Red Hat Enterprise Linux 6 Guia de Segurança
Contents
1. 89 Red Hat Enterprise Linux 6 Guia de Seguran a root myServer iptables A INPUT p tcp dport 22 j ACCEPT root myServer iptables A OUTPUT p tcp sport 22 j ACCEPT Estas regras permitem acesso de entrada e sa da para um sistema individual como um PC nico conectado diretamente Internet ou um firewall gateway No entanto eles n o permitem que n s por detr s de firewall gateway acessem estes servi os Para permitir acesso da LAN estes servi os use Network Address Translation NAT com as regras de filtro do iptables 2 5 5 FORWARD e Regras NAT A maioria dos ISPs fornecem somente um n mero limitado de endere os IP rote veis publicamente empresa que eles servem Os administradores devem portanto encontrar formas alternativas de compartilhar acesso servi os de Internet sem fornecer endere os IP p blicos todos os n s na LAN O uso de endere os IP privados a forma mais comum de permitir que todos os n s em uma LAN acessem adequadamente servi os de rede internos e externos Roteadores de Limite como os firewalls podem receber transmiss es de entrada de Internet e rotear pacotes para o n s da LAN pretendido Ao mesmo tempo os firewalls gateways podem tamb m rotear requisi es de sa da de um n de LAN para servi o de Internet remoto Este encaminhamento de tr fego de rede pode se tornar perigoso especialmente com a disponibilidade de ferramentas modernas de intrus o que2. sudo lt command gt No exemplo acima o lt command gt seria substituido por um comando normalmente reservado para o usu rio root tal como o mount 45 Red Hat Enterprise Linux 6 Guia de Seguran a E importante importante Usu rios do comando sudo devem ter cuidade e sair do comando antes de deixar a m quina j que o sudo pode executar o comando novamente sem ter a senha pedida dentro de um per odo de cinco minutos Esta configura o pode ser alterada pelo arquivo de configura o etc sudoers O comando sudo permite um alto grau de flexibilidade Por exemplo somente usu rios listados no arquivo de configura o etc sudoers s o permitidos usar o comando sudo e o comando executado no shell do usu rio n o no shell do root Isto significa que o shell do root pode ser O comando sudo tamb m fornece um registro de auditoria abrangente Cada autentica o feita registrada no arquivo var log messages e o comando digitado junto com o nome do usu rio registrado no arquivo var log secure Outra vantagem do comando sudo que um administrador pode permitir usu rios diferentes acessar comandos especificos baseados em suas necessidades Administradores querendo editar o arquivo de configura o do sudo etc sudoers devem usar o comando visudo Para dar a algu m privil gios administrativos completo digite visudo e adicione uma linha similar seguinte na se o de especifica o de privil gio
3. Esta diretiva est ativada por padr o ent o seja cauteloso quando criar links simb licos ao documento root do Servidor Web Por exemplo n o uma boa id ia fornecer um link simbolico para o Indexes Esta diretiva est ativada por padr o mas pode n o ser desej vel Para impedir visitantes de navegar pelos arquivos do servidor remova esta diretiva UserDir A diretiva User Dir est desativada por padr o por causa que ela pode confirmar a presen a de uma conta de usu rio no sistema Para ativar a navega o de diret rios no servidor use as seguintes diretivas 58 Cap tulo 2 Protegendo sua Rede UserDir enabled UserDir disabled root Estas diretivas ativam a navega o de diret rios de usu rios para todos os diret rios de usu rios menos o root Para adicionar usu rios na lista de contas desativadas adicione um lista separada por espa os dos usu rios na linha UserDir disabled Dra yy importante N o remova a diretiva Inc ludesNoExec Por padr o o m dulo Server Side Includes SSI nao pode executar comandos recomendado que voc n o mude estas defini es a menos que seja absolutamente necess rio j que poderia potencialmente ativar um invasor para executar comandos no sistema 2 2 6 Protegendo o FTP O File Transfer Protocol FTP um protocolo TCP antigo desenvolvido para transferir arquivos em uma rede Pela raz o que todas as transa es com o servidor incluindo a autentica
4. Se voc tem uma sugest o para melhorar esta documenta o tente ser o mais espec fico poss vel ao descrev la Se voc encontrou um erro inclua o n mero da se o e um pouco do texto dele para que possamos encontrar com mais facilidade 10 Cap tulo 1 Vis o Geral da Seguran a Cap tulo 1 Vis o Geral da Seguran a Por causa da depend ncia crescente em poderosas redes de computadores para auxiliar empresas e manter registro de nossas informa es pessoais ind strias inteiras foram formadas em torno da pr tica das redes e seguran a da inform tica Organiza es t m solicitado o conhecimento e habilidades de profissionais de seguran a para propriamente auditar sistemas e criar solu es que se encaixam dentro das necessidades operacionais dessas organiza es Pela raz o que a maioria das organiza es est o cada vez mais din micas por natureza seus funcion rios acessam recursos de TI da empresa cr ticos localmente e remotamente por isso a necessidade de ambientes de computa o seguros t m se tornado mais evidente Infelizmente muitas organiza es e tamb m usu rios individuais deixam a seguran a em segundo plano um processo que esquecido perde se aumento do poder produtividade conveniencia facilidade de uso e quest es de or amento Uma implementa o de seguran a apropriada muitas vezes colocada em pr tica tarde demais depois de uma invas o n o autorizada j tiver ocorrido Tom
5. 3 redhat Red Hat Enterprise Linux 6 Guia de Seguran a Um Guia para Proteger o Red Hat Enterprise Linux Edi o 1 5 Red Hat Inc Red Hat Enterprise Linux 6 Guia de Seguran a Um Guia para Proteger o Red Hat Enterprise Linux Edi o 1 5 Red Hat Inc Nota Legal Copyright O 2011 Red Hat Inc This document is licensed by Red Hat under the Creative Commons Attribution ShareAlike 3 0 Unported License If you distribute this document or a modified version of it you must provide attribution to Red Hat Inc and provide a link to the original If the document is modified all Red Hat trademarks must be removed Red Hat as the licensor of this document waives the right to enforce and agrees not to assert Section 4d of CC BY SA to the fullest extent permitted by applicable law Red Hat Red Hat Enterprise Linux the Shadowman logo JBoss MetaMatrix Fedora the Infinity Logo and RHCE are trademarks of Red Hat Inc registered in the United States and other countries Linux is the registered trademark of Linus Torvalds in the United States and other countries Java is a registered trademark of Oracle and or its affiliates XFS is a trademark of Silicon Graphics International Corp or its subsidiaries in the United States and or other countries MySQL is a registered trademark of MySQL AB in the United States the European Union and other countries Node js is an official trademark of Joyent Red Hat Softw
6. DURATION USERID log_on_failure USERID bind 123 123 123 123 redirect 10 0 1 13 23 77 Red Hat Enterprise Linux 6 Guia de Seguran a As op es bind e redirect neste arquivo garantem que o servi o Telnet nesta m quina ligado a um endere o IP externo 123 123 123 123 0 que est na internet Al m disso qualquer pedido pelo servi o Telnet enviado ao 123 123 123 123 redirecionado pelo segundo adaptador de rede para um endere o Ip interno 10 0 1 13 que somente o firewall e sistemas internos podem acessar O firewall ent o envia a comunica o entre os dois sistemas e o sistema em conex o pensa que est conectado ao 123 123 123 123 quando na verdade est conectado a uma m quina diferente Este recurso particularmente til para usu rios com conex es de banda larga e somente um endere o IP fixo Quando usar o Network Address Translation NAT os sistemas por tr s da m quina de gateway que est o usando endere os de IP somente internos n o est o dispon veis fora do sistema de gateway Entretanto quando certos servi os controlados pelo xinetd s o configurados com as op es bind e redirect a m quina gateway pode agir como uma proxy entre sistemas do lado de fora e uma m quina interna particular configurada para fornecer o servi o Al m disso os v rios controles de acesso xinetd e op es de log est o tamb m dispon veis para prote o adicional 2 3 4 3 4 Op es de Gerenciamento de Recurso
7. Instala o Rode o comando yum install openswan para instalar o Openswan 2 4 2 2 Configura o Localiza es Este se o lista e explica diret rios e arquivos importantes usados para configurar o Openswan etc ipsec d diret rio principal Armazena os arquivos relacionados do Openswan etc ipsec conf arquivo de configura o principal Mais arquivos de configura o conf podem ser criados no etc ipsec d para configura es individuais etc ipsec secrets arquivos secretos principais Mais arquivos secrets podem ser criados no etc ipsec d para configura es individuais etc ipsec d cert db Arquivos de banco de dados certificados O padr o antigo do arquivo de banco de dados NSS cert8 db A partir do Red Hat Enterprise Linux 6 em diante o banco de dados NSS sqlite s o usados no arquivo cert9 db etc ipsec d key db Arquivos de banco de dados chave O padr o antigo do banco de dados NSS key3 db A partir do Red Hat Enterprise Linux 6 em diante os bancos de dados sqlite 80 Cap tulo 2 Protegendo sua Rede NSS s o usados no arquivo key4 db etc ipsec d cacerts Localiza o dos Certificate Authority CA etc ipsec d certs Localiza o dos certificados do usu rio N o necess rio quando usar o NSS etc ipsec d policies Pol ticas dos grupos As pol ticas podem ser definidas como block clear clear or private private private or clear etc ipsec d nsspassword O arqu
8. acaba de concluir Parab ns voc criou uma parti o criptografada para manter todos os seus dados com seguran a 112 Cap tulo 3 Criptografia enquanto seu computador estiver desligado 3 8 5 Links de interesse Para informa es adicionais sobre o LUKS ou criptografia de disco r gido sob o Red Hat Enterprise Linux visite um dos seguintes links 3 9 Usando o GNU Privacy Guard GnuPG O GPG usado para identificar voc e suas comunica es incluindo aquelas com pessoas que voc n o conhece O GPG permite qualquer pessoa lendo um e mail com assinatura GPG verificar sua autenticidade Em outras palavras o GPG permite a algu m estar razoavelmente certo de que a comunica o assinada por voc realmente sua O GPG til porque ajuda a prevenir terceiros de alterar o c digo ou interceptar conversas e alterar a mensagem 3 9 1 Criando chaves GPG no GNOME Instale o utilit rio Seahorse que deixa o gerenciamento de chave GPG mais f cil A partir do menu principal selecione Sistema gt Administra o gt Adicionar Remover Software e aguarde pelo Packagekit iniciar Digite Seahorse na caixa de texto e selecione Buscar Marque a caixa pr xima ao pacote seahorse e selecione Aplicar para adicionar o software Voc pode tamb m instalar o Seahorse na linha de comando com o comando su c yum install seahorse Para criar uma chave do menu Aplicativos gt Acess rios selecione Senhas e Chaves de Criptogra
9. 2 1 7 Ferramentas de Comunica o Avan adas de Seguran a 2 2 Seguran a do Servidor 2 2 1 Assegure os Servi os com TCP Wrappers e xinetd 2 2 1 1 Aumentando a Seguran a com TCP Wrappers 2 2 1 1 1 TCP Wrappers e Banners de Conex o 2 2 1 1 2 TCP Wrappers e Avisos de Ataques 2 2 1 1 3 Os TCP Wrappers e Registro de Log Avan ado 2 2 1 2 Aumentando a Seguran a com o xinetd 2 2 1 2 1 Configurando uma Intercepta o Trap 2 2 1 2 2 Controlando Recursos de Servidor 2 2 2 Protegendo o Portmap 2 2 2 1 Proteja o portmap com TCP Wrappers 2 2 2 2 Proteger o portmap com o iptables 2 2 3 Protegendo o NIS 2 2 3 1 Planeje a Rede Cuidadosamente 2 2 3 2 Use um Nome de Dom nio NIS e Hostname como se fosse uma Senha 2 2 3 3 Edite o Arquivo var yp securenets 2 2 3 4 Atribua Portas Est ticas e Use Regras iptables 2 2 3 5 Use a Autentica o Kerberos 2 2 4 Protegendo o NFS 2 2 4 1 Planeje a Rede Cuidadosamente 2 2 4 2 Aten o aos Erros de Sintaxe 2 2 4 3 N o Use a Op o no root squash 2 2 4 4 Configura o de Firewall NFS 2 2 5 Protegendo o Servidor HTTP Apache 2 2 6 Protegendo o FTP 32 32 32 32 33 33 33 34 34 36 36 36 37 37 39 39 40 42 42 43 43 44 44 45 46 46 47 48 49 50 50 51 51 51 52 52 52 52 53 54 54 54 54 55 55 56 56 56 57 57 57 57 58 58 59 2 2 6 1 Banner de Sauda o do FTP 2 2 6 2 Acesso An nimo 2 2 6 2 1 Upload An nimo 2 2 6 3 Cont
10. Consulte a Se o 2 6 2 4 4 M dulos de Op o de Coincid ncia Adi al para obter mais informa es sobre m dulos de op o de coincid ncia Muitos m dulos de alvo estendidos existem a maioria deles s se aplica tabelas espec ficas ou situa es Alguns dos m dulos de alvo mais populares inclu dos por padr o no Red Hat Enterprise Linux s o LOG Registra em log todos os pacotes que coincidem com esta regra Como os pacotes s o autenticados pelo kernel o arquivo etc syslog conf determina onde estas entradas de log s o escritas Por padr o elas s o colocadas no arquivo var l0g messages Op es adicionais podem ser usadas ap s o alvo LOG para especificar a forma na qual a autentica o ocorre log level Define o n vel de prioridade de um evento de log Consulte a p gina man syslog conf para obter uma lista de n veis de prioridade log ip options Registra em log qualquer op o definida no cabe alho de um pacote IP log prefix Coloca uma faixa de at 29 caracteres antes da linha do log quando ela escrita Isto til para escrever filtros de syslog para usar em conjunto com registro em log dos pacotes Devido um problema com esta op o voc precisa adicionar um espa o direita ao valor log prefix 103 Red Hat Enterprise Linux 6 Guia de Seguran a log tcp options Registra em log qualquer op o definida no cabe alho de um pacote de TCP log tcp sequ
11. Esta fase leva fase de prontid o do sistema onde o alvo checado com todas as vulnerabilidades conhecidas A fase de prontid o culmina na fase do relat rio onde os resultados s o classificados em categorias de alto m dio e baixo risco e m todos para melhorar a seguran a ou para minimizar o risco de vulnerabilidade do alvo s o discutidos Se voc tivesse que realizar uma avalia o de vulnerabilidade de sua casa voc verificaria cada porta para ver se est o fechadas e trancadas Voc tamb m checaria cada janela tendo certeza que est o completamente fechadas e trancam corretamente Este mesmo conceito se aplica sistemas redes e dados eletr nicos Usu rios maliciosos s o os ladr es e v ndalos de seus dados Foque nas ferramentas mentalidade e motiva es e voc poder ent o reagir rapidamente s a es 1 2 2 Definindo a Avalia o e Testes Avalia es de vulnerabilidade podem ser divididas em dois tipos olhar de fora para dentro e olhar ao redor internamente Quando realizar uma avalia o de vulnerabilidade olhando de fora para dentro voc est tentando comprometer seus sistemas a partir do lado de fora Estando externo sua empresa lhe possibilita ter uma vis o do invasor Voc v o que o invasor v IPs rote veis publicamente endere os sistemas 15 Red Hat Enterprise Linux 6 Guia de Seguran a em seu DMZ interfaces externas de seu firewall e mais DMS significa Zona demili
12. M do comando chage especifica o n mero m ximo de dias que a senha v lida Por exemplo para definir que a senha de um usu rio expire em 90 dias use o seguinte comando chage M 90 lt username gt No comando acima substitua o lt username gt com o nome do usu rio Para desativar a expira o de senha normal usar um valor de 99999 depois da op o M isto equivale a mais ou menos 273 anos Voc pode tamb m usar o comando chage em modo interativo para modificar m ltiplas expira es de senhas e detalhes de conta Use o comando seguinte para entrar no modo interativo chage lt username gt O exemplo seguinte exemplo de sess o interativa usando este comando root myServer chage davido Changing the aging information for davido Enter the new value or press ENTER for the default Minimum Password Age 0 10 Maximum Password Age 99999 90 Last Password Change YYYY MM DD 2006 08 18 Password Expiration Warning 7 Password Inactive 1 Account Expiration Date YYYY MM DD 1969 12 31 root myServer Consulte a pagina man sobre o chage para mais informa es sobre as op es dispon veis Voc pode tamb m usar a aplica o gr fica User Manager Gerenciador de Usu rios para criar pol ticas de expira o de senhas conforme a seguir Nota voc precisa de privil gios de Administrador para realizar este procedimento 1 Clique no menu System Sistema no painel depois em Admin
13. Sempre obtenha uma autoriza o escrita antes de tentar quebrar senhas dentro de uma organiza o 2 1 3 2 2 Frases Secretas Frases secretas e senhas s o um pilar na seguran a na maioria dos sistemas de hoje Infelizmente tais t cnicas como biometria e autentica o de dois fatores ainda n o se tornaram o caminho principal em muitos sistemas Se senhas ser o usadas para proteger um sistema ent o o uso de frases secretas devem ser consideradas Frases secretas s o mais longas do que senhas e fornecem melhor prote o do que uma senha mesmo quando implementadas sem caracteres padr es como n meros e s mbolos 2 1 3 2 3 Expira o de Senha Expira o de senha uma outra t cnica usada por administradores de sistemas para se defender contra senhas ruins dentro de uma organiza o Expira o de senha significa que depois de um especificado per odo normalmente 90 dias o usu rio questionado para criar uma nova senha A teoria por tr s disto que se um usu rio for ado a mudar sua senha periodicamente uma senha descoberta somente til ao invasor por um per odo de tempo limitado A desvantagem da expira o de senha entretanto que usu rios s o mais inclinados a escrever suas senhas no papel Existem dois programas prim rios usados para especificar a expira o no Red Hat Enterprise Linux o comando chage ou a aplica o User Manager system config users 37 6 Guia de Seguran a A op o
14. a destes servidores Mais informa es sobre o Nikto podem ser encontradas no seguinte endere o 1 2 3 4 Antecipar Suas Futuras Necessidades Dependendo de seus alvos e recursos existem muitas ferramentas dispon veis Existem ferramentas 18 Cap tulo 1 Vis o Geral da Seguran a para redes sem fio redes Novell sistemas Windows sistemas Linux e outros mais Outra parte essencial de realizar avalia es podem incluir revisar a seguran a f sica revista de pessoal ou avalia o de rede PBX voz Novos conceitos como war walking e wardriving que envolve o escaneamento dos per metros de suas estruturas f sicas de sua empresa por vulnerabilidades da rede sem fio s o alguns conceitos que voc deve investigar e se necess rio incorporar suas tarefas Imagina o e exposi o s o os nicos limites para planejar e conduzir avalia es de vulnerabilidade 1 3 Invasores e Vulnerabilidades Para planejar e implementar uma boa estrat gia de seguran a primeiro esteja atento a alguns dos quest es que determinaram e motivaram invasores a explorar e comprometer sistemas Entretanto antes de detalhar essas quest es a terminologia usada para identificar um ataque deve ser definida 1 3 1 Uma R pida Hist ria sobre Hackers O significado moderno do termo hacker tem origem por volta dos anos 60 e o Tech Model Railroad Club do Instituto de Tecnologia de Massachussetts MIT que desenvolvia conjuntos de trens em larga escala e c
15. consulte a se o 5 das p ginas man para hosts access man 5 hosts access e a p gina man para hosts options 2 3 3 xinetd O daemon xinetd um super servi o do TCP Wrapper que controla acesso de um sub conjuntos de servi os de redes populares incluindo FTP IMAP e Telnet Ele tamb m fornece op es de configura o especificas de servi o para controle de acesso registro de log melhorados vincula o 72 Cap tulo 2 Protegendo sua Rede redirecionamento e controle de utiliza o de recursos Quando um cliente tentar se conectar a uma rede de servi os controlados pelo xinetd o super servi o recebe o pedido e verifica por quaisquer regras de controle de acesso dos TCP Wrappers Se o acesso permitido o xinetd verifica que a conex o permitida sobre suas pr prias regras de acesso para esse servi o Ele tamb m verifica que o servi o capaz de ter mais recursos atribu dos a ele e n o quebra nenhuma das regras definidas Se todas estas condi es s o atendidas que significa o acesso permitido ao servi o o servi o n o atingiu seu limite de recursos e o servi o n o quebrou nenhuma das regras definidas o xinetd ent o inicia uma inst ncia do servi o solicitado e passa o controle da conex o ele Depois da conex o ter sido estabelecida o xinetd n o faz mais parte da comunica o entre o cliente e o servidor 2 3 4 Arquivos de Configura o xinetd Os arquivos de configura o do xinetd s
16. detalhadas Cada corrente iptables cont m uma pol tica padr o e zero ou mais regras que funcionam em conjunto com a pol tica padr o para definir o conjunto de regras ruleset geral para o firewall A pol tica padr o para uma corrente pode ser DROP ou ACCEPT Os administradores preocupados com a seguran a geralmente implementam uma pol tica padr o DROP e somente permitem pacotes espec ficos de acordo com cada caso Por exemplo as seguintes pol ticas bloqueiam todos os pacotes de entrada e sa da em uma gateway de rede root myServer iptables P INPUT DROP root myServer iptables P OUTPUT DROP Tamb m recomendado a qualquer trafego de rede de pacotes enviados que deva ser roteado do firewall para seu n de destino seja negado tamb m para clientes internos restritos de exposi es inadvertentes internet Para fazer isto use a seguinte regra root myServer iptables P FORWARD DROP Depois que voc estabeleceu as pol ticas padr es para cada corrente voc pode criar e salvar regras para sua rede particular e requerimentos de seguran a As seguintes se es descrevem como salvar regras de iptables e delimitar algumas regras que possam implementar durante a constru o de seu firewall iptables 2 5 3 3 Salvando e Restaurando as Regras IPTables Mudan as para o iptables s o transit rias se o sistema for reinicializado ou se o servi o iptables for reiniciado as regras ser o remo
17. ginas man do xinetd e do xinetd conf para uma lista de op es dispon veis 2 2 1 2 1 Configurando uma Intercepta o Trap Um recurso importante do xinetd sua habilidade de adicionar hosts uma lista no access global Hosts nesta lista s o conex es subsequentes negadas a servi os gerenciados pelo xinetd por um per odo especificado ou at que o xinetd seja reiniciado Voc pode fazer isto usando o atributo 52 Cap tulo 2 Protegendo sua Rede SENSOR Esta uma f cil maneira de bloquear hosts tentando escanear as portas neste servidor O primeiro passo para definir um SENSOR escolher um servi o que voc n o planeja usar Para este exemplo o Telnet usado Edite o arquivo etc xinetd d telnet e mude as linhas das flags sinalizadores para flags SENSOR Adicione a seguinte linha deny time 30 Isto nega qualquer outra tentativa de conex o esta porta por esse host por 30 minutos Outros valores aceit veis para o atributo deny time s o o FOREVER que mant m o banimento em efeito at que o xinetd seja reiniciado e o NEVER que permite a conex o e registra isso em log Finalmente a ltima linha deve ser disable no Isto ativa a pr pria intercepta o Enquanto usar o SENSOR uma boa maneira para detectar e parar conex es de hosts indesej veis ela possui desvantagens N o funciona contra escaneamentos stealth Um invasor que sabe que o SENSOR est rodando pode montar um ataque Do
18. lida somente para correntes OUT PUT e FORWARD na tabela filter e a corrente POST ROUT ING nas tabelas nat e mangle Este par metro aceita as mesmas op es que o par metro de interface de rede de entrada i p lt protocol gt Define o protocolo IP afetado pela regra Este pode ser tanto o icmp tcp 99 Red Hat Enterprise Linux 6 Guia de Seguran a udp ou all ou pode ser um valor num rico representando um destes ou um protocolo diferente Voc pode usar qualquer protocolo listado no arquivo etc protocols O protocolo a11 significa que a regra se aplica todos os protocolos suportados Se nenhum protocolo for listado com esta regra ele se torna retorna ao padr o all s Define a fonte para um pacote espec fico usando a mesma sintaxe como par metro de destino d 2 6 2 4 Op es de Coincid ncia de IPTables Protocolos de rede diferentes fornecem op es de coincid ncia especializadas que podem ser configuradas para coincidir um pacote espec fico usando aquele protocolo No entanto o protocolo deve primeiro ser especificado no comando iptables Por exemplo p lt protocol name gt habilita as op es para o protocolo especificado Note que voc tamb m pode usar o ID de protoloco ao inv s do nome do protocolo Consulte os seguintes exemplos cada dos quais tem o mesmo efeito iptables A INPUT p icmp icmp type any j ACCEPT iptables A INPUT p 5813 icmp type any j ACCEPT Defini es d
19. o do usu rio n o s o criptografadas considerado um protocolo inseguro e deve ser configurado cuidadosamente O Red Hat Enterprise Linux fornece tr s servidores FTP gssftpd Um daemon de FTP baseado em xinetd e atento ao Kerberos que n o transmite informa es de autentica o na rede Red Hat Content Accelerator tux Um servidor Web do kernel com capacidades de FTP vsftpd Um implementa o orientada seguran a aut noma do servi o de FTP As seguintes diretrizes de seguran a s o para definir o servi o FTP vsftpd 2 2 6 1 Banner de Sauda o do FTP Antes de enviar um nome de usu rio e senha todos os usu rios recebem um banner de sauda o Por padr o este banner inclui informa es de vers o teis para os invasores que tentam identificar as fraquezas do sistema Para mudar o banner de sauda o do vsftpd adicione a seguinte diretiva ao arquivo etc vsftpd vsftpd conf ftpd banner lt insert greeting here gt Substitua o lt insert greeting here gt na diretiva acima com o texto da mensagem de sauda o Para banners com m ltiplas linhas melhor usar um arquivo de banner Para simplificar o gerenciamento de banners m ltiplos coloque todos os banners em um novo diret rio chamado etc banners O arquivo de banner para conex es FTP neste exemplo o etc banners ftp msg Abaixo est um exemplo de como o arquivo deve ser HHHHHH H Hello all activity on ftp example com is logge
20. s de precisar usar a conex o de internet para requisit los Isto ajuda a reduzir o consumo de banda larga N o poss vel evitar atividades mal intencionadas depois que os usu rios se conectarem um servi o fora do firewall N o poss vel filtrar pacotes para firewalls de proxy de conte do Processa pacotes na camada de protocolos mas n o pode filtrar pacotes na camada do aplicativo Arquiteturas de rede complexas podem dificultar o estabelecimento das regras de filtragem de pacote principalmente se em par com o mascaramento de IP ou sub redes locais e redes DMZ Proxies s o geralmente aplicativos espec ficos HTTP Telnet etc ou protocolos restritos a maioria dos proxies funcionam somente com os servi os conectados ao TCP Os servi os de aplicativos n o podem ser executados por tr s de um proxy portanto seus servidores de aplicativo devem usar uma forma separada de 83 Red Hat Enterprise Linux 6 Guia de Seguran a Os servi os proxy podem seguran a de rede ser autenticados e monitorados de perto Os proxies podem se permitindo um controle maior tornar um gargalo na rede do uso de recursos na rede pois todas as requisi es e transmiss es s o passadas atrav s de uma fonte ao inv s de diretamente de um cliente um servi o remoto 2 5 1 Netfilter e IPTables O kernel do Linux apresenta um subsistema de rede poderoso chamado Netfilter O subsist
21. vel por muitos anos e provavelmente a ferramenta mais usada para coletar informa es Uma excelente p gina man est inclu da que fornece descri es detalhadas de suas op es e usos Os administradores podem usar o Nmap em uma rede para encontrar sistemas de host e portas abertas nesses sistemas O Nmap um competente primeiro passo na avalia o de vulnerabilidade Voc pode mapear todos os hosts dentro de sua rede e mesmo colocar uma op o que permite o Nmap tentar identificar os sistema operacional rodando em um determinado host O Nmap uma boa base para estabelecer uma pol tica de uso de dispositivos seguros e restringir servi os n o usados 1 2 3 1 1 Usando o Nmap O Nmap pode ser executado a partir da prompt do shell digitando o comando nmap seguido pelo nome do host ou endere o de IP da m quina a ser escaneada 17 Red Hat Enterprise Linux 6 Guia de Seguran a nmap foo example com Os resultados de um escaneamento b sico que pode levar alguns minutos dependendo de onde o host est localizado e outras condi es de rede devem ser similar ao seguinte Interesting ports on foo example com Not shown 1710 filtered ports PORT STATE SERVICE 22 tcp open ssh 53 tcp open domain 80 tcp open http 113 tcp closed auth O Nmap testa as portas de comunica o de rede mais comuns para escutar ou aguardar por servi os Esta informa o pode ser til para um administrador que quer terminar servi os n o u
22. 100 2 6 2 4 1 Protocolo TCP 100 2 6 2 4 2 Protocolo UDP 101 2 6 2 4 3 Protocolo ICMP 101 2 6 2 4 4 M dulos de Op o de Coincid ncia Adicional 102 2 6 2 5 Op es de Alvo 103 2 6 2 6 Op es de Listagem 104 2 6 3 Salvando Regras de IPT ables 104 2 6 4 Scripts de Controle de IPT ables 105 2 6 4 1 Arquivo de Configura o de Scripts de Controle do IPT ables 106 2 6 5 IPTables e IPv6 107 2 6 6 Recursos Adicionais 107 2 6 6 1 Documenta o instaladas da IP Tables 107 2 6 6 2 Websites de IPtables teis 107 Cap tulo 3 Criptografia cccc e t ete een nees 109 3 1 Dados parados 109 3 2 Criptografia de Disco Cheio 109 3 3 Criptografia baseado em Arquivo 109 3 4 Dados Ativos 110 3 5 Virtual Private Networks Rede Privada Virtual 110 3 6 Secure Shell Shell Segura 110 3 7 OpenSSL PadLock Engine 110 3 8 LUKS Disk Encryption 111 3 8 1 Implementa o do LUKS no Red Hat Enterprise Linux 111 3 8 2 Criptografando Diret rios Manualmente 112 3 8 3 Instru es Passo a Passo 112 3 8 4 O que voc acaba de concluir 112 3 8 5 Links de interesse 113 3 9 Usando o GNU Privacy Guard GnuPG 113 3 9 1 Criando chaves GPG no GNOME 113 3 9 2 Criando Chaves GPG no KDE 113 3 9 3 Criando chaves GPG Usando a Linha de Comando 114 3 9 4 Sobre Criptografia de Chave P blica 115 Cap tulo 4 Princ pios Gerais da Seguran a de Informa o 1 eee 4 1 Dicas Guias e Ferramentas Capitulo 5 I
23. 4 http www fud zilla com content view 78 47 1 30 Cap tulo 1 Vis o Geral da Seguran a 5 http wmww internetworld stats com stats htm 6 http www cert org 7 http www cert org stats cert_stats html 8 http news cnet com Computer crime costs 6 7 billion FBl says 2100 7349 3 6028946 html 9 http www cio co m article 5048 37 Why_Security_Matters_Now 10 http www sans org resources errors php 31 Red Hat Enterprise Linux 6 Guia de Seguran a Cap tulo 2 Protegendo sua Rede 2 1 Seguran a da Esta o de Trabalho Proteger um ambiente Linux se inicia com a esta o de trabalho Seja trancando uma m quina pessoal ou protegendo um sistema corporativo uma pol tica de seguran a bem feita come a com o computador individual Uma rede de computadores t o segura quanto seu n mais vulner vel 2 1 1 Avaliando a Seguran a da Esta o de Trabalho Quando avaliar a seguran a de uma esta o de trabalho do Red Hat Enterprise Linux considere o seguinte Seguran a da BIOS e do carregador de Boot poss vel que um usu rio n o autorizado acesse a m quina fisicamente e inicialize como um usu rio nico ou modo de recupera o sem uma senha Seguran a da Senha Qu o seguros est o as senhas das contas de usu rios na m quina Controles Administrativos Quem possuir uma conta no sistema e quanto controle administrativo possuir o Servi os de Redes Dispon veis Quais
24. Cap tulo 2 Protegendo sua Rede Importante Cuidado deve ser tomado quando usar os controles de acesso do TCP Wrappers em conjunto com os controles de acesso xinetd Um erro de configura o pode causar efeitos indesej veis 2 3 4 3 3 Op es de Associa o e Redirecionamento Os arquivos de configura o do servi o para o xinetd suporta a associa o do servi o a um endere o de IP e redireciona pedidos de entrada desse servi o para outro endere o IP hostname ou porta A associa o controlada com o a op o bind nos arquivos de configura o de servi o espec ficos e liga o servi o a um endere o IP no sistema Quando este configurado a op o bind somente permite pedidos ao endere o de IP correto para acessar o servi o Voc pode usar este m todo para associar diferentes servi os interfaces de redes diferentes baseadas em requerimentos Isto particularmente til para sistemas com m ltiplos adaptadores de rede ou com m ltiplos endere os IP Em tal sistema servi os inseguros por exemplo Telnet pode ser configurado para escutar somente interface conectada uma rede privada e n o interface conectada internet A op o redirect aceita um endere o IP ou hostname seguido por um n mero de porta Ela configura o servi o para redirecionar quaisquer pedidos para este servi o ao host e n mero de porta especificados Este recurso pode ser usado para apontar para um outro n mero de porta n
25. Cap tulo 2 Protegendo sua Rede fazendo o sistema muito mais seguro Consulte Gerenciando Cart es Single Sign On e Smart Cards para mais informa es sobre o Kerberos 2 2 4 Protegendo o NFS Or importante P Importante A vers o do NFS inclu da no Red Hat Enterprise Linux 6 o NFSv4 n o requer mais o servi o utiliza o TCP em todas as vers es em vez do UDP e requer isso quando usar o NFSv4 O NFSv4 agora inclui o usu rio Kerberos e a autentica o de grupo como parte do m dulo do kernel RPCSEC_GSS Informa es sobre o por tmap ainda inclu da desde que o Red Hat Enterprise Linux 6 suporta o NFSv2 e o NFSv3 e ambos utilizam o portmap 2 2 4 1 Planeje a Rede Cuidadosamente Agora que o NFSv4 possui a habilidade de transmitir todas as informa es criptografadas usando o Kerberos pela rede importante que o servi o esteja configurado corretamente se ele est por tr s de um firewall ou em uma rede segmentada O NFSv2 e NFSv3 ainda transmitem dados sem seguran a e isso deve ser levado em considera o Um projeto de rede pensado nessas considera es podem impedir brechas na seguran a 2 2 4 2 Aten o aos Erros de Sintaxe O servidor NFS determina quais sistemas de arquivos exportar e para quais hosts exportar estes diret rios consultando o arquivo etc exports Cuidado para n o adicionar espa os fora de lugar quando editar este arquivo Por exemplo a linha seguinte no arquivo etc exports compartilha o di
26. Ele determina qual servi o em seu computador que os usu rios remotos podem acessar Um firewall configurado adequadamente pode aumentar a seguran a de seu sistema de forma significativa Recomenda se que voc configure um firewall para qualquer sistema Red Hat Enterprise Linux com uma conex o da Internet 2 5 2 1 Firewall Configuration Tool Durante a tela de Configura o do Firewall da instala o do Red Hat Enterprise Linux voc tem a op o para habilitar um firewall b sico assim como permitir dispositivos espec ficos servi os de entrada e portas Ap s a instala o voc pode mudar esta prefer ncia usando o Firewall Configuration Tool Para iniciar este aplicativo use o seguinte comando root myServer system config firewall 84 Cap tulo 2 Protegendo sua Rede Firewall Configuration File Options Help X B Wizard Reload Disable Here you can define which services are trusted Trusted services are accessible from all Other Ports hosts and networks Trusted Interfaces Service a Port Protocol Masquerading WWW HTTP 80 tcp Port Forwarding V SSH 22 tcp ICMP Filter Secure WWW HTTPS 443 tcp Custom Rules Samba Client 137 udp 138 udp Samba 137 udp 138 udp 139 tcp 445 tcp RADIUS 1812 udp 1813 udp POP 3 over SSL 995 tcp OpenVPN 1194 udp NFS4 2049 tcp 2049 udp Network Printing Server IPP 631 tcp 631 udp Network Printing Client IPP 631 udp Multicast DNS mDNS 5353 udp A
27. Feedback Cap tulo 1 Vis o Geral da Seguran a 0 cts 1 1 Introdu o Seguran a 1 1 1 O que Seguran a de Computadores 1 1 1 1 Como a Seguran a de Computadores come ou 1 1 1 2 A Seguran a Hoje 1 1 1 3 Padroniza o da Seguran a 1 1 2 SELinux 1 1 3 Controles de Seguran a 1 1 3 1 Controles F sicos 1 1 3 2 Controles T cnicos 1 1 3 3 Controles Administrativos 1 1 4 Conclus o 1 2 Avalia o de Vulnerabilidade 1 2 1 Pensando Como o Inimigo 1 2 2 Definindo a Avalia o e Testes 1 2 2 1 Estabelece uma Metodologia 1 2 3 Avaliando as Ferramentas 1 2 3 1 Escaneando Hosts com o Nmap 1 2 3 1 1 Usando o Nmap 1 2 3 2 Nessus 1 2 3 3 Nikto 1 2 3 4 Antecipar Suas Futuras Necessidades 1 3 Invasores e Vulnerabilidades 1 3 1 Uma R pida Hist ria sobre Hackers 1 3 1 1 Tons de cinza 1 3 2 Amea as Seguran a de Rede 1 3 2 1 Arquiteturas Inseguras 1 3 2 1 1 Redes de Transmiss o 1 3 2 1 2 Servidores Centralizados 1 3 3 Amea as Seguran a do Servidor 1 3 3 1 Servi os n o usados e Portas Abertas 1 3 3 2 Servi os sem Corre o 1 3 3 3 Administra o Desatenta 1 3 3 4 Servi os Essencialmente Inseguros 1 3 4 Amea as Esta o de Trabalho e Seguran a no PC dom stico 1 3 4 1 Senhas Ruins 1 3 4 2 Aplica es Clientes Vulner veis 1 4 Explora es Comuns e Ataques 1 5 Atualiza es de Seguran a 1 5 1 Atualizando Pacotes 1 5 2 Verificando Pacotes Assinados 1 5 3
