[ anterior ] [ Conteúdo ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ próximo ]
FIXME: Necessário mais conteúdo.
Debian fornece também uma série de ferramentas de segurança que podem tornar uma máquina com o sistema Debian adaptada para os propósitos de segurança. Estes propósitos incluem proteção dos sistemas de informação através de firewalls (de pacotes ou de aplicação), detecção de intrusão (baseados em rede e host), verificação de vulnerabilidades, antivirus, redes privadas, etc.
Desde o Debian 3.0 (woody), a distribuição caracteriza-se pelo software de criptografia integrado com a distribuição principal. OpenSSH e GNU Privacy Guard estão incluídos na instalação padrão, e criptografia forte está agora presente em navegadores e servidores Web, bancos de dados, e assim por diante. Além disso, a integração de criptografia está planejada para futuros lançamentos. Este software, devido as restrições de exportação nos EUA não foi distribuído com a distribuição principal, sendo disponível apenas em sites non-US.
As ferramentas fornecidas pelo Debian para realizar verificação remota de vulnerabilidade são: [36]
nessus
raccess
whisker
nikto (substituto de whisker)
bass (non-free)
satan (non-free)
A ferramenta mais completa e atualizada é, de longe, o nessus
que
é composta por um cliente (nessus
) usado com uma GUI e um servidor
(nessusd
) que inicia os ataques programados. Nessus inclui
verificação de vulnerabilidades remotas para a grande maioria de sistemas
incluindo dispositivos de rede, servidores ftp e www, etc. Os últimos plugins
de segurança tem a capacidade de analisar um sítio Web e tentar descobrir as
páginas interativas disponíveis que podem ser atacadas. Existem também
clientes Java e Win32 (não incluidas no Debian) que podem ser usados para
acessar o servidor de gerenciamento.
Note que se você está usando woody, os pacotes do Nessus estão realmente
desatualizados (veja bug #183524
). Não é difícil portar
os pacotes disponíveis no unstable para woody, mas se você encontrar
dificuldades, pode pensar em usar os pacotes portados fornecidos por um dos
co-mantenedores e disponíveis em http://people.debian.org/~jfs/nessus/
(essas versões podem não estar atualizadas como as versões disponíveis no
unstable).
Whisker
é um varredor de verificação de vulnerabilidades Web, que
inclui táticas anti-IDS (a maioria não são mais anti-IDS). É um dos melhores
varreadores baseados em CGI disponíveis, sendo capaz de detectar servidores WWW
e iniciar um dado conjunto de ataques contra ele. O banco de dados usado para
a varredura pode ser facilmente modificado para fornecer novas informações.
Bass
(Bulk Auditing Security Scanner - BULK Varreador de auditoria
de segurança) e SATAN
(Security Auditing Tool for Analyzing
Networks - Ferramenta de auditoria de segurança para análise de redes) devem
ser na opinião da maioria das pessoas, mais como programas de "provas de
conceitos" do que como ferramentas para serem usadas em auditorias. Ambas
são bastantes antigas e não são mais atualizadas. Contudo, SATAN foi a
primeira ferramenta para fornecer avaliação das vulnerabilidades de maneira
simples (através de uma GUI) e Bass é ainda uma ferramenta de avaliação de alta
performace.
Debian fornece algumas ferramentas usadas para a varredura remota de hosts (mas não para verificação de vulnerabilidades). Estas ferramentas são, em alguns casos, usadas pelos verificadores de vulnerabilidades como o primeiro tipo de "ataque" executado contra os hosts remotos na tentativa de determinar os serviços disponíveis. Atualmente Debian fornece os seguintes programas:
nmap
xprobe
queso
knocker
isic
icmpush
nbtscan (para auditorias NetBIOS)
fragrouter
strobe (do pacote netdiag
)
hping2 (Nota: desatualizado)
Enquanto o queso
e o xprobe
fornecem apenas detecção
remota de sistema operacional (usando TCP/IP fingerprinting), nmap
e knocker
fazem, ambos, detecção de sistema operacional e
varreadura de portas nos hosts remotos. Por outro lado, hping2
e
icmpush
podem ser usados nas técnicas de ataque ICMP remoto.
