[ anterior ] [ Conteúdo ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ próximo ]


Securing Debian Manual
Capítulo 8 - Ferramentas de segurança no Debian


FIXME: Necessário mais conteúdo.

Debian fornece também uma série de ferramentas de segurança que podem tornar uma máquina com o sistema Debian adaptada para os propósitos de segurança. Estes propósitos incluem proteção dos sistemas de informação através de firewalls (de pacotes ou de aplicação), detecção de intrusão (baseados em rede e host), verificação de vulnerabilidades, antivirus, redes privadas, etc.

Desde o Debian 3.0 (woody), a distribuição caracteriza-se pelo software de criptografia integrado com a distribuição principal. OpenSSH e GNU Privacy Guard estão incluídos na instalação padrão, e criptografia forte está agora presente em navegadores e servidores Web, bancos de dados, e assim por diante. Além disso, a integração de criptografia está planejada para futuros lançamentos. Este software, devido as restrições de exportação nos EUA não foi distribuído com a distribuição principal, sendo disponível apenas em sites non-US.


8.1 Ferramentas de verificação remota de vulnerabilidades

As ferramentas fornecidas pelo Debian para realizar verificação remota de vulnerabilidade são: [36]

A ferramenta mais completa e atualizada é, de longe, o nessus que é composta por um cliente (nessus) usado com uma GUI e um servidor (nessusd) que inicia os ataques programados. Nessus inclui verificação de vulnerabilidades remotas para a grande maioria de sistemas incluindo dispositivos de rede, servidores ftp e www, etc. Os últimos plugins de segurança tem a capacidade de analisar um sítio Web e tentar descobrir as páginas interativas disponíveis que podem ser atacadas. Existem também clientes Java e Win32 (não incluidas no Debian) que podem ser usados para acessar o servidor de gerenciamento.

Note que se você está usando woody, os pacotes do Nessus estão realmente desatualizados (veja bug #183524). Não é difícil portar os pacotes disponíveis no unstable para woody, mas se você encontrar dificuldades, pode pensar em usar os pacotes portados fornecidos por um dos co-mantenedores e disponíveis em http://people.debian.org/~jfs/nessus/ (essas versões podem não estar atualizadas como as versões disponíveis no unstable).

Whisker é um varredor de verificação de vulnerabilidades Web, que inclui táticas anti-IDS (a maioria não são mais anti-IDS). É um dos melhores varreadores baseados em CGI disponíveis, sendo capaz de detectar servidores WWW e iniciar um dado conjunto de ataques contra ele. O banco de dados usado para a varredura pode ser facilmente modificado para fornecer novas informações.

Bass (Bulk Auditing Security Scanner - BULK Varreador de auditoria de segurança) e SATAN (Security Auditing Tool for Analyzing Networks - Ferramenta de auditoria de segurança para análise de redes) devem ser na opinião da maioria das pessoas, mais como programas de "provas de conceitos" do que como ferramentas para serem usadas em auditorias. Ambas são bastantes antigas e não são mais atualizadas. Contudo, SATAN foi a primeira ferramenta para fornecer avaliação das vulnerabilidades de maneira simples (através de uma GUI) e Bass é ainda uma ferramenta de avaliação de alta performace.


8.2 Ferramentas de varredura de rede

Debian fornece algumas ferramentas usadas para a varredura remota de hosts (mas não para verificação de vulnerabilidades). Estas ferramentas são, em alguns casos, usadas pelos verificadores de vulnerabilidades como o primeiro tipo de "ataque" executado contra os hosts remotos na tentativa de determinar os serviços disponíveis. Atualmente Debian fornece os seguintes programas:

Enquanto o queso e o xprobe fornecem apenas detecção remota de sistema operacional (usando TCP/IP fingerprinting), nmap e knocker fazem, ambos, detecção de sistema operacional e varreadura de portas nos hosts remotos. Por outro lado, hping2 e icmpush podem ser usados nas técnicas de ataque ICMP remoto.

Desenvolvido especificamente para redes Netbios, nbtscan pode ser usado para varrer redes IP e recuperar informações de nome de servidores samba habilitados, incluindo nomes de usuários e de rede, endereços MAC... Por outro lado, fragrouter pode ser usado para testar sistemas de detecção de instrusão e ver se o NIDS pode ser iludido com ataques de fragmentação.

FIXME: Verificar Bug #153117 (ITP fragrouter) para ver se está incluído.