28. adicione a seguinte linha password md5 lt password hash gt Substitua lt password hash gt com o valor retornado pelo sbin grub md5 crypt 12 A pr xima vez que o sistema inicializar o menu do GRUB impede o acesso ao editor ou interface de comando sem primeiro pressionar p seguido pela senha do GRUB Infelizmente esta solu o n o previne que um invasor inicialize por um sistema operacional n o seguro em um ambiente de boot duplo Para isto uma parte diferente do arquivo boot grub grub conf deve ser editada 33 Red Hat Enterprise Linux 6 Guia de Seguran a Busque pela linha title do sistema operacional que voc quer proteger e adicione uma linha com a diretiva lock imediatamente embaixo dela Para o sistema DOS a estrofe deve iniciar similarmente ao seguinte title DOS lock A linha password deve estar presente na se o principal do arquivo boot grub grub conf para este m todo para funcionar propriamente Caso contr rio um invasor pode acessar a interface do editor GRUB e remover a linha bloqueada Para criar uma senha diferente para um kernel em particular ou sistema operacional adicione a linha lock estrofe seguida pela linha da senha Cada estrofe protegida com uma senha nica deve iniciar com as linhas similares ao exemplo seguinte title DOS lock password md5 lt password hash gt 2 1 3 Seguran a da Senha As senhas s o o m todo prim rio que o Red Hat Enterprise Linux usa para verifica
29. atuais ser o salvas em etc sysconfig iptables e quaisquer regras existentes ser o movidas para o arquivo etc sysconfig iptables save informa es sobre o arquivo iptables config status Exibe o status do firewall e lista todas as regras ativas A configura o padr o para esta op o exibe os endere os IP em cada regra Para exibir as informa es do dom nio e hostname edite o arquivo etc sysconfig iptables config e iptables config panic Ribera todas as regras do firewall A pol tica de todas as tabelas configuradas est definida para DROP Esta op o pode ser til se um servidor estiver comprometido Ao inv s de desconectar fisicamente da rede ou fechar o sistema voc pode usar esta op o para interromper todos os tr fegos de rede futuros mas deixar a m quina em um estado pronto para an lise ou outros investiga es save Salva as regras do firewallem etc sysconfig iptables usando iptables K Para usar os mesmos comandos initscript para controlar o netfilter para o IPv6 substitua o ip6tables pelo iptables nos comandos sbin service listados nesta se o Para mais 2 6 4 1 Arquivo de Configura o de Scripts de Controle do IPTables O comportamento do initscripts do iptables controlado pelo arquivo de configura o etc sysconfig iptables config Esta uma lista das diretivas contidas neste arquivo IPTABLES_MODULES Especifica uma lista separada por espa os dos m dulos de iptab
30. autenticar em seu computador ou obter acesso As solu es de criptografia de disco cheio assim como LUKS protege somente dados quando seu computador estiver desligado Depois que o computador estiver ligado e o LUKS houver descriptografado o disco os arquivos no disco estar o dispon veis para qualquer um que tivesse acesso normalmente ele Para proteger seus arquivos quando o computador estiver ligado use a criptografia de disco cheio junto com outra solu o como a criptografia baseada em arquivo Lembre se tamb m de trancar seu computador sempre que estiver longe dele Uma boa dica para evitar intrusos obter um descanso de tela protegido por uma frase senha que seja ativado ap s alguns minutos de ociosidade 3 3 Criptografia baseado em Arquivo O GnuPG GPG uma vers o de fonte aberta de PGP que permite que voc se autentique e ou criptografe um arquivo ou uma mensagem de email Isto til para manter a integridade da mensagem ou arquivo e tamb m protege a confidencialidade das informa es contidas dentro do arquivo ou do email No caso do email o GPG fornece prote o dupla Ele n o s fornece a prote o de Dados Parados como tamb m a prote o de Dados Ativos depois da mensagem ter sido enviada pela rede A criptografia baseada em arquivo pretende proteger um arquivo ap s ele ter deixado seu computador tal como quando voc envia um CD por correio Algumas solu es de criptografia baseada em arquivo deixa
31. bancos de dados possuem senhas de administra o padr es porque os desenvolvedores do sistema presumem que os administradores do sistema mudar o essas senhas imediatamente ap s a instala o Se um administrador de banco de dados n o mudar esta senha mesmo um cracker inexperiente pode usar a senha padr o totalmente conhecida para ganhar privil gios administrativos ao banco de dados Este s o apenas alguns poucos exemplos de como uma administra o desatenta pode levar ao comprometimento de servidores 1 3 3 4 Servi os Essencialmente Inseguros Mesmo as mais vigilantes organiza es podem ser v timas s vulnerabilidades se os servi os de rede que escolheram s o inerentemente inseguros Por exemplo existem muitos servi os desenvolvidos que sup em estar sob redes confi veis entretanto esta suposi o termina t o logo quando o servi o se torna dispon vel na internet que inerentemente n o confi vel 21 Red Hat Enterprise Linux 6 Guia de Seguran a Uma categoria de servi os de rede inseguros s o aqueles que requerem nomes de usu rios e senha sem criptografia para autentica o Telnet e FTP s o dois desses tipos de servi os Se um software de rastreamento de pacotes estiver monitorando o tr fego entre o usu rio remoto e o tal servi o nomes de usu rio e senhas podem ser facilmente interceptados Naturalmente tais servi os podem tamb m ser v timas mais facilmente do que a rea da seguran a chama de at
32. cheia fazendo com que o sistema operacional se torne inst vel Da mesma forma ao fazer o upgrade de seu sistema para uma pr xima vers o do Red Hat Enterprise Linux muito mais f cil manter seus dados na parti o home pois n o ser sobrescrito durante a instala o Se a parti o root for corrompida seus dados podem se perder para sempre Ao usar uma parti o separada adicionar prote o contra a perda de dados Voc tamb m pode escolher esta parti o para fazer backups frequentes tmp e var tmp Tanto o diret rio tmp quanto o var tmp s o usados para armazenar dados que n o precisam ser armazenados por um longo per odo de tempo No entanto se estes diret rios ficarem sobrecarregados com muitos dados consumir seu espa o de armazenamento Se isto acontecer e estes diret rios forem armazenados dentro do ent o seu sistema poder se tornar indispon vel e travar Por esta raz o mover estes diret rios para dentro de suas pr prias parti es uma tima id ia 5 2 Use a Criptografia da Parti o LUKS Durante o processo de instala o ser apresentada ao usu rio uma op o para criptografar suas parti es O usu rio deve fornecer uma senha frase que ser a chave para desbloquear a chave de criptografia em massa que ser usada para proteger os dados de parti o 117 Red Hat Enterprise Linux 6 Guia de Seguran a Cap tulo 6 Manuten o do Software A manuten o do software ext
33. com eles Servi os seguros as vezes empacotam chaves de seguran a padr o para o desenvolvimento ou avalia o para prop sitos de testes Se estas chaves s o deixadas como est o e colocadas em um ambiente de produ o na Internet todos os usu rios com as mesmas chaves padr es possuem acesso ao recurso de chave compartilhada e qualquer informa o confidencial que ele contenha Uma m quina remota que age como um n em sua rede local encontra vulnerabilidades em seus servidores e instala um programa de backdoor porta dos fundos ou um trojan horse para obter controle sob seus recursos de rede Uma coleta dos dados que passam antra Anico n o ativno am iima rada Geralmente associado ao hardware de rede tais como os equipamentos de routers firewalls VPNs e armazenamento de rede anexado NAS Comum em muitas legacias de sistemas operacionais especialmente aqueles que agrupam servi os como o UNIX e Windows Os administradores as vezes criam contas de usu rios privilegiadas s pressas e deixam a senha em branco criando um ponto de entrada perfeito para usu rios mal intencionados que descobrem a conta O mais comum em pontos de acesso wireless e equipamentos de servidor seguro pr configurados Spoofing um tanto dif cil pois ele envolve que o atacante prediga os n meros da sequ ncia do TCP IP para coordenar uma conex o aos sistemas alvo mas diversas ferramentas est o dispon veis pa
34. da barra do menu Character Map digite o nome do caractere no campo Search e clique em Next O caractere pesquisado aparecer destacado no Character Table Clique duas vezes no caractere destacado para posicion lo no campo Text to copy e clique no bot o Copy Retorne ao seu documento e selecione Edit Paste a partir da barra do menu gedit O texto acima inclui nomes de aplicativos nomes de menu e itens de todo o sistema nomes de menu espec ficos do aplicativo e bot es e textos encontrados na Interface Gr fica GUI todos apresentados em Negrito Proporcional Proportional Bold e todos diferenciados de acordo com o contexto It lico em Negrito de Espa o nico Mono spaced Bold Italic ou It lico em Negrito Proporcional Proportional Bold Italic Sendo o Negrito Espa o nico Mono spaced Bold ou Negrito Proporcional Proportional Bold os it licos extras indicam textos substitu veis ou vari veis O It lico denota o texto que voc n o inseriu literalmente ou textos exibidos que mudam dependendo das circunst ncias Por exemplo Para conectar se uma m quina remota usando o ssh digite ssh nome do usu rioQ domain name na janela de comandos Por exemplo considere que a m quina remota seja example com e seu nome de usu rio nesta m quina seja john digite ssh john example com O comando mount o remount file system remonta o sistema de arquivo nomeado Por exemplo para remontar o sistema de arquivo home o comando
35. de console seguro scp Um comando de c pia remota seguro sftp Um cliente de pseudo ftp seguro que permite sess es de transfer ncia de arquivos seguros OpenSSH Or importante dr Importante Apesar do servi o sshd ser inerentemente seguro o servi o deve ser mantido atualizado para informa es O GPG uma maneira de proteger comunica es de e mail privadas Ele pode ser usado tanto para enviar e mails com dados sens veis em redes p blicas quanto proteger dados sens veis em discos r gidos 2 2 Seguran a do Servidor Quando um sistema usado como um servidor em uma rede p blica ele se torna um alvo para ataques Endurecendo o sistema e trancando servi os portanto de suma import ncia para o administrador do sistema Antes de se aprofundar em quest es espec ficas revise as seguintes dicas gerais para aumentar a 50 Cap tulo 2 Protegendo sua Rede seguran a do servidor Mant m todos os servi os atualizados para protege los contra as ltimas amea as Use protocolos seguros sempre que poss vel Sirva somente um tipo de servi o de rede por m quina sempre que poss vel Monitore todos os servidores cuidadosamente por atividades suspeitas 2 2 1 Assegure os Servi os com TCP Wrappers e xinetd Os TCP Wrappers fornecem controle de acesso uma variedade de servi os A maioria dos servi os de rede modernos como SSH Telnet e FTP fazem uso dos TCP Wrappers que fazem guarda e
36. do servi o que o invasor estava tentando acessar Para permitir a conex o e registra em log coloque a diretiva spawn no arquivo etc hosts allou Por causa que a diretiva spawn executa qualquer comando shell uma boa id ia criar um script especial para notificar o administrador ou executar uma cadeia de comandos no evento de um determinado cliente tentar se conectar ao servidor 2 2 1 1 3 Os TCP Wrappers e Registro de Log Avan ado Se certos tipos de conex es s o mais preocupantes que outras o n vel de log pode ser elevado para esse servi o usando a op o severity Neste exemplo pressuponha que qualquer um tentando se conectar porta 23 a porta Telnet em um servidor FTP seja um invasor Para simbolizar isso coloque um sinalizador emerg nos arquivos de log em vez do sinalizador padr o info e negue a conex o Para fazer isso coloque a seguinte linha no etc hosts deny in telnetd ALL severity emerg Isto usa a facilidade de registro de log padr o authpriv mas eleva a prioridade do valor padr o de info para emerg que posta mensagens de log diretamente ao console 2 2 1 2 Aumentando a Seguran a com o xinetd Esta se o foca no uso do xinetd para definir um servi o de intercepta o trap e usa lo para controlar os n veis de recursos dispon veis para qualquer servi o xinetd dado Definindo limites de recursos dispon veis para servi os pode ajudar impedir ataques DoS Denial of Service Consulte as p
37. do usu rio juan ALL ALL ALL Este exemplo declara que o usu rio juan pode usar sudo de qualquer host e executar qualquer comando O exemplo abaixo ilustra a poss vel granularidade quando configurar o sudo users localhost sbin shutdown h now Este exemplo declara que qualquer usu rio possa emitir o comando sbin shutdown h now desde que ele seja emitido a partir do console A p gina man do sudo possui uma lista detalhada de op es para este arquivo 2 1 5 Servi os de Rede Dispon veis Enquanto o acesso do usu rio aos controles administrativos uma quest o importante para administradores do sistema dentro de uma organiza o monitorar quais servi os de rede est o ativos de suma import ncia para qualquer um que administra ou opera um sistema Linux Muitos servi os no Red Hat Enterprise Linux 6 se comportam como servidores de rede Se um servi o de rede estiver rodando em uma m quina ent o a aplica o do servidor chamada daemon est aguardando por conex es em uma ou mais portas da rede Cada um destes servidores devem ser tratados como potencias portas de ataque 2 1 5 1 Riscos ao Servi os Servi os de rede podem impor muitos riscos para sistemas Linux Abaixo segue uma lista de algumas 46 Cap tulo 2 Protegendo sua Rede das quest es prim rias Denial of Service Attacks DoS Inunda um servi o com pedidos um ataque de nega o de servi o pode fazer um sistema inutiliz vel con
38. dport sport Define a porta fonte do pacote usando as mesmas op es que dport A op o de coincid ncia source port sin nimo da sport 100 Cap tulo 2 Protegendo sua Rede syn Se aplica todos os pacotes TCP criados para iniciar a comunica o geralmente chamada de pacotes SYN Quaisquer pacotes que carreguem um bloco de dados n o s o tocados Use um ponto de exclama o antes da op o syn para coincidir com todos os pacotes que n o s o SYN tcp flags lt tested flag list gt lt set flag list gt Permite que pacotes TCP que possuem espec ficos bits sinalizadores definidos coincidirem com uma regra A op o de coincid ncia tcp flags aceita dois par metros O primeiro par metro a m scara uma lista separada por v rgula de sinalizadores a serem examinados no pacote O segundo par metro uma lista separada por v rgula de sinalizadores que devem ser definidos para a regra que coincidir Os poss veis sinalizadores s o ACK FIN PSH RST SYN URG ALL NONE Por exemplo uma regra iptables que contenha a seguinte especifica o somente coincide com pacotes TCP que possuem o sinalizador SYN definido e os sinalizadores ACK e FIN n o definidos tcp flags ACK FIN SYN SYN Use o ponto de exclama o antes do tcp flags para reverter o efeito da op o de coincid ncia tcp option Tenta coincidir com as op es de TCP espec ficas que podem ser definid
39. e requerimentos organizacionais Estes n veis s o descritos abaixo N vel 1 O N vel de Seguran a 1 fornece o n vel mais baixo de seguran a Os requerimentos de seguran a b sicos s o especificados por um m dulo criptogr fico ex deve ser usado ao menos um algor timo aprovado ou fun o de seguran a Aprovada N o requerido nenhum mecanismo de seguran a f sica espec fica em um m dulo criptogr fico de Seguran a N vel 1 al m dos requerimentos b sicos para os componentes de grau de produ o Um exemplo de um N vel 1 de Seguran a de m dulo criptogr fico a placa de criptografia de um computador pessoal PC N vel 2 O N vel de Seguran a 2 aumenta os mecanismos de seguran a f sica de um m dulo criptogr fico de N vel de Seguran a 1 adicionando os requerimentos para cobertura ou selo tamper evident ou para bloqueios pick resistant em coberturas remov veis ou portas do m dulo A cobertura ou selo tamper evident s o colocadas em um m dulo criptogr fico para que a cobertura ou selo dese quebrada para obter acesso f sico s chaves criptogr ficas de texto simples e par metros de seguran a cr ticos CSPs dentro do m dulo Os selos tamper evident ou bloqueios pick resistant s o colocados em coberturas ou portas para proteger contra acesso f sico n o autorizado N vel 3 Al m dos mecanismos de seguran a f sicos tamper evident requeridos no N vel de Seguran a 2 o N vel de Seguran a 3 tenta pr
40. e Permiss es 122 Cap tulo 8 Refer ncias Integrando Suporte Flex vel para Pol ticas de Seguran a no Sistema Operacional Linux um hist rico de Implementa o do Flask no linux Comunidade Guia de Usu rio do Fedora SELinux IRC irc freenode net selinux fedora selinux security Hist rico Hist rico breve do Flask 123 Red Hat Enterprise Linux 6 Guia de Seguran a Padr es de Criptografia A 1 Criptografia Sincronizada A 1 1 Advanced Encryption Standard AES Na criptografia o Advanced Encryption Standard AES uma criptografia padr o adotada pelo governo dos E U A O padr o consiste em tr s blocos de cifras AES 128 AES 192 e AES 256 adotado por uma cole o maior originalmente publicada como Rijndael Cada c fra AES possui um tamanho de bloco de 128 bites com tamanhos de chaves de 128 192 e 256 bites e assim por diante As c fras AES foram analisadas extensivamente e agora s o utilizadas mundialmente como foi o caso com seu precedente o Data Encryption Standard DES 41 n t n A 1 1 1 Uso do AES A 1 1 2 Hist rico do AES O AES foi anunciado pelo National Institute of Standards and Technology NIST Instituto Nacional de Padr es e Tecnologia no dia 26 de Novembro de 2001 ap s 5 anos de processo de padroniza o no qual quinze modelos foram apresentados e avaliados antes que o Rijndael fosse selecionado como o mais adequado veja o processo do Advanced Encryption Standard para ob
41. es de servidor e publicam a informa o em websites de registro de bugs e relacionados maneira efetiva de alertar a comunidade sobre vulnerabilidades de seguran a uma decis o dos administradores do sistema de consertar seus sistemas prontamente Isto particularmente verdade que crackers possuem acesso a estes mesmos servi os de registro de vulnerabilidades e usar o a informa o para invadir sistemas sem corre o sempre que puderem Uma boa administra o de sistema requer vigil ncia registro de bugs constante e manuten o do sistema apropriada para garantir um ambiente de computa o mais seguro atualizado 1 3 3 3 Administra o Desatenta Administradores que falham ao corrigir seus sistemas s o uma das maiores amea as seguran a dos servidores De acordo com o SysAdmin Audit Network Security Institute SANS a causa prim ria de vulnerabilidade de seguran a dos computadores atribuir pessoas destreinadas para manter a seguran a e n o fornecer treinamento ou tempo suficiente para fazer o trabalho 10 Isto se aplica tanto para administradores inexperientes quanto a administradores confiantes ou desmotivados Alguns administradores erram em n o corrigir seus servidores e esta es de trabalho enquanto outros erram por n o verificar as mensagens de log do kernel do sistema ou tr fego de rede Outro erro comum quando senhas padr es ou chaves para servi os n o s o alteradas Por exemplo alguns
42. fica que vem junto com o Red Hat Enterprise Linux a Firewall 49 Red Hat Enterprise Linux 6 Guia de Seguran a Configuration Tool system config firewall Esta ferramenta cria regras abrangentes de iptables para um firewall de uso geral usando uma interface de painel de controle aplica o e suas op es dispon veis Para usu rios avan ados e administradores de servidor configurar manualmente um firewall com o 2 1 7 Ferramentas de Comunica o Avan adas de Seguran a Conforme o tamanho e popularidade da internet cresceu tamb m cresceram as amea as de intercepta o de comunica o Ao passar dos anos ferramentas tem sido desenvolvidas para encriptar comunica es conforme elas s o transferidas na rede O Red Hat Enterprise Linux 6 vem com duas ferramentas b sicas que usam um alto n vel de algoritmos de criptografia baseados em criptografia de chave p blica para proteger as informa es conforme elas viajam na rede OpenSSH Uma implementa o gr tis do protocolo SSH para encripta o de comunica o de rede Gnu Privacy Guard GPG Uma implementa o gr tis da aplica o de encripta o PGP Pretty Good Privacy para dados O OpenSSH uma maneira segura de acessar uma m quina remota e substituir servi os antigos sem criptografia como o telnet e rsh O OpenSSH inclui um servi o de rede chamado sshd e tr s aplica es clientes de linha de comando ssh Um cliente de acesso remoto
43. flexibilidade em negar contas espec ficas O administrador pode usar este m dulo para referenciar uma lista de usu rios que n o est o permitidos de se autenticar Abaixo est um exemplo de como o m dulo usado pelo servidor FTP vsftpd no arquivo de configura o do PAM etc pam d vsftpd o caractere no final da primeira linha no exemplo seguinte n o necess rio se a diretiva est em uma linha auth required lib security pam_listfile so item user sense deny file etc vsftpd ftpusers onerr succeed Isto instrui o PAM para consultar o arquivo etc vsftpd ftpusers e negar acesso ao servi o para qualquer usu rio listado O administrador pode mudar o nome deste arquivo e manter listas separadas para cada servi o ou usar uma lista central para negar acesso m ltiplos servi os Se o administrador quer negar acesso m ltiplos servi os uma linha similar pode ser adicionada aos arquivos de configura o do PAM como etc pam d pop e o etc pam d imap para clientes de e mail ou o etc pam d ssh para cliente SSH Para mais informa es sobre o PAM consulte Gerenciando Sign On nicos e Cart es Smart 43 Red Hat Enterprise Linux 6 Guia de Seguran a 2 1 4 3 Limitando o Acesso Root Mais do que completamente negar acesso ao usu rio root o administrador pode querer permitir acesso somente por programas setuid como o su ou sudo 2 1 4 3 1 O Comando su Quando um usu rio executa o comando su ele questionado p
44. mail real para sua chave GPG Se voc escolher um endere o de e mail falso ser mais dif cil para os outros encontrarem sua chave p blica Isto dificulta a autentica o de suas comunica es Se voc estiver usando essa chave GPG para DocsProject SelfIntroduction self introduction em uma mail list por exemplo digite o endere o de e mail que voc usa nessa lista Use o campo de coment rios para incluir apelidos e outras informa es Algumas pessoas usam 114 Cap tulo 3 Criptografia chaves diferentes para diferentes prop sitos e identificam cada chave com um coment rio tal como Office ou Open Source Projects No prompt de confirma o digite a letra O para continuar se todas as entradas est o corretas ou use as outras op es para consertar quaisquer problemas Finalmente digite uma frase secreta para sua chave secreta O programa gpg pede para voc digitar sua frase secreta duas vezes para assegurar que n o houve erros de digita o Finalmente o gpg gera dados aleat rios para fazer sua chave a mais nica poss vel Mova seu mouse digite chaves aleat rias ou realize outras tarefas no sistema durante este passo para acelerar o processo Uma vez que este passo estiver terminado suas chaves est o completas e prontas para uso pub 1024D 1B2AFA1C 2005 03 31 John Q Doe lt jqdoe example com gt Key fingerprint 117C FE83 22EA B843 3E86 6486 4320 545E 1B2A FA1C sub 1024g CEA4B22E 2005 03 31 expires 2
45. mesmo acesso de shell interativo Mesmo se o servi o HTTP executasse um usu rio n o privilegiado como nobody informa es como arquivos de configura o e mapas de rede poderiam ser lidos ou o atacante pode iniciar uma nega o de ataque de servi o que drena os recursos do sistema ou o torna indispon vel para outros usu rios Os servi os as vezes podem conter vulnerabilidades que passam despercebidas durante o desenvolvimento e teste estas vulnerabilidades tais como buffer overflows onde atacantes quebram um sistema usando valores arbitr rios que preenchem o buffer de mem ria de um aplicativo dando ao atacante o pedido de comando interativo do qual eles podem executar comandos arbitr rios pode fornecer controle administrativo completo ao atacante Administradores devem ter certeza de que os servi os n o s o executados como root e devem estar atentos s corre es e atualiza es de erratas para aplicativos de fabricantes ou organiza es de seguran a como o CERT e CVE 25 Red Hat Enterprise Linux 6 Guia de Seguran a Vulnerabilidades de Aplicativos Ataques Denial of Service DoS Atacantes encontram falhas em desktops e aplicativos de esta es de trabalho tal como clientes de email e executam c digos arbitr rios implementam trojan horses para comprometimento futuro ou quebra de sistemas Explora es futuras podem ocorrer se a esta o de trabalho comprometida possui privil gi
46. mount o remount home Para ver a vers o de um pacote instalado use o comando rpm q package Ele retornar um resultado como este package version release Perceba as palavras em negrito e it lico acima username domain name file system package version e release Cada palavra um espa o reservado tanto para o texto que voc insere quando emitindo um comando ou para textos exibidos pelo sistema Al m de uso padr o para apresentar o t tulo de um trabalho os it licos denotam a primeira vez que um termo novo e importante usado Por exemplo O Publican um sistema de publica o do DocBook 1 2 Conven es de Pull Quote Resultado de terminal e listagem de c digo fonte s o definidos visualmente com base no contexto O resultado enviado um terminal configurado em Romano de Espa o nico Mono spaced Roman e apresentado assim books Desktop documentation drafts mss photos stuff svn books_tests Desktop1 downloads images notes scripts svgs Pref cio As listas de c digo fonte tamb m s o configuradas em Romano de Espa o nico Mono spaced Roman por m s o apresentadas e real adas como a seguir static int kvm vm ioctl deassign device struct kvm kvm struct kvm assigned pci dev assigned dev int r 0 struct kvm_assigned_dev_kernel match mutex lock amp kvm gt lock match kvm find assigned dev amp kvm gt arch assigned dev head assigned dev gt assigned dev id if match prin
47. n o utilizados t o importante Explora es de servi os s o rotineiramente revelados e corrigidos sendo Alguns protocolos de rede s o inerentemente mais inseguros que outros Estes incluem quaisquer servi os que Transmitir Nomes de Usu rios e Senhas Sobre uma Rede Sem Encripta o Muitos protocolos antigos como Telnet e FTP n o fazem encripta o da sess o de autentica o e deveriam ser evitados sempre que poss vel Transmitir Dados Sens veis Sobre uma Rede Sem Encripta o Muitos protocolos transmitem dados sobre uma rede sem encripta o Estes protocolos incluem Telnet FTP HTTP e SMTP Muitos sistemas de arquivos de rede como NFS e SMB tamb m transmitem informa es sobre a rede sem encripta o a responsabilidade do usu rio limitar quais tipos de dados s o transmitidos quando usar estes protocolos Servi os de Dump de Mem ria Remota como o netdump transmitem os conte dos de mem ria 48 Cap tulo 2 Protegendo sua Rede sobre a rede sem encripta o Dumps de mem ria podem conter senhas ou ainda pior entradas de banco de dados e outras informa es sens veis Outros servi os como o finger e rwhod revelam informa es sobre os usu rios do sistema Exemplos de servi os inerentemente inseguros incluem rlogin rsh telnet e vsftpd Todos os logins remotos e programas de shell rlogin rsh e telnet devem ser evitados em favor informa es sobre o sshd O FTP n o inerent
48. na rede Usando uma conex o rede rede o n receptor na rede local recebe os pacotes j descriptografados e prontos para processamento O processo de criptografia descriptografia em uma conex o VPN rede rede transparente ao n local Com um n vel t o elevado de seguran a um invasor n o deve somente interceptar um pacote mas descriptografa lo tamb m Invasores que empregam um ataque man in the middle entre um servidor e cliente devem tamb m ter acesso a pelo menos uma das chaves privadas para sess es de autentica o Porque elas empregam camadas de autentica o e criptografia as VPNs s o um meio seguro e efetivo de conectar m ltiplos n s remotos para agir como uma intranet unificada 2 4 2 Openswan 2 4 2 1 Vis o Geral Vis o Geral O Openswan uma implementa o de c digo aberto no n vel de kernel IPsec dispon vel no Red Hat Enterprise Linux Ele emprega protocolos de estabelecimento de chave IKE Internet Key Exchange v1 e v2 implementados como daemons no n vel de usu rio O estabelecimento de chave manual tamb m poss vel via comandos ip xfrm entretanto isto n o recomendado Suporte Criptogr fico O Openswan possui uma biblioteca embutida de criptografia entretanto tamb m suporta uma biblioteca NSS Network Security Services que totalmente suportada e requerida para cumprimento de seguran a FIPS Mais informa es sobre o FIPS Federal Information Processing Standard pode ser
49. nome usando o m lt module name gt onde lt module name gt o nome do m dulo Muitos m dulos est o dispon veis por padr o Voc tamb m pode criar m dulos para fornecer funcionalidade adicional Segue uma lista parcial dos m dulos mais usados m dulo limit Coloca limites em quantos pacotes s o coincididos em uma regra espec fica Quando usado em conjunto com o alvo LOG o m dulo limit pode evitar uma inunda o de pacotes coincidentes de encher o log do sistema com mensagens repetitivas ou usar OS recursos do sistema O m dulo limit habilita as seguintes op es limit Define o n mero m ximo de coincid ncias para um per odo de tempo espec fico especificado como um par lt value gt lt period gt Por exemplo usando o limit 5 hour permite se cinco coincid ncias de regras por hora Per odos podem ser especificados em segundos minutos horas ou dias Se um modificador de n mero e tempo n o forem utilizados o valor padr o de 3 hour assumido Jimit burst Define um limite em um n mero de pacotes capazes de coincidir uma regra em uma vez Esta op o especificada como um n mero inteiro e deve ser usada em conjunto com a op o limit Se n o for especificado nenhum valor o valor padr o de cinco 5 ser assumido m dule state Habilita coincid ncia de estado O m dulo state habilita as seguintes op es State coincide um pacote com os seguintes estados de cone
50. o como a seguir etc xinetd conf O arquivo de configura o global do xinetd etc xinetd d O diret rio contendo todos os arquivos especificos do servi o 2 3 4 1 O arquivo etc xinetd conf O arquivo etc xinetd conf cont m defini es de configura es gerais que afetam todos os servi os sob o controle do xinetd Ele lido quando o servi o xinetd primeiramente iniciado ent o para as mudan as de configura o terem efeito voc precisa reiniciar o servi o xinetd O seguinte um modelo do arquivo etc xinetd conf defaults i instances 60 log_type SYSLOG authpriv log_on_success HOST PID log_on_failure HOST cps 25 30 includedir etc xinetd d Estas linhas controlam os seguintes aspectos do xinetd instances Especifica o n mero m ximo de pedidos simult neos que o xinetd pode processar log type Configura o xinetd para usar a facilidade de log authpriv que grava entradas no log para o arquivo var log secure Adicionar uma diretiva como FILE var log xinetdlog criaria um arquivo de log personalizado chamado xinetdlog no diret rio var log log on success Configura o xinetd para registrar no log tentativas de conex o com sucesso Por padr o o endere o IP do host remoto e o ID de processo do servidor que processo o pedido s o gravados log on failure Configura o xinetd para logar tentativas de conex o com falhas ou se a conex o foi negada cps Configura o xinet
51. o contra instalar o software que pode ter side maliciosamente modificado depois que o pacote foi criado mas antes de voc te lo baixado Usar muitos reposit rios reposit rios n o confi veis ou reposit rios sem assinaturas de pacotes possui um risco maior de colocar um c digo malicioso ou vulner vel em seu sistema Tenha cautela 118 Cap tulo 6 Manuten o do Software quando adicionar reposit rio ao yum atualiza o de software 119 Red Hat Enterprise Linux 6 Guia de Seguran a Cap tulo 7 Padr es Federais e Regulamenta o 7 1 Introdu o Para manter os n veis de seguran a poss vel que sua empresa se esforce para atender as medidas federais e especifica es de seguran a industrial padr es e regulamenta es Este cap tulo descreve alguns dos padr es e regulamenta es 7 2 Federal Information Processing Standard FIPS The Federal Information Processing Standard FIPS Publicaton 140 2 um padr o de seguran a de computa o desenvolvido pelo Governo dos EUA e for a de trabalho industrial para validar a qualidade de m dulos criptogr ficos As publica es FIPS incluindo o 140 2 podem ser encontradas nas escrita deste o Publication 140 3 se encontra em estado de Rascunho e pode n o representar o padr o completo O padr o FIPS fornece quatro 4 n veis de seguran a para assegurar cobertura adequada de ind strias diferentes implementa es de m dulos criptogr ficos e tamanhos
52. o poder ter efeitos adversos produtividade e efici ncia de seus sistemas e rede A seguinte lista examina alguns dos benef cios de realizar avalia es de vulnerabilidade Cria um foco pr ativo na seguran a da informa o Encontra potenciais explora es antes que os invasores as encontrem Resulta em sistemas sendo atualizados e corrigidos Promove o crescimento e ajuda no desenvolvimento das habilidades dos funcion rios Reduz perdas financeiras e publicidade negativa 16 Cap tulo 1 Vis o Geral da Seguran a 1 2 2 1 Estabelece uma Metodologia Para ajudar na sele o de ferramentas para uma avalia o de vulnerabilidade til estabelecer uma metodologia de avalia o de vulnerabilidade Infelizmente n o h no momento uma metodologia pr definida ou aprovada pela ind stria neste momento entretanto o bom senso e boas pr ticas podem atuar como um guia suficiente O que um alvo Estamos olhando em um servidor ou em uma rede inteira e tudo dentro dessa rede Estamos externos ou internos empresa As respostas estas quest es s o importantes conforme elas ajudam a determinar n o somente quais ferramentas escolher mas tamb m a maneira a qual elas s o usadas Para aprender mais sobre estabelecer metodologias consulte os seguintes websites 1 2 3 Avaliando as Ferramentas Uma avalia o pode se iniciar usando alguma ferramenta de coleta de informa es Quando avaliar a rede inteira mapeie a es
53. para proteger a BIOS de um computador com senha s o MH 1 Prevenindo Mudan as s Configura es da BIOS Se um invasor possui acesso BIOS ele pode configura la para fazer o boot de um disquete ou CD ROM Sendo poss vel entrar no modo de recupera o ou modo de usu rio nico que permite iniciar processos arbitr rios no sistema ou copiar dados sens veis 2 Prevenindo Inicializa o do Sistema Algumas BIOS permitem prote o por senha do processo de boot Quando ativados um invasor for ado a entrar com uma senha antes que a BIOS inicie o carregador de boot Porque os m todos para configurar a senha da BIOS podem variar entre os fabricantes de computador consulte o manual do computador para instru es especificas 32 Cap tulo 2 Protegendo sua Rede Se voc esquecer a senha da BIOS ela pode ser zerada com os jumpers na placa m e ou retirando a bateria do CMOS Por esta raz o uma boa pr tica trancar a caixa do computador se poss vel Entretanto consulte o manual do computador ou da placa m e antes de tentar desconectar a bateria do CMOS 2 1 2 1 1 Protegendo Plataformas que n o s o X86 Outras arquiteturas usam programas diferentes para realizar tarefas de baixo n vel mais ou menos equivalentes essas das BIOS em sistemas x86 Por exemplo computadores Intel Itanium usam a Extensible Firmware Interface EFI shell Para instru es sobre proteger com senha programas como a BIOS em outr
54. seja instalado Mail SMTP O SMTP um protocolo que permite hosts remotos se conectarem diretamente sua m quina para a entrega de correio Voc n o precisa habilitar este servi o se voc coletar seu correio de um servidor ISP usando o POP3 ou IMAP ou se voc utilizar uma ferramenta como o fetchmail Para permitir a entrega de correio para sua m quina selecione esta caixa Note que um servidor SMTP configurado inadequadamente pode permitir m quinas remotas usar seu servidor para enviar spam NFS4 O Network File System NFS um protocolo de compartilhamento de arquivos geralmente usado em sistemas NIX A Vers o 4 deste protocolo mais segura do que seus precedentes Se voc quiser compartilhar arquivos ou diret rios em seu sistema com outros usu rios de rede selecione esta caixa Samba O Samba uma implementa o do protocolo de rede SMB de propriedade da Microsoft Se voc precisar compartilhar arquivos diret rios ou impressoras conectadas localmente com m quinas Microsoft Windows selecione esta caixa 86 Cap tulo 2 Protegendo sua Rede 2 5 2 4 Outras Portas O Firewall Configuration Tool inclui uma se o Other ports para especificar portas padr o IP como sendo confi veis pelo iptables Por exemplo para permitir que o IRC e protocolo de impressora da internet IPP passe pelo firewall adicione o seguinte para a se o Other ports 194 tcp 631 tcp 2 5 2 5 Salvando Configura es Cliq
