Pesquisar neste blog

sexta-feira, 19 de novembro de 2010

Fechando VPN PPTP pelo D-link DIR-655

Problema: Não é possível conectar em uma VPN PPTP com o modem D-Link DIR-655


Solução: Na interface de configuração do modem (geralmente 10.0.0.1) vá em Advanced e no menu lateral esquerdo vá em Virtual Server, será necessário criar dois servidores virtuais:


No primeiro servidor virtual, coloque um nome (para padronizar use GRE), em IP Address entre com o IP do servidor VPN, caso esteja usando um servidor com duas interfaces de rede, coloque o IP da interface externa (geralmente na mesma faixa do modem).
Em Protocol selecione “Other”, no tráfego coloque a porta 47.


No segundo servidor virtual, coloque um nome (para padronizar use PPTP), em IP Address entre com o IP do servidor VPN, caso esteja usando um servidor com duas interfaces de rede, coloque o IP da interface externa (geralmente na mesma faixa do modem).
Em Public e Private Ports coloque 1723, em Protocol selecione TCP, em tipo coloque o valor 6.




D-link DIR-655

Salve as configurações e reinicie o modem, pronto, agora é só testar.
No meu caso funcionou perfeitamente, espero que ajude.



 







terça-feira, 16 de novembro de 2010

Usando FreeRADIUS para autenticar no ActiveDirecotry

Olá amigos,
tive a necessidade de autenticar nossa rede wifi utilizando-se de nossa base de usuários do AD, então para isso utilizei o freeradius 1.1.3 do CentOS 5.


Editando os arquivos de configuração:

# vim clients.conf

client 10.0.0.1 {
        secret = senha
        shortname = AP_XXX
        nastype = other
}


# vim users

DEFAULT Auth-Type := "LDAP"

# vim eap.conf


        eap {
                default_eap_type = peap
                timer_expire     = 60
                ignore_unknown_eap_types = no
                cisco_accounting_username_bug = no

                md5 {
                }

                leap {
                }

                gtc {
                        auth_type = PAP
                }

tls {
     private_key_password = whatever
     private_key_file = /etc/raddb/certs/cert-srv.pem
     certificate_file = /etc/raddb/certs/cert-srv.pem
     CA_file = /etc/raddb/certs/demoCA/cacert.pem
     dh_file = /etc/raddb/certs/dh
     random_file = /etc/raddb/certs/random
     fragment_size = 1024
     check_crl = no
   }

   ttls {
      default_eap_type = md5
      copy_request_to_tunnel = no
      use_tunneled_reply = no
   }




                 peap {
                        default_eap_type = mschapv2
                }

                mschapv2 {
                }
        }


# vim radiusd.conf

modules {

...
      ldap {
                authtype = ldap
                server = "servidor.dominio.net"
                identity = "login@dominio.net"
                password = "S3nh@"
                basedn = "ou=Usuaurio,dc=dominio,dc=net"
                base_filter = "(objectclass=posixAccount)"
                base_filter = "(objectClass=person)"
                access_attr = "SamAccountName"

                filter = "(&(sAMAccountname=%{Stripped-User-Name:-%{User-Name}})(objectClass=person))"

                start_tls = no
                dictionary_mapping = ${raddbdir}/ldap.attrmap
                ldap_connections_number = 5
                timeout = 4
                timelimit = 3
                net_timeout = 1
        }

 ....
}


authorize {
        preprocess
        ldap
        eap
        chap
        mschap
        files
}

authenticate {
        Auth-Type PAP {
                pap
        }

        Auth-Type CHAP {
                chap
        }

        Auth-Type MS-CHAP {
                mschap
        }
        Auth-Type LDAP {
                ldap
        }
        unix
        eap
}

Ligando para usuários Skype através do Vono

Olá amigos,
para que o skype funcione com o VONO seguem abaixo alguns passos necessários

No usuário que você conecta na VONO usa o codec ulaw como padrão
[login]
type=peer
username=login
secret=senha
domain=vono.net.br
fromuser=login
fromdomain=vono.net.br
host=vono.net.br
insecure=very
qualify=no
port=5060
nat=yes
disallow=all
allow=ulaw
dtmfmode=rfc2833
context=gvt
reinvite=no
canreinvite=no
aut=md5


Exemplo de extensão para discar para o teste do skype.

exten =>_90,1,Dial(SIP/echo123#skype@login,50,tT)
exten => _90,2,Hangup()

Criando um Tronco SIP Vono no Asterisk

Olá amigos,
abaixo seguem as configurações que eu usei para registrar um tronco sip no servidor da VONO.



