[Iptables – artigo 4/10] A tabela NAT (Source NAT)

Firewall, Security, Sem categoria
No nosso post anterior, nós falamos da chain OUTPUT da tabela filter. Hoje o papo é sobre a tabela NAT. Então, NAT é aquele protocolo amigo que faz a tradução de endereços IP de origem e destino. ?!?!?!?! Pra que?!?! Então, você está na rede local 10.0.0.0/8  e quer passar um pacote para o host 200.200.200.200, que é um site de internet, segundo as regras de comunicação do protocolo IP, essa conexão direta não seria possível, pois estão em redes e classes completamente distintas. É aí que o SNAT entra. O Source NAT tem a incumbência de modificar o endereço de IP de origem do pacote para que ele possa ser entregue a um host de outra rede.   Vamos pegar o caso acima. Nele, temos 2 redes distintas onde…
Read More

[Iptables – artigo 3/10] Um passeio pelas chains da tabela filter (OUTPUT)

Firewall, Security, Sem categoria
No último post sobre iptables falamos sobre a chain FORWARD da tabela filter. Hoje o papo é sobre a chain OUTPUT. Talvez esta chain seja menos 'polêmica' pois é mais fácil de entender. Ela trata dos pacotes que têm como origem o próprio servidor e a aceitação, log ou rejeição do envio desses pacotes de rede vai depender exclusivamente do administrador. Vamos ver o seguinte caso abaixo: Bem simples este. Se é um servidor Web apenas, é ideal que alguns tipos de pacotes não saiam do servidor, como pacotes nas portas 22 e 23, por exemplo. #iptables -A OUTPUT -p tcp --dport 22:23 -j REJECT Mas é importante também fazer log dessas tentativas de envio de pacotes sem autorização: #iptables -I OUTPUT -p tcp --dport 22:23 -j LOG --log-level warn…
Read More

[Iptables – artigo 2/10] Um passeio pelas chains da tabela filter (FORWARD)

Firewall, Security, Sem categoria
Em nosso post anterior falamos sobre o tratamento de pacotes de rede que têm como destino o próprio servidor onde estão criadas as regras do Netfilter, através do Iptables. Mas e quando o firewall age 'no meio' de 2 redes distintas? Aí, neste caso, usa-se a chain FORWARD (maiúsculo mesmo). Vejamos o caso abaixo: O firewall age filtrando os pacotes que passam por ele, agindo também como router entre 2 redes locais distintas e a Internet. Exemplos: Pacotes que vêm da rede 192.168.0.0/24 e têm como destino o servidor web 172.16.0.20 da outra rede   Fazer log de conexões SSH #iptables -I FORWARD -p tcp -s 192.168.0.0/24 -d 172.16.0.20 --dport 22 -j LOG --log-level warn --log-prefix '[Acessos SSH]' (vale lembrar que, neste caso por padrão, o log está indo para o…
Read More

Papo sobre a LPIC3-303 – Security

Certificações, Security
https://howtoonline.com.br/?page_id=268 O mercado de TI está cada vez mais exigente quanto ao skill do especialista Linux e o caminho das certificações é o atalho mais rápido para bons salários e boas experiências profissionais. É muito difícil, na cabeça do empregador, a palavra Linux não estar associada a segurança e a plataforma merece mesmo respeito como tal, melhorando cada vez mais seus recursos modulares e nativos de kernel no que diz respeito á segurança de dados. É aí que entra a certificação LPIC3-303, é a certificação de segurança e o nosso papo hoje é sobre ela. A chamada 'senioridade' em Linux requer um amplo conhecimento dos serviços e protocolos nos quais o profissionais vai atuar e a LPIC3-303 trata de realmente certificar que o administrador sênior saiba implementar e manter um ambiente seguro…
Read More

[Iptables – artigo 1/10] Um passeio pelas chains da tabela filter (INPUT)

Security, Sem categoria
Talvez o maior e melhor de todos os recursos nativos do Kernel Linux seja o módulo Netfilter , desde o kernel 2.4 representado pelo Iptables, que é imprescindível no Skill de qualquer administrador Linux Pleno. Então, a contar de hoje, serão 10 posts sobre Iptables, todas as quartas-feiras. O de hoje vai ser um passeio sobre as chains da tabela filter do Iptables. A tabela filter Sim, com letra minúscula mesmo, para respeitar a sintaxe do artista que fez isso!! Como o próprio nome já diz, é a tabela que efetivamente faz o 'pente fino' no pacote, o filtro nele, é onde o netfilter é informado que política adotar ao 'ver' a passagem deste pacote. Então, para o netfilter ter o que fazer com o pacote ele precisa saber que tipo de…
Read More

[BIND] Gerando estatísticas detalhadas do servidor DNS

DNS, Security, Sistema
  Por padrão, o BIND9 não gera muitos logs interessantes para uma depuração mais rebuscada das consultas ao servidor DNS. Isso é um grande problema para quem quer cuidar de seus próprios NS e não deixar na mão de provedor nenhum (se você fez isso, tem o meu respeito, se não, faça! É libertador!). Vamos partir do princípio que o seu bind9 já está instalado, suas zonas direta e reversa criadas e seus arquivos de registros (SOA, NS, A, AAAA.....) também. Então ok. Vamos por partes: Habilitando a geração de estatísticas no BIND: #vim /etc/bind/named.conf.options ;Insira estas 2 linhas neste arquivo: zone-statistics yes; statistics-file "/var/log/named/learnflix_stats.log"; Criando o log de consultas do BIND: Até por uma questão de 'higiene' de espaço em disco, o BIND por padrão não faz log de cada consulta…
Read More

Hardening de Kernel

Firewall, Security, Sem categoria, Sistema
Dando continuidade á nossa série de posts sobre Hardening no Linux, aí vai um post do amigo Adônis Tarcio Moreira. E ai galera, blz? Faz um tempo desde o meu ultimo post mas vim aqui dar uma dica sobre Hardening de Kernel. O arquivo /etc/sysctl.conf ajusta os parâmetros definidos para os processos do Kernel Linux, montados no pseudo-filesystem /proc. Sendo assim, uma vez alterado este arquivo, o ideal é que se remonte o Kernel para que as alterações tenham efeito, ou seja: dê um reboot no servidor. Essa dica foi testada em servidores: Debian, Ubuntu, CentOS e RedHat.  Alguns dos parâmetros já estão no arquivo e alguns você deve adicionar manualmente.   # Protecao contra ataques ICMP net.ipv4.icmp_echo_ignore_broadcasts = 1 # Protecao contra mensagens de erro de ICMP # As vezes roteadores…
Read More