55. servi o dentro do diret rio etc xinetd d A seguir est uma lista de algumas das op es usadas mais comuns para registro de log ATTEMPT Registra em log que uma tentativa com falha foi feita Log on failure DURAT ION Registra em log o per odo de tempo que o servi o usado por um sistema remoto log on success EXIT Registra em log o estado de sa da ou sinal de t rmino do servi o log on success HOST Registra em log o endere o de IP do host remoto log on failure e log on success PID Registra em log o ID do processo do servidor recebendo o pedido Log on success USERID Registra em log o usu rio remoto usando o m todo definido em RFC 1413 para todos os servi os de stream multi threaded Log on failure e log _on_success n t n Para uma lista completa de op es de log consulte a p gina man xinetd conf 2 3 4 3 2 Op es de Controle de Acesso Usu rios dos servi os xinetd podem escolher usar as regras de acesso de hosts TCP Wrappers fornecer controle de acesso pelos arquivos de configura o xinetd ou uma mistura de ambos os arquivos de controle de acesso de hosts TCP Wrappers Esta se o discute o uso do xinetd para controlar o acesso aos servi os Diferente dos TCP Wrappers mudan as nos controle de acesso somente tem efeito se o administrador xinetd reiniciar o servi o xinetd Tamb m diferentemente dos TCP Wrappers o controle de acesso pelo xinetd somente afeta se
56. 0 Tabela 2 1 M todos para Desabilitar a Conta Root M todo Descri o Efeitos Cap tulo 2 Protegendo sua Rede N o afeta Alternado o shell do root Desativar o acesso root por qualquer dispositiv o de console tty Desativan do logins root SSH Edite o arquivo etc passwd e mude o shell de bin bash para sbin nologin Um arquivo etc securetty impede o login de root em quaisquer dispositivos anexados ao computador Edite o arquivo etc ssh sshd_config e defina o par metro PermitRootLogin para no Impede acesso ao shell do root e registra nos logs quaisquer tentativas Os seguintes programas s o impedidos de acessar a conta root login gdm kdm xdm SU ssh scp sftp Impede acesso a conta root pelo console ou rede Os programas seguintes s o impedidos de acessar a conta root login gdm kdm xdm Outros servi os de rede que abram o tty Impede o acesso root pela su te de ferramentas OpenSSH Os seguintes programas s o impedidos de acessar a conta root Programas que n o requerem o uso do shell como clientes FTP clientes de email e muitos programas setuid Os seguintes programas n o s o impedidos de acessar a conta root sudo Clientes FTP Clientes de E mail Programas que n o logam como root mas realizam tarefas administrativas atrav s do setuid ou outros mecanismos Os seguintes programas n o s o
57. 006 03 31 A chave de impress o digital um atalho de assinatura para sua chave Ela permite que voc confirme aos outros que receberam a sua chave p blica real sem qualquer adultera o Voc n o precisa anotar esta impress o digital Para mostrar a impress o digital em qualquer momento use este comando substituindo com seu e mail gpg fingerprint jqdoe example com Sua ID de chave GPG consiste de 8 d gitos hex identificando a chave p blica No exemplo acima a ID de chave GPG 1B2AFA1C Na maioria dos casos se voc for perguntado pela ID da chave voc deve prefixar Ox na ID da chave como em 0x1B2AFA1C io Os Se voc esquecer a frase secreta a chave n o poder ser usada e quaisquer dados criptografados usando essa chave ser o perdidos 3 9 4 Sobre Criptografia de Chave P blica 115 Red Hat Enterprise Linux 6 Guia de Seguran a Cap tulo 4 Princ pios Gerais da Seguran a de Informa o Os seguintes princ pios gerais fornecem uma vis o geral de boas pr ticas de seguran a criptografar todos os dados transmitidos via rede para ajudar a prevenir os ataques man in the middle e eavesdropping importante criptografar as informa es de autentica o como senhas minimizar a quantidade de software instalado e servi os de execu o use software de melhoria de seguran a e ferramentas por exemplo Security Enhanced Linux SELinux for Mandatory Access Control MAC Neffilter iptabl
58. Allow access to necessary services only The firewall is enabled Figura 2 5 Firewall Configuration Tool O Firewall Configuration Tool somente configura um firewall b sico Se o sistema precisar de configurar regras de configura es espec ficas de iptables 2 5 2 2 Habilitando e desabilitando o Firewall Selecione uma das seguintes op es para o firewall Disabled Desabilitar o firewall fornece acesso completo ao seu sistema e n o faz verifica o de seguran a Isto deve ser selecionado somente se voc estiver executando em uma rede confi vel n o a Internet ou precisar configurar um firewall padronizado usando a ferramenta de linha de comando iptables As configura es do Firewall e quaisquer regras de firewall padronizada armazenada no arquivo etc sysconfig iptables Se voc escolher Disabled e clicar em OK estas configura es e regras do firewall ser o perdidas Enabled Esta op o configura o sistema para rejeitar conex es de entrada que n o est o em reposta com requisi es externas tais como respostas de DNS ou requisi es de DHCP Se for necess rio o acesso servi os vindos desta m quina voc poder escolher permitir servi os espec ficos atrav s do firewall Se voc estiver conectando seu sistema Internet mas n o planeja executar um servidor esta a escolha mais r pida 2 5 2 3 Servi os Confi veis Habilitar op es na lista de Servi os confi veis permite qu
59. GP e outros criptosistemas 132 14 Advanced Encryption Standard Wikipedia 14 November 2009 http en wikipedia org wiki Advanced Encryption Standard 15 Advanced Encryption Standard Wikipedia 14 November 2009 http en wikipedia org wiki Advanced Encryption Standard 126 Padr es de Criptografia 16 Advanced Encryption Standard Wikipedia 14 November 2009 http en wikipedia org wiki Advanced Encryption Standard 17 Data Encryption Standard Wikipedia 14 November 2009 http en wikipedia org wiki Data Encryption Standard 18 Data Encryption Standard Wikipedia 14 November 2009 http en wikipedia org wiki Data Encryption Standard 19 Data Encryption Standard Wikipedia 14 November 2009 http en wikipedia org wiki Data Encryption Standard 20 Public key Encryption Wikipedia 14 November 2009 http en wikipedia org wiki Public key cryptography 21 Public key Encryption Wikipedia 14 November 2009 hittp en wikip edia org wiki Public key_cryptograp hy 22 Public key Encryption Wikipedia 14 November 2009 http en wikipedia org wiki Public key cryptography 23 Public key Encryption Wikipedia 14 November 2009 http en wikip edia org wiki Public key_cryptography 24 Public key Encryption Wikipedia 14 November 2009 http en wikip edia org wiki Public key_cryptograp hy 25 Diffie Hellman Wikipedia 14 November 2009 http en wikip edia org wiki Diffie Hellman 26 Diffie Hellm
60. IA C3 Nehemia e permite criptografia e descriptografia de hardware extremamente r pida N o existe suporta para o VIA Padlock em sistemas de 64 bit Para ativ lo edite etc pki tls openssl cnf e adicione o seguinte no in cio de cada arquivo 110 Cap tulo 3 Criptografia openssl conf openssl init Depois adicione o seguinte no final do arquivo openssl init engines openssl engines openssl engines padlock padlock engine padlock engine default algorithms ALL dynamic path usr lib openssl engines libpadlock so init 1 Para verificar se o m dulo esta ativado aplique este comando openssl engine c tt Para testar a velocidade aplique este comando openssl speed aes 128 cbc Para testar a velocidade do OpenSSH voc pode aplicar um comando como este dd if dev zero count 100 bs 1M ssh c aes128 cbc localhost cat gt dev null Voc pode encontra mais informa es sobre o PadLock VIA nas seguintes URLs 3 8 LUKS Disk Encryption Linux Unified Key Setup on disk format ou LUKS permite que voc criptografe parti es em seu computador Linux Isto muito importante em rela o aos computadores m veis e m dias remov veis O LUKS permite que chaves de usu rios m ltiplos descriptografem uma chave master que usada para criptografia em massa de parti o 3 8 1 Implementa o do LUKS no Red Hat Enterprise Linux O Red Hat Enterprise Linux 6 usa o LUKS para realizar criptogra
61. IP O IPv6 suporta endere os de 128 bits e portadores de redes que aceitam IPv6 s o portanto capazes de controlar um n mero maior de endere os rote veis do que o IPv4 O Red Hat Enterprise Linux suporta as regras do firewall IPv6 usando o subsistema do Netfilter 6 e o comando ip6tables No Red Hat Enterprise Linux 6 ambos servi os IPv4 e IPv6 s o habilitados por padr o A sintaxe do comando ip6tables id ntica ao iptables em todos os aspectos exceto que ele suporta os endere os 128 bits Por exemplo use o seguinte comando para habilitar as conex es SSH em um servidor de rede consciente do IPv6 root myServer ip6tables A INPUT i etho p tcp s 3ffe ffff 100 1 128 dport 22 j ACCEPT Para mais informa es sobre a rede IPv6 consulte a P gina de informa es do IPv6 em 2 5 9 Recursos Adicionais Existem diversos aspectos do firewall e do subsistema Linux Netfilter que talvez n o sejam vistos neste cap tulo Para mais informa es consulte os recursos a seguir 2 5 9 1 Documenta o de Firewall Instalada incluindo defini es para diversas op es de comando A p gina man do iptables cont m um breve sum rio de diversas op es 2 5 9 2 Websites de Firewall teis registrados atribu dos pelo Internet Assigned Numbers Authority 2 5 9 3 Documenta o Relacionada Red Hat Linux Firewalls by Bill McCarty Red Hat Press uma refer ncia compreensiva para constru o de redes e firewalls
62. Informa es Pessoais Evite usar qualquer informa o pessoal em suas senhas Se o invasor conhece sua identidade a tarefa em adivinhar sua senha se torna mais f cil A seguir est uma lista de tipos de informa es a serem evitadas quando criar uma senha Alguns exemplos inseguros incluem o seguinte Seu Nome Nomes de animais de estima o Os nomes dos membros da fam lia Qualquer data de anivers rio Seu n mero de telefone ou c digo postal N o Inverta Palavras Reconhec veis Verificadores de senhas bons sempre invertem as palavras comuns ent o inverter uma senha fraca n o a faz mais segura Alguns exemplos inseguros incluem o seguinte ROX4H nauj 9 DS N o Escreva Sua Senha Nunca guarde sua senha em papel mais seguro memoriza la N o Use a Mesma Senha para Todas as M quinas importante fazer senhas separadas para cada m quina Desta maneira se um sistema comprometido todas suas m quinas n o estar o imeditatamente em risco 35 Red Hat Enterprise Linux 6 Guia de Seguran a As seguintes diretrizes lhe ajudar o a criar uma senha forte Fa a a Senha com no M nimo 8 D gitos Quanto mais longa a senha melhor Se usar senhas MDS ela deve ser de 15 ou mais d gitos Com senha DES use a extens o m xima oito caracteres Misture Mai sculas e Min sculas O Red Hat Enterprise Linux diferencia mai sculas de min sculas ent o misture as letras para aumentar a for a da senha M
63. Instalando Pacotes Assinados 1 5 4 Aplicando as Mudan as Capitulo 2 Protegendo sua Rede cccccccc erre oNN o 10 11 11 11 12 13 13 13 14 14 14 14 14 15 15 17 17 17 17 18 18 18 19 19 19 20 20 20 20 20 20 21 21 21 22 22 22 23 26 27 27 28 29 Indice Red Hat Enterprise Linux 6 Guia de Seguran a 2 1 Seguran a da Esta o de Trabalho 2 1 1 Avaliando a Seguran a da Esta o de Trabalho 2 1 2 Seguran a da BIOS e do Carregador de Boot 2 1 2 1 Senhas da BIOS 2 1 2 1 1 Protegendo Plataformas que n o s o X86 2 1 2 2 Senhas do Carregador de Boot 2 1 2 2 1 Protegendo o GRUB com senha 2 1 3 Seguran a da Senha 2 1 3 1 Criando Senhas Fortes 2 1 3 1 1 Metodologia para Cria o de Senhas Seguras 2 1 3 2 Criando Senhas de Usu rios Dentro de Uma Organiza o 2 1 3 2 1 For ando Senhas Fortes 2 1 3 2 2 Frases Secretas 2 1 3 2 3 Expira o de Senha 2 1 4 Controles Administrativos 2 1 4 1 Permitindo Acesso Root 2 1 4 2 Desabilitando Acesso ao Root 2 1 4 2 1 Desativando o Shell do Root 2 1 4 2 2 Desativando Logins Root 2 1 4 2 3 Desativando Logins Root SSH 2 1 4 2 4 Desativando o Root de usar o PAM 2 1 4 3 Limitando o Acesso Root 2 1 4 3 1 O Comando su 2 1 4 3 2 O Comando sudo 2 1 5 Servi os de Rede Dispon veis 2 1 5 1 Riscos ao Servi os 2 1 5 2 Identificando e Configurando Servi os 2 1 5 3 Servi os Inseguros 2 1 6 Firewalls Pessoais
64. Request from the internet Firewall Request accepted Request rejected TCP Wrappers xinetd Request Request accepted accepted TCP Wrapped xinetd Controlled Network Service Network Service 64 Cap tulo 2 Protegendo sua Rede Figura 2 4 Controle de Acesso para Servi os de Rede Este cap tulo foca na fun o de TCP Wrappers e xinetd no controle de acesso aos servi os de rede e revisa como estas ferramentas podem ser usadas para melhorar tanto a autentica o e com iptables 2 3 1 TCP Wrappers Os pacotes de TCP Wrappers tcp wrapperse tcp wrappers libs s o instalados por padr o e fornecem controle de acesso baseado no host para servi os de rede O componente mais importante do pacote a biblioteca lib libwrap a ou 1ib64 libwrap a Em termos gerais um servi o TCP wrapped um que foi compilado para a biblioteca libwrap a Quando uma tentativa de conex o feita a um servi o TCP Wrapper o servi o primeiro referencia os arquivos de acesso ao host etc hosts allowe etc hosts deny para determinar se o cliente permitido ou n o se conectar Na maioria dos casos ele ent o usa o syslog daemon syslogd para gravar o nome do cliente solicitante e do servi o solicitado em var log secure ou var l09g messages Se um cliente permitido se conectar os TCP Wrappers liberam o controle da conex o para o servi o solicitado e n o participa mais na comunica o entre o cliente e
65. UNTD PORT Porta UDP e TCP para o mountd rpc mountd STATD PORT Porta UDP e TCP para o status rpc statd LOCKD TCPPORT Porta TCP para o nlockmgr rpc lockd LOCKD UDPPORT Porta UDP para o nlockmgr rpc lockd N meros de Porta especificadas n o devem ser usados por qualquer outro servi o Configure seu firewall para permitir os n meros de portas especificadas e tamb m a porta 2049 UDP e TCP NFS Rode o comando rpcinfo p no servidor NFS para ver quais portas e programas RPC est o sendo usados 2 2 5 Protegendo o Servidor HTTP Apache O Servidor HTTP Apache um dos servi os mais est veis e seguros que vem com o Red Hat Enterprise Linux Um grande n mero de op es e t cnicas est o dispon veis para proteger o Servidor HTTP Apache muitas para serem descritas em detalhes aqui A se o seguinte explica brevemente boas pr ticas quando rodar o Servidor HTTP Apache Sempre verifique que quaisquer scripts rodando no sistema funcionam conforme pretendido antes de coloca los em produ o Tamb m assegure se que somente o usu rio root possui permiss es de escrita a quaisquer diret rios que cont m os scripts ou CGls Para fazer isso rode o seguinte comando como usu rio root 1 chown root lt directory name gt 2 chmod 755 lt directory name gt Administradores de sistemas devem ter cuidados quando usar as seguintes op es de configura o definidos em etc httpd conf httpd conf FollowSymLinks
66. ZE O tamanho m ximo aceit vel em bytes para uma mensagem nica 2 2 7 2 O NFS e Sendmail Nunca coloque o diret rio de mail spool var spoo1l mail em um volume NFS compartilhado Por causa que o NFSv2 e NFSv3 n o mant m controle sobre as IDs de usu rios e grupos dois ou mais usu rios podem ter o mesmo UID e receberem e lerem os emails um do outro Com o NFSv4 usando o Kerberos isto n o acontece j que o m dulo do kernel SECRPC GSS n o utiliza uma autentica o baseada em UID Entretanto ainda considerado uma boa pr tica n o colocar o diret rio de mail spool em volumes NFS n o compartilhados 2 2 7 3 Usu rios somente de Mail Para ajudar a impedir que um usu rio local explore o servidor Sendmail melhor para os usu rios de mail somente acessar o servidor Sendmail usando um programa de email Contas shell no servidor de mail n o devem ser permitidos e todos os usu rios shell no arquivo etc passwd devem ser definidos para sbin nologin com a exce o poss vel do usu rio root 2 2 8 Verificando Quais Portas Est o Escutando Depois de configurar servi os de rede importante prestar aten o a quais portas est o na realidade escutando nas interfaces de rede do sistema Quaisquer portas abertas podem ser evid ncias de uma invas o Existem duas abordagens b sicas para listar as portas que est o escutando na rede A abordagem menos confi vel solicitar a pilha de rede usando comandos como ne
67. a espec fica a regra pode direcionar o pacote para diversos alvos diferentes que determinam a a o apropriada Cada corrente possui um alvo padr o que usado se nenhuma das regras na corrente coincidir um pacote ou se nenhuma das regras que coincidem com o pacote especificarem um alvo Seguem os alvos padr es lt user defined chain gt Uma corrente definida pelo usu rio dentro da tabela Nomes de correntes definidas pelo usu rio devem ser nicas Este alvo passa o pacote corrente especificada ACCEPT Permite o pacote passar para seu destino ou para outra corrente DROP Despeja o pacote sem responder ao requisitante O sistema que enviou o pacote n o notificado da falha QUEUE O pacote enfileirado para manuseio por um aplicativo do espa o de usu rio RETURN Para a verifica o de pacote contra as regras na corrente atual Se o pacote com um alvo RETURN coincide com uma regra em uma corrente chamada de outra corrente o pacote retornado primeira corrente para retomar a verifica o de regra onde ele parou Se a regra RETURN for usada em uma corrente embutida e o pacote n o puder mover para sua corrente anterior o alvo padr o para a corrente atual ser usado Al m disso as extens es est o dispon veis que permitem outros alvos a serem especificados Estas extens es s o chamadas de m dulos alvo ou m dulos de op o coincidente e se aplicam mais s tabelas espec ficas e situa es
68. a por usu rio qualquer 97 Red Hat Enterprise Linux 6 Guia de Seguran a corrente exceto as padr es correntes pr existentes consulte a op o N abaixo para informa es sobre como criar correntes definidas por usu rio Isto uma mudan a de apar ncia e n o afeta a estrutura da tabela Se voc tentar renomear uma das correntes padr es o sistema ir reportar um erro de Correspond ncia n o encontrada Match not found Voc n o poder renomear correntes padr es F Libera a corrente selecionada o qual remove efetivamente todas as regras na corrente Se n o for especificada nenhuma corrente este comando liberar todas as regras de cada corrente h Fornece uma lista de estruturas de comando assim como um sum rio r pido de par metros de comando e op es I lt integer gt Insere a regra na corrente especificada em um ponto especificado por um argumento inteiro definido por um usu rio Se nenhum argumento especificado a regra inserida no topo da corrente Importante Como notado acima a ordem de regras em uma corrente determina quais regras se aplicam quais pacotes Isto importante lembrar quando adicionar regras usando tanto a op o A ou I Isto especialmente importante ao adicionar regras usando o I com um argumento inteiro Se voc especificar um n mero existente ao adicionar uma regra em uma corrente o iptables adiciona a nova regra antes ou acima da reg
69. ables config IP6TABLES MODULES 2 6 6 Recursos Adicionais Consulte os seguintes recursos para informa es adicionais sobre o pacote de filtro com iptables n t n seguranga geral assim como as estrat gias para construir as regras do firewall 2 6 6 1 Documenta o instaladas da IP Tables man iptables Cont m uma descri o do iptables assim como uma lista compreensiva de alvos op es e extens es coincidentes 2 6 6 2 Websites de IPtables teis iptables incluindo guias FAQ de Rusty Russell o mantedor do firewall Linux IP Os documentos HOWTO neste site tratam sobre tais conceitos de rede b sicos filtro de pacote de kernel e configura es do NAT 107 Red Hat Enterprise Linux 6 Guia de Seguran a comandos iptables 11 J que as BIOS de sistemas diferem entre fabricantes algumas podem n o suportar prote o por senha de qualquer tipo enquanto outras podem suportar um certo tipo mas n o o outro 12 O GRUB tamb m aceita senhas sem encripta o mas recomendado que um hash MD5 seja usado para seguran a adicional 13 Este acesso ainda sujeito s restri es impostas pelo SELinux se ativado 108 Cap tulo 3 Criptografia Cap tulo 3 Criptografia Existem dois tipos principais de dados que devem ser protegidos dados parados e dados ativos Estes tipos diferentes de dados s o protegidos de formas semelhantes usando tecnologia semelhante mas as implementa es podem ser complet
70. acesso ao servi o portmap uma boa id ia adicionar regras de iptables ao servidor e restringir acesso s redes especificas Abaixo est o dois exemplos de comandos iptables O primeiro permite conex es TPC porta 111 usada pelo servi o por tmap da rede 192 168 0 0 24 A segunda permite conex es TCP mesma porta do local host Isto necess rio para o servi o sgi fam usado pelo Nautilus Todos os outros pacotes s o largados iptables A INPUT p tcp s 192 168 0 0 24 dport 111 j DROP iptables A INPUT p tcp s 127 0 0 1 dport 111 j ACCEPT N 4 Para similarmente limitar tr fego UDP use o seguinte comando iptables A INPUT p udp s 192 168 0 0 24 dport 111 j DROP NE ET comandos iptables 2 2 3 Protegendo o NIS 54 Cap tulo 2 Protegendo sua Rede A Network Information Service NIS um servi o RPC chamado ypserv que usado em conjunto com o portmap e outros servi os relacionados para distribuir mapas de nomes de usu rios senhas e outras informa es sens veis a qualquer computador alegando estar dentro do dom nio Um servidor NIS compreende de diversas aplica es Elas incluem o seguinte usr sbin rpc yppasswdd Tamb m chamado servi o yppasswdd este daemon permite usu rios alterar suas senhas NIS usr sbin rpc ypxfrd Tamb m chamado servi o ypxfrd este daemon respons vel por transfer ncias de mapas NIS pela rede usr sbin ypp
71. ais complexa e usa dois campos de op es sshd example com spawn bin echo bin date access denied gt gt var log sshd log deny Note que cada campo de op o precedido com uma barra inversa O uso da barra invertida previne falha da regra devido ao comprimento Este exemplo de regra declara que se uma conex o ao daemon SSH sshd tentada a partir de um host no dom nio example com executa o comando echo para anexar a tentativa ao arquivo de log especial e nega a conex o Pelo motivo que a diretiva opcional deny usada esta linha nega o acesso uma vis o mais detalhada das op es dispon veis 2 3 2 1 1 Car cteres Coringa wildcards Car cteres coringa permitem aos TCP Wrappers corresponder mais facilmente grupos de daemons ou hosts Eles s o usados mais frequentemente no campo de lista de clientes das regras de acesso Os seguintes car cteres coringa est o dispon veis ALL Corresponde a tudo Ele pode ser usado para ambas listas de daemons e lista de clientes LOCAL Corresponde a qualquer host que n o cont m um ponto como o localhost KNOWN Corresponde a qualquer host onde o hostname e endere o de host s o conhecidos ou onde o usu rio conhecido UNKNOWN Corresponde a qualquer host onde o hostname ou endere o de host s o desconhecidos ou onde o usu rio desconhecido PARANOID Corresponde a qualquer host onde o hostname n o corresponde ao endere o de ho
72. amente diferentes Nenhuma implementa o de prote o pode prevenir os m todos poss veis de se comprometer com as mesmas informa es que possam conter nos dados parados e ativo em determinados per odos diferentes 3 1 Dados parados Dados parados s o dados armazenados em um disco r gido fita CD DVD disco ou outra forma de m dia A maior amea a de informa o de roubo Os laptops em aeroportos CDs enviados por correio e fitas de backup que s o deixadas em locais errados s o alguns exemplos de eventos onde dados foram comprometidos atrav s de roubo Se os dados estivessem criptografados na m dia voc n o teria que se preocupar tanto sobre o comprometimento destes dados 3 2 Criptografia de Disco Cheio Disco cheio ou criptografia de parti o uma das melhores formas de proteger seus dados N o s protege cada arquivo como tamb m protege armazenamento tempor rio que possa conter partes destes arquivos A criptografia de disco cheio ir proteger todos os seus arquivos para que voc n o tenha que se preocupar com a sele o do que voc precisa preencher e possivelmente um arquivo que esteja faltando Red Hat Enterprise Linux 6 suporta originalmente a criptografia LUKS O LUKS criptografas todas as suas parti es do disco r gido para que enquanto o computador esteja desligado seus dados sejam protegidos Isto tamb m protege seu computador tentativas de ataques para usar um modo de usu rio nico para se
73. amento de Conex o Voc pode inspecionar e restringir conex es servi os baseados em seus estados de conex o Um m dulo dentro do iptables usa um m todo chamado rastreamento de conex o para armazenar informa es sobre conex es de entrada Voc pode permitir ou negar acesso baseado nos seguintes estados de conex o NEW Um pacote que requer uma nova conex o tal como uma requisi o HTTP ESTABLISHED Um pacote que parte de uma conex o existente RELATED Um pacote que est requisitando uma nova conex o mas parte de uma conex o existente Por exemplo o FTP usa a porta 21 para estabelecer uma conex o mas os dados s o transferidos em uma porta diferente geralmente a porta 20 INVALID Um pacote que n o parte de nenhuma conex o na tabela de rastreamento de conex o Voc pode usar a funcionalidade stateful com estado da conex o iptables rastreando com qualquer protocolo de rede at mesmo se o pr prio protocolo stateless sem estado assim como o UDP O exemplo a seguir mostra uma regra que usa o rastreamento de conex o para enviar somente os pacotes que s o associados com uma conex o estabelecida root myServer iptables A FORWARD m state state ESTABLISHED RELATED j ACCEPT 93 Red Hat Enterprise Linux 6 Guia de Seguran a 2 5 8 IPv6 A introdu o do Protocolo de Internet de pr xima gera o cnamado IPv6 expande al m do endere o do limite de 32 bits do IPv4 ou
74. an Wikipedia 14 November 2009 http en wikip edia org wiki Diffie Hellman 27 Diffie Hellman Wikipedia 14 November 2009 http en wikip edia org wiki Diffie Hellman 28 Diffie Hellman Wikipedia 14 November 2009 http en wikip edia org wiki Diffie Hellman 29 DSA Wikipedia 24 February 2010 http en wikipedia org wiki Digital_Signature_Algorithm 30 TLS SSI Wikipedia 24 February 2010 http en wikipedia org wiki Transport Layer Security 31 Cramer Shoup cryptosystem Wikipedia 24 February 2010 http en wikipedia org wiki Cramer Shoup_cryptosystem 32 ElGamal encryption Wikipedia 24 February 2010 http en wikip edia org wiki EIGamal_encryption 127 Red Hat Enterprise Linux 6 Guia de Seguran a Hist rico de Revis o Revis o 1 5 3 35 402 Fri Oct 25 2013 Rebuild with Publican 4 0 0 Revis o 1 5 3 35 August 7 2012 Rebuild for Publican 3 0 Revis o 1 5 3 2012 07 18 Rebuild for Publican 3 0 Revis o 1 5 1 Apr 19 2010 Reparos m nimos constru o final para Beta Revis o 1 4 1 Mar 5 2010 Revis o QE e Atualiza es Revis o 1 3 1 Feb 19 2010 Enviar para rea de teste pronto para revis o 128 R diger Landmann Ruediger Landmann Anthony Towns Scott Radvan Scott Radvan Scott Radvan
75. appers man xinetd conf A p gina man que lista as op es de configura o do xinetd 2 3 5 2 Web sites teis sobre TCP Wrappers discute as diferentes maneiras de otimizar os arquivos de configura o do xinetd para atender objetivos de seguran a espec ficos 2 3 5 3 Livros Relacionados Hacking Linux Exposed por Brian Hatch James Lee and George Kurtz Osbourne McGraw Hill Uma excelente fonte sobre seguran a com informa es sobre TCP Wrappers e xinetd 2 4 Redes Privadas Virtuais VPNs Organiza es com diversos escrit rios sat lites muitas vezes se conectam entre si por linhas dedicadas para efici ncia e prote o dos dados Por exemplo muitas empresas usam frame relay ou linhas Asynchronous Transfer Mode ATM como uma solu o de rede ponto a ponto para ligar um escrit rio com os outros Isto pode ser uma alternativa cara especialmente para pequenas e m dias empresas SMBs que querem expandir sem pagar os altos custos associados com o n vel corporativo e circuitos digitais dedicados Para atender a essa necessidade as Virtual Private Networks VPNs foram desenvolvidas Seguindo os mesmos princ pios funcionais dos circuitos dedicados as VPNs permitem comunica es digitais seguras entre duas partes ou redes criando uma Wide Area Network WAN a partir da Local Area Networks LANs existentes O ponto onde ela difere do frame relay ou ATM no meio de transporte As VPNs transmitem por IP usan
76. aque man in the middle Neste tipo de ataque um cracker redireciona o tr fego de rede enganando o servidor de nomes na rede para apontar para a m quina do cracker ao contr rio do servidor correto Uma vez que algu m abre uma sess o remota no servidor a m quina do invasor age como um canal ficando no meio entre o servi o remoto e o usu rio capturando informa es Desta maneira o cracker pode pegar senhas administrativas e dados brutos sem o servidor ou usu rio perceberem Outra categoria de servi os inseguros incluem sistemas de arquivos de rede e servi os de informa o como NFS ou NIS que s o desenvolvidor explicitamente para uso em LAN mas s o infelizmente extendidos para incluir WANs para usu rios remotos O NFS n o possui por padr o qualquer autentica o ou mecanismos de seguran a configurados para previnir um cracker de montar o compartilhamento NFS e acessar qualquer informa o contida nele O NIS tamb m possui informa es vitais que devem ser conhecidas por cada computador na rede incluindo senhas e permiss es de arquivos dentro de um banco de dados ASCIl ou DBM derivado ASCII em texto puro Um cracker que ganha acesso a este banco de dados pode ent o acessar cada conta de usu rio na rede incluindo a conta do administrador Por padr o o Red Hat Enterprise Linux lan ado com todos os servi os desativados Entretanto j que administradores muitas vezes s o for ados a usar estes servi os cuidado
77. ar medidas apropriadas antes de se conectar a uma rede n o confi vel como a Internet uma meio efetivo de impedir tentativas de intrus o Este documento faz diversas refer ncias arquivos no diret rio Lib Se estiver usando os sistemas 64 bits alguns dos arquivos mencionados podem estar localizados no 1ib64 1 1 Introdu o Seguran a 1 1 1 O que Seguran a de Computadores Seguran a de computadores um termo geral que cobre uma grande rea da inform tica e processamento da informa o Ind strias que dependem dos sistemas de computadores e redes para conduzir diariamente negocia es e acessar informa es cr ticas consideram seus dados como uma importante parte de seus bens gerais Diversos termos e m tricas entraram em nosso vocabul rio de neg cios tais como o custo total da posse TCO Total Cost of Ownership retorno sobre investimento ROI Return on Investment e qualidade de servi o QoS Quality of Service Usando estas m tricas ind strias podem calcular aspectos como a integridade dos dados e alta disponibilidade HA High Availability como parte de seus planos e custos do gerenciamento de processos Em algumas ind strias como a de com rcio eletr nico a disponibilidade e confiabilidade dos dados podem significar a diferen a entre sucesso e fracasso 1 1 1 1 Como a Seguran a de Computadores come ou A seguran a da informa o tem evolu do ao longo dos anos devido crescente d
78. are Collections is not formally related to or endorsed by the official Joyent Node js open source or commercial project The OpenStack Word Mark and OpenStack Logo are either registered trademarks service marks or trademarks service marks of the OpenStack Foundation in the United States and other countries and are used with the OpenStack Foundation s permission We are not affiliated with endorsed or sponsored by the OpenStack Foundation or the OpenStack community All other trademarks are the property of their respective owners Resumo Este documento assiste usuarios e administradores no aprendizado dos processos e praticas de prote o de esta es de trabalho e servidores contra a invas o remota e local explora o e atividades mal intencionadas Focado no Red Hat Enterprise Linux mas detalhando conceitos e t cnicas v lidas para todos os sistemas Linux este guia detalha o planejamento e ferramentas envolvidos na cria o de um ambiente de inform tica protegido para o centro de dados local de trabalho e lar Com conhecimento administrativo adequado vigil ncia e ferramentas os sistemas com Linux podem ser tanto funcionais como protegidos da maioria das invas es comuns e m todos de explora es ndice Pref cio Jum tegse wet Sarees anca O Rep A ia AG DD POR SR A RD eyed A eck AE a 1 Conven es de Documentos 1 1 Conven es Tipogr ficas 1 2 Conven es de Pull Quote 1 3 Notas e Avisos 2 Precisamos do seu
79. as dentro de um pacote particular Esta op o coincidente tamb m pode ser revertida com o ponto de exclama o 1 2 6 2 4 2 Protocolo UDP Estas op es de coincid ncia est o dispon veis para o protocolo UDP p udp dport Especifica a porta de destino do pacote UDP usando o nome de servi o n mero de porta ou classe de n mero de portas A op o de coincid ncia destination port sin nima de dport sport Especifica a porta fonte do pacote UDP usando o nome de servi o n mero de porta ou classe de n meros de porta A op o coincidente source port sin nima com sport Para as op es dport e sport para especificar uma classe de n meros de portas separe os dois n meros com dois pontos Por exemplo p tcp dport 3000 3200 A maior classe v lida aceit vel 0 65535 2 6 2 4 3 Protocolo ICMP As op es de coincid ncia a seguir est o dispon veis para o Internet Control Message Protocol ICMP p icmp icmp type Define o nome e n mero do tipo de ICMP para coincidir com a regra Uma lista de nomes ICMP v lidos pode ser recuperada digitando o comando iptables p icmp h 101 Red Hat Enterprise Linux 6 Guia de Seguran a 2 6 2 4 4 M dulos de Op o de Coincid ncia Adicional Op es de coincid ncia adicionais est o dispon veis atrav s de m dulos carregados pelo comando iptables Para usar um m dulo de op o de coincid ncia carregue o m dulo pelo
80. as arquiteturas consulte as instru es do fabricante 2 1 2 2 Senhas do Carregador de Boot As raz es prim rias para proteger com senha um carregador de boot de Linux s o as seguintes 1 Impedir Acesso ao Modo de Usu rio nico Se invasores podem inicializar o sistema no modo de usu rio nico eles s o logados automaticamente como root sem serem questionados pela senha root 2 Impedir Acesso ao Console GRUB Se a m quina usa o GRUB como seu carregador de boot um invasor pode usar a interface do editor GRUB para mudar sua configura o ou pegar informa es usando o comando cat 3 Impedir Acesso Sistemas Operacionais Inseguros Se o sistema possui sistema de boot duplo um invasor pode selecionar um sistema operacional no momento do boot por exemplo o DOS que ignora controles de acesso e permiss es de arquivos O Red Hat Enterprise Linux 6 lan ado com o carregador de boot do GRUB na plataforma x86 Para uma vis o detalhada do GRUB consulte o Guia de Instala o da Red Hat 2 1 2 2 1 Protegendo o GRUB com senha Para fazer isso primeiro adicione uma senha forte abra o shell autentique se como root e ent o digite o seguinte comando sbin grub md5 crypt Quando questionado digite a senha do GRUB e pressione Enter Isto retorna um hash MD5 da senha Depois edite o arquivo de configura o do GRUB boot grub grub conf Abra o arquivo e abaixo da linha timeout na se o principal do documento
81. as de Usu rios 2 2 6 3 1 Restringindo Contas de Usu rios 2 2 6 4 Usar o TCP Wrappers para Controla Acesso 2 2 7 Protegendo o Sendmail 2 2 7 1 Limitando um DoS Denial of Service Attack 2 2 7 2 O NFS e Sendmail 2 2 7 3 Usuarios somente de Mail 2 2 8 Verificando Quais Portas Est o Escutando 2 3 TCP Wrappers e xinetd 2 3 1 TCP Wrappers 2 3 1 1 Vantagens do TCP Wrappers 2 3 2 Arquivos de Configura o dos TCP Wrappers 2 3 2 1 Formatando Regras de Acesso 2 3 2 1 1 Car cteres Coringa wildcards 2 3 2 1 2 Modelos 2 3 2 1 3 Portmap e TCP Wrappers 2 3 2 1 4 Operadores 2 3 2 2 Campos de Op o 23 221 Registro de Logs 2 3 2 2 2 Controle de Acesso 2 3 2 2 3 Comandos Shell 2 3 2 2 4 Expansdes 2 3 3 xinetd 2 3 4 Arquivos de Configura o xinetd 2 3 4 1 O arquivo etc xinetd conf 2 3 4 2 O Diret rio etc xinetd d 2 3 4 3 Aterando Arquivos de Configura o xinetd 2 3 4 3 1 Op es de Registro de Log 2 3 4 3 2 Op es de Controle de Acesso 234 3 3 Op es de Associa o e Redirecionamento 234 34 Op es de Gerenciamento de Recursos 2 3 5 Recursos Adicionais 2 3 5 1 Documenta o Instalada dos TCP Wrappers 2 3 5 2 Web sites teis sobre TCP Wrappers 2 3 5 3 Livros Relacionados 2 4 Redes Privadas Virtuais VPNs 2 4 1 Como uma VPN funciona 2 4 2 Openswan 2 4 2 1 Vis o Geral 2 4 2 2 Configura o 2 4 2 3 Comandos 24 24 Recursos Openswan 2 5 Firewalls 2 5 1 Netfilter e IPT ables 2 5 1 1 V