FIXME adicionar informações baseadas em Debian Linux Laptop for Road Warriors que descreve como usar Debian e um laptop para varrer redes wireless (Link não existe mais).


8.3 Auditoria Interna

Atualmente, somente a ferramenta tiger utilizada no Debian pode ser usada para executar auditorias internas de hosts (também chamadas de "caixa branca") de fato para determinar se o sistema de arquivos está corretamente configurado, que processos estão rodando no hosts, etc..


8.4 Auditoria de código fonte

Debian fornce três pacotes que podem ser utilizados para auditar códigos fontes em C/C++ e encontrar erros de programação que podem conduzir para potenciais falhas de segurança:


8.5 Redes Privadas Virtuais (VPN)

Uma rede privada virtual (VPN - Virtual Private Network) é um grupo de dois ou mais sistemas computacionais, tipicamente conectados a uma rede privada com acesso público de rede limitado, que se comunicam seguramente através de uma rede pública. VPNs podem conectar um simples computador a uma rede privada (cliente-servidor), ou uma LAN remota a uma rede privada (servidor-servidor). VPNs, muitas vezes, incluem o uso de criptografia, autenticação forte de usuários ou hosts remotos, e métodos para esconder a topologia da rede privada.

Debian fornece a maioria dos pacotes para configurar uma rede privada virtual criptografada:

FIXME: Atualizar as informações aqui já que foram escritas com o FreeSWAN em mente. Verificar Bug #237764 e a mensagem: <200412101215.04040.rmayr@debian.org>.

O pacote OpenSWAN é provavelmente a melhor escolha, desde que ele promete interoperar com quase tudo que usa o protocolo IP seguro, IPSec (RFC 2411). Entretanto, os outros pacotes listados acima podem também ajudá-lo a ter um túnel seguro rapidamente. O protocolo de tunelamento ponto a ponto (PPTP) é um protocolo para VPN proprietário da Microsoft. É suportado no Linux, mas é conhecido por ter sérios problemas de segurança.

Para mais informações veja VPN-Masquerade HOWTO (cobrindo IPSec e PPTP), VPN HOWTO (cobrindo PPP sobre SSH), e Cipe mini-HOWTO, e PPP and SSH mini-HOWTO.

Também vale a pena verificar o Yavipin, mas este programa ainda não possue um pacote Debian disponível.


8.5.1 Tunelamento ponto a ponto

Se você deseja fornecer um servidor de tunelamento para um ambiente misto (com clientes Microsoft e Linux) e IPSec não é uma opção (desde que só é fornecido no Windows 2000 e Windows XP), você pode usar PoPToP (Servidor de Tunelamento Ponto a Ponto) disponível no pacote pptpd.

Se você deseja usar autenticação e criptografia da Microsoft com o servidor fornecido pelo pacote ppp, veja o seguinte trecho do FAQ:

     O uso do PPP 2.3.8 só faz-se necessário se você deseja ter autenticação e
     criptografia MSCHAPv2/MPPE compatíveis com a Microsoft. A razão para isto é que
     o patch MSCHAPv2/MPPE atualmente aplicado (19990813) está sobre o PPP 2.3.8. Se
     você não precisa de autenticação/criptografia compatível com a Microsoft,
     qualquer versão 2.3.X do fonte do PPP será suficiente.

Entretanto, você também terá que aplicar o patch para o kernel fornecido no pacote kernel-patch-mppe, que contém o módulo pp_mppe para o pppd.

Saiba que a criptografia no ppptd força o armazenamento de senhas de usuários em texto limpo, e o protocolo MS-CHAPv2 contém furos de segurança conhecidos.


8.6 Infra-estrutura de Chave Pública (PKI)

Infra-estrutura de Chave Pública (PKI - Public Key Infrastructure) é uma arquitetura de segurança introduzida para fornecer um nível adicional de confiança para trocas de informação em redes inseguras. Utiliza os conceitos de chaves de criptografia pública e privada para verificar a identidade de um remetente (assinatura) e para assegurar a privacidade (criptografia).

Quando considerar uma PKI, você encontrará uma variedade de situações:

Debian GNU/Linux tem pacotes de software para ajudar você com alguns desses pontos da PKI. Eles incluem OpenSSL (para geração de certificados), OpenLDAP (como um diretório para manter os certificados), gnupg e openswan (com suporte para o padrão X.509). Entretanto, como na versão Woody (Debian 3.0), Debian não tem nenhuma das autoridades certificadoras disponíveis gratuitamente como pyCA, OpenCA ou os exemplos de CA do OpenSSL. Para mais informações, leia o livro Open PKI.