/etc/asterisk/sip.conf

[general]
register => login:senha@vono.net.br:5060/login

[login]
type=peer
username=login
secret=senha
domain=vono.net.br
fromuser=login
fromdomain=vono.net.br
host=vono.net.br
insecure=very
qualify=no
port=5060
nat=yes
disallow=all
allow=ilbc,gsm,ulaw,alaw
dtmfmode=rfc2833
context=gvt
reinvite=no
canreinvite=no
aut=md5

/etc/asterisk/extensions.conf

[gvt]

; receber ligações do Vono - direciona pro ramal 200
exten => login,1,Dial(SIP/200)

; essa linha é que fará as ligações via vono.
exten => _0.,1,Dial(SIP/${EXTEN}@login,90,rT)

quarta-feira, 3 de novembro de 2010

Limpar senhas salvas - Windows

Muitas vezes precisamos acessar um compartilhamento ou recurso de rede, ai vem aquela janela para inserir seu usuário e senha, mas muitas vezes marcamos a opção "Salvar Senha" e posteriormente temos problemas com isso.

Para limpar essas senhas armazenadas execute os procedimentos abaixo:

Iniciar ->  Executar
control userpasswords2
Aba Avançado, botão Gerencia Senhas.

terça-feira, 2 de novembro de 2010

Renovando o Certificado de Segurança do Zimbra

Zimbra é um excelente software Open Source orientado ao setor empresarial capaz de proporcionar as capacidades mais avançadas de um servidor de correio eletrônico, com funções de calendário em plano GroupWare, e sincronização com clientes como MS Outlook e Mozilla Thunderbird.


Obs: (Todos os procedimentos abaixo deve ser executados com o usuário root)
Para consultar o certificado atualmente instalado:

Correio:~ # /opt/zimbra/bin/zmcertmgr viewdeployedcrt

Criando Certificado:
Correio:~ # /opt/zimbra/bin/zmcertmgr createcrt -new -days 365 -subject "/C=BR/ST=RS/A/L=Porto Alegre/O=BLOG/OU=ZCS/CN=webmail.minhaempresa.com"

Executando deploy do certificado gerado:


Correio:~ # /opt/zimbra/bin/zmcertmgr deploycrt self -allserver



Delete Root CA:
Correio:~ # /opt/zimbra/java/bin/keytool -delete -alias root -keystore /opt/zimbra/java/jre/lib/security/cacerts


Importe a nova Root CA:
Correio:~ # /opt/zimbra/java/bin/keytool -import -alias root -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file /opt/zimbra/conf/ca/ca.pem


Restartando o serviço do zimbra:

Correio:~ # su zimbra
zimbra@Correio:/> zmcontrol stop && zmcontrol start








Incidentes x Problemas - ITIL

Muitas vezes nos perguntamos, qual a diferença entre incidentes e problemas, pois bem, vou explicar brevemente essa diferença:


Incidente: É uma interrupção não planejada de um serviço de TI ou uma redução da qualidade de um serviço de TI. 
Falha de um Item de Configuração que ainda não tenha impactado um serviço de TI é também um incidente.

Problema: é a causa desconhecida de um ou mais incidentes, ou seja, um incidente que não tem sua causa raiz identificada acaba se tornando um problema.

Exemplo:

Usuário liga para o Help Desk e informa que o sistema está lento. Neste momento o atendente irá registrar um INCIDENTE. Sempre começa pelo registro do incidente. O atendente do Help Desk fará um diagnóstico inicial para tentar solucioná-lo, se não conseguir, escalará o incidente para o pessoal de suporte responsável pelo aplicativo para avaliar o caso. O pessoal responsável aplicativo irá verificar se existe alguma solução de contorno documentada. Se não souberem o que está causando o incidente, será aberto o registro de um PROBLEMA. O Problema surge quando não se sabe o que está causando a interrupção ou falha em um serviço, ou seja, quando não se sabe a causa de um incidente. Aberto o problema, a equipe do aplicativo irá fazer um diagnóstico depurado e irá propor uma solução de contorno, que poderá ser reiniciar o servidor de aplicação. O problema só será fechado quando o Erro for descoberto e removido da infraestrutura. 