82. as redes comumente compreendem de sistemas operacionais aplica es servidores monitores de rede firewalls sistemas de detec o de intrus o e mais Agora imagine tentar manter atualizados cada um desses mencionados Dada a complexidade dos softwares de hoje e ambientes de rede explora es e bugs s o uma certeza Manter se atualizado com corre es e atualiza es para uma rede inteira pode ser uma tarefa dif cil em uma grande organiza o com sistemas heterog neos Combine o requerimento de experi ncia com a tarefa de manter se atualizado inevit vel que incidentes adversos ocorram sistemas sejam violados dados se corrompem e servi os s o interrompidos Para aprimorar as tecnologias de seguran a e auxiliar na prote o de sistemas voc deve pensar como um invasor e avaliar a seguran a de seus sistemas verificando os pontos fracos Avalia es de vulnerabilidade preventivas em seus pr prios sistemas e recursos de rede podem revelar problemas potenciais que podem ser endere ados antes de um invasor explora la A avalia o de vulnerabilidade uma auditoria interna de seu sistema e seguran a de sistema os resultados dos quais indicam a confidencialidade integridade e disponibilidade de sua rede como explicado na Se Padroniza a Tipicamente a avalia o da vulnerabilidade come a com uma fase de reconhecimento durante o qual os dados importantes sobre os sistemas alvos e os recursos s o reunidos
83. aseado na fonte ou destino 96 Cap tulo 2 Protegendo sua Rede do pacote Target Especifica qual a o tomada nos pacotes que coincidem com o crit rio acima para mais informa es sobre op es espec ficas que se referem estes aspectos de um pacote As op es usadas com as regras iptables espec ficas devem ser agrupadas de forma l gica baseadas no prop sito e condi es da regra geral para a regra ser v lida O restante desta se o explica op es mais utilizadas para o comando iptables 2 6 2 1 Estrutura das Op es do Comando IPTables Muitos comandos iptables possuem a seguinte estrutura iptables t lt table name gt lt command gt lt chain name gt lt parameter 1 gt lt option 1 gt lt parameter n gt lt option n gt lt table name gt Especifica qual tabela a regra se aplica Se omitido a tabela filter ser usada lt command gt Especifica a a o a realizar tal como adicionar ou remover uma regra lt chain name gt Especifica a corrente a editar criar ou remover lt parameter gt lt option gt pairs Os par metros e op es associadas que especificam como processar um pacote que coincide com a regra O extens o e complexidade de um comando iptables pode mudar de forma significante dependendo do seu prop sito Por exemplo um comando que remove uma regra de uma corrente pode ser bastante curto iptables D lt chain name gt lt line number gt Em contras
84. avor note que os guias de hardening do Red Hat Enterprise Linux 5 podem n o se aplicar totalmente ao Red Hat Enterprise Linux 6 O Defense Information Systems Agency DISA fornece documenta o checklists e testes para ajudar a proteger seu sistema In propriedades corretas e modos para arquivos de sistema para controle de reparos 116 Cap tulo 5 Instala o Segura Cap tulo 5 Instala o Segura A seguran a inicia se na primeira vez que voc coloca o CD ou DVD em seu drive de disco para instalar o Red Hat Enterprise Linux Configurar seu sistema de forma segura desde o in cio torna o mais f cil de implementar configura es de seguran a adicional mais tarde 5 1 Parti es de Disco O NSA recomenda criar parti es separadas para o boot home tmp e var tmp As raz es para cada um diferem e trataremos de cada parti o boot Esta parti o a primeira parti o que lida pelo sistema durante a inicializa o O carregador de inicializa o e imagens do kernel que s o usadas para inicializar seu sistema em Red Hat Enterprise Linux s o armazenadas nesta parti o Esta parti o n o deve ser criptografada Se esta parti o for inclu da em e essa parti o for criptografada ou se tornar indispon vel seu sistema n o poder inicializar home Quando os dados de usu rio nome s o armazenados em ao inv s de serem armazenados em uma parti o separada a parti o pode ficar
85. bles pode ser delisgado se voc desejar usar somente o servi o iptables Se desativar o ip6tables lembre se de desativar a rede IPv6 tamb m Nunca deixe um dispositivo de rede ativo sem um firewall Para for ar o iptables a iniciar por default quando o sistema for inicializado use o seguinte comando root myServer chkconfig level 345 iptables on 87 Red Hat Enterprise Linux 6 Guia de Seguran a Para for ar o iptables a iniciar sempre que o sistema inicializar em runlevel 3 4 ou 5 2 5 3 1 Sintaxe de Comandos do IPTables O exemplo a seguir de comando iptables ilustra a sintaxe de comando b sica root myServer iptables A lt chain gt j lt target gt A op o A especifica a regra a ser adicionada ao lt chain gt Cada corrente comprimida em um ou mais regras e portanto tamb m conhecida como um ruleset As tr s correntes embutidas s o INPUT OUTPUT e FORWARD Estas correntes s o permanentes e n o podem ser removidas A corrente especifica o ponto no qual o pacote manipulado Aop o j lt target gt especifica o alvo da regra ex o que fazer se o pacote coincide com a regra Exemplos de alvos embutidos s o ACCEPT DROP e REJECT Consulte o p gina man do iptables para mais informa es sobre as correntes dispon veis op es e alvos 2 5 3 2 Pol ticas de Firewall B sicas Estabelecer pol ticas de firewall b sicas cria uma funda o para construir regras definidas por usu rios
86. c sysctl1 conf como a seguir Localize a linha a seguir net ipv4 ip forward 0 Edite o para fica como a seguir net ipv4 ip forward 1 Use o seguinte comando para permitir mudan as no arquivo sysctl conf root myServer sysctl p etc sysctl conf 2 5 5 1 Postrouting e Mascaramento de IP Aceitar pacotes encaminhados via dispositivo de IP interno do firewall permite que os n s da LAN se comuniquem entre si no entanto eles ainda n o poder o se comunicar fora da Internet Para permitir n s da LAN com endere os IP privados se comunicarem com redes externas p blicas configure o firewall para P masquerading o qual mascara requisi es dos n s da LAN com endere os IP do dispositivo externo do firewall neste caso ethO root myServer iptables t nat A POSTROUTING o ethO j MASQUERADE Esta regra usa a tabela de coincid ncias do pacote NAT t nat e especifica a corrente POST ROUTING embutida para o NAT A POSTROUTING no dispositivo de rede externo do firewall o etho O POST ROUTING permite que os pacotes sejam alterados a medida que deixam o dispositivo externo do firewall O alvo j MASQUERADE especificado para mascarar o endere o IP de um n com o endere o IP externo do firewall gateway 2 5 5 2 Pre roteamento Se voc possuir um servidor em sua rede interna que voc queira disponibilizar externamente voc pode usar o alvo j DNAT da corrente PREROUT ING no NAT para especificar um en
87. d HHHHHHHHH 59 Red Hat Enterprise Linux 6 Guia de Seguran a Para referenciar este arquivo de banner de sauda o para o vsftpd adicione a seguinte diretiva ao arquivo etc vsftpd vsftpd conf banner file etc banners ftp msg NE E tamb m poss vel enviar banners adicionais s conex es de entrada usando os TCP Wrappers 2 2 6 2 Acesso An nimo A presen a do diret rio var ftp ativa a conta an nima A maneira mais f cil para criar este diret rio instalar o pacote vsftpd Este pacote estabelece uma rvore de diret rios para usu rios an nimos e configura as permiss es nos diret rios para somente leitura para os usu rios an nimos Por padr o o usu rio an nimo n o pode escrever em quaisquer diret rios Se ativar o acesso an nimo a um servidor FTP esteja atento onde os dados sens veis est o armazenados 2 2 6 2 1 Upload An nimo Para permitir usu rios an nimos fazer upload de arquivos recomendado que um diret rio de escrita somente seja criado dentro do var ftp pub Para fazer isso digite o seguinte comando mkdir var ftp pub upload N A Depois mude as permiss es para que ent o os usu rios an nimos n o possam ver os conte dos dos diret rios chmod 730 var ftp pub upload Va E Um formato de listagem longa do diret rio deve se parecer com r drwx wx 2 root ftp 4096 Feb 13 20 05 upload Na 60 Ca
88. d Hat Enterprise Linux 6 Guia de Seguran a ypbind 653 0 7u IPv4 1319 TCP 834 LISTEN ypbind 655 0 7u IPv4 1319 TCP 834 LISTEN ypbind 656 0 7u IPv4 1319 TCP 834 LISTEN ypbind 657 0 7u IPv4 1319 TCP 834 LISTEN Estas ferramentas revelam uma grande parte sobre o estado dos servi os rodando na m quina Estas ferramentas s o flex veis e podem fornecer uma riqueza de informa es sobre os servi os de rede e configura o Consulte as p ginas man do lsof netstat nmap e services para mais informa es 2 3 TCP Wrappers e xinetd Controlar o acesso aos servi os de rede uma das tarefas de seguran a mais importantes para um administrador de servidor O Red Hat Enterprise Linux fornece diversas ferramentas para este prop sito Por exemplo um firewall baseado em iptables filtra pacotes de rede indesejados dentro da pilha de rede do kernel Para servi os de rede que os utilizam os TCP Wrappers adicionam uma camada a mais de prote o definindo quais hosts s o ou n o s o permitidos conectar aos servi os de rede envolvidos wrapped Um tipo de servi o de rede wrapped o xinetd super server O servi o chamado super server porque ele controla conex es de um subconjunto de servi os de rede e refina ainda mais o controle de acesso A Figura 2 4 Controle de Acesso para Servi os de Rede uma ilustra o b sica de como estas ferramentas trabalham juntas para proteger os servi os de rede Incoming
89. d Hat n o est instalada instale a a partir de uma loca o est tica e segura como o CD ROM ou DVD de instala o da Red Hat Assumindo que o disco montado no mnt cdrom use o seguinte comando para importa lo ao keyring um banco de dados de chaves confi veis no sistema rpm import mnt cdrom RPM GPG KEY Para exibir uma lista de todas as chaves instaladas para verifica o do RPM execute o seguinte comando rpm qa gpg pubkey O resultado sera similar ao seguinte gpg pubkey db42a60e 37ea5438 Para exibir detalhes sobre uma chave espec fica use o comando rpm qi seguido do resultado do comando anterior como neste exemplo 27 Red Hat Enterprise Linux 6 Guia de Seguran a rpm qi gpg pubkey db42a60e 37ea5438 q extremamente importante verificar a assinatura dos arquivos RPM antes de instala los para garantir que eles n o foram alterados da fonte original dos pacotes Para verificar todos os pacotes baixados de uma vez use o seguinte comando 1 D rpm K tmp updates rpm Para cada pacote se a chave GPG verifica com sucesso o comando retorna gpg OK Se caso n o tenha certeza que est usando a chave p blica Red Hat correta e tamb m verificar a fonte do conte do Pacotes que n o passam verifica es GPG n o devem ser instalados j que podem ter sido alterados por um terceiro Depois de verificar a chave GPG e baixar todos os pacotes associados com o relat rio de errada instale os
90. d para permitir n o mais que 25 conex es por segundo para qualquer servi o dado Se este limite excedido o servi o suspenso por 30 segundos includedir etc xinetd d Inclui op es declaradas nos arquivos de configura o de 73 Red Hat Enterprise Linux 6 Guia de Seguran a Muitas vezes as configura es do log on successe log on failure no etc xinetd conf s o tamb m modificadas nos arquivos de configura o de servi os espec ficos Mais informa es podem entretanto aparecer no arquivo de log do servi o do que o para mais informa es 2 3 4 2 O Diret rio etc xinetd d O diret rio etc xinetd d cont m os arquivos de configura o para cada servi o gerenciado pelo xinetd e os nomes dos arquivos s o correlacionados ao servi o Como ocorre com o xinetd conf este diret rio somente leitura quando o servi o iniciado Para quaisquer mudan as terem efeito o administrador deve reiniciar o servi o xinetd O formato dos arquivos no diret rio etc xinetd d usam as mesmas conven es como o etc xinetd conf A raz o prim ria que a configura o para cada servi o armazenada em um arquivo separado fazer a personaliza o mais f cil e menos suscet veis de afetar outros servi os Para obter um melhor entendimento de como estes arquivos s o estruturados considere o arquivo etc xinetd d krb5 telnet service telnet flags REUSE socket_type stream wait no user ro
91. de tais como a Internet O TLS e SSL criptografam os segmentos de conex es de rede do Transport Layer do come o ao fim Diversas vers es dos protocolos s o utilizadas amplamente em aplicativos como o web browsing correio eletr nico fax via Internet mensagem instant nea e voice over IP VoiP 30 A 2 5 Cramer Shoup Cryptosystem O sistema Cramer Shoup um algor timos de criptografia assim trica e foi o primeiro esquema eficiente que provou ser seguro em ataques de textos de cifras escolhidos como adapt veis usando presun es criptogr ficas padr o Sua seguran a baseada em intractabilidade computacional presumido amplamente mas ainda n o foi provado de presun es de do Diffie Hellman Desenvolvido por Ronald Cramer e Victor Shoup em 1998 uma estens o male vel o Cramer Shoup adiciona elementos para assegurar a falta de maleabilidade mesmo contra atacantes munidos de recursos Esta n o maleabilidade alcan ada atrav s do uso da fun o de hash resistente colis o e outras tecnologias resultando em texto c fra que duas vezes maior do que em Elgamal 81 A 2 6 ElGamal Encryption Na criptografia o sistema de criptografia ElGamal um algor timo de criptografia assim trica para criptografia de chave p blica que baseada no acordo de chave do Diffie Hellman Foi descrito por Taher Elgamal em 1985 A criptografia do ElGamal usada no software livre GNU Privacy Guard vers es recentes do P
92. de servidor usando uma tecnologia de filtro de pacote de c digo aberto como o Netfilter e o iptables Ele inclui t picos que cobrem an lise de logs de firewall desenvolvimento de regras de firewall e padroniza o de seu firewall usando diversas ferramentas gr ficas Linux Firewalls by Robert Ziegler New Riders Press Cont m informa es ricas sobre a constru o de firewalls usando o 2 2 kernel ipchains como tamb m o Neffilter e iptables Tamb m s o tratados t picos de seguran a adicionais como os problemas de acesso remoto e sistemas de detec o de intrus o 2 6 IPTables 94 Cap tulo 2 Protegendo sua Rede Inclu dos com o Red Hat Enterprise Linux est o ferramentas avan adas para filtragem de pacotes de rede o processo de controlar pacotes de rede conforme entram se movem e saem da pilha de rede dentro do kernel As vers es do kernel anteriores 2 4 que confiavam no ipchains para filtragem de pacotes e usavam listas de regras aplicadas ao pacote em cada passo do processo de filtragem O kernel 2 4 introduziu o iptables tamb m chamado de netfilter o qual semelhante ao ipchains mas expande o alcance e controle dispon veis para filtrar pacotes de rede Este cap tulo foca no conhecimento b sico de filtragem de pacote explica diversas op es dispon veis com os comandos iptables e explica como regras de filtragem podem ser preservadas entre as reinicializa es de sistema iptables e instalar um fi
93. dere o IP de destino e porta para onde pacotes de entrada requisitando uma conex o para seu servi o interno possam ser encaminhados 91 Red Hat Enterprise Linux 6 Guia de Seguran a Por exemplo se voc quiser encaminhar requisi es HTTP de entrada para seu Servidor Apache HTTP no 172 31 0 23 use o seguinte comando root myServer iptables t nat A PREROUTING i ethO p tcp dport 80 j DNAT to 172 31 0 23 80 Esta regra especifica que a tabela nat use a corrente PREROUTING embutida para enviar requisi es HTTP de entrada exclusivamente para o endere o IP de destino listado do 172 31 0 23 Se voc possuir uma pol tica padr o de DROP em sua corrente FORWARD voc precisa adicionar uma regra para enviar todas as requisi es HTTP de entrada para que o roteamento de destino NAT seja poss vel Para fazer isto use o seguinte comando root myServer amp iptables A FORWARD i ethO p tcp dport 80 d 172 31 0 23 j ACCEPT Esta regra encaminha todas as requisi es de HTTP do firewall para o destino pretendido o servidor Apache HTTP por detr s do firewall 2 5 5 3 DMZs e IPTables Voc pode criar as regras de comando iptables para rotear o tr fego para certas m quinas tal como o servidor dedicado HTTP ou FTP em um demilitarized zone DMZ Um DMZ uma sub rede local especial dedicada para fornecer servi os em uma portador p blico tal como a Internet Por exemplo para estabelecer uma regra
94. do datagramas como uma camada de transporte a fazendo um canal seguro atrav s da internet para um destino pretendido A maioria das implemtenta es de softwares VPN gr tis incorporam m todos de encripta o padr o abertos para m scaras mais os dados em transito Algumas organiza es empregam solu es de hardware de VPN para aumentar a seguran a enquanto outras usam implementa es de software ou baseadas em protocolos Diversos fornecedores fornecem solu es de hardware de VPN como Cisco Nortel IBM e Checkpoint Existe uma solu o de VPN baseada em software gr tis para o Linux chamada FreeS Wan que utiliza uma implementa o padronizada Internet Protocol Security IPsec Estas solu es de VPN independente se s o baseadas em hardware ou software agem como roteadores especializados que existem entre a conex es de IPs de um escrit rio ao outro 2 4 1 Como uma VPN funciona 79 Red Hat Enterprise Linux 6 Guia de Seguran a Quando um pacote transmitido de um cliente ele envia atrav s do roteador VPN ou gateway que adiciona uma Authentication Header AH para roteamento e autentica o Os dados s o ent o encriptados e finalmente inclusos com um Encapsulating Security Payload ESP Este mais tarde constitui a descriptografia e instru es de manuseio O roteador VPN de recebimento retira a informa o do cabe alho descriptografa os dados e encaminha ao destino tanto uma esta o de trabalho ou outro n
95. do objetivo deste documento entretanto para mais informa es sobre o SELinux e seu uso no Red Hat Enterprise Linux consulte o Guia do Usu rio SELinux do Red Hat Enterprise Linux Para mais informa es sobre configurar e rodar servi os que s o protegidos pelo SELinux consulte o Guia do SELinux Gerenciando Servi os Confinados Outros recursos dispon veis 1 1 3 Controles de Seguran a A seguran a de computadores frequentemente dividida em tr s categorias principais distintas comumente referidas como controles F sico T cnico Administrativo Estas tr s categorias amplas definem os objetivos principais de uma implementa o de seguran a 13 Red Hat Enterprise Linux 6 Guia de Seguran a apropriada Dentro destes controles est o sub categorias que detalham mais os controles e como implementa las 1 1 3 1 Controles F sicos Controle F sico a implementa o de medidas de seguran a em uma estrutura definida usada para deter ou previnir acesso n o autorizado material sens vel Exemplos de controles f sicos s o Cameras de vigil ncia de circuito interno Sistemas de alarmes t rmicos ou de movimento Guardas de Seguran a IDs com fotos Portas de a o bloqueadas com parafusos sem cabe a Biometria inclui impress o digital voz rosto ris manuscrito e outros m todos automatizados usados para reconhecer indiv duos 1 1 3 2 Controles T cnicos Controles t cnicos usam t cnologia como uma bas
96. do os arquivos de log para encobrir seus rastros Al m das considera es de formato e armazenamento existe a quest o do conte do A coisa mais importante que um usu rio pode fazer para proteger sua conta contra um ataque de quebras de senha criar uma senha forte 2 1 3 1 Criando Senhas Fortes Quando criar uma senha segura uma boa id ia seguir essas diretrizes 34 Cap tulo 2 Protegendo sua Rede N o Use Somente Palavras ou N meros Nunca use somente n meros ou palavras em uma senha Alguns exemplos inseguros incluem o seguinte 8675309 juan hackme N o Use Palavras Reconhec veis Palavras como nomes pr prios palavras de dicion rio ou mesmo termos de programas de televis o ou novelas devem ser evitados mesmo se finalizados com n meros Alguns exemplos inseguros incluem o seguinte johni DS 9 mentat123 N o Use Palavras em L nguas Estrangeiras Programas de quebra de senha muitas vezes tentam listas de palavras que incluem dicion rios de muitas l nguas Contar com l nguas estrangeiras para senhas n o seguro Alguns exemplos inseguros incluem o seguinte cheguevara bienvenido1 idumbkopf N o Use Terminologia Hacker Se voc acha que elite porque voc usa terminologia hacker tamb m conhecida como a escrita 1337 LEET em sua senha pense novamente Muitas listas de palavras incluem a escrita LEET Alguns exemplos inseguros incluem o seguinte H4X0R 1337 N o Use
97. e a diferen a entre avalia es de vulnerabilidade e testes de penetra o Pense em uma avalia o de vulnerabilidade como o primeiro passo de um teste de invas o As informa es obtidas no teste s o usadas para testes Onde a avalia o feita para verificar por brechas e vulnerabilidades potenciais o teste de penetra o na verdade tenta explorar as descobertas Avaliar a infraestrutura de rede um processo din mico A seguran a tanto de informa o quanto f sica s o din micas Realizar uma avalia o mostra uma vis o geral que pode transformar falsos positivos e falsos negativos Administradores de seguran a s o somente t o bons quanto as ferramentas que eles usam e o conhecimento que eles ret m Tome quaisquer das ferramentas de avalia o atualmente dispon veis rode as em seu sistema e quase uma garantia que haver o falsos positivos Seja pelo defeito de um programa ou erro do usu rio o resultado o mesmo A ferramenta poder encontrar vulnerabilidades que em realidade n o existem falsos positivos ou ainda pior a ferramenta pode n o encontrar vulnerabilidades que na verdade existem falsos negativos Note que a diferen a definida entre a avalia o de vulnerabilidade e o teste de invas o tome os resultados da avalia o e as revise cuidadosamente antes de conduzir um teste de invas o como parte de sua nova abordagem de boas pr ticas Tentar explorar vulnerabilidades de recursos em produ
98. e assinar comunica es mas tamb m criptografar arquivos Pr ximo escolha o tamanho da chave o tamanho m nimo 768 bits o tamanho padr o 1024 bits e o m ximo sugerido 2048 bits Qual tamanho de chave escolher 1024 Novamente o padr o suficiente para a maioria dos usu rios e representa um n vel de seguran a extremamente forte A seguir escolha quando a chave ir expirar uma boa id ia escolher uma data de expira o em vez de usar o padr o que nenhum Se por exemplo o endere o de e mail na chave se tornar inv lido uma data de expira o avisar os outros para parar de usar essa chave p blica Por favor especifique o tempo que a chave deve ser v lida 0 a chave n o expira d a chave expira emn dias w a chave expira em n semanas m a chave expira em n meses y a chave expira em n anos A chave valida por 0 Digitando o valor 1y por exemplo faz a chave v lida por 1 ano Voc pode alterar essa data de expira o depois que a chave gerada se voc mudar de id ia Antes do programa gpg perguntar por informa es de assinatura a seguinte pergunta aparece Est correto s n Digite s para terminar o processo A seguir digite seu nome e endere o de e mail Lembre se que este processo sobre autentica lo como uma pessoa real Por esta raz o inclua seu nome real N o use apelidos ou c digos j que esses disfar am ou ofuscam sua identidade Digite seu endere o de e
99. e o servi o especificado passe atrav s 85 Red Hat Enterprise Linux 6 Guia de Seguran a do firewall WWW HTTP O protocolo HTTP usado pelo Apache e outros servidores da Web para servir as paginas da Web Se voc planeja tornar seu servidor publicamente dispon vel selecione esta caixa Esta op o n o necess ria para visualizar p ginas localmente ou para desenvolver p ginas da Web Este servi o requer que o pacote httpd seja instalado Habilitar o WWW HTTP n o abrir uma porta para o HTTPS a vers o SSL do HTTP Se este servi o for necess rio selecione o item Secure WWW HTTPS FTP O protocolo FTP usado para transferir arquivos entre m quinas em uma rede Se voc planeja tornar seu FTP publicamente dispon vel selecione este item Este servi o requer que o pacote vsftpd seja instalado SSH Secure Shell SSH um conjunto de ferramentas para se autenticar e executar comandos em uma m quina remota Para permitir acesso remoto esta m quina via ssh selecione este item Este servi o requer que o pacote openssh server seja instalado Telnet A Telnet um protocolo para autentica o em m quinas remotas As comunica es da Telnet s o descriptografadas e n o fornecem nenhuma seguran a contra o snooping de rede Permitir acesso de entrada da Telnet n o recomendado Para permitir acesso remoto m quina via telnet selecione este item Este servi o requer que o pacote telnet server
100. e para controlar o acesso e uso de dados sens veis atrav s de uma estrutura f sica e sobre uma rede Controles t cnicos s o de alcance abrangente e incluem tecnologias como Criptografia Cart es Smart Autentica o de rede Listas de Controle de Acesso ACLs Software de auditoria de integridade de arquivos 1 1 3 3 Controles Administrativos Controles administrativos definem os fatores humanos de seguran a Eles envolvem todos o n veis de pessoas dentro de uma organiza o e determinam quais usu rios possuem acesso a quais recursos e informa es por tais meios como Treinamento e conscientiza o Preven o de desastres e planos de recupera o Estrat gias de recrutamento de pessoal e de separa o Registro de pessoal e de contabilidade 1 1 4 Conclus o Agora que voc aprendeu sobre as origens motivos e aspectos da seguran a voc achar mais f cil de determinar o plano de a o apropriado ao Red Hat Enterprise Linux importante saber quais fatores e condi es compoem a seguran a a fim de planejar e implementar uma estrat gia apropriada Com esta informa o em mente o processo pode ser formalizado e o caminho se torna mais claro medida que voc se aprofunda nos detalhes do processo de seguran a 1 2 Avalia o de Vulnerabilidade Tendo tempo recursos e motiva o um invasor pode invadir praticamente qualquer sistema Todos os procedimentos de seguran a e tecnologias atualmente dispon ve
101. e secreta Neste momento sua chave aparece na janela principal do KGpg 113 Red Hat Enterprise Linux 6 Guia de Seguran a io O Se voc esquecer a frase secreta a chave n o poder ser usada e quaisquer dados criptografados usando essa chave ser o perdidos Para encontrar sua ID de chave GPG olhe na coluna Key ID pr xima chave rec m criada Na maioria dos casos se voc for perguntado pela ID da chave voc deve prefixar Ox ID da chave como em 0x6789ABCD Voc deve fazer um backup de sua chave privada e armazena la em um lugar seguro 3 9 3 Criando chaves GPG Usando a Linha de Comando Use o seguinte comando no shell gpg gen key Este comando gera um par de chaves que consiste de uma chave p blica e uma privada Outras pessoas usam sua chave p blica para se autenticar e ou descriptografar suas comunica es Distribua sua chave p blica o m ximo poss vel especialmente para pessoas que voc sabe que receber o de voc comunica es aut nticas tal como uma mail list Uma s rie de perguntas lhe direcionam no processo Pressione Enter para atribuir um valor padr o se quiser A primeira quest o pede para voc selecionar o tipo de chave que voc prefere Por favor selecione qual tipo de chave voc quer 1 DSA e ElGamal padr o 2 DSA apenas assinatura 4 RSA apenas assinatura Sua sele o Na maioria dos casos o padr o a escolha correta Uma chave DSA ElGamal lhe permite n o soment
102. e servi o s o fornecidas no arquivo etc services Para defini o leg vel recomenda se que voc use os nomes de servi os ao inv s dos n meros de porta a Proteja o arquivo etc services para prevenir edi o n o autorizada Se este arquivo for edit vel invasores podem us lo para habilitar portas em sua m quina que voc tenha fechado Para proteger este arquivo digite os seguintes comandos como usu rio root root myServer chown root root etc services root myServer chmod 0644 etc services root myServer chattr i etc services Isto evita que o arquivo seja renomeado removido ou ter links apontados para ele 2 6 2 4 1 Protocolo TCP Estas op es de coincid ncia est o dispon veis para o protocolo TCP p tcp dport Define a porta de destino para o pacote Para configurar esta op o use um nome de servi o de rede tal como o www ou smtp um n mero de porta ou uma classe de n meros de porta Para especificar uma classe de n meros de porta separe os dois n meros com dois pontos Por exemplo p tcp dport 3000 3200 A classe v lida maior 0 65535 Use um ponto de exclama o antes da op o dport para coincidir todos os pacotes que n o usam aquele servi o ou porta de rede Para navegar pelos nomes e aliases de servi os de rede e n meros de porta que eles usam visualize o arquivo etc services A op o de coincid ncia do destination port sin nima da
103. ela senha root e depois da autentica o recebe a linha de comando do root Uma vez autenticado pelo comando su o usu rio se torna o usu rio root e possui acesso administrativo absoluto ao sistema 3 Al m disso uma vez que um usu rio se tornou root poss vel para ele usar o comando su para mudar para qualquer outro usu rio no sistema sem ser questionado por uma senha Pela raz o deste programa ser t o poderoso os administradores dentro de uma organiza o podem desejar limitar o acesso a este comando Uma das maneiras mais simples de fazer isso adicionar usu rios ao grupo administrativo especial chamado wheel Para fazer isso digite o seguinte comando como root usermod G wheel lt username gt No comando anterior substitua o lt username gt com o nome de usu rio que voc quer adicionar ao grupo wheel Voc pode tamb m usar o Gerenciador de Usu rios para modificar afilia es de grupos conforme a seguir Nota voc precisa de privil gios de Administrador para realizar este procedimento 1 Clique no menu System Sistema no painel depois em Administration Administra o e ent o clique em Users and Groups Usu rios e Grupos para exibir o Gerenciador de Usuarios Alternativamente digite o comando system config users no shell 2 Clique na aba Users Usu rios e selecione o usu rio requerido na lista de usu rios 3 Clique em Properties Propriedades na barra de ferramentas para exibir as cai
104. elacionados ao NIS podem ser atribu dos portas espec ficas exceto o rpc yppasswdd o daemon que permite usu rios mudar suas senhas de login Atribuir portas aos outros dois daemons do servidor NIS rpc ypxfrd and ypserv permite a cria o de regras de firewall para proteger ainda mais o daemons do servidor NIS de invasores Para fazer isso adicione as seguintes linhas ao etc sysconfig network YPSERV ARGS p 834 YPXFRD ARGS p 835 As seguintes regras de iptables podem ent o ser usadas para for ar quais redes o servidor escuta nestas portas iptables A INPUT p ALL s 192 168 0 0 24 dport 834 j DROP iptables A INPUT p ALL s 192 168 0 0 24 dport 835 j DROP Isto significa que o servidor somente permite conex es s portas 834 e 835 se os pedidos chegam da rede 192 168 0 0 24 sem importar o protocolo comandos iptables 2 2 3 5 Use a Autentica o Kerberos Uma das quest es a considerar quando o NIS usado para autentica o que sempre que um usu rio se autentica em uma m quina uma senha hash do mapa etc shadow enviado pela rede Se um invasor ganha acesso a um dom nio NIS e intercepta o tr fego de rede ele pode coletar nomes de usu rios e senhas hash Com tempo suficiente um programa de quebra de senha pode adivinhar senhas fracas e um invasor pode ter acesso a uma conta v lida na rede Desde que o Kerberos usa criptografia de chave secreta nenhuma senha hash enviada pela rede 56
105. em sua pr pria linha Linhas em branco ou linhas que iniciam com um hash 4 s o ignoradas Cada regra usa o seguinte formato b sico para controlar acesso aos servi os de rede lt daemon list gt lt client list gt lt option gt lt option gt daemon list gt Uma lista separada por v rgula de nomes de processos n o os nomes dos servi os ou o car cter coringa ALL A lista daemon tamb m aceita operadores consulte a client list gt Uma lista separada por v gula de nomes de host endere os IP de host modelos especiais ou car cteres coringa que identificam os hosts afetados pela regra A lista de clientes flexibilidade lt option gt Uma a o opcional ou lista separada por dois pontos de a es realizadas quando a regra acionada Campos opcionais suportam expans es d o inicio comandos shell permitem ou negam acesso e alteram o comportamento de logging Mais informa es sobre alguns dos termos acima podem ser encontrados em outras partes deste guia A seguir h um exemplo b sico de regra de acesso ao host vsftpd example com Esta regra instrui o TCP Wrapper para aguardar por conex es do daemon FTP vsftpd de qualquer host no dom nio example com Se esta regra aparecer no hosts allow a conex o aceita Se esta regra aparecer no hosts deny a conex o rejeitada 67 Red Hat Enterprise Linux 6 Guia de Seguran a O pr ximo exemplo de regra de acesso host m
106. ema Netfilter fornece um filtro de pacotes com ou sem estados assim como o NAT e servi os de mascaramento do IP O Netfilter tamb m tem a habilidade de desmembrar informa es de cabe alho de IP para roteamento avan ado e gerenciamento do estado de conex o O Netfilter controlado usando a ferramenta iptables 2 5 1 1 Vis o Geral do IPTables O poder e flexibilidade do Netfilter implementado usando a ferramenta de administra o do iptables uma ferramenta de linha de comando semelhante sintaxe de seu precedente ipchains o qual o Netfilter iptables substituiu no kernel 2 4 e posteriores do Linux O iptables usa o subsistema do Netfilter para aprimorar a conex o de rede inspe o e processamento O iptables apresenta autentica o avan ada a es pr e p s roteamento tradu o de endere o de rede e encaminhamento de porta todos em uma interface de linha de comando Esta se o fornece uma vis o geral do iptables Para mais informa es detalhadas consulte a 2 5 2 Configura o de Firewall B sica Assim como uma parede corta fogo firewall tenta evitar o alastre do fogo o firewall do computador tenta evitar que softwares mal intencionados se alastrem em seu computador Ele tamb m ajuda a evitar que usu rios n o autorizados acessem seu computador Em uma instala o padr o do Red Hat Enterprise Linux um firewall existe entre seu computador ou rede e qualquer rede n o confi vel por exemplo a Internet
107. emente perigoso seguran a do sistema como shells remotos mas servidores FTP deve ser cuidadosamente configurados e monitorados para evitar problemas Consulte a Servi os que devem ser cuidadosamente implementados e colocados em firewall incluem finger authd este era chamado identd em vers es anteriores do Red Hat Enterprise Linux netdump netdump server nfs rwhod sendmail smb Samba yppasswdd ypserv ypxfrd A pr xima se o discute ferramentas para configurar um firewall simples 2 1 6 Firewalls Pessoais Depois de que os servi os de redes necess rios s o configurados importante implementar um firewall E importante Voc deve configurar os servi os necess rios e implementar um firewall antes de conectar internet ou qualquer outra rede que voc n o confiar Os firewalls impedem pacotes de rede de acessar a interface de rede de sistema Se um pedido feito a uma porta que est bloqueada por um firewall o pedido ignorado Se um servi o est escutando em uma dessas portas bloqueadas ele n o recebe os pacotes e est efetivamente desativado Por esta raz o cuidado deve ser tomado quando configurar um firewall para bloquear o acesso s portas que n o est o em uso enquanto n o bloquear acesso s portas usadas pelos servi os configurados Para a maioria dos usu rios a melhor ferramenta para configurar um firewall simples a ferramenta de configura o de firewall gr
108. ence Escreve o n mero sequencial de TCP para o pacote no log REJECT Envia um pacote de erro de volta ao sistema remoto e despeja o pacote O alvo REJECT aceita reject with lt type gt onde lt type gt o tipo de rejei o permitindo mais informa es detalhadas a serem retornadas com pacote de erro A mensagem port unreachable o tipo de erro padr o dado se nenhuma op o for utilizada Consulte a p gina man iptables para obter uma lista completa de op es lt type gt Outras extens es de alvo incluindo diversos que s o teis para o mascaramento do IP usando a tabela nat ou com a altera o do pacote usando a tabela mangle podem ser encontradas na p gina man do iptables 2 6 2 6 Op es de Listagem O comando da lista padr o iptables L lt chain name gt fornece uma vis o geral b sica das correntes atuais As op es adicionais fornecem mais informa es v Exibe resultado de verbosidade tal como o n mero de pacotes e bytes que cada corrente processou o n mero de pacotes e bytes que cada regra coincidiu e quais as interfaces que se aplicam regra espec fica Xx Expande n meros para seus valores exatos Em um sistema ocupado o n mero de pacotes e bytes processados por uma corrente espec fica ou regra pode ser abreviada para Kilobytes Megabytes Megabytes ou Gigabytes Esta op o for a o n mero completo a ser exibido n Exibe os endere os IP e os n meros de porta em fo