Desenvolvido especificamente para redes Netbios, nbtscan
pode ser
usado para varrer redes IP e recuperar informações de nome de servidores samba
habilitados, incluindo nomes de usuários e de rede, endereços MAC... Por outro
lado, fragrouter
pode ser usado para testar sistemas de detecção
de instrusão e ver se o NIDS pode ser iludido com ataques de fragmentação.
FIXME: Verificar Bug
#153117
(ITP fragrouter) para ver se está incluído.
FIXME adicionar informações baseadas em Debian
Linux Laptop for Road Warriors
que descreve como usar Debian e um
laptop para varrer redes wireless (Link não existe mais).
Atualmente, somente a ferramenta tiger
utilizada no Debian pode
ser usada para executar auditorias internas de hosts (também chamadas de
"caixa branca") de fato para determinar se o sistema de arquivos está
corretamente configurado, que processos estão rodando no hosts, etc..
Debian fornce três pacotes que podem ser utilizados para auditar códigos fontes em C/C++ e encontrar erros de programação que podem conduzir para potenciais falhas de segurança:
flawfinder
rats
splint
Uma rede privada virtual (VPN - Virtual Private Network) é um grupo de dois ou mais sistemas computacionais, tipicamente conectados a uma rede privada com acesso público de rede limitado, que se comunicam seguramente através de uma rede pública. VPNs podem conectar um simples computador a uma rede privada (cliente-servidor), ou uma LAN remota a uma rede privada (servidor-servidor). VPNs, muitas vezes, incluem o uso de criptografia, autenticação forte de usuários ou hosts remotos, e métodos para esconder a topologia da rede privada.
Debian fornece a maioria dos pacotes para configurar uma rede privada virtual criptografada:
vtun
tunnelv
cipe
vpnd
tinc
secvpn
pptpd
freeswan
, que está obsoleto e substituido por
openswan
(http://www.openswan.org/
)
FIXME: Atualizar as informações aqui já que foram escritas com o FreeSWAN em mente. Verificar Bug #237764 e a mensagem: <200412101215.04040.rmayr@debian.org>.
O pacote OpenSWAN é provavelmente a melhor escolha, desde que ele promete interoperar com quase tudo que usa o protocolo IP seguro, IPSec (RFC 2411). Entretanto, os outros pacotes listados acima podem também ajudá-lo a ter um túnel seguro rapidamente. O protocolo de tunelamento ponto a ponto (PPTP) é um protocolo para VPN proprietário da Microsoft. É suportado no Linux, mas é conhecido por ter sérios problemas de segurança.
Para mais informações veja VPN-Masquerade
HOWTO
(cobrindo IPSec e PPTP), VPN HOWTO
(cobrindo
PPP sobre SSH), e Cipe
mini-HOWTO
, e PPP and SSH
mini-HOWTO
.
Também vale a pena verificar o Yavipin
, mas este programa
ainda não possue um pacote Debian disponível.
Se você deseja fornecer um servidor de tunelamento para um ambiente misto (com
clientes Microsoft e Linux) e IPSec não é uma opção (desde que só é fornecido
no Windows 2000 e Windows XP), você pode usar PoPToP (Servidor de
Tunelamento Ponto a Ponto) disponível no pacote pptpd
.
Se você deseja usar autenticação e criptografia da Microsoft com o servidor
fornecido pelo pacote ppp
, veja o seguinte trecho do FAQ:
O uso do PPP 2.3.8 só faz-se necessário se você deseja ter autenticação e criptografia MSCHAPv2/MPPE compatíveis com a Microsoft. A razão para isto é que o patch MSCHAPv2/MPPE atualmente aplicado (19990813) está sobre o PPP 2.3.8. Se você não precisa de autenticação/criptografia compatível com a Microsoft, qualquer versão 2.3.X do fonte do PPP será suficiente.
Entretanto, você também terá que aplicar o patch para o kernel fornecido no
pacote kernel-patch-mppe
, que contém o módulo pp_mppe para o pppd.
Saiba que a criptografia no ppptd força o armazenamento de senhas de usuários
em texto limpo, e o protocolo MS-CHAPv2 contém furos de segurança
conhecidos
.