quinta-feira, 21 de outubro de 2010

Dicas de como comprar com segurança na internet

Olá Amigos,
dia 19 de Outubro de 2010 às 15:00hs fiu convidado a participar do programa "Guaiba Revista" da rádio Guaiba de Porto Alegre - RS que pertence a TV Record, como convidados estavam eu representando o Centro Universitário Metodista - IPA da área de Tecnologia da Informação, Prof. Sergio economista da Unisinos e o Advogado Lucio de Constantino da FARGS. O tema descutido foi "Compras pela internet", qual a segurança disso? as pessoas ainda passam por problemas por falta de orientação, ou por não buscá-la, agindo impulsivamente devido a preços atrativos que muitas vezes não são o que parecem ser ?

Bom, o natal está ai e muita gente não tem tempo ou prefere a comodidade de comprar os presentes ou mesmo aproveitar as ofertas pela internet.

As vantagens são inúmeras e atrativas, mas alguns cuidados são necessários para evitar futuras “dores de cabeça”.

Infelizmente em épocas festivas, principalmente de fim de ano, fazer compras pela internet  deve ter um cuidado redobrado, já que muitos golpistas tentam iludir consumidores com sites falsos ou mesmo com produtos inexistentes a preços convidativos.


Então vamos a algumas dicas para verificar se o site de vendas em questão pode ser confiável:
  1. Buscar informações sobre o site verificando se não há reclamações, buscando pelo nome da empresa nos sites de buscas ou então em sites com comentários de usuários, como o www.reclameaqui.com.br, com amigos, familiares, etc.
  2. Verificar o endereço físico do fornecedor, telefones, e-mails, etc. Recomendo que desconfie ou fuja de sites que possuem apenas telefones celulares.
  3. Se o fornecedor possuir CNPJ, verifique no site da Receita Federal se o CNPJ confere com o endereço fornecido. O site da Receita Federal para verificação do CNPJ é: http://www.receita.fazenda.gov.br/PessoaJuridica/CNPJ/cnpjreva/Cnpjreva_Solicitacao.asp
  4. Verifique no www.registro.br os dados da empresa e se confere com as fornecidas no site, bastando inserir o endereço do site no campo “Verifique a disponibilidade de um nome de domínio”. Caso o endereço seja “internacional” como .com ou .net use o www.whois.sc para ver os dados de quem registrou o domínio.
  5. Verifique no site os procedimentos para reclamação, devolução, garantias, etc.
  6. Verifique as medidas que o site adota para garantir a privacidade dos seus dados, principalmente caso precise inserir dados como RG, CPF, etc.
  7. Não forneça informações desnecessárias para se efetuar uma compra. Caso perceba que precise preencher campos com dados desnecessários, entre em contato com o site para saber o motivo disso.
  8. Guarde todos os dados das compras, como o nome do site, itens adquiridos, valores pagos, número do protocolo da compra ou pedido e todos os dados coletados com as dicas anteriores.
  9. Guardar todos os e-mails e mensagens trocadas entre você e o fornecedor, confirmação do pedido e outros dados que comprovem a compra e suas condições.
  10. Verificar se há despesas adicionais como fretes ou taxas, assim como os prazos de entrega ou execução dos serviços para evitar surpresas desagradáveis.
  11. Exija nota fiscal sendo empresa ou não, já que isso pode ser uma garantia de que o produto não é roubado e também lhe dará crédito na hora da reclamação, além da garantia contra defeitos no produto e eventual troca.
  12. Mantenha seu computador protegido e livre de pragas da internet (vírus, trojans, spywares, etc), já que na hora da transação eletrônica nos sites você precisará inserir informações sigilosas.
  13. Cuidado com mensagens falsas que chegam a seu e-mail com promoções nesta época do ano. Mensagens maliciosas podem lhe levar a sites falsos a abrir vírus. Se receber uma mensagem de uma loja conhecida ou mesmo de seu banco para troca de certificado ou informações sem ter solicitado, não pense duas vezes e apague a mensagem por se tratar de fraude, já que essas instituições e bancos nunca enviam mensagens sem sua solicitação.
  14. Evite a todo custo passar sua senha a pessoas desconhecidas e sempre use senha difíceis de descobrir e com no mínimo 8 caracteres, mesmo que tenha que anotá-la, com o tempo e uso você a decora.
  15. Em sites de leilão em que normalmente os valores dos produtos são mais baixos, verifique a reputação do vendedor, veja os comentários feitos pelos outros usuários e os produtos que este vendedor vendeu e desconfie de valores muito abaixo do mercado.
  16. Para compras online, evite a todo custo usar computadores públicos (como as de lan houses) por poderem estar infetados com algum programa malicioso. Prefira o seu computador pessoal ou mesmo de sua empresa (caso seja permitido fazer compras ou acessar determinados sites na mesma).
  17. Se possível verifique se o site em questão usa SSL, um certificado de segurança onde os dados enviados pelo formulário de seu computador até o servidor são criptografados (codificados). Para isso basta olhar no endereço se está como “https://” em vez de “http://” .
  18. Usar o cartão de crédito é tão seguro quanto pagar suas compras no restaurante ou supermercados. Prefira este meio de pagamento na internet. Caso o site em questão não tenha meios de pagamento por cartão, prefira pagamentos por boleto bancário ou Sedex a cobrar (onde você paga ao receber o produto nos Correios).
  19. Tenha maior atenção e cautela com produtos muito valorizados ou vendidos (MP3 players, videogames, telefones, etc), pois estes são os preferidos dos golpistas.
  20. Como dito anteriormente e ressaltando, desconfie de ofertas espetaculares, promoções imperdíveis e valores muito abaixo do mercado.