109. entre no runlevel 1 telinit 1 2 desmonte seu home existente umount home 3 Se isto falhar use o fuser para encontrar e eliminar processos se apoderando do home fuser mvk home 4 verifique se o home n o est mais montado cat proc mounts grep home 5 Preencha sua parti o com dados aleat rios dd if dev urandom of dev VG00 LV home Este processo leva horas para ser conclu do E importante JA mportante O processo no entanto crucial para ter uma boa prote o contra tentativas de quebrar a criptografia Deixe executando durante a noite 6 inicialize sua parti o cryptsetup verbose verify passphrase luksFormat dev V600 LV home 7 abra o dispositivo criptografado recentemente cryptsetup luksOpen dev V6G00 LV home home 8 confirme que se encontra l 1s 1 dev mapper grep home n t n 9 crie um sistema de arquivos mkfs ext3 dev mapper home n t n 10 monte o mount dev mapper home home 11 verifique sua visibilidade df h grep home 12 adicione o seguinte ao etc crypttab home dev VG00 LV home none 13 edite seu etc fstab removendo a entrada antiga para home e adicionando dev mapper home home ext3 defaults 1 2 14 restaure o conte do de seguran a SELinux sbin restorecon v R home 15 reinicialize shutdown r now 16 A entrada em etc crypttab faz com que seu computador solicite sua senha Luks na inicializa o 17 Autentique se como root e recupere seu backup 3 8 4 O que voc
110. epend ncia em redes p blicas para n o expor informa es pessoais financeiras e outras informa es restritas Existem muitas ocorr ncias tais como os casos Mitnick 1 e Vladimir Levin 2 que fizeram com que organiza es de todas as reas repensassem a maneira que lidam com a informa o incluindo sua transmiss o e exposi o A popularidade da internet foi um dos mais importantes desenvolvimentos que levou a um esfor o intensificado da seguran a dos dados Um n mero crescente de pessoas est o usando seus computadores pessoais para obter acesso aos recursos que a internet oferece Da pesquisa e obten o de informa o ao correio eletr nico e transa es comerciais a internet tem sido considerada um dos mais importantes desenvolvimentos do s culo 20 11 Red Hat Enterprise Linux 6 Guia de Seguran a A internet e seus primeiros protocolos entretanto foram desenvolvidos como um sistema baseado em confian a Ou seja o Protocolo de Internet IP n o foi desenvolvido para ser propriamente seguro N o existem padr es de seguran a aprovados constru dos na pilha de comunica es TCP IP deixando o aberto para usu rios potencialmente maliciosos e processos na rede Desenvolvimentos modernos t m feito a comunica o na internet mais segura mas ainda existem diversos incidentes que ganham aten o nacional e nos alertam para o fato de que nada completamente seguro 1 1 1 2 A Seguran a Hoje Em fevereiro de 2000 u
111. es ou redes de computadores em todas as portas Com um VPN todo o tr fego de rede de clientes encaminhado para o servidor atrav s do t nel criptografado Isto significa que o cliente logicamente na mesma rede que o servidor est conectado via VPN Os VPNs s o muito comuns e simples de usar e instalar 3 6 Secure Shell Shell Segura Secure Shell SSH um protocolo de rede potente usado para comunicar com outro sistema sob um canal seguro As transmiss es sob SSH s o criptografadas e protegidas de intercep o A autentica o criptogr fica pode tamb m ser utilizada para fornecer um m todo de autentica o melhor ao inv s de nomes de usu rios tradicionais e senhas O SSH f cil de ativar Simplesmente iniciando o servi o sshd o sistema ir come ar a aceitar conex es e permitir acesso ao sistema quando um nome de usu rio correto e senha for fornecido durante o processo de conex o A porta padr o TCP para o servi o SSH 22 no entanto isto pode mudar ao modificar o arquivo de configura o etc ssh sshd config e reiniciando o servi o Este arquivo tamb m cont m outras op es de configura o para o SSH Secure Shell SSH tamb m fornece t neis criptografados entre computadores mas somente usando criptografado quando passar por este t nel mas o uso da porta que encaminha n o t o r pido quando o VPN 3 7 OpenSSL PadLock Engine O VIA PadLock Engine est dispon vel em alguns processadores V
112. es clientes atualizadas Por exemplo clientes v 1 SSH s o vulner veis um ataque X forwarding a partir de servidores SSH Uma vez conectados ao servidor o invasor pode silenciosamente capturar qualquer digita o e cliques do mouse feitos no cliente sobre a rede Este problema foi consertado no protocolo SSH v 2 mas parte do usu rio acompanhar quais 22 Cap tulo 1 Vis o Geral da Seguran a aplica es possuem tais vulnerabilidades e atualiza las conforme necess rio administradores e usu rios dom sticos devem tomar para limitar a vulnerabilidade das esta es de trabalho dos computadores 1 4 Explora es Comuns e Ataques usados por invasores para acessar recursos de rede organizacionais A chave para estas explora es comuns s o explica es de como elas s o realizadas e como os administradores podem proteger adequadamente sua rede contra tais ataques 23 Red Hat Enterprise Linux 6 Guia de Seguran a Tabela 1 1 Explora es Comuns Explora o Descri o Senhas Nulas ou Padr o Chaves Compartilhadas Padr o IP Spoofing Eavesdropping MntaraantacrAn 24 Deixar as senhas administrativas em branco ou usar um conjunto de senhas padr es definidas pelo fabricante do produto Isto mais comum em hardwares como routers e firewalls embora alguns servi os aplicados no Linux possam conter senhas de administra o padr o embora o Red Hat Enterprise Linux n o distribu do
113. es para filtragem de pacotes firewall e GNU Privacy Guard GnuPG para arquivos criptografados se poss vel execute cada servi o de rede em um sistema separado para minimizar o risco de um servi o comprometido sendo usado para comprometer outros servi os manter contas de usu rio criar e refor ar uma pol tica de senha forte remover contas de usu rios sem uso reveja o sistema diariamente e logs de aplicativos Por padr o os logs de sistema relevante a seguran a s o gravados em var log secure e var 109g audit audit 1og Nota o envio de logs ao servidor de log dedicado ajuda a prevenir atacantes de modificar com facilidade logs locais para evitar a detec o nunca autentique se como usu rio root a menos que absolutamente necess rio Recomenda se que os administradores usem o sudo para executar comandos como root quando requerido Os usu rios capazes de executar o sudo s o especificados em etc sudoers Use o utilit rio visudo para editar o etc sudoers 4 1 Dicas Guias e Ferramentas sistemas operacionais diferentes para ajudar ag ncias governamentais com rcios e indiv duos a protegerem seus sistemas contra ataques Os seguintes guias em formato PDF fornecem diretrizes para o Red Hat Enterprise Linux 6 K e S o fornecidas refer ncias ao guia de hardening do Red Hat Enterprise Linux 5 neste documento at que os guias de hardening do Red Hat Enterprise Linux 6 esteja dispon veis Enquanto isso por f
114. esmo usu rios autorizados usem os servi os de rede melhor portanto usado endere os de IP sempre que poss vel 2 3 2 1 3 Portmap e TCP Wrappers A implementa o do Por tmap de TCP Wrappers n o suporta busca de hosts que siginifca que o portmap n o pode usar hostnames para identificar hosts Consequentemente regras de controle de 69 Red Hat Enterprise Linux 6 Guia de Seguran a acesso para portmap no hosts allow ou hosts deny devem usar endere os de IP ou a palavra chave ALL para especificar os hosts Mudan as nas regras de controle de acesso do portmap podem n o ter efeito imediatamente Voc pode necessitar reiniciar o servi o por tmap Servi os usados amplamente como NIS e NFS dependem do por tmap para operar ent o esteja atento estas limita es 2 3 2 1 4 Operadores No presente regras de controle de acesso aceitam um operador o EXCEPT Ele pode ser usado em ambas listas daemon e listas clientes para uma regra O operador EXCEPT permite exce es espec ficas para abranger correspond ncias com a mesma regra No exemplo seguinte de um arquivo hosts allow todos os hosts example com s o permitidos se conectarem a todos os servi os exceto cracker example com ALL example com EXCEPT cracker example com Em um outro exemplo de um arquivo hosts allow clientes da rede 192 168 0 x podem usar todos os servi os exceto para o FTP ALL EXCEPT vsftpd 192 168 0 Organizacionalmente mu
115. evenir o intruso de obter acesso so CSPs mantido dentro do m dulo criptogr fico Os mecanismos de seguran a f sica requeridos no N vel de Seguran a 3 podem ter alta possiblidade de detectar e responder tentativas contra acesso f sico uso ou modifica o de m dulo criptogr fico Os mecanismos de seguran a f sica podem incluir o uso de conte do forte e detec o de intromiss o circuito de reposta que zera todos os CSPs de texto simples quando a cobertura portas remov veis de m dulo criptogr fico estiverem abertos N vel 4 N vel de Seguran a 4 fornece alto n vel de seguran a definido neste padr o Neste n vel de seguran a os mecanismos de seguran a f sica fornece um envelope completo de prote o ao redor de m dulo criptogr fico com a inten o de detectar e responder todas as tentativas de acesso f sico n o autorizados A penetra o do conte do de m dulo criptografico de qualquer dire o possui uma alta probabilidade de ser detectado resultando em zeroiza o de todos os CSPs de texto simples Os m dulos criptogr ficos de N vel de Seguran a 4 s o teis para a opera o em ambientes fisicamente desprotegidos para mais detalhes sobre estes n veis e outras especifica es do padr o FIPS 120 Cap tulo 7 Padr es Federais e Regulamenta o 7 3 National Industrial Security Program Operating Manual NISPOM O NISPOM tamb m chamado de DoD 5220 22 M como um componente do National Indus
116. fia que inicia a aplica o Seahor se Do menu Arquivo selecione Novo ent o Chave PGP Ent o clique em Continuar Digite o nome inteiro endere o de email e um coment rio opcional descrevendo quem voc exemplo e g John C Smith jsmith example com O cara Clique Criar Uma janela mostrada pedindo a frase secreta para a chave Escolha uma frase secreta forte mas tamb m f cil de lembrar Clque Ok e a chave ser criada BA is Se voc esquecer a frase secreta a chave n o poder ser usada e quaisquer dados criptografados usando essa chave ser o perdidos Para encontrar sua ID de chave GPG olhe na coluna Key ID pr xima chave rec m criada Na maioria dos casos se voc for perguntado pela ID da chave voc deve prefixar Ox ID da chave como em 0x6789ABCD Voc deve fazer um backup de sua chave privada e armazena la em um lugar seguro 3 9 2 Criando Chaves GPG no KDE Inicie o programa KGpg do menu principal selecionando Aplicativos gt Utilit rios gt Ferramentas de Criptografia Se voc nunca usou o KGpg antes o programa lhe ajuda no processo de criar seu pr prio par de chaves GPG Um caixa de di logo aparecer pedindo para voc criar um novo par de chaves Digite seu nome endere o de e mail e um coment rio opcional Voc pode escolher um per odo de expira o para sua chave tanto quanto a for a da chave n mero de bits e algor timos A pr xima caixa de di logo pede pela fras
117. fia do sistema de arquivos Por padr o a op o de criptografar o sistema de arquivo n o selecionada durante a instala o Se voc selecionar a op o para criptografar seu disco r gido voc precisar inserir uma senha que ser solicitada todas as vezes que voc inicializar seu computador Esta senha desbloqueia a chave de criptografia em massa que usada para descriptografar sua parti o Se voc escolher modificar a tabela de parti o padr o voc poder escolher quais parti es voc quer criptografar Isto definido nas configura es de tabela da parti o A c fra padr o usada para o LUKS consulte o cryptsetup help aes cbc essiv sha256 ESSIV Encrypted Salt Sector Initialization Vector Note que o programa de instala o Anaconda usa o modo XTS por padr o aes xts plain64 O tamanho da chave padr o para o LUKS 256 bits O tamanho da chave padr o para o LUKS com o Anaconda XTS mode 512 bits C fras que est o dispon veis s o 111 Red Hat Enterprise Linux 6 Guia de Seguran a Twofish A 128 bit Block Cipher Serpent cast5 RFC 2144 3 8 2 Criptografando Diret rios Manualmente Ao seguir este procedimento voc remover todos os dados da parti o que voc est criptografando Voc IR PERDER todas as informa es Certifique se de criar um backup de seus dados em uma fonte externa antes de iniciar este procedimento 3 8 3 Instru es Passo a Passo 1
118. forme ele tenta registrar e responder cada pedido Distributed Denial of Service Attack DDoS Um tipo de ataque DoS que usa m ltiplas m quinas comprometidas muitas vezes milhares ou mais para direcionar um ataque coordenado um servi o inundando com pedidos e fazendo o servi o inutiliz vel Script Vulnerability Attacks Se um servidor estiver usando scripts para executar a es dentro do servidor como servidores web geralmente fazem um invasor pode atacar os scripts impropriamente Estes ataques de vulnerabilidade de script podem levar uma condi o de buffer overflow ou permitir ao invasor alterar arquivos no sistema Buffer Overflow Attacks Servi os que conectam s portas numeradas de O a 1023 devem rodar como um usu rio administrativo Se a aplica o tiver um buffer overflow explor vel um invasor poderia ganhar acesso ao sistema como o usu rio executando o deaemon Pela raz o que buffer overflow existe os crackers usam ferramentas automatizadas para identificar sistemas com vulnerabilidades e uma vez que ganharam acesso eles usam rootkits automatizados para manter o acesso ao sistema A amea a das vulnerabilidades do buffer overflow minimizada no Red Hat Enterprise Linux pelo ExecShield uma segmenta o de mem ria execut vel e tecnologia de prote o suportada pelos processadores nicos e m ltiplos do kernel compat veis com x86 O ExecShield reduz o risco de buffer overflow separando a memoria vir
119. gras Esta diretiva aceita os seguintes valores yes Salva os valores do contador no O valor default N o salva os valores do contador IPTABLES STATUS NUMERIC Fornece resultado de endere os IP em forma n merica ao inv s do dom nio ou hostnames Esta diretiva aceita os seguintes valores yes O valor padr o Retorna somente os endere os IP dentro do resultado do status no Retorna o dom nio ou hostnames dentro do resultado do status 2 6 5 IPTables e IPv6 Se o pacote iptables ipv6 estiver instalado o netfilter no Red Hat Enterprise Linux pode filtrar a pr xima gera o de protocolo de Internet IPv6 O comando usado para manipular o netfilter do IPv6 ip6tables A maioria das diretivas para este comando s o id nticas quelas usadas para o iptables exceto a tabela nat que n o suportada ainda Isto significa que ainda n o poss vel realizar a tarefa de tradu o do endere os de rede IPv6 tal como o mascaramento e encaminhamento de porta As regras para ip6tables s o salvas no arquivo etc sysconfig ip6tables Regras anteriores salvas pelos initscripts ip6tables s o salvas no arquivo etc sysconfig ip6tables save As op es de configura o para o script init do ip6tables est o armazenadas no etc sysconfig ip6tables config e os nomes para cada diretiva variam muito pouco dos equivalentes do iptables Por exemplo a diretiva iptables config IPTABLES MODULES o equivalente no arquivo ip6t
120. hosts allow s o aplicadas primeiro elas t m prefer ncia sobre as regras especificadas no hosts deny Portanto se o acesso a um servi o permitido no hosts allow uma regra negando acesso ao mesmo servi o hosts deny ignorado As regras em cada arquivo s o lidas de cima para baixo e a primeira regra correspondente para um determinado servi o a nica aplicada A ordem das regras extremamente importante Se nenhuma regra para o servi o encontrada em qualquer arquivo ou nenhum arquivo existe acesso ao servi o garantido Os servi os TCP wrappers n o fazem cache das regras dos arquivos de acesso dos hosts ent o quaisquer mudan as no hosts allow ou hosts deny acontecem imediatamente sem reiniciar os servi os de rede Cap tulo 2 Protegendo sua Rede ET Se a ltima linha do arquivo de acesso ao host n o um car cter de nova linha criado ao se pressionar o Enter a ltima regra no arquivo falha e um erro registrado tanto no logs var l09g messages ou var log secure Isto tamb m o caso para uma regra que se extende por m ltiplas linhas sem usar a barra invertida O seguinte exemplo ilustra a por o relevante de uma mensagem de log para uma falha de regra devido a uma dessas circunst ncias warning etc hosts allow line 20 missing newline or line too long 2 3 2 1 Formatando Regras de Acesso Os formatos para ambos etc hosts allowe etc hosts deny s o id nticos Cada regra deve estar
121. impedidos de acessar a conta root SU sudo ssh scp sftp Isto somente impede o acesso root su tes de ferramentas OpenSSH 41 Red Hat Enterprise Linux 6 Guia de Seguran a ssh scp sftp ie F A a A R ae gt i Impede o acesso root aos Programas e servi os que limit para eee aes z e a E servi os de rede que est o n o est o atentos ao PAM imitar etc pam d Tenha atentos ao PAM acesso certeza que o rootaos pam_listfile so Os seguintes servi os s o servi os requerido para impedidos de acessar a autentica o a conta root clientes FTP clientes de E mail login gdm kdm xdm ssh scp sftp Quaisquer servi os atentos ao PAM a Consulte a Se o 2 1 4 2 4 Desativando o Root de usar o PAM para detalhes 2 1 4 2 1 Desativando o Shell do Root Para impedir usu rios de logar diretamente como root o administrador do sistema pode definir o shell da conta root para sbin nologin no arquivo etc passwd Isso impede o acesso conta root atrav s de comando que requerem um shell como os comandos su e o ssh Importante Programas que n o requerem acesso ao shell como clientes de e mail ou o comando sudo podem ainda acessar a conta root 2 1 4 2 2 Desativando Logins Root Para limitar ainda mais o acesso conta root os administradores pode desativar os logins root no console editando o arquivo etc securetty Este arquivo lista todos os dispositiv
122. is o Geral do IPT ables 2 5 2 Configura o de Firewall B sica 2 5 2 1 Firewall Configuration Tool 2 5 2 2 Habilitando e desabilitando o Firewall 2 5 2 3 Servi os Confi veis 2 5 2 4 Outras Portas 2 5 2 5 Salvando Configura es 2 5 2 6 Ativando o Servi o IPT ables indic 59 60 60 61 61 61 61 61 62 62 62 64 65 65 66 67 68 68 69 70 70 70 71 71 72 72 73 73 74 75 75 75 77 78 78 78 79 79 79 79 80 80 80 81 82 82 84 84 84 84 85 85 87 87 87 e CG Red Hat Enterprise Linux 6 Guia de Seguran a 2 5 3 Usando IPT ables 87 2 5 3 1 Sintaxe de Comandos do IPT ables 88 2 5 3 2 Pol ticas de Firewall B sicas 88 2 5 3 3 Salvando e Restaurando as Regras IPT ables 88 2 5 4 Filtros de IPTables Comuns 89 2 5 5 FORWARD e Regras NAT 90 2 5 5 1 Postrouting e Mascaramento de IP 91 2 5 5 2 Pre roteamento 91 2 5 5 3 DMZs e IPTables 92 2 5 6 Softwares Maliciosos e Spoof de Endere os IP 92 2 5 7 IPTables e Rastreamento de Conex o 93 2 5 8 IPv6 94 2 5 9 Recursos Adicionais 94 2 5 9 1 Documenta o de Firewall Instalada 94 2 5 9 2 Websites de Firewall teis 94 2 5 9 3 Documenta o Relacionada 94 2 6 IPT ables 94 2 6 1 Filtro de Pacote 95 2 6 2 Op es de Comando para IPT ables 96 2 6 2 1 Estrutura das Op es do Comando IPT ables 97 2 6 2 2 Op es de Comando 97 2 6 2 3 Op es de Par metro de IPT ables 98 2 6 2 4 Op es de Coincid ncia de IPT ables
123. is n o podem garantir que quaisquer sistemas estejam completamente seguros contra intrus o Roteadores podem ajudar a proteger gateways na internet Firewalls ajudam a proteger as bordas da rede Redes Privadas Virtuais seguramente transmitem dados em um fluxo criptografado Os sistemas de detec o de intrus o lhe 14 Cap tulo 1 Vis o Geral da Seguran a avisam de atividade maliciosa Entretanto o sucesso de cada uma dessas tecnologias dependente de uma variedade de vari veis incluindo A per cia do pessoal respons vel pela configura o monitoramento e manuten o das tecnologias A habilidade de corrigir e atualizar servi os e kernels rapidamente e eficientemente A habilidade daqueles respons veis em manter constante vigil ncia sobre a rede Dado o estado din mico de sistemas de dados e tecnologias proteger recursos corporativos pode ser muito complexo Devido a esta complexidade muitas vezes dif cil de encontrar recursos para todos os seus sistemas Enquanto poss vel ter um pessoal com conhecimentos em muitas reas da seguran a da informa o em um alto n vel dif cil de reter empregados que s o especialistas em mais do que algumas poucas reas Isto principalmente pelo motivo que cada assunto da rea da seguran a da informa o requer constante aten o e foco A seguran a da informa o n o fica parada 1 2 1 Pensando Como o Inimigo Suponha que voc administra uma rede corporativa Ess
124. istem administradores e engenheiros de seguran a com problemas de controle de acesso em n vel de rede Firewalls s o um dos componentes principais de uma implementa o de seguran a de rede Diversos fabricantes criam solu es de firewall focando em todos os n veis do mercado desde usu rios dom sticos protegendo um PC at solu es de banco de dados protegendo informa es corporativas vitais nOs Firewalls podem ser solu es de hardware sozinhas como equipamentos de firewall da Cisco Nokia e Sonicwall Empresas como Checkpoint McAfee e Symantec tamb m desenvolveram solu es de firewall de software privado para mercado dom stico e corporativo Al m das diferen as entre os firewalls de software e hardware existem tamb m diferen as na forma detalha tr s tipos comuns de firewall e como eles funcionam 82 Tabela 2 2 Tipos de Firewall Descri o Vantagens Cap tulo 2 Protegendo sua Rede Desvantagens NAT Filtro de Pacote Proxy Network Address Translation NAT coloca sub redes IP privadas atr s de um ou pequeno grupo de endere os IP mascarando todas as requisi es em uma fonte ao inv s de diversas O kernel do Linux possui a funcionalidade NAT embutida atrav s do subsistema do kernel Netfilter Um firewall de filtro de pacote l cada pacote de dados que passa por uma LAN Ele pode ler e processar os pacotes por informa es de cabe alho e filtra o pacote baseado em con
125. istration Administra o e ent o clique em Users and Groups Usu rios e Grupos para exibir o Gerenciador de Usu rios Alternativamente digite o comando system config users no shell 2 Clique na aba Users Usu rios e selecione o usu rio requerido na lista de usu rios 3 Clique em Properties Propriedades na barra de ferramentas para exibir as caixa de di logo das Propriedades do Usu rio ou escolha Properties Propriedades no menu File Arquivo 4 Clique na aba Password Info Informa es de Senha e marque a caixa de verifica o Enable password expiration Ativar expira o de senha 5 Digite o valor requerido no campo Days before change required Dias antes da mudan a requerida e clique OK C Cap tulo 2 Protegendo sua Rede User Data Account Info Password Info Groups User last changed password on Fri 09 Jan 2009 12 00 00 AM EST amp M Enable password expiration Days before change allowed 0 Days before change required 99999 Days warning before change 7 Days before account inactive 1 cancel Sok Figura 2 1 Especificando as op es de expira o de senha 2 1 4 Controles Administrativos Quando administrar uma m quina dom stica o usu rio deve realizar algumas tarefas como usu rio root ou adquirindo privil gios root pelo programa setuid como o sudo ou su Um programa setuid um que opera com a ID de usu rio UID do propriet rio do programa em vez do usu rio o
126. isture Letras e N meros Adicionar n meros s senhas especialmente quando adicionados no meio n o s no in cio ou no final pode aumentar a for a da senha Inclua Caracteres N o Alfa Num ricos Caracteres especiais como amp e gt podem melhorar muito a for a de uma senha isto n o poss vel se usar senhas DES Escolha uma Senha que Voc pode se Lembrar A melhor senha do mundo n o faz nada se voc n o lembra la use acr nimos ou outros dispositivos mem nicos para ajudar a memorizar senhas Com estas regras pode parecer dif cil criar uma senha que atenda todos esses crit rios de uma senha eficiente e evitar as peculiaridades de uma ruim Felizmente existem alguns passos que voc pode tomar para gerar uma senha segura f cil de lembrar 2 1 3 1 1 Metodologia para Cria o de Senhas Seguras Existem muitos m todos que pessoas usam para criar senhas seguras Um dos m todos mais populares envolvem acr nimos Por exemplo Pense em uma frase f cil de se lembrar como esse em ingl s over the river and through the woods to grandmother s house we go Depois transforme a frase em um acr nimo incluindo a pontua o otrattw tghwg Adicione complexidade substituindo n meros e s mbolos por letras no acr nimo Por exemplo substitua 7 pelo t e o s mbolo pelo a o7r 77w 7ghwg Adicione mais complexidade colocando em mai sculo pelo menos uma letra tal como H o7r 77w 7gHwg Fina
127. ito mais f cil evitar os operadores EXCEPT Isto permite a outros administradores rapidamente escanear os arquivos apropriados para ver quais hosts tem acesso permitido ou negado aos servi os sem ter de classificar operadores EXCEPT 2 3 2 2 Campos de Op o Al m das regras b sicas que permitem e negam os acessos a implementa o Red Hat Enterprise Linux dos TCP Wrappers suportam extens es a linguagem de controle de acesso pelos campos de op es Usando estes campos de op es em regras de acesso aos hosts os administradores podem realizar uma variedade de tarefas como alterar o comportamento do log consolidar controle de acesso e realizar comandos shell 2 3 2 2 1 Registro de Logs Campos de op o permitem aos administradores facilmente mudar a facilidade de log e n vel de prioridade para uma regra usando a diretiva severity No exemplo seguinte conex es ao daemon SSH de qualquer host no dom nio example com s o registradas facilidade authpriv syslog por causa que nenhum valor de facilidade especificado com uma prioridade de emerg sshd example com severity emerg Tamb m poss vel especificar uma facilidade usando a op o severity O seguinte exemplo registra 70 Cap tulo 2 Protegendo sua Rede em log qualquer tentativa de conex o SSH por hosts do dom nio example com facilidade local0 coma prioridade de alert sshd example com severity local0O alert Na pr tica este exemplo n o f
128. itos pela tonalidade do chap u que eles usam quando realizam suas investiga es de seguran a e esta tonalidade o indicativo de sua inten o O hacker de chap u branco aquele que testa redes e sistemas para examinar seu desempenho e determinam o quanto vulner veis elas s o uma intrus o Normalmente hackers de chap u branco invadem o pr prio sistema ou sistemas de um cliente que especificamente os contratou para este prop sito de auditar a seguran a Pesquisadores acad micos e consultores de seguran a profissionais s o dois exemplos de hackers de chap u branco Um hacker de chap u preto o sin nimo de um cracker Em geral cracker s o menos focados em programa o e no lado acad mico de invadir sistemas Eles muitas vezes confiam em programas de invas o e exploram vulnerabilidades conhecidas em sistemas para revelar informa es sens veis para ganho pessoal ou causar danos no sistema alvo ou rede O hacker de chap u cinza por outro lado possui as habilidades e inten es de um hacker de chap u branco na maioria das situa es mas usa seu conhecimento para prop sitos menos nobres em certas 19 Red Hat Enterprise Linux 6 Guia de Seguran a ocasi es Um hacker de chap u cinza pode ser reconhecido como um hacker de chap u branco que veste o chap u preto as vezes para realizar seus pr prios planos Hackers de chap u cinza tipicamente concordam com outra forma de tica hacker que diz que aceit ve
129. ivo de senha NSS Este arquivo n o existe por padr o e requerido se o banco de dados NSS em uso criado com uma senha Par metros de Configura o Esta se o lista algumas das op es de configura o dispon veis a maioria escritas em etc ipsec conf protostack define qual pilha de protocolo usada A op o padr o no Red Hat Enterprise Linux 6 netkey Outros valores v lidos s o auto klips e mast nat traversal define se a solu o NAT para conex es aceita O padr o n o dumpdir define a localiza o para despejo dos arquivos core nhelpers Quando usar o NSS define o n mero de segmentos usados para criptografar opera es Quando n o estiver usando o NSS define o n mero de processos usados para opera es de criptografia virtual private sub redes permitidas para a conex o cliente A faixa que pode existir por detr s de um roteador NAT a que um cliente se conecta plutorestartoncrash definido para sim por padr o plutostderr caminho para o log de erro do pluto Aponta para a localiza o do syslog por padr o connaddr family pode ser definido tanto para ipv4 ou ipv6 Mais detalhes sobre a configura o Openswan podem ser encontradas na p gina man ipsec conf 5 2 4 2 3 Comandos Esta se o explica e d exemplos de alguns dos comandos usados pelo Openswan Como mostrado no exemplo a seguir usar o service ipsec start stop o m todo recomendado para mudar o estad
130. juntos de regras program veis implementada por um administrador de firewall O kernel do Linux possui uma funcionalidade de filtro de pacotes embutida atrav s do subsistema do kernel o Netfilter Os firewalls de proxy filtram todas as requisi es de um certo protocolo ou tipo de clientes LAN para uma m quina de proxy que ent o faz essas requisi es para a Internet em nome do cliente local Uma m quina proxy age como um buffer entre os usu rios remotos mal intencionados e as m quinas clientes de rede internas Pode ser configurado de forma transparente em m quinas em uma LAN A prote o de muitas m quinas e servi os atr s de um ou mais endere os IP externos simplifica as tarefas de administra o Restri o de acesso ao usu rio de e para uma LAN pode ser configurado ao abrir e fechar portas no fireway gateway do NAT Personaliz vel atrav s do utilit rio front end iptables N o requer qualquer personaliza o no lado do cliente pois todas as atividades de rede s o filtradas no n vel do roteador ao inv s do n vel de aplicativo Como os pacotes n o s o transmitidos atrav s de uma proxy o desempenho de rede mais r pido devido conex o direta do cliente para host remoto Fornece aos administradores controle sob quais aplicativos e protocolos funcionam foram da LAN Alguns servidores proxy podem fazer o cache dos dados mais acessados localmente ao inv
131. l invadir sistemas desde que o hacker n o cometa roubo ou brechas de confidencialidade Alguns discutem entretanto que o ato de invadir um sistema n o propriamente tico Independente da inten o do invasor importante conhecer as fraquezas que um cracker pode querer explorar O restante deste cap tulo focado neste assunto 1 3 2 Amea as Seguran a de Rede Procedimentos mal feitos na cofnigura o dos seguintes aspectos da rede podem aumentar o risco de ataque 1 3 2 1 Arquiteturas Inseguras Uma rede mal configurada o ponto de entrada para usu rios n o autorizados Deixar uma rede local aberta baseada em confian a vulner vel internet altamente insegura tanto como deixar a porta entreaberta em um bairro de alta criminalidade nada pode acontecer por um certo tempo mas eventualmente algu m ir explorar a oportunidade 1 3 2 1 1 Redes de Transmiss o Administradores de Sistemas frequentemente erram na percep o da import ncia do hardware de rede em seus esquemas de seguran a Hardware simples como hubs e roteadores dependem de transmiss o ou princ pios fora do switch que significa toda vez que um n transmite dados pela rede para um n recipiente o hub ou o roteador envia pacotes de dados at que o n recipiente receba e processe os dados Este m todo o mais vulner vel para falsifica o de endere os do address resolution protocol ARP ou media access control MAC por ambos invasore
132. les adicionais para carregar quando um firewall ativado Estes podem incluir a conex o de rastreamento e auxiliares do NAT IPTABLES_MODULES_UNLOAD Descarrega m dulos na reinicializa o e p ra Esta diretiva aceita os seguintes valores yes O valor padr o Esta op o deve ser definida para alcan ar um estado correto para um rein cio ou parada de firewall no Esta op o deve ser somente definida se existirem problemas para descarregar os m dulos do netfilter IPTABLES SAVE ON STOP Salva as regras atuais do firewallem etc sysconfig iptables quando um firewall interrompido Esta diretiva aceita os seguintes valores yes Salva as regras existentes em etc sysconfig iptables quando o firewall interrompido movendo a vers o anterior para o arquivo etc sysconfig iptables save no O valor padr o N o salva regras existentes quando o firewall for interrompido IPTABLES SAVE ON RESTART Salva regras atuais de firewall quando o firewall reinicializado 106 Cap tulo 2 Protegendo sua Rede Esta diretiva aceita os seguintes valores yes Salva as regras existentes em etc sysconfig iptables quando o firewall reiniciado movendo a vers o anterior para o arquivo etc sysconfig iptables save no O valor padr o N o salva regras existentes quando o firewall reiniciado IPTABLES SAVE COUNTER Salva e recupera todos os pacotes e contadores de bytes em todas as correntes e re
133. lmente n o use o exemplo da senha acima em qualquer sistema nunca Enquanto criar senhas seguras imperativo gerencia las propriamente tamb m importante especialmente para administradores de sistemas dentro de grandes organiza es 2 1 3 2 Criando Senhas de Usu rios Dentro de Uma Organiza o Se uma organiza o possui um grande n mero de usu rios os administradores de sistema possuem duas op es b sicas dispon veis para for ar o uso de boas senhas Eles podem criar senhas para o usu rio ou eles podem deixar os usu rios criarem suas pr prias senhas e verificando que as senhas s o de qualidade aceit vel Criar senhas para os usu rios garante que as senhas sejam boas mas se torna uma tarefa assustadora conforme a organiza o cresce Tamb m aumenta o risco dos usu rios escreverem suas senhas em papel Por estas raz es a maioria dos administradores de sistemas preferem que os usu rios criem suas pr prias senhas mas ativamente verificar que as senhas sejam boas e em alguns casos for ar os usu rios a muda las periodicamente atrav s de expira o de senha 2 1 3 2 1 For ando Senhas Fortes Para proteger a rede de intrus es uma boa id ia para os administradores de sistema verificar que as 36 Cap tulo 2 Protegendo sua Rede senhas usadas dentro de uma organiza o sejam fortes Quando os usu rios s o perguntados para criar ou mudar senhas eles podem usar a aplica o de linha de comando pass
134. logias comuns para a criptografia e descriptografia para usar um esquema de criptografia sim trica o transmissor e remetente devem compartilhar a chave antes 23 Como os algor timos de chave sim tricas s o quase muito menos intensivos na inform tica comum trocar uma chave usando o algor timo de troca de chave e transmitir dados usando aquela chave e um algor timos de chave sim trica A fam lia de esquemas do PGP e o SSL TLS fazem isto por exemplo e s o portanto chamados de critosistemas h bridos 24 A 2 1 Diffie Hellman A troca de chave Diffie Hellman D H um protocolo criptogr fico que permite que duas partes que n o se conhecem pr viamente estabele am juntas uma chave secreta compartilhada sob um canal de comunica es inseguro Esta chave pode ent o ser usada para criptografar comunica es subsequentes usando uma c fra de chave sim trica 25 A 2 1 1 Hist rico do Diffie Hellman O esquema foi publicado inicialmente pelo Whitfield Diffie e Martin Hellman em 1976 embora tenha emergido mais tarde que havia sido inventado separadamente alguns anos antes dentro do GCHQ a ag ncia de intelig ncia de sinais Brit nicos por Malcolm J Williamson mas foi mantida em classificado Em 2002 Hellman sugeriu que o algor timo fosse chamado de chave de troca Diffie Hellman Merkle reconhecendo a contribui o de Ralph Merkle para a invens o da criptografia de chave p blica 125 Red Hat Enterprise Linux 6 G
135. m ataque de nega o de servi o DDoS foi feito em varios dos principais sites de alto tr fego na internet O ataque fez que sites como yahoo com cnn com amazon com fbi gov entre outros ficassem completamente fora de alcance dos usu rios normais j que o ataque afetou roteadores por v rias horas com enormes pacotes de dados ICMP tamb m conhecidos como ping flood O ataque foi feito por invasores desconhecidos usando programas especialmente criados e totalmente dispon veis que escanearam servidores de rede vulner veis e instalaram aplicativos clientes chamados Trojans nesses servidores e agendaram um ataque inundando os sites v timas e os tornando indispon veis Muitos culparam esse ataque devido defici ncias fundamentais na maneira que roteadores e os protocolos usados s o estruturados para aceitar todo o tr fego dos dados sem importar de onde ou qual o prop sito dos pacotes s o enviados Em 2007 uma viola o de dados explorando as fraquezas amplamente conhecidas do WEP Wired Equivalent Privacy protocolo de encripta o sem fio resultou no roubo de mais de 45 milh es de n meros de cart o de cr dito de uma institui o financeira global 3 Em um incidente separado os registros de pagamentos de mais de 2 2 milh es de pacientes armazenados em uma fita de backup foram roubados do banco dianteiro de um carro de entregas M Atualmente estima se que 1 4 bilh es de pessoas usam ou usaram a internet no mundo todo 5 A