Infra-estrutura de Chave Pública (PKI - Public Key Infrastructure) é uma arquitetura de segurança introduzida para fornecer um nível adicional de confiança para trocas de informação em redes inseguras. Utiliza os conceitos de chaves de criptografia pública e privada para verificar a identidade de um remetente (assinatura) e para assegurar a privacidade (criptografia).
Quando considerar uma PKI, você encontrará uma variedade de situações:
uma Autoridade Certificadora (CA - Certificate Authority) que pode distribuir e verificar certificados, e que pode trabalhar sobre uma dada hierarquia.
um Diretório para manter certificados públicos de usuário
um Banco de Dados (?) para manter Listas de Revogação de Certificados (CRL - Certificate Revocation Lists)
dispositivos que interagem com a CA a fim de imprimir em smart cards/ tokens USB ou qualquer outra forma para armazenar seguramente os certificados.
aplicações aptas a utilizarem certificados que podem usar certificados fornecidos por uma CA para realizar uma comunicação criptografada e verificar certificados dados contra CRL (para soluções de autenticação e assinatura de uma única vez completa)
uma autoridade de marcação de tempo para assinar documentos digitalmente
um console de gerenciamento a partir do qual tudo isso pode ser corretamente usado (geração de certificados, controle de lista de revogações, etc...)
Debian GNU/Linux tem pacotes de software para ajudar você com alguns desses
pontos da PKI. Eles incluem OpenSSL
(para geração de
certificados), OpenLDAP
(como um diretório para manter os
certificados), gnupg
e openswan
(com suporte para o
padrão X.509). Entretanto, como na versão Woody (Debian 3.0), Debian não tem
nenhuma das autoridades certificadoras disponíveis gratuitamente como pyCA,
OpenCA
ou os exemplos de CA do
OpenSSL. Para mais informações, leia o livro Open PKI
.
Debian fornece alguns certificados SSL com a distribuição de modo que eles
podem ser instalados localmente. Eles são encontrados no pacote
ca-certificates
, que fornece um repositório central dos
certificados que foram submetidos para o Debian e aprovados (ou seja,
verificados) pelo mantenedor do pacote e utéis para qualquer aplicação OpenSSL
que verifica conexões SSL.
FIXME: leia o debian-devel para verificar se algo foi adicionado a ele.
Não existem muitas ferramentas anti-vírus incluídas no Debian GNU/Linux, provavelmente porque os usuários GNU/Linux não são aborrecidos com vírus. O modelo de segurança dos UN*X fazem uma distinção entre os processos privilegiados (root) e os processos de usuário, então quando um executável "hostil" é criado ou recebido por um usuário não-root e então executado, não pode "infectar" ou manipular o sistema em questão. Entretanto, worms e vírus no GNU/Linux existem, embora eles não tenham (ainda, esperançosamente) se espalhado em nenhuma distribuição Debian. Em qualquer caso, administradores podem querer construir gateways anti-vírus que os protejam contra vírus enviados para outros sistemas mais vulneráveis em suas redes.
Debian GNU/Linux atualmente fornece as seguintes ferramentas para a construção de ambientes anti-vírus:
Clam Antivirus
,
fornecido no Debian sarge (futura versão 3.1). Pacotes são fornecidos
tanto para o varredor de vírus (clamav
), quanto para o daemon
varredor (clamav-daemon
) e para os arquivos de dados necessários
para o varredor. Como a atualização do anti-vírus é crítica para o seu
funcionamento, há duas formas diferentes de fazê-la:
clamav-freshclam
fornece um modo para atualização do banco de
dados automaticamente através da Internet e clamav-data
que
fornece os arquivos de dados diretamente. [37]
mailscanner
um gateway de email com varredor de vírus e detector
de spam. Usando o sendmail
ou Exim
como sua base,
ele pode usar mais de 17 diferentes mecanismos de varredura de vírus (incluindo
clamav
)
libfile-scan-perl
que fornece File::Scan, uma extensão Perl para a
varredura de arquivos em busca de vírus. Este módulo pode ser usado para fazer
varredores de vírus independentes de plataforma.
