Para fechar 2010 com chave de ouro, a Revista Espírito Livre traz na capa o tema Segurança da Informação, um assunto pelo qual me interesso muito.
Nesta edição você encontrará uma entrevista internacional com Andrew Lewman, criador do Projeto TOR, que tem como objetivo proteger usuários contra a análise de tráfego, possibilitando uma navegação anônima na Internet; duas entrevistas nacionais, uma com Aderbal Botelho, profissional da área de segurança e perícia forense e outra com Rafael S. Ferreira, que também trabalha com análise forense e ferramentas que facilitam análise de dados e recuperação de informação. Nesta edição, Albino Biasutti e Guilherme Chaves falam sobre segurança para leigos e Edgard Costa fala sobre segurança de documentos.
E não é só isso, tem muita novidade e vários artigos que falam sobre diversos assuntos e que você poderá encontrar nesta edição. Baixe a sua gratuitamente aqui.
Vou logo avisando que este é um post longo, mas vale à pena você dedicar alguns minutos para lê-lo e aprender como deixar o acesso ao SSH menos vulnerável a ataques usando o SPA.
SPA (Single Packet Autorization) é uma técnica baseada em Port Knocking que ajuda a aumentar a segurança do SSH.
Como funciona o SPA?
Antes de responder a esta pergunta, é preciso explicar como funciona o Port Knocking.
Port Knocking, segundo o site www.portknocking.org, é uma forma de comunicação entre dois hosts, em que o host cliente envia uma informação, que pode ser criptografada, é dividida e enviada em uma sequência de pacotes a uma porta que está fechada (protegida) num host destinatário. Embora a porta do host destinatário possa estar fechada ou protegida por um firewall, por exemplo, há um daemon que fica escutando os pacotes que chegam. Neste caso, se a sequência de pacotes enviada pelo host cliente estiver correta, a porta será aberta temporariamente e exclusivamente para ele. Vide figura 1.
Figura 1: Funcionamento do Port Knocking.
Uma analogia muito utilizada ao Port Knocking é: uma pessoa que bate na porta fechada de uma casa, usando uma sequência de batidas que é reconhecida pela pessoa que está escutando do lado de dentro atrás da porta. É daí que vem o nome Port Knocking (bater na porta).
Mas alguns especialistas em segurança da informação perceberam que o Port Knocking tem as seguintes falhas:
Se a sequência de pacotes chegar errada no host destino (devido a diferentes rotas que cada um pode tomar), nenhuma porta será aberta e não será possível acessar o serviço.
Os pacotes podem ser capturados por um invasor que está observando o tráfego da rede e tentar um ataque no host destino, se disfarçando por um cliente válido.
Port Knocking usa os campos de cabeçalho dos protocolos TCP e UDP para enviar “a senha” de acesso e não utiliza criptografia.
É para suprir estas falhas que o SPA foi criado. Ele usa criptografia e só precisa enviar apenas um pacote ao host destino para obter o acesso. E um dos softwares que implementa o SPA é o fwknop, criado por Michael Rash.
Meu amigo Leandro Almeida apresentou uma palestra sobre este tema no III ENSOL e os slides podem ser vistos a seguir. Eles são bem explicativos e objetivos. Qualquer dúvida poste um comentário para debatermos sobre o assunto.
Espero que tenha entendido toda esta teoria (se não entendeu, fale sua dúvida), porque agora vou ensinar a instalar e configurar o fwknop no Ubuntu 10.04 LTS (neste tutorial estou assumindo que o SSH está instalado e escutando na porta 22).
OBS.: Nos testes que eu fiz, utilizei duas máquinas virtuais. Uma será o servidor SSH que contém o Ubuntu Server 10.04 com o IP 192.168.0.254 (onde está instalado o iptables e o OpenSSH-Server) e a outra é uma máquina com o IP 192.168.0.1 com o Ubuntu Desktop 10.0.4 que contém o cliente ssh.
Para instalar o fwknop no servidor, usei o seguinte comando.
# apt-get install fwknop-server
Durante a instalação, informei uma senha a ser usada pelo fwknop. Depois disso, eu executei o seguinte comando.
192.168.0.254 é o IP do servidor que contém o OpenSSH-Server instalado.
O comando acima diz ao Iptables para negar qualquer tentativa externa de conexão ao SSH na porta 22. Ou seja, a porta 22 está fechada.
Depois disso, eu configurei o arquivo /etc/fwknop/access.conf as seguintes opções.
SOURCE: ANY; # Qualquer host pode tentar conectar OPEN_PORTS: tcp/22; # Porta usada pelo SSH KEY: testeteste; # Senha criada para o fwknop, ela deve ser divulgada com cuidado apenas com os usuários que terão acesso ao SSH. FW_ACCESS_TIMEOUT: 30; # Tempo em segundos para abrir a sessão SSH após a autorização
O comando abaixo foi executado para carregar as configurações e iniciar o daemon do fwknop-server.
# /etc/init.d/fwknop-server restart
Ao executar o comando iptables –L foi possível ver que a chain FWKNOP_INPUT foi criada. É nela que podemos ver quais as conexões temporárias que serão autorizadas pelo fwknop.