136. ma deste arquivo Isto fornece uma forma r pida de distribuir conjuntos de regras iptables para multiplicar m quinas 104 Cap tulo 2 Protegendo sua Rede Voc tamb m pode salvar as regras iptables em arquivos separados para a distribui o backup ou outros prop sitos Para salvar suas regras de iptables digite o seguinte comando como root root myServer iptables save gt lt filename gt where lt filename gt um nome de usuario definido para seu conjunto de regras Pr importante PE mportante Caso distribua o arquivo etc sysconfig iptables outras m quinas digite sbin service iptables restart para as novas regras tomarem efeito K Note a diferen a entre o comando iptables sbin iptables o qual usado para manipular as tabelas e correntes que constituem a funcionalidade do iptables e o servi o iptables sbin service iptables o qual usado para habilitar e desabilitar o pr prio servi o iptables 2 6 4 Scripts de Controle de IPTables Existem dois m todos b sicos para controlar o iptables no Red Hat Enterprise Linux gt Firewall Configuration Tool system config firewall Uma interface gr fica para criar para mais informa es Sbin service iptables lt option gt Usado para manipular diversas fun es de iptables usando seu initscript As seguintes op es est o dispon veis start se um firewall configurado ou seja o etc sysconfig iptables existe todos os i
137. nstala o Segura 0 eee 5 1 Parti es de Disco 5 2 Use a Criptografia da Parti o LUKS Cap tulo 6 Manuten o do Software ccccccccc ren 6 1 Instale o M nimo de Software 6 2 Planeje e Configure Atualiza es de Seguran a 6 3 Ajustando Atualiza es Autom ticas 6 4 Instale Pacotes Assinados de Reposit rios Bem Conhecidos Capitulo 7 Padr es Federais e Regulamenta o cccccciccicc serra 7 1 Introdu o 7 2 Federal Information Processing Standard FIPS 7 3 National Industrial Security Program Operating Manual NISPOM 7 4 Payment Card Industry Data Security Standard PCI DSS 7 5 Guia de Implementa o T cnico de Seguran a Cap tulo 8 Refer ncias si ssimnasim aspas agir poet ANT DRA VEL eee eee Ow ER Padr es de Criptografia ccccccc e e e A 1 Criptografia Sincronizada A 1 1 Advanced Encryption Standard AES A 1 1 1 Uso do AES A 1 1 2 Hist rico do AES A 1 2 Data Encryption Standard DES A 1 2 1 Uso do DES A 1 2 2 Hist rico do DES A 2 Criptografia de chave Publica A 2 1 Diffie Hellman A 2 1 1 Hist rico do Diffie Hellman A 2 2 RSA A 2 3 DSA A 2 4 SSUTLS A 2 5 Cramer Shoup Cryptosystem A 2 6 ElGamal Encryption Hist rico de REVIS O ss ssie win Bee ics ce Mee a dhs RSE ERS wea BE teh O1 Red Hat Enterprise Linux 6 Guia de Seguran a Pref cio Pref cio 1 Conven es de Documentos Este manual usa diversas conven es para destacar certas palavra
138. ntre pedidos de entrada e os servi os solicitados Os benef cios oferecidos pelos TCP Wrappers s o refor ados quando usados em conjunto com o xinetd um super servidor que fornece acesso adicional registro de logs associa o redirecionamento e controle de utiliza o de recursos uma boa id ia usar as regras de firewall iptables em conjunto com os TCP Wrappers e Xinetd para criar redund ncia dentro dos controles de acesso de servi o Consulte a As subse es a seguir pressup em um conhecimento b sico de cada t pico e foco em op es de seguran a espec ficas 2 2 1 1 Aumentando a Seguran a com TCP Wrappers Os TCP Wrappers s o capazes de muito mais do que negar acesso a servi os Esta se o ilustra como eles podem ser usados para enviar banners de conex o avisos de ataque de determinados hosts e aumenta a funcionalidade de registro de log Consulte a p gina man hosts options para informa es sobre a funcionalidade dos TCP Wrappers e idioma de controle Consulte a p gina man dispon veis que agem como op es que voc pode aplicar em um servi o 2 2 1 1 1 TCP Wrappers e Banners de Conex o Exibir um banner apropriado quando os usu rios conectam uma boa maneira de fazer que os potencias invasores saibam que o administrador do sistema est vigilante Voc pode tamb m controlar qual informa o sobre o sistema apresentado aos usu rios Para implementar um banner de TCP Wrappers para um servi o u
139. o mesmo tempo Em qualquer dia existem aproximadamente 225 importantes incid ncias de brecha de seguran a reportadas ao CERT Coordination Center at Carnegie Mellon University 6 O n mero de incidentes reportados no CERT pulou de 52 658 em 2001 82 094 em 2002 e para 137 529 em 2003 7 De acordo com o FBI crimes relacionados computadores custou s empresas americanas 67 2 bilh es de d lares em 2006 8 De uma pesquisa global feita em 2009 sobre seguran a e profissionais da tecnologia da informa o Porque a Seguran a Importa Agora 9 conduzida pela CIO Magazine alguns resultados interessantes s o inltin Apenas 23 dos que responderam possuem pol ticas para o uso das tecnologias de Web 2 0 Estas tecnologias como Twitter Facebook e LinkedIn podem oferecer uma maneira conveniente para empresas e individuais se comunicarem e colaborar entretanto elas abrem novas vulnerabilidades primariamente o vazamento de dados confidenciais Mesmo durante a recente crise financeira de 2009 a pesquisa constatou que os or amentos com seguran a estavam no mesmo n vel ou em crescimento em rela o aos anos anteriores aproximadamente 2 de cada 3 participantes esperam aumentar ou manter o mesmo n vel Isto uma boa not cia e reflete a import ncia que organiza es est o dando na seguran a da informa o hoje Estes resultados refor am a realidade que seguran a de computadores se tornou um gasto quantific vel e ju
140. o IPv4 a extens o do endere o prefixo prefixlen declara es de par nota o CIDR n o s o suportadas Somente regras IPv6 podem usar este formato endere o IPv6 par prefixlen pares net prefixlen podem tamb m ser usados como um modelo para controlar acesso a um grupo particular de endere os IPv6 O exemplo seguinte se aplicaria a qualquer host com uma faixa de 3ffe 505 2 1 at 3ffe 505 2 1 ffff fffFf ffff ffff ALL 3ffe 505 2 1 64 O asterisco Asteriscos podem ser usados para corresponder grupos inteiros de hostnames ou endere os de IP desde que eles n o sejam misturados em uma lista de clientes contendo outros tipos de modelos O exemplo seguinte se aplicaria a qualquer host dentro do dom nio example com ALL example com A barra Se uma lista de clientes iniciar com uma barra ela tratada como um nome de arquivo Isto til se regras especificando n meros grandes de hosts s o necess rias O exemplo seguinte se refere aos TCP Wrappers para o arquivo etc telnet hosts para todas as conex es Telnet in telnetd etc telnet hosts Outro exemplo modelos menos usados tamb m s o aceitos pelos TCP Wrappers Consulte a p gina man 5 hosts access para mais informa es io OO Seja cuidadoso quando usar hostnames e nomes de dom nio Invasores podem usar uma variedade de truques para burlar uma resolu o de nomes precisa Al m disso disruptura no servi o DNS impede que m
141. o Pacotes Quando atualizar o software em um sistema importante baixar a atualiza o de uma fonte confi vel Um invasor pode facilmente reconstruir um pacote com o mesmo n mero de vers o do pacote suposto para consertar o problema mas com uma explora o de seguran a diferente e lan a lo na internet Se isso acontecer use medidas de seguran a como verificar arquivos contra os RPMs originais n o detecta as explora es Assim muito importante de somente baixar os RPMs de fontes confi veis como a Red Hat e checar a assinatura do pacote para verificar sua integridade O Red Hat Enterprise Linux inclui um cone conveniente no painel que mostra alertas v siveis quando h uma atualiza o dispon vel 1 5 2 Verificando Pacotes Assinados Todos os pacotes do Red Hat Enterprise Linux s o assinados com a chave GPG da Red Hat O GPG significa GNU Privacy Guard ou GnuPG um pacote de software livre usado para garantir a autenticidade dos arquivos distribu dos Por exemplo uma chave privada chave secreta trava o pacote enquanto a chave p blica destrava e verifica o pacote Se a chave p blica distribu da pelo Red Hat Enterprise Linux n o corresponder com a chave privada durante a verifica o do RPM o pacote pode ter sido alterado e portanto n o pode ser confi vel O utilit rio RPM dentro do Red Hat Enterprise Linux 6 automaticamente tenta verificar a assinatura GPG de um pacote RPM antes de instala lo Se a chave GPG da Re
142. o dif cil Avan os nos filtros de ingresso IETF rfc2267 usando o iptables e Network Intrusion Detection Systems como o snort assistem administradores no rastreamento e previnem ataques distribu dos do Dos 1 5 Atualiza es de Seguran a Conforme as vulnerabilidades de seguran a s o descobertas o software afetado deve ser atualizado para limitar quaisquer riscos potenciais de seguran a Se o software parte de um pacote dentro de uma distribui o Red Hat Enterprise Linux que suportada atualmente a Red Hat est comprometida a lan ar atualiza es de pacotes que consertam as vulnerabilidades assim que poss vel Muitas vezes 26 Cap tulo 1 Vis o Geral da Seguran a an ncios sobre uma explora o de seguran a s o acompanhados de uma corre o ou c digo fonte que conserta o problema Esta corre o ent o aplicada ao pacote Red Hat Enterprise Linux e testada e lan ada como uma errata de atualiza o Entretanto se um an ncio n o inclui uma corre o um desenvolvedor primeiro trabalha com o mantenedor do software para consertar o problema Uma o problema consertado o pacote testado e lan ado como uma errata de atualiza o Se uma errata de atualiza o lan ada para um software usado em seus sistema altamente recomendado que voc atualize os pacotes afetados assim que poss vel para minimizar o per odo de tempo que seu sistema est potencialmente vulner vel 1 5 1 Atualizand
143. o do servi o ipsec Isto tamb m a t cnica recomendada para iniciar e parar todos os outros servi os no Red Hat Enterprise Linux 6 Iniciando e parando o Openswan ipsec setup start stop service ipsec start stop Adicionar Deletar uma conex o ipsec auto add delete lt connection name gt Estabelecer quebrar uma conex o ipsec auto up down lt connection name gt 81 Red Hat Enterprise Linux 6 Guia de Seguran a Gerando chaves RSA ipsec newhostkey configdir etc ipsec d password password output etc ipsec d lt name of file gt Checando pol ticas ipsec no Kernel ip xfrm policy ip xfrm state Criando certificados auto assinados certutil S k rsa n lt ca cert nickname gt s CN ca cert common name w 12 t C C C x d etc ipsec d Criando um certificado de usuario assinado pelo CA anterior certutil S k rsa c lt ca cert nickname gt n lt user cert nickname gt s CN user cert common name w 12 t u u u d etc ipsec d 2 4 2 4 Recursos Openswan O pacote Openswan doc HT ML exemplos README README nss 2 5 Firewalls A seguran a da informa o geralmente significa um processo e n o um produto No entanto implementa es de seguran a padr es geralmente implementam uma forma de mecanismo dedicada a controlar privil gios de acesso e restringir recursos de rede usu rios n o autorizados identific veis e rastre veis O Red Hat Enterprise Linux inclui diversas ferramentas que ass
144. o mesmo sistema redirecionar o pedido para um endere o IP diferente na mesma m quina deslocar o pedido para um sistema e n mero de porta totalmente diferentes ou qualquer combina o destas op es Um usu rio conectando a um certo servi o em um sistema pode portanto ser reencaminhado a um outro sistema sem ruptura O daemon xinetd capaz de realizar este redirecionamento reproduzindo um processo que permanece vivo pela dura o da conex o entre a m quina cliente solicitante e o host que fornece o servi o transferindo dados entre os dois sistemas As vantagens das op es bind e redirect s o mais claramente evidentes quando elas s o usadas em conjunto Associando um servi o um endere o IP determinado em um sistema e ent o redirecionar os pedidos para este servi o a uma segunda m quina que somente a primeira m quina pode ver um sistema interno pode ser usado para fornecer servi os para uma rede totalmente diferente Alternativamente estas op es podem ser usadas para limitar a exposi o de um determinado servi o em uma m quina multihome para endere os IP conhecidos tanto quanto redireciona quaisquer pedidos para esse servi o para uma outra m quina especialmente configurada para este prop sito Por exemplo considere um sistema que usado como um firewall com estas configura es para o servi o Telnet service telnet socket_type stream wait no server usr kerberos sbin telnetd log_on_success
145. o o portmap por causa da presen a do servi o sunrpc Entretanto h tamb m um servi o misterioso na porta 834 Para checar se a porta associada com o a lista oficial de servi os conhecidos digite cat etc services grep 834 Este comando retorna nenhum resultado para a porta 834 Devido ao formato do comando o resultado para outras portas 1834 2834 and 3834 ser o mostrados Isto indica que enquanto a porta 834 est na varia o reservada significando O at 1023 e requer o acesso root para abrir ele n o associado com um servi o conhecido Depois verifique por informa es sobre a porta usando o netstat ou 1sof Para verificar pela porta 834 usando o netstat use o seguinte comando netstat anp grep 834 O comando retorna o seguinte resultado tcp 0 0 0 0 0 0 834 0 0 0 0 LISTEN 653 ypbind A presen a da porta aberta no netstat animadora por causa que se um cracker abrir uma porta clandestinamente em um sistema hackeado n o suscept vel de permitir que esta seja revelada atrav s deste comando Tamb m a op o p revela o ID do processo PID do servi o que abriu a porta Neste caso a porta aberta pertence ao ypbind NIS que um servi o RPC manuseado em conjunto com o servi o portmap O comando 1sof revela informa es similares ao netstat j que ele tamb m capaz de ligar portas abertas servi os lsof i grep 834 A por o relevante do resultado deste comando GQ Re
146. o servidor Al m de controlar o acesso e autentica o os TCP Wrappers podem executar comandos para interagir com o cliente antes de negar ou liberar controle da conex o ao servi o de rede solitictado Pela raz o que os TCP Wrappers s o uma adi o valiosa a qualquer arsenal de ferramentas de seguran a de um administrador de servidor a maiorias dos servi os de rede dentro do Red Hat Enterprise Linux s o ligados biblioteca libwrap a Algumas dessas aplica es incluem usr sbin sshd usr sbin sendmail and usr sbin xinetd Para determinar se um servi o de rede bin ria est ligado ao libwrap a digite o seguinte comando como usu rio root ldd lt binary name gt grep libwrap Substitua o lt binary name gt com o nome do servi o de rede bin rio Se o comando retornar diretamente ao prompt sem nenhum resultado ent o o servi o de rede n o ligado ao libwrap a O exemplo seguinte indica que o usr sbin sshd est ligado ao libwrap a root myServer ldd usr sbin sshd grep libwrap libwrap so 0 gt lib libwrap so 0 0x00655000 root myServer 2 3 1 1 Vantagens do TCP Wrappers Os TCP Wrappers fornecem as seguintes vantagens sobre outras t cnicas de controle de servi o de 65 red Red Hat Enterprise Linux 6 Guia de Seguran a e Transpar ncias tanto aos clientes e servi os de rede wrapped Ambos clientes em conex o e o servi o de rede wrapped n o est o atentos que os TCP Wrappe
147. om complexos detalhes Hacker era nome usado pelos membros do clube que descobriam um truque ou uma maneira de resolver um problema O termo hacker ent o come ou a ser usado para tudo desde viciados em computadores at programadores de talento Uma caracter stica comum entre a maioria dos hackers a vontade de explorar em detalhes como sistemas de computadores e redes funcionam com pouca ou nenhuma motiva o externa Desenvolvedores de software de c digo aberto frequentemente consideram a si pr prios e seus colegas serem hackers e usam a palavra como um termo de respeito Tipicamente hackers seguem uma forma de tica hacker que diz que a busca por informa es e per cia s o essenciais e compartilhar esse conhecimento uma fun o dos hackers comunidade Durante essa busca por conhecimento alguns hackers desfrutam os desafios acad micos de contornar controles de seguran a em sistemas de computadores Por este motivo a imprensa muitas vezes usa o termo hacker para descrever aqueles que ilicitamente acessam sistemas e redes com inten es criminais maliciosas ou sem escr pulos O termo mais preciso para este tipo de hacker de computadores cracker um termo criado por hackers na d cada de 80 para diferenciar as duas comunidades 1 3 1 1 Tons de cinza Dentro da comunidade de indiv duos que encontram e exploram vulnerabilidades em sistemas e redes existem diversos grupos distintos Estes grupos s o frequentemente descr
148. os administrativos no resto da rede O atacante ou grupo de atacantes coordenam contra uma rede de uma empresa ou recursos de servidor enviando pacotes n o autorizados ao host alvo tanto o servidor router ou esta o de trabalho Isto for a o recurso a se tornar indispon vel para usu rios leg timos As esta es de trabalho e desktops t m mais tend ncia a serem exploradas pois os funcion rios n o possuem o conhecimento ou experi ncia de evitar ou detectar o comprometimento crucial informar indiv duos dos riscos que correm quando instalam softwares n o autorizados ou abrir anexos de emails n o solicitados Medidas de seguran a podem ser implementadas para que clientes de email n o abram automaticamente ou executem anexos Al m disso a atualiza o autom tica de software da esta o de trabalho via Red Hat Network ou outros servi os de gerenciamento de sistemas podem aliviar a carga da implementa o de seguran a de m quina em m quina O caso de ataque DoS mais reportado nos E U A ocorreu em 2000 Diversos sites do governo e comerciais com alto ndice de tr fego se tornaram indispon veis por um ataque coordenado de inunda o de pings usando diversos sistemas comprometidos com conex es de banda larga agindo como zombies ou n s de broadcast redirecionados Pacotes fonte s o geralmente forjados assim como retransmitidos tornado a investiga o da verdadeira fonte de ataque um tant
149. os em que o usu rio root permitido logar Se o arquivo n o existir o usu rio root pode se autenticar atrav s de 42 Cap tulo 2 Protegendo sua Rede qualquer dispositivo de comunica o no sistema seja pelo console ou uma interface de rede bruta Isto perigoso porque um usu rio pode se autenticar em sua m quina pela rede Por padr o o arquivo etc securetty do Red Hat Enterprise Linux somente permite ao usu rio root se autenticar no console fisicamente anexado m quina Para impedir o root de se autenticar remova o conte do deste arquivo digitando o seguinte comando echo gt etc securetty o ss ss Um arquivo em branco etc securetty n o impede o usu rio root de se autenticar remotamente usando a su te de ferramentas OpenSSH porque o console n o aberto at depois da autentica o 2 1 4 2 3 Desativando Logins Root SSH Logins root pelo protocolo SSH s o desativados por padr o no Red Hat Enterprise Linux 6 entretanto se esta op o foi ativada ela pode ser desativada novamente editando o arquivo de configura o do daemon SSH etc ssh sshd config Mude a linha que cont m PermitRootLogin yes para ficar como PermitRootLogin no Para essas mudan as terem efeito o daemon SSH deve ser reiniciado Isto pode ser feito pelo seguinte comando kill HUP cat var run sshd pid 2 1 4 2 4 Desativando o Root de usar o PAM O PAM pelo m dulo 1ib security pam listfile so permite uma grande
150. ot server usr kerberos sbin telnetd log_on_failure USERID disable yes Estas linhas controlam v rios aspectos do servi o telnet gt service Especifica o nome do servi o normalmente um dos listados no arquivo etc services flags Define um n mero qualquer de atributos para a conex o O REUSE instrui o xinetd para reusar p socket para a conex o Telnet O sinalizador REUSE est obsoleto Todos os servi os agora usam implicitamente o sinalizador REUSE socket type Define o tipo de socket de rede para stream gt wait Especifica se o servi o single threaded yes ou multi threaded no User Especifica qual ID de usu rio o processo o rodar server Especifica qual bin rio execut vel a dar in cio log on failure Especifica os par metros de registro de log para o log on failure al m 14 Cap tulo 2 Protegendo sua Rede daqueles j definidos em xinetd conf disable Especifica se o servi o est inativo yes ou ativo no Consulte a p gina man xinetd conf para mais informa es sobre estas op es e seu uso 2 3 4 3 Aterando Arquivos de Configura o xinetd Uma variedade de diretivas est dispon vel para servi os protegidos pelo xinetd Esta se o destaca algumas das op es mais comumente usadas 2 3 4 3 1 Op es de Registro de Log As seguintes op es de log est o dispon veis para ambos etc xinetd conf e os arquivos espec ficos de
151. p tulo 2 Protegendo sua Rede vio Os Administradores que permitem usu rios an nimos ler e escrever nos diret rios muitas vezes possuem seus servidores transformados em um reposit rio de software roubado Adicionalmente sob o vsftpd adicione a seguinte linha ao arquivo etc vsftpd vsftpd conf anon upload enable YES 2 2 6 3 Contas de Usu rios Por causa que o FTP transmite transmite nomes de usu rios e senhas n o criptografados por redes desprotegidas para autentica o uma boa id ia negar aos usu rios do sistema o acesso ao servidor com suas contas de usu rio Para desativar todas as contas de usu rios no vsftpd adicione a seguinte diretiva ao etc vsftpd vsftpd conf local enable NO 2 2 6 3 1 Restringindo Contas de Usu rios Para desativar o acesso FTP para contas espec ficas ou grupos de contas espec ficos como o usu rio root e aqueles com privil gios sudo a maneira mais f cil para usar um arquivo de lista PAM conforme o vsftpd etc pam d vsftpd tamb m poss vel desativar contas de usu rios dentro de cada servi o diretamente Para desativar contas de usu rios espec ficas no vsftpd adicione o nome de usu rio ao etc vsftpd ftpusers 2 2 6 4 Usar o TCP Wrappers para Controla Acesso 2 2 7 Protegendo o Sendmail O Sendmail um Mail Transfer Agent MTA que usa o Simple Mail Transfer Protocol SMTP para entregar mensagens eletr nicas entre outros MT As e enviar emails para clien
152. pacotes como root no prompt do shell 1 5 3 Instalando Pacotes Assinados A instala o para a maioria dos pacotes podem ser feitas seguramente exceto pacotes do kernel emitindo o seguinte comando rpm Uvh tmp updates rpm Para os pacotes do kernel use o seguinte comando rpm ivh tmp updates lt kernel package gt Substitua o lt kernel package gt no exemplo anterior com o nome do RPM kernal Uma vez que a m quina foi seguramente reinicializada usando o novo kernel o kernel antigo pode ser removido usando o seguinte comando rpm e lt old kernel package gt N Substitua o lt old kernel package gt do exemplo anterior com o nome do RPM do kernel antigo K e N o um requerimento que o kernel antigo seja removido O carregador de boot padr o o GRUB permite m ltiplos kernels serem instalados e ent o escolhidos de um menu no momento da inicializa o E importante mportante Antes de instalar quaisquer erratas de seguran a tenha certeza de ler as instru es especiais errata Cap tulo 1 Vis o Geral da Seguran a 1 5 4 Aplicando as Mudan as Depois de baixar e instalar erratas de seguran a e atualiza es importante parar o uso do software antigo e iniciar o uso do novo software Como isto feito depende do tipo de software que foi atualizado A seguinte lista relaciona as categorias gerais dos softwares e fornece instru es para usar as vers es atualizadas depois de uma a
153. par metro tamb m suporta as seguintes op es especiais Caractere de ponto de exclama o Reverte a diretiva o que significa que qualquer interface especificada exclu da desta regra Caractere de mais Um caractere curinga usado para coincidir todas as interfaces que coincidem com a faixa especificada Por exemplo o par metro i eth aplicaria esta regra qualquer interface de Ethernet mas excluiria qualquer outra interface tal como pppo Se o par metro i usado mas nenhuma interface especificada ent o todas as interfaces s o afetadas pela regra j Pula para o alvo especificado quando um pacote coincide uma regra particular Os alvos padr es s o ACCEPT DROP QUEUE e RETURN Op es estendidas tamb m est o dispon veis atrav s de m dulos carregados pelo padr o com o Red Hat Enterprise Linux iptables pacote RPM Alvos v lidos nestes m dulos incluem LOG MARK e REJECT entre outros Consulte a p gina man iptables para obter mais informa es sobre estes e outros alvos Esta op o tamb m pode ser usada para direcionar um pacote que coincide com uma regra em particular para uma corrente definida por um usu rio fora da corrente atual ent o outras regras possam ser aplicadas ao pacote Se n o for especificado nenhum alvo o pacote passa pela regra sem nenhuma a o O contador para esta regra no entanto aumenta por um o Define a interface de rede de sa da para uma regra Esta op o v
154. para requisi es de entrada HTTP de roteamento para um servidor HTTP dedicado em 10 0 4 2 fora da classe do 192 168 1 0 24 da LAN o NAT usa a tabela PREROUT ING para encaminhar os pacotes para o destino apropriado root myServer iptables t nat A PREROUTING i ethO p tcp dport 80 j DNAT to destination 10 0 4 2 80 Com este comando todas as conex es para a porta 80 de fora da LAN s o roteadas para o servidor HTTP em uma rede separada do resto da rede interna Esta forma de segmenta o de rede pode ser mais segura do que permitir conex es de HTTP para uma m quina na rede Se o servidor HTTP for configurado para aceitar conex es seguras ent o a porta 443 deve ser encaminhada tamb m 2 5 6 Softwares Maliciosos e Spoof de Endere os IP Regras mais elaboradas podem ser criadas para controlar acesso sub redes espec ficas ou at n s espec ficos dentro de uma LAN Voc pode tamb m restringir certos aplicativos duvidosos ou programas tais como trojans worms e outros v rus de clientes servidores de contatar seus servidores Por exemplo alguns trojans escaneiam redes procurando servi os na portas de 31337 at 31340 chamadas de portas elite na terminologia dos crackers Como n o h mais servi os leg timos que se comunicam via estas portas n o padr o bloque las pode diminuir efetivamente as chances que n s potencialmente infectados em sua rede se comuniquem de forma independente com seus servidores mes
155. perar o programa Tais programas s o denotados por um s na se o propriet rio de uma lista de formato longo como no exemplo a seguir rwsr xr x 1 root root 47324 May 1 08 09 bin su O s pode ser mai sculo ou minusculo Se aparecer como mai sculo significa que o bit de permiss o subjacente n o foi definido Para os administradores de sistemas de uma organiza o entretanto as escolhas podem ser feitas como o quanto de acesso administrativo os usu rios dentro da organiza o podem ter em suas m quinas Atrav s do m dulo PAM chamado pam console so algumas atividades normalmente reservadas somente para o usu rio root como reinicialza o e montagem de m dia remov veis s o permitidas para o primeiro usu rio que logar no console f sico consulte Gerenciando Sign On nicos e Cart es Smart para mais informa es sobre o m dulo pam console so Entretanto outras tarefas importantes de administra o do sistema como alterar defini es de rede configurar um mouse novo ou montar dispositivos de rede n o s o poss veis sem privil gios administrativos Como resultado administradores de sistema devem decidir quanta acessibilidade os usu rios em sua rede devem receber 2 1 4 1 Permitindo Acesso Root Se os usu rios dentro de uma organiza o s o confi veis e entendedores de inform tica ent o permitir acesso root a eles pode n o ser um problema Permitindo acesso root aos usu rios significa que atividades menore
156. podem fazer o spoof de endere os IP internos e fazer com que a m quina remota do invasor aja como um n em sua LAN Para evitar isto o iptables fornece pol ticas de rotea o e encaminhamento que podem ser implementadas para impedir o uso anormal dos recursos de rede A corrente FORWARD permite que um administrador controle onde os pacotes podem ser roteados dentro de uma LAN Por exemplo para permitir o encaminhamento de uma LAN inteira considerando se que o firewall gateway receba um endere o IP na eth1 use as regras a seguir root myServer iptables A FORWARD i eth1 j ACCEPT root myServer iptables A FORWARD o eth1 j ACCEPT Esta regra d acesso a sistemas por detr s de firewall gateway rede interna O gateway roteia pacotes de um n de LAN ao seu n de destino passando todos os pacotes por seu dispositivo eth1 90 Cap tulo 2 Protegendo sua Rede Por padr o a pol tica IPv4 nos kernels do Red Hat Enterprise Linux desabilitam o suporte de encaminhamento de IP Isto evita que m quinas rodando o Red Hat Enterprise Linux funcionem como roteadores de limite dedicado Para habilitar o encaminhamento de IP use o seguinte comando root myServer sysctl w net ipv4 ip forward 1 Esta mudan a de configura o valilda somente para a sess o atual n o persiste atrav s de reinicializa es ou rein cio de servi o de rede Para definir o encaminhamento de IP permanentemente edite o arquivo et
157. ptables em execu o s o interrompidos completamente e depois iniciados usando o comando sbin iptables restore Esta op o funciona somente se o m dulo do kernel ipchains n o for carregado Para verificar se o m dulo foi carregado digite o seguinte comando como usu rio root root MyServer lsmod grep ipchains Se este comando retornar nenhum resultado significa que o m dulo n o foi carregado Se necess rio use o comando sbin rmmod para remover o m dulo stop Se o firewall estiver rodando as suas regras na mem ria ser o liberadas e todos os m dulos do iptables e auxiliares ser o descarregados Se a diretiva IPTABLES SAVE ON STOP no arquivo de configura o do etc sysconfig iptables config modificado de seu valor padr o para yes as regras atuais ser o salvas em etc sysconfig iptables e quaisquer regras existentes ser o movidas para o arquivo etc sysconfig iptables save informa es sobre o arquivo iptables config restart Se um firewall estiver sendo executado as regras do firewall na mem ria ser o liberadas e o firewall ser iniciado novamente se estiver configurado no etc sysconfig iptables Esta op o funciona somente se o m dulo do kernel ipchains 105 Red Hat Enterprise Linux 6 Guia de Seguran a n o for carregado n t n Se a diretiva IPTABLES SAVE ON RESTART no arquivo de configura o etc sysconfig iptables config for modificada de seu valor padr o para yes as regras
158. r o rastros dos arquivos criptografados que permitir que um atacante que tenha acesso f sico ao seu computador recupere os sob algumas circunst ncias Para proteger este conte do destes arquivos contra intrusos que possam acessar seu computador use a criptografia baseada em arquivo junto com outra solu o como uma criptografia de disco cheio 109 Red Hat Enterprise Linux 6 Guia de Seguran a 3 4 Dados Ativos Dados ativos s o dados que s o transmitidos via rede A maior amea a aos dados ativos a intercep o e altera o Seu nome de usu rio e senha nunca devem ser transmitidos via rede sem a prote o pois pode ser interceptado e usado por outra pessoa que se passe por voc ou obter acesso informa es confidenciais Outras informa es privadas como informa es de conta banc ria devem tamb m ser protegidas ao serem transmitidas via rede Se a sess o de rede foi criptografada ent o voc n o precisar se preocupar com o comprometimento dos dados enquanto estiverem sendo enviados Dados ativos s o especialmente vulner veis atacantes pois o atacante n o precisa estar perto do computador que cont m os dados armazenados eles s precisam estar em algum local no caminho dele Os t neis de criptografia podem proteger dados no caminho das comunica es 3 5 Virtual Private Networks Rede Privada Virtual Virtual Private Networks Rede Privada Virtual VPN fornece t neis criptografados entre computador
159. r a identidade do usu rio Isto porque a seguran a de senha t o importante para a prote o do usu rio da esta o de trabalho e da rede Por motivos de seguran a o programa de instala o configura o sistema para usar o Secure Hash Algorithm 512 SHA512 e senhas shadow altamente recomendado que voc n o altere essas configura es Se senhas shadow n o s o selecionadas durante a instala o todas as senhas s o armazenadas como um hash de uma via no arquivo de leitura p blica etc passwd que faz o sistema vulner vel ataques de quebra de senhas offline Se um invasor pode ter acesso m quina como um usu rio normal ele pode copiar o arquivo etc passwd para sua pr pria m quina e rodar quaisquer programas de quebra de senha Se houver uma senha insegura no arquivo somente um quest o de tempo at que o invasor a descubra Senhas shadow eliminam este tipo de ataque armazenando as senhas hash no arquivo etc shadow que pode ser lido somente pelo usu rio root Isto for a um invasor em potencial tentar quebrar senhas remotamente autenticando se em um servi o de rede na m quina como SSH ou FTP Este tipo de ataque de for a bruta muito mais lento e deixa rastros bvios j que centenas de tentativas de login s o gravadas nos arquivos do sistema claro que se o invasor iniciar um ataque no meio da noite em um sistema com senhas fracas o invasor pode ter ganhado o acesso antes do amanhecer e edita
160. ra ajudar os invasores a explorar tal vulnerabilidade Depende do sistema alvo que est executando os servi os tal como rsh telnet FTP entre outros que usam as t cnicas de autentica o sem criptografia que n o s o recomendadas quando comparadas ao PKI ou outras formas de autentica o criptografadas usadas em ssh ou SSUTLS Este tipo de ataque funciona mais com Wu CENLA AU Vulnerabilidades de Servi os CUC UVID HUSO ALIVUS CIIN UIA ICUC interceptando a conex o entre os dois n s Um atacante encontra um defeito ou um furo em um servi o executado sob a Internet atrav s desta vulnerabilidade o atacante compromete todo o sistema e qualquer dado que ele possa conter e pode possivelmente comprometer outros sistemas na rede Cap tulo 1 Vis o Geral da Seguran a protocolos de transmiss o de texto simples como o Telnet FTP e transfer ncias de HTTP Invasores remotos devem ter acesso ao sistema comprometido em uma LAN para realizar tal ataque Geralmente o atacante usou um ataque ativo como o IP spoofing ou man in the middle para comprometer um sistema na LAN Medidas preventivas incluem servi os com troca de chave criptogr fica senhas de uma vez ou autentica o criptografada para prevenir que senhas sejam roubadas Uma criptografia forte durante a transmiss o tamb m recomendada Os servi os baseados em HTTP como o CGl s o vulner veis execu o de comando remoto e at
161. ra existente L Lista todas as regras na corrente especificada ap s o comando Para listar todas as regras em todas as correntes na tabela de filtragem padr o n o especifica uma corrente ou tabela Caso contr rio a sintaxe deve ser usada para listar as regras em uma corrente espec fica em uma tabela espec fica iptables L lt chain name gt t lt table name gt Op es adicionais para a op o de comando L que fornece n meros de regra e permite mais N Cria uma nova corrente com um nome de usu rio espec fico O nome de corrente deve ser nico caso contr rio uma mensagem de erro exibida P Estabelece a pol tica padr o para a corrente especificada para que quando pacotes passam por uma corrente inteira sem coincidir uma regra eles s o enviados para o alvo especificado tal como ACCEPT ou DROP R Substitui uma regra na corrente especificada O n mero de regra deve ser especificado ap s o nome da corrente A primeira regra em uma corrente corresponde regra n mero um X Remove uma corrente de usu rio espec fico Voc n o pode remover uma corrente embutida Z Estabelece os contadores de byte e pacote em todas as correntes para uma tabela para zero 2 6 2 3 Op es de Par metro de IPTables Certos comandos do iptables incluindo aqueles usados para adicionar remover inserir ou substituir regras dentro de uma corrente espec fica requer diversos par metros para cons
162. ra trocar ao terminal virtual A primeira senten a destaca uma tecla espec fica a ser pressionada A segunda destaca duas combina es de teclas um conjunto de tr s teclas pressionadas simultaneamente Caso o c digo fonte seja discutido ser o apresentados como acima os nomes de classe m todos fun es nomes de variantes e valores retornados mencionados em um par grafo em Negrito de Espa o nico Mono spaced Bold Por exemplo Classes baseadas em arquivo incluem filesystem para sistemas de arquivo file para arquivos e dir para diret rios Cada classe possui seu conjunto pr prio de permiss es associadas Negrito Proporcional Esta representa as palavras e frases encontradas no sistema incluindo os nomes de aplicativos texto de caixa de di logo bot es rotulados caixa de sele o e r tulos de bot o de op o t tulos de menus e sub menus Por exemplo Red Hat Enterprise Linux 6 Guia de Seguran a Escolha Sistema Prefer ncias Mouse da barra do menu principal para lan ar Mouse Preferences Na aba Bot es selecione o Bot o da esquerda do mouse selecione a caixa e cliquem emFechar para mudar o bot o inicial do mouse da esquerda para a direita tornando o mouse adequado para o uso na m o esquerda Selecione Applications Accessories Character Map a partir da barra de menu principal com o objetivo de inserir um caractere especial ao arquivo gedit Em seguida selecione Search Find a partir
