roteador. Este comando irá gerar o arquivo “/etc/mrtg/exemplo.cfg” e servirá para alterarmos manualmente, comparando com o resultado. Veja este exemplo de configuração final comentada:

# ---------------------
# Configurações Globais
# ---------------------

# Diretório onde vai ficar a página com os gráficos gerados
# pelo MRTG
WorkDir: /var/www/html/mrtg

# Língua usada pelo MRTG para as mensagens na página
Language: brazilian

# Opções:
# bits = Mostrar a velocidade em bits (bits/bytes)
# growright = O gráfico cresce para a direita
Options[_]: bits,growright

# Rodar como Daemon? Assim não será preciso colocar
# no crontab, só precisará colocar um comando na
# inicialização do Linux.
RunAsDaemon: yes

# --------------------------------
# Configuração do link 1 (256kbps)
# --------------------------------

# Aqui você terá de comparar com o exemplo gerado
# pelo comando 'cfgmaker', coloque o valor igual
# ao que foi mostrado. O primeiro número é essencial
# para saber a ligação que estamos usando no roteador.
Target[EXEMPLO]: 1:community@xxx.xxx.xxx.xxx:

# A quantidade de bytes que o link suporta.
# 64kbps = 8000
# 256kbps = 32000
MaxBytes[EXEMPLO]: 32000
AbsMax[EXEMPLO]: 32000

# Com essa opção, todos os 4 gráficos não serão
# redimensionados de acordo com o uso do link. Eles sempre
# terão a altura do máximo de tráfego que se pode chegar
# (de acordo com os itens acima).
Unscaled[EXEMPLO]: dwmy

# Configurações da página. Título e frase no Topo.
Title[EXEMPLO]: Exemplo de Análise de Tráfego para link de 256kbps
PageTop[EXEMPLO]: Exemplo de Análise de Tráfego para link de 256kbps

Pronto. Já temos uma configuração básica para o MRTG. Agora vamos rodá-lo:

# mrtg

Conheça o VoIP

Muito vem sendo falado sobre a tecnologia de voz sobre IP. VoIP vem do termo em inglês Voice Over Internet Protocol ou, traduzindo, Voz Sobre o Protocolo da Internet. Esta tecnologia unifica dois mundos, tecnologia e dados em uma só rede convergente

Empresas em todo o mundo estão conseguindo economizar muito nas tarifas de ligações interurbanas e internacionais. Tudo graças a uma tecnologia chamada VoIP (Voz sobre IP), que começa a se tornar acessível também no Brasil. E não vai demorar muito para que essas quatro letras causem uma verdadeira revolução no modo de se pensar telefonia. Muitos já ousam afirmar até que o VoIP é a reinvenção da telefonia, tanto na forma de prestar o serviço, quanto de utilizá-lo.


A plataforma VoIP transforma os sinais de voz (analógicos) em pacotes digitais para transmissão tanto na Internet quanto na Intranet. Estes pacotes são compactados para transmissão a um segundo portal, no qual eles serão novamente compactados, dessa vez em sinais de som analógicos, e enviados ao receptor.


Abaixo, acompanhe um passo-a-passo de como se estabelece uma ligação telefônica pela tecnologia VoIP:

1. O usuário, com um headset, ouve a sinalização que indica telefone fora do gancho para a parte da aplicação sinalizadora da VoIP no roteador. Esta emite um sinal de discagem e aguarda que o usuário tecle um número de telefone. Esses dígitos são acumulados e armazenados pela aplicação da sessão.

2. O gateway compara estes dígitos acumulados com os números programados. Quando há uma coincidência, ele mapeia o número discado com o endereço IP do gateway de destino.

3. Em seguida, a aplicação de sessão roda o protocolo de sessão H.245 sobre TCP, a fim de estabelecer um canal de transmissão e recepção para cada direção através da rede IP. Quando a ligação é atendida, é estabelecido, então, um fluxo RTP (Real-Time Transport Protocol, ou Protocolo de Transmissão em Tempo Real) sobre UDP (User Datagram Protocol, algo como Protocolo de Pacote de Dados do Usuário) entre o gateway de origem e o de destino.