Amavis Nova
Geração
, fornecido no pacote amavis-ng
e disponível no
sarge, é um varredor de vírus em emails que é integrado com diferentes
MTAs (Exim, Sendmail, Postfix, ou Qmail) e suporta cerca de quinze mecanismos
de varredura de vírus (incluindo clamav, File::Scan e openantivirus).
sanitizer
, uma
ferramenta que usa o pacote procmail
que pode varrer anexos de
email em busca de vírus, bloquear anexos baseados em seus nomes de arquivos e
outras opções.
amavis-postfix
, um
script que fornece uma interface de um agente de transporte de email para um ou
mais varredores de vírus comerciais (este pacote é construído para suportar
apenas o MTA postfix
).
exiscan
, um varreador de e-mails escrito em Perl que funciona com
o Exim.
sanitizer
, um varreador de emails que pode remover anexos
potencialmente perigosos.
blackhole-qmail
um filtro de spam para o Qmail que foi construído
com suporte para o Clamav.
Alguns daemons de gateways já suportam extensões de ferramentas para construir
ambientes anti-virus, incluindo exim4-daemon-heavy
(a versão
pesada do MTA Exim), frox
(um servidor proxy e cache
transparente para ftp), messagewall
(um daemon proxy SMTP) e
pop3vscan
(um proxy transparente POP3).
Como você pode ver, Debian não fornece atualmente nenhum software anti-vírus em
sua distribuição oficial principal (3.0 no momento da escrita desse documento),
mas fornece múltiplas interfaces para a construção de gateways anti-vírus. O
varredor Clamav
estará disponível na próxima versão oficial.
Alguns outros projetos anti-vírus livres que podem ser incluídos numa futura versão Debian GNU/Linux:
Existe também um pacote virussignatures
, que fornece assinaturas
para todos os pacotes. Este pacote contém um script para fazer o download das
últimas assinaturas de virus de http://www.openantivirus.org/latest.php
.
FIXME: Verificar se scannerdaemon é o mesmo que o daemon varredor open anti-virus (ver ITPs).
Por outro lado, Debian nunca irá fornecer softwares anti-vírus
comerciais como: Panda Antivirus, NAI Netshield, Sophos Sweep
, TrendMicro Interscan
, ou RAV
. Para mais apontadores veja
em Linux
antivirus software mini-FAQ
. Isto não signifca que estes softwares
possam ser instalados corretamente em um sistema Debian.
Para mais informações de como configurar um sistema de detecção de vírus, veja
o artigo de Dave Jones Building an E-mail
Virus Detection System for Your Network
.
É muito comum, atualmente, assinar digitalmente (e algumas vezes criptografar) e-mails. Você pode, por exemplo, verificar que muitas pessoas participando em listas de discussão assinam seus e-mails. Assinaturas de chave pública são atualmente o único mecanismo para verificar que um email foi enviado pelo remetente e não por qualquer outra pessoa.
Debian GNU/Linux fornece clientes de emails com funções embutidas para
assinatura de emails que interagem com o gnupg
ou
pgp
:
Evolution
.
mutt
.
kmail
.
sylpheed
. Dependendo de como a versão estável deste pacote
evolua, você pode precisar usar a versão bleeding edge,
sylpheed-claws
.
gnus
, que quando instalado com o pacote mailcrypt
, é
uma interface emacs
interface para o gnupg
.
kuvert
, que fornece esta funcionalidade independentemente do
agente de email do usuário (MUA - Mail User Agente) escolhido já que interage
com o agente de transporte de email (MTA - Mail Transport Agente).
Servidores de chave permitem você fazer o download de chaves públicas
publicadas que podem então verificar assinaturas. Um desses servidores de
chaves é http://wwwkeys.pgp.net
.
gnupg
pode automaticamente buscar chaves públicas que não estão em
seu chaveiro público. Por exemplo, para configurar gnupg
para
usar o servidor de chaves acima, edite o arquivo ~/.gnupg/options
e adicione a seguinte linha: [38]
keyserver wwwkeys.pgp.net
A maioria dos servidores de chaves estão ligados, logo quando uma chave pública
é adicionada em um servidor, esta é propagada para todos os outros servidores
de chaves públicas. Existem também um pacote Debian
debian-keyring
, que fornece todas as chaves públicas dos
desenvolvedores Debian. Os chaveiros do gnupg
são instalados em
/usr/share/keyrings/
.
Para mais informações:
[ anterior ] [ Conteúdo ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ próximo ]
Securing Debian Manual
v3.1,mailto:jfs@debian.org