 
Autor: Marcos Abadi

quinta-feira, 29 de julho de 2010

Centos 5 Multimedia Howto

In This Article, I will be discussing how to setup Multimedia on Centos 5 Enterprise. When your looking for a longer update cycle than traditional Fedora / Ubuntu provide, I am also aware of Ubuntu LTS but i will not be covering that matter as it has been covered quite frequently, your best bet is probably to install a Version of Centos 4 or 5. I will be sticking with the latest and greatest as of today, which is Centos 5 Enterprise.

Step 1: Add the Rpmforge Repo
rpm -Uhv http://apt.sw.be/redhat/el5/en/i386/RPMS.dag/rpmforge-release-0.3.6-1.el5.rf.i386.rpm

Step 2: Add the Macromedia Repo
rpm -Uhv http://linuxdownload.adobe.com/adobe-release/adobe-release-i386-1.0-1.noarch.rpm

Step 3: Install Multimedia Applications
yum -y install libdvdcss libdvdread libdvdplay libdvdnav lsdvd mplayerplug-in mplayer mplayer-gui compat-libstdc++-33 flash-plugin gstreamer-plugins-bad gstreamer-plugins-ugly

Step 4: Installing w32Codecs in order to play everything under the Sun.
wget www1.mplayerhq.hu/MPlayer/releases/codecs/mplayer-codecs-20061022-1.i386.rpm ; rpm -ivh mplayer-codecs-20061022-1.i386.rpm
wget www1.mplayerhq.hu/MPlayer/releases/codecs/mplayer-codecs-extra-20061022-1.i386.rpm; rpm -ivh mplayer-codecs-extra-20061022-1.i386.rpm
you should now have full multimedia and video support for all popular formats. If you experience any issue or have a better approach feel free to post a reply.



Fonte: sklav

quarta-feira, 5 de maio de 2010

Instalando/Atualizando Samba 3.4 no CentOS 5

Olá pessoal, com a chegada do windows 7, com ele também vieram alguns problemas para quem usa controladores de domínio Samba na versão 3.0. Existe uma incompatibilidade do protocolo de autenticação NTLMv2 do Windows 7, por padrão ele só tem suporte ao NTLMv2, detalhe, o samba ainda não utiliza o NTLMv2, mais um problema criado pela microsoft!

Então para resolver esse problema e facilitar a situação dos administradores de rede aqui vai minha dica:

Vamos seguir a recomendação da wiki do samba, que nos orienta a como ativar o suporte ao controlador de domínio Samba no Windows 7.

Configurações de Registro do Windows 7

Atualmente existem duas configurações necessárias no Registro do Windows 7 antes de ingressar em um domínio Samba. São elas:


 HKLM\System\CCS\Services\LanmanWorkstation\Parameters
            DWORD  DomainCompatibilityMode = 1
            DWORD  DNSNameResolutionRequired = 0
 
essa outra alteração não é da wiki, ela evita dar aquele erro
de relação de confiança ao logar após ter sido inserida no domínio:

HKLM\System\CurrentControlSet\Control\Lsa
            DWORD LmCompatibilityLevel = 1 
 
Pelo gpedit.msc mudar para "Send LM & NTLM – use NTLMv2 if negotiated" 
 
Certifique-se de reiniciar o Windows 7 ou reiniciar o serviço LanmanWorkstation após definir essas entradas.
 
