Pgina 1 de 14

Conceitos SEGURANA DE REDES (FIREWALL)

Filtro de pacotes (Firewall)

Filosofia do filtro de pacotes

Conceito de fluxo de dados

IPChains

Filtro de pacotes built-in X externo ao kernel

Chains

Input, output

Forward

Habilitao do forward de pacotes IPv4

Aes - Accept, reject, deny, masq

Polticas de regras

Filtrar portas

Mscara de endereos

Routing e rotas

Pgina 2 de 14

1 Configurao definitiva do Samba

Introduo

Para o compartilhamento de diretrios via rede, com a possibilidade de configurar

permisses de controle de acesso, o Samba sobressai-se sobre os concorrentes.

Alm de que, o mesmo tambm capaz de compartilhar diretrios de um sistema de

arquivos Linux (ext, JFS...) atravs da rede, possibilitando o acesso ao mesmo, utilizando o

protocolo cliente smb, para distribuies GNU/Linux, e o prprio Windows Explorer

(explorador de diretrios), para sistemas operacionais Microsoft Windows.

Vantagens

Em relao ao seu concorrente proprietrio ($$), o sistema operacional Microsoft Windows

Server, o Samba muitssimo mais completo, apresenta menos erros (conhecidos tambm

como bugs), alm do que, como o software Samba deve ser instalado em um servidor

GNU/Linux, a possibilidade de ter o servidor infectado por malware (vrus, cavalos de troia,

worms, etc), MNIMA.

E, por fim, a configurao de permisso de acesso de diretrios feita INTEIRAMENTE

utilizando ferramentas da distribuio GNU/Linux, o que torna muitas das tcnicas hacking

ineficazes.

Desvantagem

Pgina 3 de 14

Ento, qual o principal motivo de o mercado utilizar, principalmente, Windows Server para

tal servio, voc se pergunta?

Simples: em sistemas Windows, configurar o sistema para compartilhar diretrios

brincadeira de criana, j em sistemas Linux, o arquivo de configuraes do Samba

assustador para quem nasceu no mundo do "mas onde que clica?".

Porm, ao trmino da configurao, o sistema durar por muitos anos (se no, eternamente),

se tudo depender do sistema operacional, pois no h agentes "feitos para destruir o

sistema", como em outros sistemas operacionais proprietrios.

Concluso

No mundo Windows, a configurao simples e rpida, porm, a mesma precisar ser

refeita de tempos em tempos, pois, todo tipo de Malware est preparado para destruir o

sistema, alm disso, erros de sistema sero frequentes, confundindo o usurio e o setor de

TI da empresa.

Utilizando um servidor GNU/Linux, por vias normais, a configurao mais lenta, porm,

uma vez terminada a configurao do mesmo, a equipe de TI apenas necessitar pensar em

"como agregar funes a mais".

Chega de enxaquecas e gastos desnecessrios com manuteno!

Pgina 4 de 14

Etapa 1

Instalando o Samba e criando os diretrios

a serem compartilhados

Vamos botar a mo na massa!

A configurao ser feita em um servidor Debian 7 (Wheezy), porm, pode ser adaptada

facilmente para CentOS, Red Hat e outras distribuies GNU/Linux.

Utilizaremos um terminal modo texto.

Instalao

Instale o pacote samba em seu servidor Debian:

# aptitude install samba Ou:

# apt-get install samba

Aps a instalao, ser criado o arquivo de configuraes do servidor Samba.

Localizao do arquivo: /etc/samba/smb.conf

Configurao: Parte 1 - Criando os

diretrios

Antes de comear a criar os diretrios que, posteriormente, estaro disponveis via rede,

planeje no papel quantos departamentos (grupos de pessoas/usurios) sua empresa possui.

Crie um diretrio no caminho de sua preferncia, em seu sistema de arquivos:

# mkdir /samba

Em seguida, crie um subdiretrio para cada departamento de sua empresa:

# mkdir /samba/marketing

# mkdir /samba/"departamento pessoal"

# mkdir /samba/direo

Obs.: a forma mais simples de criar um diretrio que contm nome espaado em GNU/Linux,

digitando-se apenas o nome espaado entre aspas (ex.: "diretrio com nome espaado").

http://www.vivaolinux.com.br/linux/

Pgina 5 de 14

Depois de criado os subdiretrios, a etapa 1 estar terminada.

Etapa 2

Configurao: Parte 2 - Arquivo de

configurao do Samba

O Samba, assim como muitos outros servidores GNU/Linux, deve ser configurado alterando-

se os parmetros presentes em um arquivo de configurao, e estes parmetros alterados,

sero ento, futuramente, carregados nas variveis do software servidor, durante sua

inicializao.

O arquivo de configurao do Samba encontra-se em: /etc/samba/smb.conf

recomendvel renomear o arquivo, pois, iniciaremos a configurao de nosso servidor a

partir do zero!