163. ran a sshd O servidor OpenSSH que um substituto seguro para o Telnet Quando determinar se deixar ou n o estes servi os rodando melhor usar o bom senso com cautela Por exemplo se uma impressora n o est dispon vel n o deixe o cupsd rodando O mesmo verdadeiro para o por tmap Se voc n o montar os volumes NFSv3 ou usar o NIS o servi o ypbind ent o o portmap deve ser desativado Oo Service Configuration Program Service Help ET Aa AA ne x Ry pe Disable Customize Stop Restart Help Name The sshd service is started once usually when the system is booted runs in rpcsvcgssd the background and wakes up when needed This service is enabled lt This service is running Description OpenSSH server daemon rsync O 4 rsyslog saslauthd O 4 sendmail Fe GE setroubleshoot smartd smolt O snmpd amp snmptrapd Fa udev post vsftpd winbind lt wpa_supplicant ypbind gt Figura 2 3 Ferramentas de Configura o de Servi os Se n o estiver certo do prop sito para um servi o em particular a Ferramenta de Configura o de Verificando quais servi os de rede est o dispon veis para iniciar no momento de boot somente uma parte da hist ria Voc deve tamb m verificar quais portas est o abertas e escutando Consulte a 2 1 5 3 Servi os Inseguros Potencialmente qualquer servi o de rede inseguro Isto explica porque desligar servi os
164. remamente importante para manter um sistema seguro vital corrigir um software assim que a atualiza o esteja dispon vel para impedir que invasores usem as brechas para se infiltrar em seu sistema 6 1 Instale o M nimo de Software A melhor pr tica instalar somente pacotes que voc usar porque cada instala o de software em sua m quina pode possivelmente conter uma vulnerabilidade Se voc estiver instalando a partir de uma m dia de DVD use a oportunidade de selecionar exatamente os pacotes que voc quiser instalar durante a instala o Quando voc achar que precisa de um outro pacote voc pode sempre adiciona lo ao sistema mais tarde 6 2 Planeje e Configure Atualiza es de Seguran a Todos os softwares cont m bugs Frequentemente estes bugs podem resultar em uma vulnerabilidade que pode expor seu sistema usu rios maliciosos Sistemas sem corre o s o uma causa comum de instrus o em computadores Voc deve ter um plano para instalar corre es de seguran a em uma maneira agendada para impedir essas vulnerabilidades para que ent o n o possam ser exploradas Para usu rios dom sticos atualiza es de seguran a devem ser instaladas assim que poss vel Configurar instala es autom ticas das atualiza es de seguran a uma maneira de n o ter que ficar lembrando mas possui um pequeno risco que alguma coisa pode causar um conflito com sua configura o ou com outro software no sistema Para us
165. ret rio tmp nfs ao host bob example com com permiss es de leitura escrita tmp nfs bob example com rw A linha seguinte no arquivo etc exports por outro lado compartilha o mesmo diret rio do host bob example com com permiss es de leitura somente e compartilha com o world com permiss es de leitura escrita devido ao car cter espa o nico depois do hostname tmp nfs bob example com rw uma boa pr tica verificar quaisquer compartilhamentos de NFS configurados usando o comando showmount para verificar o que est sendo compartilhado showmount e lt hostname gt 2 2 4 3 N o Use a Op o no root squash Por padr o o compartilhamento NFS muda o usu rio root para usu rio nfsnobody uma conta de usu rio sem previl gios Isto muda o propriet rio de todos os arquivos criados pelo root para nfsnobody que impede o upload de programas com o setuid definido Se ono root squash usado os usu rios root remotos s o capazes de mudar quaisquer arquivos no sistema de arquivos compartilhados e deixar aplica es infectadas por trojans para que outros usu rios as executem sem saber 57 Red Hat Enterprise Linux 6 Guia de Seguran a 2 2 4 4 Configura o de Firewall NFS As portas usadas para o NFS s o atribu das dinamicamente pelo rpcbind que pode causar problemas quando criar regras de firewall Para simplificar este processo use o arquivo etc sysconfig nfs para especificar quais portas ser o usadas MO
166. rewall baseado nestas regras OP importante pane mportante O mecanismo de firewall padr o no kernel 2 4 e vers es posteriores o iptables mas o iptables n o pode ser usado se o ipchains j estiver sendo executado Se o ipchains estiver presente durante a inicializa o o kernel emite um erro e n o inicia o iptables A funcionalidade do ipchains n o foi afetada por estes erros 2 6 1 Filtro de Pacote O kernel Linux usa o servi o do Netfilter para filtrar pacotes permitindo que alguns deles sejam recebidos ou passados pelo sistema enquanto outros s o interrompidos Este servi o embutido no kernel do Linux e possui tr s tabelas ou listas de regras embutidos como se segue filter A tabela padr o para manipular pacotes de rede nat Usado para alterar pacotes que criam uma nova conex o e usado para o Network Address Translation NAT mangle Usado para tipos espec ficos de altera o de pacote Cada tabela possui um grupo de correntes chains que correspondem s a es realizadas no pacote pelo netfilter As correntes chains embutidas para a tabela do filtragem s o estas INPUT Se aplica aos pacotes de rede que s o direcionados para o host OUTPUT Se aplica ao pacotes de rede gerados localmente FORWARD Se aplica aos pacotes de rede roteados no host As correntes embutidas para a tabela nat s o estas PREROUTING Altera os pacotes de rede quando chegam OUTPUT Altera o
167. rmato num rico ao inv s do hostname padr o e o formato de servi o de rede Jine numbers Lista regras em cada corrente pr xima ordem num rica na corrente Esta op o til para quando tentar remover a regra espec fica em uma corrente ou localizar onde inserir uma regra dentro de uma corrente t lt table name gt Especifica um nome de tabela Se omitido torna se tabela de filtro por padr o 2 6 3 Salvando Regras de IPTables Regras criadas com o comando iptables s o armazenadas na memoria Se o sistema for reiniciado antes de salvar o conjunto de regras do iptables todas as regras ser o perdidas Para as regras do netfilter persistirem atrav s da inicializa o do sistema elas precisam ser salvas Para salvar as regras netfilter digite o seguinte comando como root sbin service iptables save Este executa o script init do iptables que roda o programa sbin iptables save e escreve a configura o do iptables atual em etc sysconfig iptables O arquivo etc sysconfig iptables existente salvo como etc sysconfig iptables save A pr xima vez que o sistema inicializar o script init do iptables reaplica as regras salvas no etc sysconfig iptables usando o comando sbin iptables restore Se por um lado uma boa id ia testar uma nova regra iptables antes de submet la ao arquivo etc sysconfig iptables por outro lado poss vel copiar as regras iptables para o arquivo a partir de outra vers o do siste
168. rs est o em uso Usu rios leg timos s o autenticados e conectados ao servi o solicitado enquanto conex es de clientes banidos falham Gerenciamento Centralizado de m ltiplos protocolos Os TCP Wrappers operam separadamente dos servi os de rede que protegem permitindo muitas aplica es de servidor compartilhar um conjunto comum de arquivos de configura es de controle de acesso para um gerenciamento mais simples 2 3 2 Arquivos de Configura o dos TCP Wrappers Para determinar se um cliente permitido se conectar a um servi o os TCP Wrappers referenciam os seguintes dois arquivos que s o comumente referidos como arquivos de acesso de hosts etc hosts allow etc hosts deny Quando um servi o TCP wrapped recebe uma solicita o de um cliente ele realiza os seguintes passos As 1 Ele faz referencia ao etc hosts allow O servi o TCP wrapper analisa sequencialmente o arquivo etc hosts allowe aplica a primeira regra especificada para aquele servi o Se ele encontra uma regra correspondente ele permite a conex o Se n o vai para o pr ximo passo 2 Ele faz refer ncia ao etc hosts deny O servi o TCP wrapper analisa sequencialmente o arquivo etc hosts deny Se ele encontrar uma regra correspondente ele nega a conex o Se n o garante acesso ao servi o eguir est o pontos importantes a considerar quando usar TCP Wrappers para proteger servi os de rede 66 Como as regras de acesso no
169. rvi os controlados pelo xinetd O controle de acesso de hosts xinetd difere do m todo usado pelos TCP Wrappers Enquanto os TCP Wrappers colocam toda a configura o de acesso dentro de dois arquivos etc hosts allow e etc hosts deny o controle de acesso do xinetd encontrado em cada um dos arquivos de configura o do servi o no diret rio etc xinetd d As seguintes op es de acesso de hosts s o suportadas pelo xinetd only from Permite somente os hosts especificados usarem o servi o 75 As q ise Linux 6 Guia de Seguran a no access Bloqueia os hosts listados de usar o servi o access times Especifica o per odo de tempo quando um determinado servi o pode ser usado O per odo de tempo deve ser declarado no formato 24 horas HH MM HH MM As op es only from eno access podem usar uma lista de endere os de IP ou nomes de host ou pode especificar uma rede inteira Como os TCP Wrappers combinar o controle de acesso xinetd com a configura o de log avan ada pode aumentar a seguran a bloqueando pedidos dos hosts banidos enquanto grava a verbosidade de cada tentativa de conex o Por exemplo o arquivo seguinte etc xinetd d telnet pode ser usado para bloquear o acesso Telnet de um grupo de rede particular e restringe o intervalo de tempo de total que mesmo usu rios permitidos podem se logar service telnet disable no flags REUSE socket_type stream wait no user root server
170. s O daemon xinetd pode adicionar um n vel b sico de prote o contra ataques Dos Denial of Service A seguir est uma lista de diretivas que podem auxiliar na limita o da efetividade desses ataques per source Define o n mero m ximo de inst ncias de um servi o por endere o IP de origem Ele aceita somente n meros inteiros como um argumento e pode ser usado em ambos xinetd conf e nos arquivos de configura o de servi o espec ficos no diret rio xinetd d cps Define o n mero m ximo de conex es por segundo Esta diretiva leva dois argumentos de n meros inteiros separados por um espa o em branco O primeiro argumento o n mero m ximo de conex es permitidas para o servi o por segundo O segunto argumento o n mero de segundos que o xinetd deve esperar antes de re ativar o servi o Ele aceita somente n meros inteiros como argumentos e pode ser usado tanto no arquivo xinetd conf ou nos arquivos de configura o de servi o espec ficos no diret rio xinetd d max load Define o uso de CPU ou limite da m dia de carregamento para um servi o Ele aceita um argumento de n mero de ponto flutuante A m dia de carregamento uma medida aproximada de quantos processos est o ativos em um determinado momento Veja os comandos uptime who e procinfo para mais informa es sobre a m dia de carregamento Existem mais op es de gerenciamento de recursos dispon veis para o xinetd Consulte a p gina man xine
171. s A INPUT p tcp m tcp dport 443 j ACCEPT Or importante Importante Ao criar um conjunto de regras iptables a ordem importante Se uma regra especificar que qualquer pacote da sub rede 192 168 100 0 24 seja despejada e seja seguido de uma regra que permite pacotes do 192 168 100 13 o qual esta dentro da sub rede que foi despejada ent o a segunda regra ignorada A regra para permitir pacotes do 192 168 100 13 deve preceder a regra que despeja o restante da sub rede Para inserir uma regra em um local espec fico em uma corrente existente use a op o I Por exemplo root myServer amp iptables I INPUT 1 i lo p all j ACCEPT Esta regra inserida como a primeira regra na corrente INPUT para permitir tr fego de dispositivo loopback local Pode haver vezes que voc requer acesso remoto LAN Servi os seguros por exemplo SSH podem ser usados para conex o remota criptografada servi os LAN Administradores com recursos baseados em PPP como os bancos de modem ou contas ISP em massa acesso discado pode ser usado para evitar barreiras de firewall de forma segura Como s o conex es diretas as conex es de modem se encontram geralmente atr s de um firewall gateway No entanto para usu rios remotos com conex es de banda larga s o reservados casos especiais Voc pode configurar o iptables para aceitar conex es de clientes remotos SSH Por exemplo as regras a seguir permitem acesso SSH remoto
172. s Denial of Service contra determinados hosts falsificando seus endere os IP e se conectando porta proibida 2 2 1 2 2 Controlando Recursos de Servidor Um outro recurso importante do xinetd a habilidade de configurar limites de servi os sobre seu controle Isso pode ser feito usando as seguintes diretivas cps lt number of connections gt lt wait period gt Limita a taxa de conex es de entrada Esta diretiva leva dois argumentos lt number of connections gt O n mero de conex es por segundo para manuseio Se a taxa de conex es de entrada maior que isso o servi o temporariamente desativado O valor padr o cinquenta 50 lt wait period gt O n mero de segundos para esperar antes da reativa o do servi o depois que ele foi desativado O intervalo padr o dez 10 segundos instances lt number of connections gt Especifica o n mero total de conex es permitidas a um servi o Esta diretiva aceita tanto um valor de n mero inteiro ou UNLIMITED ilimitado per source lt number of connections gt Especifica o n mero de conex es permitidas a um servi o por cada host Esta diretiva aceita tanto um valor de n mero ou UNLIMITED ilimitado rlimit as lt number K M gt Especifica a quantidade de espa o de endere o de mem ria que o servi o pode ocupar em kilobytes ou megabytes Esta diretiva aceita tanto um valor de n mero inteiro ou UNLIMITED rlimit cpu lt number of
173. s como adicionar dispositivos ou configurar interfaces de rede podem ser 39 Red Hat Enterprise Linux 6 Guia de Seguran a manuseadas pelos usu rios individuais deixando os administradores de sistema livres para lidar com a seguran a da rede e outras quest es importantes Por outro lado dar acesso root a usu rios individuais podem levar s seguintes quest es Desconfigura o da Maquina Usu rios com acesso root pode desconfigurar suas m quinas e necessitar de assist ncia para resolver o problema Ainda pior eles podem abrir brechas de seguran a sem perceber Executando Servi os Inseguros Usu rios com acesso root podem rodar servidores inseguros em suas m quinas como FTP ou Telnet colocando nomes de usu rios e senhas potencialmente em risco Estes servi os transmitem estas informa es pela a rede em texto puro Executar Anexos de Email como Root Ainda que raro v rus em e mails que afetam o Linux existem O nico momento entretanto que eles s o uma amea a quando eles s o executados pelo usu rio root 2 1 4 2 Desabilitando Acesso ao Root Se um administrador n o est confort vel em permitir que os usu rios autentiquem se como root por estas e outras raz es a senha root deve ser mantida em segredo e acessar o n vel de execu o um ou modo de usu rio nico deve ser desativado atrav s de prote o de senha do carregador de boot assegurar ainda mais que logins root sejam desativados 4
174. s e frases e chamar a aten o para informa es espec ficas conjunto de Fontes Liberation Fonts tamb m usado em formato HT ML caso o conjunto esteja instalado em seu sistema Caso ainda n o esteja como forma alternativa est o dispon veis tipos de letras equivalentes Nota O Red Hat Enterprise Linux 5 e vers es mais recentes do mesmo incluem o conjunto Liberation Fonts por padr o 1 1 Conven es Tipogr ficas S o usadas quatro conven es tipogr ficas para real ar palavras e frases espec ficas Estas conven es e circunst ncias a que se aplicam s o as seguintes Negrito Espa o nico Mono spaced Bold Usada para real ar entradas do sistema incluindo comandos de shell nomes de arquivos e caminhos S o tamb m usadas para real ar teclas Mai sculas Min sculas e as combina es de teclas Por exemplo Para ver o conte do do arquivo my next bestselling novel em sua pasta de trabalho atual insira o comando cat my next bestselling novel na janela de solicita o e pressione Enter para executar o comando O comando acima inclui um nome de arquivo um comando de shell e uma tecla todos apresentados em Negrito Espa o nico Mono spaced Bold e todos distintos gra as ao conte do As combina es de tecla podem ser diferenciadas de uma tecla individual pelo sinal positivo que conecta cada parte da combina o da tecla Por exemplo Pressione Enter para executar o comando Pressione Ctr1 Alt F2 pa
175. s externos e usu rios n o autorizados no host local 1 3 2 1 2 Servidores Centralizados Outra armadilha de rede potencial o uso de computa o centralizada Uma medida comum para cortar custos em muitas empresas consolidar todos os servi os a uma nica m quina poderosa Isto pode ser conveniente j que mais f cil de gerenciar e custa consideravelmente menos do que configura es de servidores m ltiplos Entretanto um servidor centralizado apresenta um nico ponto de falha na rede Se o servidor central estiver comprometido pode tornar a rede completamente sem uso ou pior inclinado manipula o de dados ou roubo Nestas situa es um servidor central se torna uma porta aberta que permite acesso rede inteira 1 3 3 Amea as Seguran a do Servidor A seguran a do servidor t o importante quanto a seguran a de rede porque os servidores muitas vezes possuem uma grande parcela de informa es vitais de uma organiza o Se um servidor estiver comprometido todo o seu conte do pode se tornar dispon vel para o cracker roubar ou manipular vontade As se es seguintes detalham alguns dos problemas principais 1 3 3 1 Servi os n o usados e Portas Abertas A instala o completa do Red Hat Enterprise Linux 6 possui mais de 1000 aplicativos e pacotes de bibliotecas Entretanto a maioria dos administradores de servidores optam por n o instalar todos os pacotes da distribui o preferindo em vez disso ins
176. s na configura o servi os de uma maneira segura 1 3 4 Amea as Esta o de Trabalho e Seguran a no PC dom stico Esta es de trabalho e PCs dom sticos podem n o serem t o inclinados ataques quanto em redes ou servidores mas j que frequentemente possuem dados sens veis tais como informa es de cart es de cr dito eles s o alvos de crackers de sistemas Esta es de trabalho podem tamb m ser cooptadas sem o conhecimento do usu rio e usadas como m quinas escravos em ataques coordenados Por estas raz es conhecer as vulnerabilidades de uma esta o de trabalho pode tirar os usu rios a dor de cabe a de reinstalar o sistema operacional ou pior se recuperar de roubo de dados 1 3 4 1 Senhas Ruins Senhas ruins s o uma das maneiras mais f ceis para um invasor ganhar acesso a um sistema Para 1 3 4 2 Aplica es Clientes Vulner veis Apesar de um administrador poder ter um servidor totalmente seguro e com corre es isto n o significa que usu rios remotos est o seguros ao acessa lo Por exemplo se o servidor oferece Telnet ou servi os FTP para uma rede p blica um invasor pode capturar os nomes de usu rios e senha em texto puro conforme eles passam pela rede e ent o usar as informa es da conta para acessar a esta o de trabalho do usu rio remoto Mesmo quando usar protocolos seguros como SSH um usu rio remoto pode estar vulner vel a certos ataques se eles n o manterem suas aplica
177. s pacotes de rede gerados localmente antes de serem enviados POSTROUTING Altera pacotes de rede antes de serem enviados As chains correntes embutidas para a tabela mangle s o estas INPUT Altera pacotes de rede alvo para a m quina OUTPUT Altera os pacotes de rede gerados localmente antes de serem enviados FORWARD Altera pacotes de rede roteados pela m quina 95 Red Hat Enterprise Linux 6 Guia de Seguran a PREROUTING Altera pacotes de entrada antes de serem roteados POSTROUTING Altera pacotes de rede antes de serem enviados Cada pacote de rede recebido por ou enviado de um sistema Linux est sujeito ao menos uma tabela No entanto um pacote pode estar sujeito diversas regras dentro de cada tabela antes de emergir no final da corrente A estrutura e prop sito destas regras podem variar mas elas geralmente procuram identificar um pacote que vem ou vai um endere o IP espec fico ou conjunto de endere os ao usar um determinado protocolo e servi o de rede A imagem a seguir apresenta como os pacotes s o examinados pelo subsistema do iptables PREROUTING FORWARD POSTROUTING Routing ER 4 Decision OUTPUT v Inspection Point Local Process Por padr o as regras de firewall s o salvas nos arquivos etc sysconfig iptables ou etc sysconfig ip6tables O servi o iptables inicia antes dos servi os relacionados ao DNS quando um sistema Linux inicializado Isto significa q
178. sados ou desnecess rios Para mais informa es sobre usar o Nmap consulte a p gina web oficial na seguinte URL 1 2 3 2 Nessus O Nessus um escaner de seguran a de servi o completo A arquitetura de plug in do Nessus permite usu rios personaliza lo para seus sistemas e redes Como em qualquer escaner o Nessus somente t o bom quanto a assinatura de banco de dados em que ele est Felizmente o Nessus frequentemente atualizado e cont m recursos de relat rio completos escaneamento de host e busca de vulnerabilidades em tempo real Se lembre que podem existir falsos positivos e falsos negativos mesmo em uma ferramenta t o poderosa e frequentemente atualizada como o Nessus O cliente Nessus e o software do servidor requerem uma subscri o para serem usados Ela foi inclu da neste documento como uma referencia usu rios que podem estar interessados em usar esta aplica o popular Para mais informa es sobre o Nessus consulte o web site oficial no seguinte endere o 1 2 3 3 Nikto Nikto um excelente escaner de script de interface de gateway comum CGI O Nikto n o somente verifica por vulnerabilidades CGI mas o faz de uma maneira evasiva para ent o enganar sistemas de detec o de intrus o O Nikto vem com uma documenta o completa que deve ser cuidadosamente revisada antes de rodar o programa Se voc tiver servidores web rodando scripts CGI o Nikto pode ser um excelente recurso para checar a seguran
179. se a op o banner Este exemplo implementa um banner para o vsf tpd Para iniciar crie um arquivo de banner Ele pode estar em qualquer lugar no sistema mas ele deve ter o mesmo nome como o daemon Para este exemplo este arquivo chamado etc banners vsftpd e cont m a seguinte linha 220 Hello c 220 All activity on ftp example com is logged 220 Inappropriate use will result in your access privileges being removed O token c fornece uma variedade de informa es sobre o cliente tais como o nome de usu rio e hostname ou nome de usu rio e endere o de IP para fazer a conex o ainda mais intimidadora Para este banner ser mostrado s conex es de entrada adicione a seguinte linha ao arquivo 51 Red Hat Enterprise Linux 6 Guia de Seguran a etc hosts allow vsftpd ALL banners etc banners 2 2 1 1 2 TCP Wrappers e Avisos de Ataques Se um determinado host ou rede tiver sido detectada atacando o servidor os TCP Wrappers podem ser usados para avisar o administrador de ataques subsequentes daquele host ou rede usando a diretiva spawn Neste exemplo pressuponha que um cracker da rede 206 182 68 0 24 foi detectado tentando atacar o servidor Coloque a seguinte linha no arquivo etc hosts deny para negar quaisquer tentativas de conex o dessa rede e registrar as tentativas em log em um arquivo especial ALL 206 182 68 0 spawn bin echo date c d gt gt var log intruder alert O token d fornece o nome
180. seconds gt Especifica o per odo de tempo em segundos que um 53 Red Hat Enterprise Linux 6 Guia de Seguran a servi o pode ocupar na CPU Esta diretiva aceita tanto um integrador de n mero inteiro ou UNLIMITED limitado Usando estas diretivas pode ajudar a impedir qualquer servi o xinetd nico de sobrecarregar o sistema resultando em um Dos denial of service 2 2 2 Protegendo o Portmap O servi o por tmap um daemon de atribui o de porta din mica para servi os RPC como NIS e NFS Ele possui uma mecanismo de autentica o fraco e possui a habilidade de atribuir uma grande variedade de portas para os servi os que controla Por estas raz es ele dif cil de proteger K e Protegendo o portmap somente afeta as implementa es NFSv2 e NFSv3 j que o NFSv4 n o o requer mais Se voc planeja implementar um servidor NFSv2 ou NFSv3 ent o o por tmap requerido e as seguintes se es se aplicam Se rodar os servi os RPC siga estas regras b sicas 2 2 2 1 Proteja o portmap com TCP Wrappers importante usar os TCP Wrappers para limitar quais redes ou hosts t m acesso ao servi o portmap desde que ele n o possua uma forma de autentica o embutida Al m disso use somente endere os IP quando limitar acesso ao servi o Evite usar hostnames j que eles podem ser falsificados por envenenamento de DNS e outros m todos 2 2 2 2 Proteger o portmap com o iptables Para restringir ainda mais o
181. servi os est o escutando por pedidos da rede e eles deveriam estar rodando Firewalls Pessoais Qual tipo de firewall seria necess rio Ferramentas de Comunica o com Seguran a Avan ada Quais ferramentas devem ser usadas para se comunicar entre esta es de trabalho e quais deveriam ser evitadas 2 1 2 Seguran a da BIOS e do Carregador de Boot A prote o por senha da BIOS ou equivalente BIOS e do carregador de boot podem prevenir que usu rios n o autorizados que possuem acesso f sico aos sistemas de realizarem o boot usando m dias remov veis ou obter privil gios root atrav s do modo de usu rio nico As medidas de seguran a que voc deve tomar para se proteger de tais ataques dependem tanto da sensibilidade da informa o na esta o de trabalho e da localiza o da m quina Por exemplo se uma m quina usada em uma exposi o e n o possui nenhuma informa o sens vel ent o pode n o ser cr tico prevenir tais ataques Entretanto se um notebook de um empregado com chaves pessoais SSH e sem encripta o da rede da empresa deixado desacompanhado na mesma exposi o isso poderia ser uma brecha de seguran a maior com ramifica es em toda a empresa Se a esta o de trabalho est localizada em um lugar onde somente pessoas autorizadas ou de confian a possuem acesso ent o proteger a BIOS ou o carregador do boot pode n o ser necess rio 2 1 2 1 Senhas da BIOS As duas raz es prim rias
182. st ai FP Importante Os coringas KNOWN UNKNOWN e PARANOID devem ser usados com cuidado por causa que eles dependem em um servidor DNS em funcionamento para que a opera o seja correta Qualquer disruptura na resolu o de nome pode impedir usu rios leg timos de ganhar acesso ao servi o 2 3 2 1 2 Modelos Modelos podem ser usados no campo de cliente das regras de acesso para mais precisamente especificar grupos de hosts clientes A seguir h uma lista de modelos comuns para serem usadas no campo do cliente Hostname iniciando com ponto Colocar um ponto no in cio de um hostname corresponde a todos os hosts compartilhando os componentes listados do nome O exemplo a seguir se aplica a qualquer host dentro do dom nio example com ALL example com Endere o de IP terminando com um ponto Colocar um ponto no final do endere o IP corresponde a todos os hosts compartilhando os grupos num ricos iniciais de um endere o de IP O exemplo seguinte se aplica a qualquer host dentro da rede 192 168 x x 68 Cap tulo 2 Protegendo sua Rede ALL 192 168 endere o de IP par m scara de rede Express es de mascara de rede podem tamb m ser usadas como um modelo para controlar acesso a um grupo particular de endere os IP O exemplo seguinte se aplica a qualquer host com uma varia o de endere o de 192 168 0 0 at 192 168 1 255 ALL 192 168 0 0 255 255 254 0 Quando trabalhar com espa o de endere
183. stific vel nos or amentos de TI Organiza es que requerem integridade dos dados e 12 Cap tulo 1 Vis o Geral da Seguran a alta disponibilidade evocam as habilidades dos administradores de sistemas desenvolvedores e engenheiros para garantir uma confian a de seus sistemas servi os e informa es 24x7 Ser v tima de usu rios maliciosos processos ou ataques coordenados uma amea a direta ao sucesso da organiza o Infelizmente a seguran a da rede e de sistemas podem ser uma proposta dif cil exigindo um conhecimento complexo de como a empresa encara usa manipula e transmite suas informa es Compreender a forma como uma organiza o e as pessoas que comp em a organiza o conduz os neg cios fundamental para implementa o de um plano de seguran a apropriado 1 1 1 3 Padroniza o da Seguran a Empresas de todas as reas confiam em regulamentos e regras que s o definidas por entidades de padroniza o como a American Medical Association AMA ou o Institute of Electrical and Electronics Engineers IEEE Os mesmos ideais s o verdadeiros para a seguran a da informa o Muitos consultores de seguran a e fornecedores concordam com um modelo de padroniza o da seguran a conhecido como CIA ou Confidentiality Integrity and Availability Este modelo de tr s camadas um componente geralmente aceito para avaliar riscos de informa es sens veis e estabelecer pol tica de seguran a O seguinte descre
184. talar os pacotes b sicos incluindo diversas aplica es do servidor Uma ocorr ncia comum entre administradores de sistemas instalar o sistema operacional sem prestar aten o a quais programas est o atualmente sendo instalados Isso pode ser problem tico porque 20 Cap tulo 1 Vis o Geral da Seguran a servi os desnecess rios podem ser instalados configurados com defini es padr es e possivelmente serem ativados Isto pode fazer com que servi os n o requeridos como Telnet DHCP ou DNS sejam executados no servidor ou esta o de trabalho sem o administrador perceber podendo causar tr fego n o requerido no servidor ou mesmo um caminho potencial ao sistema para crackers Consulte a usados 1 3 3 2 Servi os sem Corre o A maioria dos aplicativos que est o inclu dos em uma instala o padr o s o software est veis completamente testados Estando em uso em ambientes de produ o por muitos anos seus c digos t m sido completamente refinados e muitos bugs foram encontrados e corrigidos Entretanto n o existe um software perfeito e existe sempre espa o para mais refinamento Al m disso um software novo muitas vezes n o testado t o rigorosamente como se pode esperar pelo motivo de sua chegada recente aos ambientes de produ o ou porque pode n o ser t o popular quanto outros softwares de servidor Desenvolvedores e administradores de sistemas muitas vezes encontram bugs explor veis em aplica
185. tarizada que corresponde a um computador ou sub rede que fica entre a rede interna confi vel como uma LAN privada corporativa e uma rede externa n o confi vel como a internet p blica Tipicamente o DMZ cont m dispositivos acess veis ao tr fego de internet como servidores web HTTP servidores FTP servidores SMTP e mail e servidores DNS Quando voc realizar uma avalia o de vulnerabilidade de olhar ao redor internamente voc possui uma vantagem j que voc est dentro e seu estado elevado confi vel Este o ponto de vista que voc e seus colegas de trabalho possuem uma vez autenticados a seus sistemas Voc v servidores de impress o servidores de arquivos e outros recursos Existem diferen as not veis entre os dois tipos de avalia o de vulnerabilidade Sendo interno sua empresa lhe d mais privil gios do que um externo Na maioria das organiza es a seguran a configurada para manter invasores fora Muito pouco feito para proteger a parte interna da organiza o como firewalls de departamentos controles de acesso de n vel de usu rios e procedimentos de autentica o para recursos internos Tipicamente existem muito mais recursos quando olhar internamente j que a maioria dos sistemas s o internos uma empresa Uma vez que voc est fora da empresa seu estado n o confi vel Os sistemas e recursos dispon veis para voc externamente s o normalmente muito limitados Consider
186. td conf para maiores informa es 2 3 5 Recursos Adicionais Mais informa es sobre TCP Wrappers e xinetd est o dispon veis na documenta o dos sistemas e na internet 2 3 5 1 Documenta o Instalada dos TCP Wrappers A documenta o que est no seu sistema um bom lugar para iniciar a busca por op es adicionais de configura o para os TCP Wrappers xinetd e o controle de acesso usr share doc tcp wrappers lt version gt Este diret rio cont m um arquivo README que discute como os TCP Wrappers funcionam e os riscos variados de spoofing do hostname e endere o de host existentes usr share doc xinetd lt version gt Este diret rio cont m um arquivo README que discute aspectos de controle de acesso e um arquivo sample conf com v rias id ias para modificar os arquivos de configura o de servi o espec ficos no diret rio etc xinetd d 78 Cap tulo 2 Protegendo sua Rede As p ginas man relacionadas dos TCP Wrappers e xinetd Uma variedade de p ginas man existem para v rias aplica es e arquivos de configura o envolvidos com os TCP Wrappers e xinetd A seguir est o algumas das mais importantes das p ginas man Aplica es do Servidor man xinetd A p gina man para o xinetd Arquivos de Configura es man 5 hosts access A p gina man para os arquivos de controle de acesso ao host dos TCP Wrappers man hosts options A p gina man para os campos de op es dos TCP Wr
187. te um comando que adiciona uma regra que filtra pacotes de uma sub rede espec fica usando uma variedade de par metros e op es espec ficos podem ser um tanto longos Ao construir os comandos iptables importante lembrar que alguns par metros e op es requerem mais par metros e op es para construir uma regra v lida Isto pode produzir um efeito cascata com os par metros adicionais que requerem ainda mais par metros At que cada par metro e op o que requerem outro conjunto de op es sejam atendidos a regra n o v lida Digite iptables h para visualizar uma lista compreensiva de estruturas de comando iptables 2 6 2 2 Op es de Comando As Op es de Comando instruem o iptables a realizar uma a o espec fica Somente uma op o de comando permitida por comando iptables Com a exce o do comando help todos os comandos s o escritos em letras mai sculas Os comandos iptables s o A Adiciona a regra ao final da corrente especificada Oposto op ao I descrita abaixo esta op o n o toma um argumento inteiro Ele sempre adiciona a regra ao final da corrente especificada D lt integer gt lt rule gt Remove uma regra em uma corrente espec fica pelo n mero como o 5 para a quinta regra em uma corrente ou por uma especifica o de regra A especifica o de regra deve coincidir exatamente uma regra existente E Renomeia uma corrente definida por usu rio Uma corrente definid
188. ter mais detalhes Ele foi efetivado com padr o no dia 26 de Maio de 2002 Est dispon vel em diversos pacotes de criptografia diferentes O AES a primeira c fra aberta acess vel ao p blico pelo NSA para informa es secretas veja Seguran a do AES abaixo 15 A c fra Rijndael foi desenvolvida pelos critografadores Belgos Joan Daemen e Vincent Rijmen e submetido por eles para o processo de sele o do AES O Rijndael pronuncia se reinda uma palavra valise do nome de dois inventores 18 A 1 2 Data Encryption Standard DES O Data Encryption Standard DES uma c fra em bloco uma forma de criptografia secreta compartilhada que foi selecionada pelo National Bureau of Standards como um Padr o de Processamento de Informa es Federal FIPS Federal Information Processing Standard para os Estados Unidos em 1976 e o qual foi utilizado internacionalmente Ele baseado em algor tmos de chave sim trica que usam chaves de 56 bits O algor timo gerou controv rsias inicialmente com elementos de modelo classificados um tamanho de chave relativamente pequeno e esteve sob suspeita de conter uma backdoor porta dos fundos do National Security Agency NSA O DES consequentemente foi criado sob uma an lise detalhada acad mica que motivou a compreens o moderna de cifras de bloco e suas criptoan lises 71 A 1 2 1 Uso do DES A 1 2 2 Hist rico do DES O DES considerado inseguro por muitos aplicativos Is
189. tes ou agentes de entrega Apesar de que muitos MT As s o capazes de criptografar o tr fego entre eles a maioria n o o faz ent o enviar emails sobre quaisquer redes p blicas considerado um forma insegura de comunica o recomendado que qualquer um planejando implementar um servidor Sendmail aborde as seguintes quest es 2 2 7 1 Limitando um DoS Denial of Service Attack Devido a natureza do email um determinado invasor pode causar um flood no servidor com emails bem facilmente e causar uma nega o de servi o Configurar limites nas seguintes diretivas no etc mail sendmail mc a efetividade do tais ataques limitada confCONNECTION RATE THROTTLE O n mero de conex es que o servidor pode receber por 61 Red Hat Enterprise Linux 6 Guia de Seguran a segundo Por padr o o Sendmail n o limita o n mero de conex es Se um limite definido e alcan ado as pr ximas conex es s o atrasadas confMAX DAEMON CHILDREN O n mero m ximo de processos filhos que podem ser gerados pelo servidor Por padr o o Sendmail n o atribui um limite ao n mero de processos filhos Se um limite definido e alcan ado as pr ximas conex es s o atrasadas confMIN FREE BLOCKS O n mero m nimo de blocos livres que devem estar dispon veis para o servidor para aceitar mail O padr o 100 blocos confMAX HEADERS LENGTH O tamanho m ximo aceit vel em bytes para um cabe alho de mensagens confMAX MESSAGE SI
