Segurança Redes Firewall

Click here to load reader

  • date post

    26-Sep-2015
  • Category

    Documents

  • view

    17
  • download

    2

Embed Size (px)

description

Segurança Redes Firewall

Transcript of Segurança Redes Firewall

  • Pgina 1 de 14

    Conceitos SEGURANA DE REDES (FIREWALL)

    Filtro de pacotes (Firewall)

    Filosofia do filtro de pacotes

    Conceito de fluxo de dados

    IPChains

    Filtro de pacotes built-in X externo ao kernel

    Chains

    Input, output

    Forward

    Habilitao do forward de pacotes IPv4

    Aes - Accept, reject, deny, masq

    Polticas de regras

    Filtrar portas

    Mscara de endereos

    Routing e rotas

  • Pgina 2 de 14

    1 Configurao definitiva do Samba

    Introduo

    Para o compartilhamento de diretrios via rede, com a possibilidade de configurar

    permisses de controle de acesso, o Samba sobressai-se sobre os concorrentes.

    Alm de que, o mesmo tambm capaz de compartilhar diretrios de um sistema de

    arquivos Linux (ext, JFS...) atravs da rede, possibilitando o acesso ao mesmo, utilizando o

    protocolo cliente smb, para distribuies GNU/Linux, e o prprio Windows Explorer

    (explorador de diretrios), para sistemas operacionais Microsoft Windows.

    Vantagens

    Em relao ao seu concorrente proprietrio ($$), o sistema operacional Microsoft Windows

    Server, o Samba muitssimo mais completo, apresenta menos erros (conhecidos tambm

    como bugs), alm do que, como o software Samba deve ser instalado em um servidor

    GNU/Linux, a possibilidade de ter o servidor infectado por malware (vrus, cavalos de troia,

    worms, etc), MNIMA.

    E, por fim, a configurao de permisso de acesso de diretrios feita INTEIRAMENTE

    utilizando ferramentas da distribuio GNU/Linux, o que torna muitas das tcnicas hacking

    ineficazes.

    Desvantagem

  • Pgina 3 de 14

    Ento, qual o principal motivo de o mercado utilizar, principalmente, Windows Server para

    tal servio, voc se pergunta?

    Simples: em sistemas Windows, configurar o sistema para compartilhar diretrios

    brincadeira de criana, j em sistemas Linux, o arquivo de configuraes do Samba

    assustador para quem nasceu no mundo do "mas onde que clica?".

    Porm, ao trmino da configurao, o sistema durar por muitos anos (se no, eternamente),

    se tudo depender do sistema operacional, pois no h agentes "feitos para destruir o

    sistema", como em outros sistemas operacionais proprietrios.

    Concluso

    No mundo Windows, a configurao simples e rpida, porm, a mesma precisar ser

    refeita de tempos em tempos, pois, todo tipo de Malware est preparado para destruir o

    sistema, alm disso, erros de sistema sero frequentes, confundindo o usurio e o setor de

    TI da empresa.

    Utilizando um servidor GNU/Linux, por vias normais, a configurao mais lenta, porm,

    uma vez terminada a configurao do mesmo, a equipe de TI apenas necessitar pensar em

    "como agregar funes a mais".

    Chega de enxaquecas e gastos desnecessrios com manuteno!

  • Pgina 4 de 14

    Etapa 1

    Instalando o Samba e criando os diretrios

    a serem compartilhados

    Vamos botar a mo na massa!

    A configurao ser feita em um servidor Debian 7 (Wheezy), porm, pode ser adaptada

    facilmente para CentOS, Red Hat e outras distribuies GNU/Linux.

    Utilizaremos um terminal modo texto.

    Instalao

    Instale o pacote samba em seu servidor Debian:

    # aptitude install samba Ou:

    # apt-get install samba

    Aps a instalao, ser criado o arquivo de configuraes do servidor Samba.

    Localizao do arquivo: /etc/samba/smb.conf

    Configurao: Parte 1 - Criando os

    diretrios

    Antes de comear a criar os diretrios que, posteriormente, estaro disponveis via rede,

    planeje no papel quantos departamentos (grupos de pessoas/usurios) sua empresa possui.

    Crie um diretrio no caminho de sua preferncia, em seu sistema de arquivos:

    # mkdir /samba

    Em seguida, crie um subdiretrio para cada departamento de sua empresa:

    # mkdir /samba/marketing

    # mkdir /samba/"departamento pessoal"

    # mkdir /samba/direo

    Obs.: a forma mais simples de criar um diretrio que contm nome espaado em GNU/Linux,

    digitando-se apenas o nome espaado entre aspas (ex.: "diretrio com nome espaado").

    http://www.vivaolinux.com.br/linux/
  • Pgina 5 de 14

    Depois de criado os subdiretrios, a etapa 1 estar terminada.

    Etapa 2

    Configurao: Parte 2 - Arquivo de

    configurao do Samba

    O Samba, assim como muitos outros servidores GNU/Linux, deve ser configurado alterando-

    se os parmetros presentes em um arquivo de configurao, e estes parmetros alterados,

    sero ento, futuramente, carregados nas variveis do software servidor, durante sua

    inicializao.