Você receberá um aviso sobre a configuração de DNS do nome de domínio após a inclusão bem sucedida: 
 
"Changing the Primary Domain DNS name of this computer to "" failed.
    The name will remain "MYDOM".  The error was:
    
    The specified domain either does not exist or could not be contacted" 
Este aviso pode ser ignorado ou silenciado com ajuste de outras chaves do Registro.
 
Não edite quaisquer outros parâmetros do registro (NETLOGON). Se você já tiver modificado 
o Registro do Windows 7, certifique-se de repor as chaves e seus valores padrões.
 
Se você tiver alterado os parâmetros do NETLOGON, certifique-se de voltá-los 
para "1" como mostrado abaixo: 
 

HKLM\System\CCS\Services\Netlogon\Parameters
           DWORD  RequireSignOrSeal = 1
           DWORD  RequireStrongKey = 1


Bom, essas são as orientações do samba quanto as alterações do registro do windows 7. Agora vamos para a o servidor, onde vamos realizar a atualização do samba segundo pacotes disponíveis no repositório do site da sernet para o centOS 5.

Bom, antes de começar a atualização é bom lembrar a quem usa o controlador de domínio com passdb backend do tipo "smbpasswd".

Segundo documentação oficial do samba 3.4:
http://www.samba.org/samba/history/samba-3.4.0.html

O passdb backend padrão da nova versão do samba é o tdbsam, para usar o smbpasswd deve ser explicitado no arquivo de configuração "passdb backend = smbpasswd".
Se você quiser manter o backend "smbpasswd" ou converter seus registros smbpasswd use o comando 'pdbedit -i smbpasswd -e tdbsam'

O backend 'tdbsam' é muito mais flexível em relação as configurações por usuário como 'profile path' ou 'home directory' e existem alguns comandos que não trabalham em tudo com o backend 'smbpasswd'.

Ditas as explicações, aconselhamos a fazer um backup do /etc/samba e do /var/cache/samba, isso para quem já tem o samba em uso.

Iremos agora criar o repositório para realizar a atualização do samba 3.4:

# vim /etc/yum.repos.d/samba-testing.repo

Adicionar o conteúdo Abaixo.

# Nome: Repositório de instalação do Samba
[samba-testing]
name = SerNet Samba Team packages (CentOS 5)
type=rpm-md
baseurl = ftp://ftp.sernet.de/pub/samba/3.4/centos/5/
enabled = 1
gpgcheck = 0
# fim




Salve o arquivo e saia. 

Agora vamos atualizar o Sistema e o Samba…

# yum update -y
Para quem usa o Samba como membro de um domínio AD, segue abaixo o comando para baixar e instalar o winbind.

# yum install samba3-winbind

Depois de Atualizado o Samba para versão 3.4 vamos as configurações finais. Edite o arquivo de configuração do samba /etc/smb.conf e acrescente as seguintes linhas:



ntlm auth = YES
lanman auth = YES

client NTLMv2 auth = YES

Nota: Lembrando que para quem usa passdb backend, acrescente no arquivo de configuração do samba a seguinte linha: 

passdb backend = smbpasswd


Depois de terem feito as configurações padrões e as adicionais de acordo com seu uso, no caso as que não listamos aqui, você já pode salvar o arquivo e sair.

Inicie o serviço do samba com o seguinte comando:

# service smb start

Crie uma senha para seu usuário administrador do domínio, no caso o root usando o seguinte comando:
# smbpasswd -a root


Pronto, agora vá até uma estação cliente com Windows 7 e a adicione ao domínio.


terça-feira, 4 de maio de 2010

Uma maneira simples de detectar ataques DDoS o DoS

Mas afinal, o que são ataques de DDoS ou de "negação de serviço"?
 
Os ataques DoS são bastante conhecidos no âmbito da comunidade de segurança de redes. Estes ataques, através do envio indiscriminado de requisições a um computador alvo, visam causar a indisponibilidade dos serviços oferecidos por ele. Fazendo uma analogia simples, é o que ocorre com as companhias de telefone nas noites de natal e ano novo, quando milhares de pessoas decidem, simultaneamente, cumprimentar à meia-noite parentes e amigos no Brasil e no exterior. Nos cinco minutos posteriores à virada do ano, muito provavelmente, você simplesmente não conseguirá completar a sua ligação, pois as linhas telefônicas estarão saturadas.
 