190. tk KERN_INFO s device hasn t been assigned before so cannot be deassigned n func r EINVAL goto out kvm_deassign_device kvm match kvm_free_assigned_device kvm match out mutex unlock amp kvm gt lock return r 3 1 3 Notas e Avisos E por fim usamos tr s estilos visuais para chamar a aten o para informa es que possam passar despercebidas Uma nota uma dica ou s mbolo ou ainda uma op o alternativa para a tarefa em quest o Se voc ignorar uma nota provavelmente n o resultar em m s consequ ncias por m poder deixar passar uma dica importante que tornar sua vida mais f cil Importante Caixas importantes detalham coisas que s o geralmente f ceis de passarem despercebidas mudan as de configura o que somente se aplicam sess o atual ou servi os que precisam ser reiniciados antes que uma atualiza o seja efetuada Se voc ignorar estas caixas importantes n o perder dados por m isto poder causar irrita o e frustra o A Aten o Um Aviso n o deve ser ignorado Se voc ignorar avisos muito provavelmente perder dados Red Hat Enterprise Linux 6 Guia de Seguran a 2 Precisamos do seu Feedback Se voc encontrar um erro tipogr fico neste manual ou se pensou em alguma maneira de melhorar este Hat Enterprise Linux Ao submeter um relat rio de erro lembre se de mencionar o identificador do manual doc Security Guide e n mero de vers o 6
191. to se deve ao fato do tamanho da chave de 56 bits ser muito pequeno em Janeiro 1999 distributed net e o Electronic Frontier Foundation colaboraram com a quebra p blica de uma chave do DES em 22 horas e 15 minutos veja a cronologia Existem tamb m alguns resultados anal ticos que demonstraram fraqueza teor tica na c fra embora sejam imposs veis de se montar na pr tica Acredita se que o algor tmo seja praticamente seguro na forma de Triple DES embora existam ataques teor ticos Recentemente a c fra foi substitu da pela c fra Advanced Encryption Standard AES 18 124 Padr es de Criptografia Em algumas documenta es foi feita uma distin o entre o DES como um padr o e o DES algor timo que referido como o DEA o Data Encryption Algorithm Na fala o DES soletrado como uma abrevia o dir i s ou pronunciado como um acronismo de uma s laba dez 19 A 2 Criptografia de chave P blica A criptografia de chave p blica uma forma de criptografia empregada por muitos algor timos criptogr ficos e criptosistemas cujas caracter sticas distintas s o o uso de algor timos de chave assim tricos ao inv s de ou al m de algor timos de chaves sim tricas O uso das t cnicas de criptografia p blica de chave privada muitos m todos de prote o de comunica o ou autentica o de mensagens antes desconhecidas se tornaram pr ticas Elas n o requerem uma troca inicial segura de uma ou mais cha
192. tre remotos 92 Cap tulo 2 Protegendo sua Rede As seguintes regras derrubam todo o tr fego do TCP que tentam usar a porta 31337 root myServer iptables A OUTPUT o etho p tcp dport 31337 sport 31337 j DROP root myServer iptables A FORWARD o ethO p tcp dport 31337 sport 31337 j DROP Voc tamb m pode bloquear conex es de fora que tentam fazer spoof de varia es de endere o IP privados para infiltrar sua LAN Por exemplo se sua LAN usa a classe 192 168 1 0 24 voc pode criar uma regra que instrui o dispositivo de rede de internet por exemplo ethO para derrubar todos os pacotes naquele dispositivo com um endere o em sua classe de IP de LAN Pelo motivo que recomendado rejeitar pacotes encaminhados como pol tica padr o qualquer outro endere o IP forjado ao dispositivo que lida com dados externos eth0 rejeitado automaticamente root myServer iptables A FORWARD s 192 168 1 0 24 i eth j DROP Existe uma distin o entre o DROP e alvos REJECT ao lidar com as regras adicionadas O alvo REJECT nega acesso e retorna um erro de conex o negada para usu rios que tentam se conectar ao servi o O alvo DROP como o nome implica despeja o pacote sem qualquer aviso Os administradores podem usar sua pr pria discri o ao usar estes alvos No entanto para evitar confus o do usu rio e tentativa de continuar se conectar o alvo REJECT recomendado 2 5 7 IPTables e Rastre
193. trial Security Program NISP estabelece uma s rie de procedimentos e requerimentos para todos os contratantes do governo em rela o a informa es classificadas O NISPOM atual datado em 28 de Fevereiro de 2006 O documento NISPOM pode ser baixado da seguinte forum global aberto lan ado em 2006 respons vel pelo desenvolvimento gerenciamento educa o e consci ncia do PCI Security Standards incluindo o Data Security Standard DSS Voc pode baixar o padr o PCI DSS a partir de 7 5 Guia de Implementa o T cnico de Seguran a O Guia de Implementa o T cnico de Seguran a ou STIG uma metodologia para instala o e manuten o segura padronizada do software e hardware do computador Consulte a seguinte URL para obter uma lista dos guias dispon veis 121 Red Hat Enterprise Linux 6 Guia de Seguran a Cap tulo 8 Refer ncias As refer ncias a seguir s o apontadores de informa es adicionais que s o relevantes ao SELinux e Red Hat Enterprise Linux mas al m do escopo deste guia Note que devido ao r pido desenvolvimento do SELinux um pouco deste material pode ser aplicado somente em lan amentos espec ficos do Red Hat Enterprise Linux Livros SELinux by Example Mayer MacMillan and Caplan Prentice Hall 2007 Tutorial e Ajuda Entendendo e Padronizando o Apache HTTP SELinux Policy Informa es Gerais Website Principal do NSA SELinux Tecnologia Uma Vis o Geral de Classes de Objetos
194. truir uma regra de filtro 98 Cap tulo 2 Protegendo sua Rede de pacote c Redefine os contadores para uma regra espec fica Este par metro aceita as op es PKTS e BYTES para especificar quais contadores redefinir d Estabelece o hostname de destino endere o IP ou rede de um pacote que coincide a regra Quando coincidir uma rede o seguinte formato de endere o IP netmasks s o suportados N N N N M M M M Onde N N N N a classe de endere o IP e M M M M o netmask N N N N M Onde N N N N o endere o IP e M o bitmask f Aplique estas regras somente pacotes fragmentados Voc pode usar este caractere de ponto de exclama o antes deste par metro para especificar que somente os pacotes desfragmentados s o coincidentes Distinguir entre os pacotes fragmentados e desfragmentados uma boa pr tica apesar dos pacotes fragmentados serem uma parte padr o do protocolo IP Inicialmente criado para permitir que pacotes IP viajem sob redes com tamanhos de estruturas diferentes estas fragmenta es de dias s o mais usadas para gerar ataques de DoS usando pacotes mal formados Tamb m vale notar que a fragmenta o retira totalmente a permiss o i Define a interface de rede de entrada como ethO ou ppp Como iptables este par metro opcional pode ser usado somente com as correntes INPUT e FORWARD quando usado coma tabela filter e a corrente PREROUTING com as tabelas nat e mangle Este
195. trutura primeiro para encontrar os hosts em execu o Uma vez localizados examine cada host individualmente Focar nestes hosts requer um outro conjunto de ferramentas Conhecer quais ferramentas usar pode ser um passo crucial para encontrar vulnerabilidades Assim como qualquer aspecto do dia a dia existem muitas ferramentas diferentes que realizam a mesma tarefa Este conceito se aplica tamb m para realizar avalia es de vulnerabilidade Existem ferramentas especificas para sistemas operacionais aplica es e mesmo redes baseadas nos protocolos usados Algumas ferramentas s o gr tis outras n o Algumas ferramentas s o intuitivas e f ceis de usar enquanto outras s o ocultas e mal documentadas mas possuem recursos que outras ferramentas n o possuem Encontrar as ferramentas certas pode ser uma tarefa dif cil e no final a experi ncia que conta poss vel montar um laborat rio de testes e tentar o m ximo de ferramentas que voc puder anotando os pontos fortes e fracos de cada uma Revise o arquivo LEIAME ou p gina man da ferramenta Adicionalmente procure na internet para mais informa es como artigos guias passo a passo ou mesmo listas de e mails espec ficas da ferramenta As ferramentas discutidas abaixo s o apenas um pequeno exemplo das ferramentas dispon veis 1 2 3 1 Escaneando Hosts com o Nmap O Nmap uma ferramenta popular que pode ser usada para determinar o desenho de uma rede O Nmap est dispon
196. tstat an ou lsof i Este m todo menos confi vel desde que estes programas n o se conectam m quina a partir da rede mas melhor verificar para ver o que est rodando no sistema Por esta raz o estas aplica es s o alvos frequentes de substitui es por invasores Crackers tentam cobrir seus rastros se eles abrirem portas de rede n o autorizadas substituindo o netstat e o lsof com suas pr prias vers es modificadas Uma maneira mais confi vel de checar quais portas est o escutando na rede usar um escaner de porta como o nmap O seguinte comando emitido a partir do console determina quais portas est o escutando pelas conex es TCP da rede nmap sT O localhost 62 O resultado deste comando aparece como a seguir Starting Nmap 4 68 http nmap org at 2009 03 06 12 08 EST Interesting ports on localhost localdomain 127 0 0 1 Not shown 1711 closed ports PORT STATE SERVICE 22 tcp open ssh 25 tcp open smtp 111 tcp open rpcbind 113 tcp open auth 631 tcp open ipp 834 tcp open unknown 2601 tcp open zebra 32774 tcp open sometimes rpc1i1 Device type general purpose Running Linux 2 6 X OS details Linux 2 6 17 2 6 24 Uptime 4 122 days since Mon Mar 2 09 12 31 2009 Network Distance O hops OS detection performed Please report any incorrect results at http nmap org submit Nmap done 1 IP address 1 host up scanned in 1 420 seconds Este resultado mostra que o sistema est rodand
197. tual em segmentos execut veis e n o execut veis Qualquer c digo de programa que tenta executar fora do segmento execut vel tal como um c digo malicioso injetado a partir de uma explora o de buffer overflow aciona um defeito de segmenta o e o termina O Execshield tamb m inclui suporte para a tecnologia No eXecute NX em plataformas AMD64 e tecnologia eXecute Disable XD em Itanium e sistemas Intel 64 Estas tecnologias trabalham em conjunto com o ExecShield para impedir c digos maliciosos de rodar na por o de mem ria virtual execut vel com uma granularidade de 4KB de c digo execut vel baixando o risco de ataque a partir de explora es stealthy buffer overflow OP importante m mportante Para limitar a exposi o de ataques na rede todos os servi os que n o s o usados devem ser desligados 2 1 5 2 Identificando e Configurando Servi os Para aumentar a seguran a a maioria dos servi os de rede instalados com o Red Hat Enterprise Linux s o desligados por padr o Existem entretanto algumas exce es not veis cupsd O servidor de impress o do Red Hat Enterprise Linux lpd Um servidor de impress o alternativo xinetd Um super servidor que controla conex es de uma variedade de servidores subordinados tais como gssftp e telnet sendmail O Sendmail Mail Transport Agent MTA ativado por padr o mas somente escuta por conex es do localhost Red Hat Enterprise Linux 6 Guia de Segu
198. tualiza o de pacote No geral reinicializar o sistema a maneira mais certa para garantir que a ltima vers o do pacote de software usada esta op o n o sempre requerida ou dispon vel para o administrador do sistema Aplicativos Aplicativos do espa o do usu rio s o quaisquer programas que podem ser iniciados por um usu rio do sistema Tipicamente tais aplicativos s o usados somente quando um usu rio script ou tarefa automatizada os rodam e estes n o persistem por longos per odos de tempo Uma vez que determinado aplicativo de espa o de usu rio atualizado pare quaisquer inst ncias do aplicativo no sistema e rode o programa de novo para usar a vers o atualizada Kernel O kernel o componente de software principal do sistema operacional Red Hat Enterprise Linux Ele gerencia o acesso mem ria ao processador e aos perif ricos e tamb m a todas as tarefas agendadas Por causa de seu papel central o kernel n o pode ser reiniciado sem tamb m parar o computador Portanto uma vers o atualizada do kernel n o pode ser usada at que o sistema seja reinicializado Bibliotecas Compartilhadas Bibliotecas compartilhadas s o unidades de c digos como o glibc que s o usados por um n mero de aplica es e servi os Aplica es utilizando uma biblioteca compartilhada tipicamente carrega o c digo compartilhado quando a aplica o inicializada ent o quaisquer aplica es usando a biblioteca a
199. tualizada deve ser parada e reiniciada Para determinar quais aplicativos em execu o se ligam a uma determinada biblioteca use o comando 1sof como no exemplo seguinte lsof 1ib libwrap so Este comando retorna uma lista de todas os programas que usam os TCP Wrappers para controle de acesso ao host Portanto qualquer programa listado deve ser parado e reiniciado se o pacote tcp wrappers estiver atualizado Servi os SysV Servi os SysV s o programas de servidores persistentes iniciados durante o processo de boot Exemplos de servi os SysV incluem o sshd vsftpd e xinetd Pela raz o que estes programas normalmente persistem na mem ria pelo tempo que a m quina inicializada cada servi o de atualiza o SysV deve ser parado e reiniciado depois 29 Red Hat Enterprise Linux 6 Guia de Seguran a que o pacote atualizado Isto pode ser feito usando Services Configuration Tool Ferramenta de Configura o de Servi os ou se autenticando no shell root e digitando o comando sbin service conforme no exemplo seguinte sbin service lt service name gt restart No exemplo anterior substitua o lt service name gt com o nome do servi o como o sshd Servi os xinetd Servi os controlados pelo super servi o xinetd somente roda quando h uma conex o ativa Exemplos de servi os controlados pelo xinetd incluem o Telnet IMAP e POP3 Pela raz o que novas inst ncias destes servi os s o iniciadas pelo xinetd cada vez q
200. u rios dom sticos avan ados ou de empresas atualiza es de seguran a devem ser testadas e agendadas para instala o Controles adicionais precisar o ser usados para proteger o sistema durante o per odo entre o lan amento da corre o e sua instala o no sistema Estes controles dependem da vulnerabilidade mas podem incluir regras adicionais de firewall o uso de firewalls externos ou mudan as nas configura es do software 6 3 Ajustando Atualiza es Autom ticas O Red Hat Enterprise Linux configurado para aplicar todas as atualiza es em uma programa o di ria Se voc quiser mudar como seu sistema instala as atualiza es voc deve fazer pelo Software Update Preferences Prefer ncias de Atualiza o de Software Voc pode mudar a programa o os tipos de atualiza es a serem aplicadas ou notific lo sobre atualiza es dispon veis No Gnome voc pode encontrar controles de suas atualiza es em System gt Preferences gt Software Updates No KDE est localizado em Applications gt Settings gt Software Updates 6 4 Instale Pacotes Assinados de Reposit rios Bem Conhecidos Pacotes de Software s o publicados nos reposit rios Todos os reposit rios bem conhecidos suportam assinatura de pacotes Assinatura de Pacotes usam tecnologia de chave p blica para provar que o pacote foi publicado pelo reposit rio e n o foi alterado desde que a assinatura foi aplicada Isto fornece certa prote
201. ue as regras do firewall podem somente fazer refer ncia endere os de IP num ricos por exemplo 192 168 0 1 Nomes do dominio por exemplo host example com em tais regras produzem erros Seja qual for o destino quando os pacotes coincidem com uma regra espec fica em uma das tabelas um alvo ou a o aplicado eles Se a regra especifica um alvo ACCEPT para um pacote coincidente o pacote pula o restante das verifica es de regras e permitido que continue com seu destino Se uma regra especifica um alvo DROP aquele pacote recusado ter acesso ao sistema e nada retornado ao host que enviou ou pacote Se uma regra especifica um alvo QUEUE o pacote passado ao espa o de usu rio Se uma regra especifica o alvo opcional REJECT o pacote despejado mas um pacote de erro enviado ao originador do pacote Toda corrente possui uma pol tica padr o para ACCEPT DROP REJECT ou QUEUE Se nenhuma destas regras na corrente se aplicar ao pacote ent o o pacote ser lidado de acordo com a pol tica padr o O comando iptables configura estas tabelas assim como instala tabelas se necess rio 2 6 2 Op es de Comando para IPTables Regras para filtrar pacotes s o criadas usando o comando iptables Se os aspectos a seguir de um pacote s o usados geralmente como um crit rio Packet Type Especifica os tipos de pacotes que o comando filtra Packet Source Destination Especifica quais pacotes o comando filtra b
202. ue em OK para salvar as mudan as e habilitar ou desabilitar o firewall Se o item Habilitar o firewall foi selecionado as op es selecionadas s o traduzidas para os comandos do iptables e gravadas no arquivo etc sysconfig iptables O servi o iptables tamb m iniciado para que o firewall seja ativado imediatamente ap s salvar as op es selecionadas Se o Disable firewall foi selecionado o arquivo etc sysconfig iptables ser removido e o servi o iptables ser interrompido imediatamente As op es selecionadas s o tamb m gravadas no arquivo etc sysconfig system config firewall para que as configura es possam ser restauradas na pr xima vez que o aplicativo for iniciado N o edite este arquivo manualmente Embora o firewall seja ativado imediatamente o servi o iptables n o configurado para iniciar mais informa es 2 5 2 6 Ativando o Servi o IPTables As regras do firewall s o ativas somente se o servi o iptables estiver em execu o Para iniciar manualmente o servi o use o seguinte comando root myServer service iptables restart Para se certificar que o iptables inicia se quando o sistema inicializado use o seguinte comando root myServer chkconfig level 345 iptables on 2 5 3 Usando IPTables O primeiro passo para usar o iptables iniciar o servi o iptables Use o seguinte comando para iniciar o servi o iptables root myServer service iptables start O servi o ip6ta
203. ue um novo pedido recebido as conex es que ocorrem depois de uma atualiza o s o manuseadas pelo software atualizado Entretanto se existem conex es ativas no momento que o servi o controlado pelo xinetd atualizado eles s o atendidos pela vers o antiga do software Para terminar as inst ncias antigas de um determinado servi o controlado pelo xinetd atualize o pacote para o servi o e ent o pare todos os processos atualmente em execu o Para determinar se o processo est rodando use o comando ps e ent o o kill ou killall para parar inst ncias atuais do servi o Por exemplo se uma errata de seguran a dos pacotes imap lan ada atualize os pacotes e ent o digite o seguinte comando como root no prompt do shell ps aux grep imap Este comando retorna todas sess es ativas do IMAP Sess es individuais podem ent o ser terminadas digitando o seguinte comando kill lt PID gt Se isto falhar para terminar a sess o use o seguinte comando ent o kill 9 lt PID gt Nos exemplos anteriores substitua o lt PID gt com o n mero de identifica o do processo encontrado na segunda coluna do comando ps para uma sess o de IMAP Para terminar todas as sess es IMAP ativas digite o seguinte comando killall imapd 1 http law jrank org pag es 379 1 Kevin Mitnick Case 19 99 html 2 http www livinginternet com i ia_hackers_levin htm 3 http www theregister co uk 200 7 05 04 txj_nonfeasance
204. uia de Seguran a Hellman 2002 26 Embora o acordo da Diffie Hellman seja um protocolo de acordo de chave an nimo n o autenticado ele fornece a base para uma variedade de protocolos autenticados e usado para fornecer segredo perfeito nos modos ef meros da Seguran a de Camada de Transporte referido como o EDH ou DHE dependendo da c fra que se adeque 27 n n A Patente 4 200 770 dos E U A agora expirada descreve o algor timo e da cr dito ao Hellman Diffie e Merkle como inventores 28 A 2 2 RSA Na criptografia o RSA que significa Rivest Shamir e Adleman que primeiro descreveram no publicamente veja abaixo um algor timo para criptografia de chave p blica o primeiro algor timo conhecido como adequado para assinaturas assim como criptografia e foi o primeiro grande avan o em criptografia de chave p blica O RSA usado amplamente em protocolos de com rcio eletr nico e acredita se que seguro considerando as chaves longas e o uso de implementa es atualizadas A 2 3 DSA O DSA Digital Signature Algorithm um padr o para assinaturas digitais padr o um padr o de governo federal dos Estados Unidos para assinaturas digitais O DSA somente para assinaturas e n o um algoritimo de criptografia 29 A 2 4 SSLITLS O Transport Layer Security TLS seu precedente o Secure Sockets Layer SSL s o protocolos criptogr ficos que fornecem seguran a para as comunica es sob a re
205. um endere o IP o seguinte comando revela o mapa etc passwd ypcat d lt NIS domain gt h lt DNS hostname gt passwd Se um invasor o usu rio root ele pode obter o arquivo etc shadow digitando o seguinte comando ypcat d lt NIS domain gt h lt DNS hostname gt shadow Se o Kerberos usado o arquivo etc shadow n o armazenado dentro de um mapa NIS Para fazer o acesso aos mapas NIS mais dif cil para um invasor crie uma string aleat ria para o hostname DNS tal como o7hfawtgmhwg domain com Da mesma maneira crie um nome de dom nio NIS aleat rio diferente Isto deixa mais dif cil para um invasor acessar o servidor NIS 55 Red Hat Enterprise Linux 6 Guia de Seguran a 2 2 3 3 Edite o Arquivo var yp securenets Se o arquivo var yp securenets est em branco ou n o existe como o caso depois da instala o padr o o NIS escuta todas as redes Uma das primeiras coisas a fazer colocar os pares de mascara de rede rede no arquivo para que o ypserv somente responda aos pedidos da rede apropriada Abaixo segue um modelo de entrada de um arquivo var yp securenets 255 255 255 0 192 168 0 0 io OO Nunca inicie um servidor NIS pela primeira vez sem criar o arquivo var yp securenets Esta t cnica n o fornece prote o contra um ataque de spoof de IP mas ao menos imp es limites em quais redes o servidor NIS serve 2 2 3 4 Atribua Portas Est ticas e Use Regras iptables Todos os servidores r
206. unciona at que o syslog daemon syslogd esteja configurado para registrar no log a facilidade local Consulte a p gina man syslog conf para informa es sobre configurar facilidades de log personalizadas 2 3 2 2 2 Controle de Acesso Campos de Op es tamb m permitem administradores permitir ou negar hosts explicitamente em uma regra simples adicionando a diretiva allow ou deny como a op o final Por exemplo as seguintes duas regras permitem conex es SSH a partir do client 1 example com mas negam conex es do client 2 example com sshd client 1 example com allow sshd client 2 example com deny Permitindo controle de acesso numa base por regra o campo de op o permite administradores consolidar todas as regras de acesso em um arquivo nico tanto hosts allow ou hosts deny Alguns administratores consideram isso uma maneira f cil de organizar regras de acesso 2 3 2 2 3 Comandos Shell Campos de Op o permitem regras de acesso para realizar comandos shell pelas duas diretivas a seguir spawn Realiza um comando shell como um processo filho Esta diretiva pode realizar tarefas como usar o usr sbin safe finger para obter mais informa es sobre o cliente solicitante ou criar arquivos especiais de log usando o comando echo No exemplo seguinte clientes que tentam acessar os servi os Telnet a partir do dom nio example com s o silenciosamente registrados ao log de um arquivo especial in telnetd e
207. ush Esta aplica o propaga bancos de dados NIS para m ltiplos servidores NIS usr sbin ypserv Este o daemon do servidor NIS O NIS um pouco inseguro para os padr es de hoje Ele n o possui mecanismos de autentica o e transmite todas suas informa es pela rede sem criptografia incluindo senhas hash Como um resultado cuidado extremo deve ser tomado quando configurar uma rede que usa o NIS Isto mais complicado pelo fato que a configura o padr o do NIS inerentemente insegura recomendado que qualquer um que esteja planejando implementar um servidor NIS primeiro proteja o seguintes quest es como planejar a rede 2 2 3 1 Planeje a Rede Cuidadosamente Por causa que o NIS transmite informa es sens veis sem criptografia pela rede importante que o servi o seja rodado por tr s de um firewall e em uma rede segmentada e segura Sempre que a informa o NIS transmitida por uma rede insegura h riscos de ser interceptada Um planejamento de rede cuidadoso pode ajudar a impedir grandes brechas na seguran a 2 2 3 2 Use um Nome de Dom nio NIS e Hostname como se fosse uma Senha Qualquer m quina dentro de um dom nio NIS pode usar comandos para extrair informa es do servidor sem autentica o desde que o usu rio saiba o hostname DNS do servidor NIS e o nome de dom nio NIS Por exemplo se algu m tanto se conectar com um laptop na rede ou invadir a rede externamente e fazer um spoof de
208. usr kerberos sbin telnetd log_on_failure USERID no_access 172 16 45 0 24 log_on_success PID HOST EXIT access_times 09 45 16 15 Neste exemplo quando um sistema cliente da rede 172 16 45 0 24 como 172 16 45 2 tenta acessar o servi o Telnet ele recebe a seguinte mensagem Conex o fechada por um host externo Alem disso as tentativas de login deles s o registradas no var log messages conforme a seguir Sep 7 14 58 33 localhost xinetd 5285 FAIL telnet address from 172 16 45 107 Sep 7 14 58 33 localhost xinetd 5283 START telnet pid 5285 from 172 16 45 107 Sep 7 14 58 33 localhost xinetd 5283 EXIT telnet status 0 pid 5285 duration 0 sec Quando usar os TCP Wrappers em conjunto com os controles de acesso xinetd importante entender o relacionamento entre os dois mecanismos de controle de acesso A seguir est uma sequencia de eventos seguidos pelo xinetd quando um cliente solicita uma conex o 1 O daemon xinetd acessa as regras de acesso de hosts do TCP Wrappers usando uma chamada da biblioteca libwrap a Se uma regra de nega o corresponde ao cliente a conex o passada para o xinetd 2 O daemon xinetd verifica suas pr prias regras de controle de acesso tanto para o servi o xinetd e o servi o solicitado Se uma regra de nega o corresponde ao cliente a conex o despejada Caso contr rio o xinetd inicia uma inst ncia do servi o solicitado e passa o controle da conex o a esse servi o
209. ve o modelo CIA em maiores detalhes Confidencialidade Informa es sens veis devem estar dispon veis somente para um conjunto de indiv duos pr definidos Transmiss o n o autorizada e uso da informa o devem ser restritos Por exemplo a confidencialidade da informa o garante que uma informa o pessoal ou financeira n o seja obtida por um indiv duo n o autorizado para prop sitos maliciosos tais como roubo de identidade ou fraude de cr dito Integridade As informa es n o devem ser alteradas de modo a torna las incompletas ou incorretas Usu rios n o autorizados devem ser restritos da possibilidade de modificar ou destruir informa es sens veis Disponibilidade As informa es devem ser acess veis a usu rios autorizados em qualquer momento que seja necess rio Disponibilidade uma garantia que a informa o pode ser obtida com acordos de frequ ncia e pontualidade Isto frequentemente medido em termos de porcentagens e definido formalmente em Acordos de N vel de Servi o SLAs usados por provedores de servi os de redes e seus clientes corporativos 1 1 2 SELinux O Red Hat Enterprise Linux inclui uma melhoria ao kernel do Linux chamado SELinux que implementa uma arquitetura de Controle de Acesso Obrigat rio MAC Mandatory Access Control que fornece um n vel de controle refinado sobre arquivos processos usu rios e aplica es no sistema Uma discuss o detalhada sobre o SELinux est al m
210. vel n Retorna o hostname do cliente Se indispon vel unknown mostrado Se o hostname do cliente e endere o de host n o correpondem paranoid mostrado N Retorna o hostname do servidor Se indispon vel unknown mostrado Se o hostname do servidor e endere o de host n o correspondem paranoid mostrado p Retorna o ID do processo daemon s Retorna v rios tipos de informa es do servidor como processo daemon e o host ou endere o IP do servidor u Retorna o nome de usu rio Se indispon vel unknown mostrado O seguinte exemplo de regra usa uma expans o em conjun o com o comando spawn para identificar o host do cliente em um arquivo de log personalizado Quando conex es ao daemon SSH sshd s o tentadas de um host no dom nio example com execute o comando echo para registrar as tentativas incluindo o hostname do cliente usando a expans o h a um arquivo especial sshd example com spawn bin echo bin date access denied to h gt gt var log sshd log deny Similarmente as expans es podem ser usadas para personalizar mensagens de volta ao cliente No exemplo seguinte clientes que tentam acessar os servi os FTP do dom nio example com s o informados que eles foram banidos do servidor vsftpd example com twist bin echo 421 h has been banned from this server Para uma explica o completa das expans es dispon veis tanto como op es de controle de acesso
211. ves secretas como requerido ao utilizar algor ticmos de chave sim tricas Ele pode tamb m ser usado para criar assinaturas digitais 20 Criptografia de chave p blica fundamental e uma tecnologia amplamente utilizada mundialmente e a forma que cont m tais padr es de Internet como Seguran a de Camada de Transporte TLS sucessor do SSL PGP e GPG 24 A t cnica distinta usada na criptografia de chave p blica o uso de algor tmos de chave assim tricos onde a chave usada para criptografar uma mensagem n o a mesma que a chave usada para descriptograf la Cada usu rio possui um par de chaves criptogr ficas uma chave p blica e uma chave privada A chave privada mantida em segredo enquanto a chave p blica pode ser distribu da amplamente As mensagens s o criptografadas com a chave p blica do rementente e pode ser dscriptografada somente com a chave privada correpondente As chaves s o relacionadas matematicamente mas a chave privada n o pode ser derivada ou seja em pr tica atual ou projetada de uma chave p blica Foi a descoberta de alguns algor tmos que revolucionaou a pr tica de criptografia iniciando se nos meados de 1970 122 Oposto a isto os algor timos de chave sim trica varia es que foram usadas por alguns milhares de anos usam uma chave secreta nica compartilhada pelo transmissor e remetente que deve tamb m manter a chave privada al m de levar em conta a ambiguidade das termino
212. vidas automaticamente e redefinidas Para salvar as regras para que sejam carregadas quando o servi o iptables iniciado use o seguinte comando root myServer service iptables save 88 Cap tulo 2 Protegendo sua Rede As regras s o armazenadas no arquivo etc sysconfig iptables e s o aplicadas sempre que o servi o iniciado ou quando a m quina reinicializada 2 5 4 Filtros de IPTables Comuns Impedir invasores remotos de acessar uma LAN o aspecto mais importante de seguran a de rede A integridade da LAN deve ser protegida de usu rios remotos mal intencionados durante o uso de regras de firewall No entanto com uma pol tica padr o definida para bloquear todos os pacotes enviados entrada e sa da imposs vel para o firewall gateway e usu rios internos da LAN de se comunicarem uns com os outros ou com recursos externos Para permitir que usu rios realizem fun es relacionadas rede e usar os aplicativos de rede administradores devem abrir certas portas para comunica o Por exemplo para permitir acesso porta 80 no firewall adicione a seguinte regra root myServer iptables A INPUT p tcp m tcp dport 80 j ACCEPT Esta regra permite que usu rios naveguem websites que comunicam usando a porta padr o 80 Para permitir acesso websites seguros por exemplo https www example com voc tamb m precisar fornecer acesso porta 443 como se segue root myServer iptable
213. wd que o Pluggable Authentication Modules PAM checando se a senha muito curta ou de outra maneira f cil de quebrar Esta verifica o realizada usando o modulo PAM pam cracklib so J que o PAM personaliz vel poss vel adicionar mais de um verificador de integridade de senhas como Para mais informa es sobre o PAM consulte Gerenciando Sign On nicos e Cart es Smart A verifica o de senha que realizada no momento de sua cria o n o descobre senhas ruins t o efetivamente quanto rodar um programa de quebra de senhas Muitas programas de quebra de senhas est o dispon veis e que rodam no Red Hat Enterprise Linux apesar de que nenhum est no pacote do sistema operacional Abaixo est uma lista breve de alguns dos programas mais populares de quebra de senha John The Ripper Um r pido de flex vel programa de quebra de senhas Permite o uso de m ltiplas listas de palavras e capaz de quebrar senhas por for a bruta Est dispon vel online em Crack Talvez o mais conhecido programa de quebra de senhas o Crack tamb m muito r pido embora n o t o f cil de usar como o John The Ripper Pode ser encontrado em Slurpie O Slurpie similar ao John The Ripper e o Crack mas desenhado para rodar em m ltiplos computadores simultaneamente criando um ataque de quebra de senhas distribu do Ele pode ser encontrado online junto com uma s rie de outras ferramentas de avalia o de ataque
214. x es ESTABLISHED O pacote coincidente associado com outros pacotes em uma conex o estabelecida Voc precisa aceitar este estado se voc quiser manter uma conex o entre um cliente e um servidor INVALID O pacote coincidente n o pode ser ligado uma conex o conhecida NEW O pacote coincidente est tanto criando uma nova conex o ou parte de uma conex o de duas vias ainda n o vista Voc precisa aceitar este estado se voc quiser permitir novas conex es para um servi o RELATED O pacote coincidente inicia uma nova conex o relacionada de alguma forma a uma conex o existente Um exemplo disto o FTP que usa uma conex o para o controle de tr fego porta 21 e uma conex o separada para a transfer ncia de dados porta 20 Estes estados de conex o podem ser usados em conjunto um com o outro separando os com com v rgulas tais como m state state INVALID NEW mac module Habilita coincid ncia do endere o MAC de hardware O m dulo mac habilita a seguinte op o mac source Coincide um endere o MAC de placa de interface de rede que enviou o pacote Para excluir um endere o MAC de uma regra coloque um ponto de exclama o antes 102 Cap tulo 2 Protegendo sua Rede da op o de coincid ncia mac source Consulte a p gina man iptables para mais op es de coincid ncia dispon veis atrav s de m dulos 2 6 2 5 Op es de Alvo Quando um pacote coincidiu uma regr
215. xa de di logo das Propriedades do Usu rio ou escolha Properties Propriedades no menu File Arquivo 4 Clique na aba Groups Grupos marque a caixa de sele o para o grupo wheel e ent o clique 44 Cap tulo 2 Protegendo sua Rede a User Properties User Data Account Info Password Info Groups Select the groups that the user will be a member of O stapdev stapusr sys tcpdump torrent tty users utempter utmp uucp vcsa video wbpriv y Primary Group scott lv cancel go Figura 2 2 Adicionando usu rios ao grupo wheel Abra o arquivo de configura o do PAM para o su etc pam d su em um editor de textos e remova o coment rio na seguinte linha auth required lib security ISA pam_wheel so use_uid Esta mudan a significa que somente membros do grupo administrativo wheel podem usar este programa O usu rio root parte do grupo wheel por padr o 2 1 4 3 2 O Comando sudo O comando sudo oferece outra abordagem para dar aos usu rios o acesso administrativo Quando usu rios confi veis precedem um comando administrativo com o sudo eles s o questionados pela pr pria senha Ent o quando eles s o autenticados e assumindo que o comando permitido o comando administrativo executado como se ele fosse o usu rio root O formato b sico do comando sudo como a seguir
216. xample com spawn bin echo bin date from h gt gt var log telnet log allow twist Substitui o servi o solicitado com o comando especificado Esta diretiva frequentemente usada para configurar armadilhas para invasores tamb m chamados honey pots potes de mel Ele tamb m pode ser usado para enviar mensagens para clientes em conex o A diretiva twist deve ocorrer no final da linha da regra No exemplo seguinte clientes que tentam acessar os servi os FTP do dom nio example com recebem uma mensagem usando o comando echo vsftpd example com twist bin echo 421 This domain has been black listed Access denied Para mais informa es sobre op es do comando shell consulte a p gina man hosts options 71 Red Hat Enterprise Linux 6 Guia de Seguran a 2 3 2 2 4 Expans es As expans es quando usadas em conjunto com as diretivas spawn e twist fornecem informa es sobre o cliente servidor e processos envolvidos A seguir est uma lista de expans es suportadas a Retorna o endere o IP do cliente A Retorna o endere o IP do servidor c Retorna uma variedade de informa es dos clientes como o nome de usu rio e hostname ou o nome de usu rio e endere o IP d Retorna o nome do processo daemon h Retorna o hostname do cliente ou endere o IP se o hostname estiver indispon vel H Retorna o hostname do servidor ou endere o IP se o hostname estiver indispon
Download Pdf Manuals
Related Search