4. Os esquemas de compressão do codificador-decodificador (CODECs) são habilitados nas extremidades da conexão. A chamada, já em voz, prossegue utilizando o RTP/UDP/IP como pilha de protocolos.

Nada impede que outras transmissões de dados ocorram simultaneamente à chamada.

Sinais de andamento de chamada e outros indicativos que podem ser transportados dentro da banda cruzam o caminho da voz assim que um fluxo RTP for estabelecido.

Após a ligação ser completada, é possível também enviar sinalizações dentro da banda como, por exemplo, sinais DTMF (freqüências de tons) para ativação de equipamentos como Unidade de Resposta Audível (URA).

Quando qualquer das extremidades da chamada desligar, a sessão é encerrada, como em qualquer chamada de voz (ligação telefônica) convencional.


O é necessário para usar a comunicação VoIP, integrando Internet e telefonia?

Nessa comunicação de voz, é necessário que o usuário tenha instalado em seu computador um software para transferência de dados, no caso a voz. Vale lembrar que, para usufruir desse serviço, seu micro deve possuir um kit multimídia.

Em seu primeiro estágio, a VoIP podia ser entendida como uma conversação telefônica entre dois usuários de uma rede privada usando conversão de voz para dados (exclusivamente em redes corporativas).

Mais tarde esta tecnologia chegou ao seguinte conceito: uma conversação telefônica entre um usuário de Internet e um usuário da telefonia convencional, sem necessidade de acesso simultâneo.

VNC – Acesso remoto

O VNC (Virtual Network Computing) é um programa da Olivetti, (a AT&T absorveu), gratuito, que permite que você tenha acesso a um outro computador bastando apenas instalar o servidor em uma determinada máquina e saber o seu IP. Apos a sua instalação você tem várias opções, você pode fazer o download CLICANDO AQUI.
Aqui vamos dá ênfase ao WinVNC (app Mode) que é o programa (servidor) que você deverá executar na máquina que deseja controlar remotamente. Rode o programa (vai aparecer um ícone no canto esquerdo) e configure:


Configurações iniciais:

1. Defina logo a senha que você vai utilizar para acessar a máquina a distância;
2. Defina quantos computadores você pretende acessar ao mesmo tempo;
3. Defina também se o mouse e o teclado estarão desativados quando acessar;

É interessante para gerenciar um laboratório para aulas ou a distância.

Como usar:

1. Agora, pelo próprio navegador, digite o IP da máquina seguindo da porta 5800:

Ex.: 192.22.11.13: 5800 (supondo que o ip seja 192.33.22.13)

ou se estiver na internet
http://200.192.11.21 :5800 (supondo que o ip seja 200.192.11.21)

Você tem os dois exemplos de acesso, o primeiro em uma rede local e o segundo por internet.

2. Vamos a senha que você definiu na tela ao lado… e pronto.

Você pode usar o programa servidor VNCviewer, de ícone vermelho. Clica nele, coloca o IP e pronto.

Importante:

- O seu firewall, esperamos que esteja usando um, pode bloquear o VNC. Não esqueça de configura-lo.

- Qualquer usuário com um pouco de experiência sabe que a porta 5800 (para interface própia) e a 5900 (para aplicação WEB com aplicação java) são do VNC. Se ele scannear a sua máquina tentará invadir por essas portas!
Configure bem o seu firewall.

IP's de DNS alternativos

Os DNS alternativos são para casos onde os servidores da provedora de conexão estão inoperantes ou com problemas, lembrando que, provedor de autênticação é outra função(Terra, UOL, IG, ...).Claro que se existe um problema no caminho fisico da transmissão, não adianta trocar o DNS. Mas sempre vale essa troca para se ter certeza.

Esses problemas de conexão das operadoras podem ser resolvidos, muitas vezes, apenas trocando o DNS que se usa em sua conexão. Por padrão o Provedor de Conexão tem um DNS, mas você pode usar outro sem problemas.

Existem duas alternativas mais conhecidas e estaveis:

- Open DNS
Site: https://www.opendns.com/start/
IPs: 208.67.222.222 e 208.67.220.220

- DNS Advantage
Site: DNS Advantage
IPs: 156.154.70.1 e 156.154.71.1