Quem são os personagens do ataque?
 
Atacante: Quem efetivamente coordena o ataque.

Master: Máquina que recebe os parâmetros para o ataque e comanda os agentes (veja a seguir).

Agente: Máquina que efetivamente concretiza o ataque DoS contra uma ou mais vítimas, conforme for especificado pelo atacante.

Vítima: Alvo do ataque. Máquina que é "inundada" por um volume enormede pacotes, ocasionando um extremo congestionamento da rede e resultando na paralização dos serviços oferecidos por ela.

Vale ressaltar que, além destes personagens principais, existem outros dois atuando nos bastidores:

Cliente: Aplicação que reside no master e que efetivamente controla os ataques enviando comandos aos daemons.

Daemon: Processo que roda no agente, responsável por receber e executar os comandos enviados pelo cliente.

 
As principais Fases do ataque 
 
1ª fase: intrusão em massa. nesta fase do ataque o atacante escolhe as vitimas(geralmente conexões de banda larga), e faz um superscan de vulnerabilidades nelas, após encontradas as vulnerabilidades, é criado uma lista com os IP's dessas máquinas que foram invadidas e comprometidas, para serem usadas no ataque.

2ª fase: instalação das ferramentas DDOS, escolha dos masters e agentes. Após invadida as 
máquinas e instalados os programas DDOS é a hora de selecionar a função de cada máquina no ataque. A escolha sobre qual máquina será usada como master e agente dependerá do atacante. O perfil dos masters e agente dependerá do atacante, mas geralmente o perfil dos masters e agente são máquinas poucos manuseadas e pouco monitoradas pelo seu administrador já os agentes são máquinas rápidas, é nos agentes que serão instalados o daemon DDOS que anunciara sua presença aos masters e ficara esperando os comandos, daí começa a ser organizado o ataque, é instalado rootkits para tentar ocultar o comprometimento das máquinas.

3ª fase: iniciando o ataque. O atacante agora só precisa controlar seu ou seus agentes e "mandarem" atacar o(s) IP(s) da(s) vítima(s), por um período de tempo determinado pelo atacante.
 

Ferramentas mais comuns
  • TRIN00
  • TFN2K(trible flood network 2000)
  • TFN(trible flood network)
  • Stalcheldraht      

 Forma simples de detectar um ataque DDoS

Os indícios mais comuns de que seu servidor esta sobre um ataque DDoS é o aumento repentino na atividade do processador e a lentidão que o mesmo irá apresentar em função desse aumento do processamento.

Uma forma prática, rápida e fácil de verificar um possível ataque DDoS é utilizar um conjunto de ferramentas que incluem: netstat, grep, awk e uniq. 
 
A linha abaixo nos retorna uma lista dos IP's que estão conectados ao servidor como também o número de conexões que cada um dos IP's esta abrindo. 

# netstat -an | grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

ou
 
# netstat -alpn | grep :80 | awk ‘{print $5}’ |awk -F: ‘{print $(NF-1)}’ |sort | uniq -c | sort -n

Um grande número de conexões pode significar um ataque ou algo menos nocivos, como um efeito digg, twitter ou slashdot

Fontes:

segunda-feira, 3 de maio de 2010

Monitorando a segurança dos serviços terceirizados

Olá pessoal, segue um artigo abaixo que nos dá uma visão de como podemos monitorar os serviços de segurança realizados por empresas terceiras, se esse for o caso.


[ Monitorando a segurança dos serviços terceirizados ]
 

A terceirização da infraestrutura de TI ou mesmo toda a operação, incluindo sistemas e serviços de TI, é uma realidade cada vez mais próxima para muitas empresas. Muitas delas, durante a negociação dos contratos e indicadores de SLA (Service Level Agreement), preocupam-se com a disponibilidade dos serviços, quantidade e tempo de atendimento dos chamados, armazenamento de dados, entre outros. Porém, para os indicadores relacionados com segurança da informação nem sempre encontramos índices precisos para medir a qualidade dos serviços prestados.