No host client, que acessará o SSH, foi instalado o pacote fwknop-client com o seguinte comando.
# apt-get install fwknop-client
Agora, para eu acessar o ssh do servidor 192.168.0.254, é preciso digitar o comando abaixo.
# fwknop -A “tcp/22″ -a 192.168.0.1 -D 192.168.0.254
Onde:
“tcp/22″ => porta TCP do SSH.
192.168.0.1 => IP do host cliente que vai acessar o SSH.
192.168.0.254 => IP do servidor SSH.
O comando acima envia um pacote com a senha do fwknop requisitando uma autorização no host destinatário para acessar o SSH.Lembre-se que o Iptables continua rejeitando as conexões na porta 22. Mas se o daemon perceber que o pacote enviado pelo cliente é válido ele vai abrir uma excessão e permitirá que por 30 segundos (tempo configurado no arquivo /etc/fwknop/access.conf) apenas aquele host cliente possa abrir uma conexão na porta 22. Depois que a sessão SSH for encerrada, ele fecha a porta novamente.
Continuando, só depois que for executado o comando acima, é possível abrir uma sessão SSH com o comando abaixo.
# ssh aecio@192.168.0.254
Como digitar o comando de autorização do fwknop-client cada vez que for abrir uma sessão SSH é uma “mão-de-obra”, criei o script client_ssh.sh que simplemente pergunta o IP do servidor SSH e a porta em que o serviço está sendo executado e depois eu posso abrir uma sessão SSH.
Você pode baixar o script e usar também. Depois de baixá-lo use o comando abaixo para dar permissão de execução ao script.
# chmod +x cliente_ssh.sh
Todas as vezes que o usuário for conectar ao servidor SSH, ele deve executar o script acima para receber uma autorização do fwknop-server. Depois de executado o script cliente_ssh.sh, tem 30 segundos para iniciar a sessão SSH (tempo configurado no arquivo /etc/fwknop/access.conf) ou enviar um arquivo usando SCP. Caso contrário, o script deve ser executado novamente.
Para receber a autorizaçao do fwknop-server, a senha configurada no arquivo /etc/fwknop/access.conf tem que ser compartilhada com quem as pessoas que têm permissão para acessar o SSH.
Para finalizar, veja o vídeo feito por Leandro Almeida que demonstra o funcionamento do fwknop.
E o tema principal desta edição é o CMS (Content Management Systems ou Sistemas de Gerenciamento de Conteúdo).
Abaixo reproduzo as palavras do editor da revista, João Fernando Costa Júnior, sobre este tema.
“Esse é um assunto que divide opiniões por diversos motivos. Talvez o mais evidente talvez seja que muitos desenvolvedores que gostam de construir seus projetos “na unha” consideram que o uso de um sistema de gerenciamento de conteúdo previamente construído é desnecessário ou que seu uso trás “efeitos colaterais”. Um destes efeitos seria a dependência da ferramenta com o passar do tempo, ou ainda o ato de se prender apenas ao templates (modelos de layout) já existentes. Não considerando apenas a questão do visual, os CMS exercem uma importante tarefa em praticamente qualquer sistema que dependa de atualizações constantes e dinamicidade. E quando o CMS tem seu código aberto, a experência de adaptá-lo a nossa necessidade se torna ainda mais gratificante.
Existem dezenas de CMS sendo utilizados por toda a Web, muitos deles mundialmente famosos e outros nem tanto. A edição deste mês conversou com diversos desenvolvedores, responsáveis por várias destas soluções. Além das entrevistas, casos de sucesso e outros relatos de uso de gerenciadores de conteúdo ilustram esse cenário dinâmico, onde os CMS se encontram.”
Tivemos como entrevistados, Tristan Renaud, vice-presidente do Jahia Software Group, responsável pelo CMS Jahia; Mark Evans, líder do projeto glFusion e batemos um papo com Dan Fuhry e Neal Gompa, criadores do EnanoCMS. Também recebemos contribuições de Rafael Silva, criador do site Drupal Brasil, que em sua matéria traz motivos bastante convincentes quanto ao uso do Drupal, inclusive apresentando casos bem sucedidos de uso deste famoso CMS. Yuri Almeida aponta para uma vertente bem interessante em sua contribuição, falando dos CMS e a produção colaborativa de conteúdo. Rafael Leal traz um questionamento pertinente no título de sua matéria: Usar CMS desvaloriza o meu trabalho? Tivemos ainda outras contribuições sobre o assunto de capa que merecem toda a nossa atenção.”
Mas a edição deste mês não aborda só este assunto, tem muita coisa boa que vale a pena você dedicar alguns minutos do seu dia para ler, refletir e aprender. Baixe gratuitamente a sua edição em http://ur1.ca/0ep80
Há poucas horas foi lançada a 14° edição da Revista Espírito Livre que traz como tema central as redes P2P e a polêmica do compartilhamento de conteúdos versus direitos autoriais que gira em torno delas.