# mv /etc/samba/smb.conf /etc/samba/smb.conf.original

Aqui, utilizaremos o editor de textos Nano, por ser o editor de textos padro do GNU/Linux,

isto , o mesmo encontra-se por padro, em qualquer distribuio GNU/Linux, ao contrrio do

Vim/Vi, entre outros:

# nano /etc/samba/smb.conf

Em seu terminal, neste momento, voc deve estar visualizando um arquivo novo, recm-

criado por voc, utilizando o editor de textos Nano.

O arquivo de configuraes Samba est dividido em sees, e cada seo representada da

seguinte forma: "[nome da seo 1]" "[nome da seo 2]"...

Para configurar o Samba, iniciaremos pela seo global.

# A seo global contm parmetros de configuraes globais, os quais sero aplicados a todo

o

#servidor, e a todo compartilhamento.

[global]

server string = nomedoserver #Nome DNS

http://www.vivaolinux.com.br/linux/

Pgina 6 de 14

netbios name = nomedoserver #Nome NetBIOS

workgroup = WORKGROUP #Grupo de trabalho das mquinas Windows

#Opes para security:

# none - Nada de senhas!

# user - Requer uma senha Unix, mesmo antes mesmo de escolher o compartilhamento ao

qual

#pretende acessar.

# share - Requere uma senha Unix, apenas se ao acessar o compartilhamento voc no tiver

#permisses para acess-lo.

security = share

#No arquivo de log, sero armazenadas informaes sobre cada conexo realizada ao

servidor.

#'%m' uma varivel que corresponde ao nome da mquina que acessar o servidor Samba.

log file = /var/logs/samba/samba.log #para um log centralizado

#log file = /var/logs/samba/%m.log #para um log por mquina conectada

Depois de terminada a configurao global, deve-se configurar os compartilhamentos:

#Compartilhando

#[nome do compartilhamento]

[Publicidade e Marketing]

comment = Acesso Restrito ao setor de Marketing

path = /samba/marketing

public = yes #Acesso sem senha, pblico (yes ou no)

writable = yes #Permitir alteraes no diretrio? (yes ou no)

#valid users = deixe para mais tarde #Mais tarde!

J possvel testar nossas configuraes.

Vamos, para isso reiniciar o servio do Samba:

# /etc/init.d/samba restart

Ou:

# /etc/init.d/samba stop

# /etc/init.d/samba start

Ou:

# service samba restart

Ou ainda:

# service samba stop

# service samba start

Pgina 7 de 14

Vamos testar nossa configurao!

Em um computador Windows, presente na mesma rede e configurado no mesmo grupo de

trabalho do Samba, chame o dilogo Executar, e ento, digite:

\\[server string]

E aperte: OK

Caso tenha escolhido o valor none ou share para o parmetro security, nenhum prompt de

senha ser apresentado.

Caso tenha escolhido o valor user para security, terminaremos a configurao na seo

"Configurao - Parte 3 (Configurando Permisses)".

Voc, provavelmente, ter acesso com permisses de somente leitura ao diretrio

"Publicidade e Marketing". Configuraremos isso mais tarde.

Curiosidade

Sabe por que no se deve convidar usurios ao servidor, com frases do gnero: "Bem-Vindo

ao compartilhamento..."?

Certa vez, um hacker invadiu um dos servidores de uma certa empresa, e ao ter acesso ao

shell da empresa, recebeu a seguinte mensagem "Bem-Vindo empresa y".

Mais tarde, o mesmo foi descoberto, e julgado em tribunal. Porm, o mesmo alegou ter sido

"bem recebido" na empresa, e ganhou a causa, sem sofrer penalidades.

Agora, lhe pergunto: Voc convidaria um hacker ao seu servidor?

Etapa 3

Pgina 8 de 14

Configurando permisses - Usurios e

Grupos

Agora, vamos sair um pouco do arquivo de configuraes do Samba e criarmos os usurios

que realizaro login via rede atravs do Samba.

Os usurios do Samba, assim como citado anteriormente, so usurios comuns do

GNU/Linux.

Vamos cri-los.

# useradd joana_dark

# useradd diego_hipolito

# useradd maradonna

Os trs usurios acima, sero usurios do Samba, pertencentes ao grupo marketing. Porm,

para cada um deles, foi criado um diretrio /home.

Abaixo, segue os mesmos comandos, porm, com parmetros que impossibilitaro o uso do

login e senha para login local no servidor, e negaro a criao de uma pasta pessoal

(/home/[usurio]):

# useradd --no-create-home -s /bin/false joana_dark

# useradd --no-create-home -s /bin/false diego_hipolito

# useradd --no-create-home -s /bin/false maradonna

O parmetro "-s" especifica um shell de comandos para ser atribudo ao usurio criado. O

shell /bin/false, como o nome sugere, um shell falso, e q