Durante a análise dos contratos, muitas vezes há cláusulas genéricas como: manter o parque computacional atualizado, aplicar regularmente os patches de segurança, revisar as regras do firewall, testar o plano de contingência, realizar os testes de invasão, etc.


Nessas situações, quando revisamos o serviço prestado pelo provedor fica difícil afirmar se a qualidade está adequada ou não, pois não há indicadores claros e específicos sobre: 

- O tempo que uma atualização leva para estar disponível nos servidores;
- Qual deve ser a periodicidade das revisões do firewall. Em quanto tempo as incorreções identificadas devem ser tratadas;
- Quem deve fazer os testes de invasão, a própria empresa ou alguém independente? 
- Quem deve receber o relatório e acompanhar as correções? 
- Quem é responsável por um vazamento de informações?

Além de métricas mais precisas para as disciplinas de segurança da informação, também é necessário que se estabeleçam penalidades para o não cumprimento dos indicadores estabelecidos. As penalidades, normalmente, transformam-se em descontos comerciais nas faturas mensais seguintes.


No entanto, essas melhorias nos contratos e o SLA de nada vão adiantar, se as empresas não estabelecerem um processo interno rígido com uma estruturação de monitoramento próprio, utilizando seus relatórios internos para confrontar os resultados apresentados pelo prestador. É importante lembrar que sempre que terceirizamos uma atividade diminuímos a carga operacional da companhia, porém aumentamos a responsabilidade gerencial sobre o prestador de serviços.



Autor: Frank Meylan
Fonte: http://www.itweb.com.br/blogs/blog.asp?cod=55

sábado, 1 de maio de 2010

!!! Atenção !!! - Demissão por justa causa - Artigo 482


Olá pessoal,
segue abaixo um artigo, para os desavisados de plantão e para a informação de muitos.

Análise da CLT – artigo 482 que configura justa causa para demissão nas situações digitais
Por Patricia Peck



•       Ato de improbidade (deixar a máquina ligada e desbloqueada e sair, sendo uma pessoa em função que permita acesso a dados confidenciais, aproveitar que é da área de TI para ficar vendo o que as pessoas escrevem por email ou navegam na internet, fora do limite de investigação relacionada a monitoramento autorizado com suspeita de conduta inadequada ou ilícita do envolvido);

•       Incontinência de conduta ou mau procedimento (ex: caso comum é acesso à sites pornográficos);

•       Negociação habitual por conta própria ou alheia sem a permissão do empregador, e quando constituir ato de concorrência à empresa para qual trabalha o empregado ou for prejudicial ao serviço (ex: enviar informações para o concorrente por email, ficar enviando curriculum para concorrente por email corporativo);

•       Condenação criminal do empregado (ex: ser condenado por furto de dados, fraude, etc);

•       Desídia no desempenho das respectivas funções (ex: ficar navegando em sites não relacionados ao trabalho durante o expediente, ouvindo música MP3, fazendo download de filmes); (…)

•       Violação de segredo da empresa (postar conteúdo confidencial da empresa em comunidade, blog, forum, chat, Youtube, sem autorização);

•       Ato de indisciplina ou insubordinação (se recusar a assinar ciência em norma interna da empresa para uso de notebook, ou não permitir inspeção física do seu equipamento de trabalho);

•       Abandono de emprego (ex: pedir licença médica e se descobrir em conteúdos postados na Internet que está viajando – fotos colocadas em um fotolog);

•       Ato lesivo da honra ou da boa fama praticado no serviço contra qualquer pessoa, ou ofensas físicas, nas mesmas condições, salvo em caso de legítima defesa, própria ou de outrem (enviar email, criar comunidade ou postar conteúdo para falar mal dos colegas);

•       Ato lesivo da honra ou da boa fama ou ofensas físicas praticadas contra o empregador e superiores hierárquicos, salvo em caso de legítima defesa, própria ou de outrem (enviar email criar comunidade ou postar conteúdo para falar mal de chefes);

•       Prática constante de jogo de azar (ex: acessar cassino online de dentro da empresa).


Fonte: http://www.itweb.com.br/noticias/index.asp?cod=66770


sexta-feira, 30 de abril de 2010

Instalando o NTOP no CentOS 5.4

Olá pessoal, estou aqui mais uma vez disponibilizando para vocês mais uma dica de como instalar uma ferramenta muito conhecida e utilizada pelos administradores de rede, essa ferramenta monitora passivamente a rede coletando dados sobre os protocolos e sobre os hosts da rede.