    O arquivo de configurao do Samba encontra-se em: /etc/samba/smb.conf

    recomendvel renomear o arquivo, pois, iniciaremos a configurao de nosso servidor a

    partir do zero!

    # mv /etc/samba/smb.conf /etc/samba/smb.conf.original

    Aqui, utilizaremos o editor de textos Nano, por ser o editor de textos padro do GNU/Linux,

    isto , o mesmo encontra-se por padro, em qualquer distribuio GNU/Linux, ao contrrio do

    Vim/Vi, entre outros:

    # nano /etc/samba/smb.conf

    Em seu terminal, neste momento, voc deve estar visualizando um arquivo novo, recm-

    criado por voc, utilizando o editor de textos Nano.

    O arquivo de configuraes Samba est dividido em sees, e cada seo representada da

    seguinte forma: "[nome da seo 1]" "[nome da seo 2]"...

    Para configurar o Samba, iniciaremos pela seo global.

    # A seo global contm parmetros de configuraes globais, os quais sero aplicados a todo

    o

    #servidor, e a todo compartilhamento.

    [global]

    server string = nomedoserver #Nome DNS

    http://www.vivaolinux.com.br/linux/
  • Pgina 6 de 14

    netbios name = nomedoserver #Nome NetBIOS

    workgroup = WORKGROUP #Grupo de trabalho das mquinas Windows

    #Opes para security:

    # none - Nada de senhas!

    # user - Requer uma senha Unix, mesmo antes mesmo de escolher o compartilhamento ao

    qual

    #pretende acessar.

    # share - Requere uma senha Unix, apenas se ao acessar o compartilhamento voc no tiver

    #permisses para acess-lo.

    security = share

    #No arquivo de log, sero armazenadas informaes sobre cada conexo realizada ao

    servidor.

    #'%m' uma varivel que corresponde ao nome da mquina que acessar o servidor Samba.

    log file = /var/logs/samba/samba.log #para um log centralizado

    #log file = /var/logs/samba/%m.log #para um log por mquina conectada

    Depois de terminada a configurao global, deve-se configurar os compartilhamentos:

    #Compartilhando

    #[nome do compartilhamento]

    [Publicidade e Marketing]

    comment = Acesso Restrito ao setor de Marketing

    path = /samba/marketing

    public = yes #Acesso sem senha, pblico (yes ou no)

    writable = yes #Permitir alteraes no diretrio? (yes ou no)

    #valid users = deixe para mais tarde #Mais tarde!

    J possvel testar nossas configuraes.

    Vamos, para isso reiniciar o servio do Samba:

    # /etc/init.d/samba restart

    Ou:

    # /etc/init.d/samba stop

    # /etc/init.d/samba start

    Ou:

    # service samba restart

    Ou ainda:

    # service samba stop

    # service samba start

  • Pgina 7 de 14

    Vamos testar nossa configurao!

    Em um computador Windows, presente na mesma rede e configurado no mesmo grupo de

    trabalho do Samba, chame o dilogo Executar, e ento, digite:

    \\[server string]

    E aperte: OK

    Caso tenha escolhido o valor none ou share para o parmetro security, nenhum prompt de

    senha ser apresentado.

    Caso tenha escolhido o valor user para security, terminaremos a configurao na seo

    "Configurao - Parte 3 (Configurando Permisses)".

    Voc, provavelmente, ter acesso com permisses de somente leitura ao diretrio

    "Publicidade e Marketing". Configuraremos isso mais tarde.

    Curiosidade

    Sabe por que no se deve convidar usurios ao servidor, com frases do gnero: "Bem-Vindo

    ao compartilhamento..."?

    Certa vez, um hacker invadiu um dos servidores de uma certa empresa, e ao ter acesso ao

    shell da empresa, recebeu a seguinte mensagem "Bem-Vindo empresa y".

    Mais tarde, o mesmo foi descoberto, e julgado em tribunal. Porm, o mesmo alegou ter sido

    "bem recebido" na empresa, e ganhou a causa, sem sofrer penalidades.

    Agora, lhe pergunto: Voc convidaria um hacker ao seu servidor?

    Etapa 3

  • Pgina 8 de 14

    Configurando permisses - Usurios e

    Grupos

    Agora, vamos sair um pouco do arquivo de configuraes do Samba e criarmos os usurios

    que realizaro login via rede atravs do Samba.

    Os usurios do Samba, assim como citado anteriormente, so usurios comuns do

    GNU/Linux.

    Vamos cri-los.

    # useradd joana_dark

    # useradd diego_hipolito

    # useradd maradonna

    Os trs usurios acima, sero usurios do Samba, pertencentes ao grupo marketing. Porm,

    para cada um deles, foi criado um diretrio /home.

    Abaixo, segue os mesmos comandos, porm, com parmetros que impossibilitaro o uso do

    login e senha para login local no servidor, e negaro a criao de uma pasta pessoal

    (/home/[usurio]):

    # useradd --no-create-home -s /bin/false joana_dark

    # useradd --no-create-home -s /bin/false diego_hipolito

    # useradd --no-create-home -s /bin/false maradonna

    O parmetro "-s" especifica um shell de comandos para ser atribudo ao usurio criado. O

    shell /bin/false, como o nome sugere, um shell falso, e q