Nesta edição eu colaborei revisando alguns artigos e um deles me chamou muito a atenção: “P2P: ferramenta de compartilhamento ou de pirataria?“, escrito por Walter Capanema. Neste artigo, Walter quebra um mito que algumas pessoas pensam sobre o fato de que a tecnologia tem sido algumas vezes usada para o mal, neste caso, sobre o fato de as redes P2P terem sido usadas na pirataria de conteúdos.
Mas a revista tem outros artigos muito interessantes que você não pode deixar de conferir. Baixe a sua aqui.
Por fim quero reproduzir um trecho do editorial escrito pelo editor João Fernando Costa Júnior:
“- A cada mês chegam mais e mais comentários nos incentivando a continuar, nos dando um feedback positivo em relação as matérias veiculadas nas edições, pedindo que por favor, diminuamos o número de páginas pois não está dando tempo de acompanhar tanta coisa. Considero este pedido em especial um elogio pois não é nada fácil manter uma publicação mensal, e se ela apresenta o leitor uma quantidade tão grande e rica de material que o mesmo não dá conta de acompanhar, sinal que estamos no caminho certo. Recomendamos porém que estes que não dão conta de ler tudo, que tenham calma, pois a edição não precisa ser devorada em um mês, recorra a ela sempre que necessário. Tivemos algumas baixas em nosso time, mas também ganhamos vários novos colaboradores. Nossa equipe vai se renovando e se fortalecendo a cada dia, prova de nosso amadurecimento e empenho diário em entregar aos leitores uma publicação de qualidade e gratuita.”
Coff! coff! Fiquei tanto tempo sem publicar algo no blog, que ele ficou cheio de poeira rsrsrs
Vamos ao que importa. Estou usando o Ubuntu 9.04 e 9.10 e percebi que ele usa muita memória RAM para fazer cache dos programas que estão em execução.
Este recurso é importante, pois permite que eles sejam abertos mais rápido da segunda vez que o usuário pedir. Por outro lado, isso consome muita memória RAM e dependendo da necessidade isso não é legal.
Pesquisei sobre o assunto e descobri que, a partir do kernel 2.6.16, foi adicionado um recurso que permite limpar a cache de memória sem reiniciar o sistema operacional. Basta executar um dos comandos abaixo.
# sysctl -w vm.drop_caches=3
ou
# echo 3 > /proc/sys/vm/drop_caches
Testei e funciona mesmo. Esta é a saída do comando free -m antes de limpar a cache.
Esta é a saída do comando free -m depois de limpar a cache.
Se você usa outra distro GNU/Linux, teste a dica e poste um comentário dizendo se funcionou ou não.
VLC 2.0: Pronto para Assistir aos seus Blu-Rays no Linux?: Enviado por Sidney Doria : “Desde o surgimento das mídias digitais, como o DVD, temos passado pela mesma peleja: mecanismos de proteção contra cópias piratas criam impedimentos indesejáveis para a reprodução deessas mídias em sistemas operacionais livres. KDE: Spark, o primeiro tablet a vir com […]
Via g1.globo.com: O Ministério da Educação vai comprar 600 mil tablets para ser usado por professores do ensino médio das escolas públicas do país. O investimento, que será de R$ 150 milhões a R$ 180 milhões, foi anunciado pelo ministro na quinta-feira (2). Segundo o ministro, o equipamento será doado às escolas no segundo semestre […]
Os desenvolvedores do PHP recomendam que todos os usuários façam o upgrade para a versão corrente do PHP, recém-lançada para tratar de uma vulnerabilidade séria inserida recentemente no sistema ao corrigir outra vulnerabilidade anterior. A versão 5.3.10, recém-lançada, corrige a nova vulnerabilidade introduzida em um patch de segurança feito para a versão 5. […]
Enviado por Tiago Hillebrandt (tiagohillebrandtΘubuntu·com): “Nesta dica rápida são apresentados dois métodos simples e eficazes para efetuar a remoção de repositórios PPA no Ubuntu: via add-apt-repository e via ppa-purge.” [referência: ubuntubrsc.com] […]
Enviado por Paulo Oliveira (treinamentoΘlinuxsolutions·com·br): “No dia 11 de fevereiro de 2012, entre 9h e 18h, no Rio de Janeiro acontecerá o curso Backup Profissional com Bacula. Este treinamento apresenta teoria e prática de Backups, cobrindo instalação, recuperação, backup de ferramentas especificas, “disaster recovery” e diversos outros aspectos import […]
Enviado por Rafael Neri (rafepelΘgmail·com): “Acabou de ser liberada a versão alfa 2 do Ubuntu 12.04 Precise Pangolin. Esta versão não é recomendada para ambientes de produção. Até agora pra versão 12.04 temos: • Banshee, Tomboy e Mono não estão presentes. • Melhorias no Unity e Unity2D. • A cor de fundo do menu principal […]
Aaron Seigo, do projeto KDE, deu mais detalhes sobre o recém-anunciado tablet rodando o seu desktop: vai custar 200 euros, e já pode ser encomendado na semana que vem, embora a previsão seja só entregá-lo (mundialmente, para pedidos via Internet) em maio. A promessa é bonita: uma loja online com livros, apps, widgets e serviços, […]
Figura 1: Funcionamento do Port Knocking.
Novos comentários