8.7 Infra-estrutura SSL

Debian fornece alguns certificados SSL com a distribuição de modo que eles podem ser instalados localmente. Eles são encontrados no pacote ca-certificates, que fornece um repositório central dos certificados que foram submetidos para o Debian e aprovados (ou seja, verificados) pelo mantenedor do pacote e utéis para qualquer aplicação OpenSSL que verifica conexões SSL.

FIXME: leia o debian-devel para verificar se algo foi adicionado a ele.


8.8 Ferramentas Anti-vírus

Não existem muitas ferramentas anti-vírus incluídas no Debian GNU/Linux, provavelmente porque os usuários GNU/Linux não são aborrecidos com vírus. O modelo de segurança dos UN*X fazem uma distinção entre os processos privilegiados (root) e os processos de usuário, então quando um executável "hostil" é criado ou recebido por um usuário não-root e então executado, não pode "infectar" ou manipular o sistema em questão. Entretanto, worms e vírus no GNU/Linux existem, embora eles não tenham (ainda, esperançosamente) se espalhado em nenhuma distribuição Debian. Em qualquer caso, administradores podem querer construir gateways anti-vírus que os protejam contra vírus enviados para outros sistemas mais vulneráveis em suas redes.

Debian GNU/Linux atualmente fornece as seguintes ferramentas para a construção de ambientes anti-vírus:

Alguns daemons de gateways já suportam extensões de ferramentas para construir ambientes anti-virus, incluindo exim4-daemon-heavy (a versão pesada do MTA Exim), frox (um servidor proxy e cache transparente para ftp), messagewall (um daemon proxy SMTP) e pop3vscan (um proxy transparente POP3).

Como você pode ver, Debian não fornece atualmente nenhum software anti-vírus em sua distribuição oficial principal (3.0 no momento da escrita desse documento), mas fornece múltiplas interfaces para a construção de gateways anti-vírus. O varredor Clamav estará disponível na próxima versão oficial.

Alguns outros projetos anti-vírus livres que podem ser incluídos numa futura versão Debian GNU/Linux:

Existe também um pacote virussignatures, que fornece assinaturas para todos os pacotes. Este pacote contém um script para fazer o download das últimas assinaturas de virus de http://www.openantivirus.org/latest.php.

FIXME: Verificar se scannerdaemon é o mesmo que o daemon varredor open anti-virus (ver ITPs).

Por outro lado, Debian nunca irá fornecer softwares anti-vírus comerciais como: Panda Antivirus, NAI Netshield, Sophos Sweep, TrendMicro Interscan, ou RAV. Para mais apontadores veja em Linux antivirus software mini-FAQ. Isto não signifca que estes softwares possam ser instalados corretamente em um sistema Debian.

Para mais informações de como configurar um sistema de detecção de vírus, veja o artigo de Dave Jones Building an E-mail Virus Detection System for Your Network.


8.9 Agentes GPG

É muito comum, atualmente, assinar digitalmente (e algumas vezes criptografar) e-mails. Você pode, por exemplo, verificar que muitas pessoas participando em listas de discussão assinam seus e-mails. Assinaturas de chave pública são atualmente o único mecanismo para verificar que um email foi enviado pelo remetente e não por qualquer outra pessoa.

Debian GNU/Linux fornece clientes de emails com funções embutidas para assinatura de emails que interagem com o gnupg ou pgp:

Servidores de chave permitem você fazer o download de chaves públicas publicadas que podem então verificar assinaturas. Um desses servidores de chaves é http://wwwkeys.pgp.net. gnupg pode automaticamente buscar chaves públicas que não estão em seu chaveiro público. Por exemplo, para configurar gnupg para usar o servidor de chaves acima, edite o arquivo ~/.gnupg/options e adicione a seguinte linha: [38]

     keyserver wwwkeys.pgp.net

A maioria dos servidores de chaves estão ligados, logo quando uma chave pública é adicionada em um servidor, esta é propagada para todos os outros servidores de chaves públicas. Existem também um pacote Debian debian-keyring, que fornece todas as chaves públicas dos desenvolvedores Debian. Os chaveiros do gnupg são instalados em /usr/share/keyrings/.

Para mais informações:


[ anterior ] [ Conteúdo ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ próximo ]


Securing Debian Manual

v3.1, Mon, 10 Feb 2014 17:06:00 +0000

Javier Fernández-Sanguino Peña jfs@debian.org
Autores, Seção 1.1