Algumas características e Funcionalidades:
  • Analisa os pacotes que trafegam na rede;
  • Lista e ordena o tráfego de rede de acordo com vários protocolos;
  • Exibe estatísticas de tráfego;
  • Armazena estatísticas de forma permanentemente em bancos de dados;
  • Identifica passivamente várias informações sobre os hosts da rede, incluindo o sistema operacional executado e endereço de e-mail do usuário da estação;
  • Exibe a distribuição do tráfego IP entre vários protocolos da camada de aplicação;
  • Decodifica vários protocolos da camada de aplicação, inclusive os encontrados em softwares do tipo P2P;
  • Atua como coletor de fluxos gerados por roteadores e switches através da tecnologia NETFLOW;
  • Possui um WebServer integrado que permite consultas às informações através de um browser.

Procedimentos de Instalação

1) Baixando o software

Para baixar a última versão do NTOP o site recomenda fazermos isso através do svn, ou seja, baixar direto do repositório de desenvolvimento deles. Se você não tiver o svn instalado execute o seguinte comando antes de baixar o NTOP:

Instalando svn:
# yum install subversion -y

Após instalado, agora você pode baixar a última versão estável doo NTOP usando o comando abaixo:

 Crie uma pasta antes para ficar organizado
# mkdir /root/programas
# svn co https://svn.ntop.org/svn/ntop/trunk/ntop

Logo após ele ter baixado todo o NTOP localmente, será criado uma pasta chamada ntop, entre nesta pasta:

# cd ntop

 Executando o comando autogen.sh, esse comando faz uma checagem de todas as dependências que precisa para compilar o NTOP.

# ./autogen.sh

No meu caso, tive que instalar algumas dependências que estavam faltando. Usando os passos abaixo informo-lhes como instalar:

# yum install libcap libcap-devel glib gdbm gdbm-devel libpcap -y

Caso ao executar o comando autogen.sh e ele ainda continuar reclamando que não encontra a libcap, proceda da seguinte mandeira:

Primeiro saia do diretorio ntop
# cd ..

Baixe o pacote da libcap, descompacte e compile:
# wget  http://www.tcpdump.org/release/libpcap-1.1.1.tar.gz
# tar -xvzf libpcap-1.1.1.tar.gz
# cd libpcap-1.1.1
# ./configure
# make
# make install

Bom agora entremos novamente na pasta de instalação do NTOP e executemos o comando autogen.sh

# cd ..
# cd ntop
# ./autogen.sh

puts, ele agora está reclamando que não temos o rrdtool, ferramenta utilizada para gerar os gráficos e também o pacote GeoIP, então vamos aos passos abaixo para instalá-los:

Bom, primeiramente para baixar o rrdtool precisamos baixar um pacote, ou seja, repositório do rpmforge para o CentOS 5:

Saia da pasta de instalação do NTOP novamente, e baixe o pacote rpm
# cd ..
#  wget  http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.1-1.el5.rf.i386.rpm
# rpm -ivh rpmforge-release-0.5.1-1.el5.rf.i386.rpm
# yum install rrdtool rrdtool-devel -y

O comando yum acima irá instalar o pacote rrdtool e suas dependências necessárias para o funcionamento.

Feito isso agora vamos a instalação do pacote GeoIP:
# wget http://www.maxmind.com/download/geoip/api/c/GeoIP.tar.gz
# tar -xvzf GeoIP.tar.gz
# cd GeoIP-1.4.6/
# ./configure
# make
# make install

Suprindo com essa última dependência, agora sairemos da pasta de instalação do GeoIP e entraremos na pasta de instalação do NTOP novamente:

3) Compilando e instalando o NTOP

# cd ..
# cd ntop
# ./autogen.sh
perfeito, agora tudo está ok, e vamos rodar o comando make
# make
# make install

A instalação não cria o usuário ntop, é aconselhavel que não rodemos o ntop com o usuário root:

# useradd ntop

Setando as permissões para as pastas de instalação do NTOP

# chown -R ntop.ntop /usr/local/share/ntop
# chown -R ntop.ntop /usr/local/var/ntop
# chown ntop.ntop  /usr/local/etc/ntop

4) E para finalizar, vamos executar o NTOP com o seguinte comando:

# /usr/local/bin/ntop -u ntop -L -d -i eth0 --set-admin-password=senha_do_admin

Nota: a interface especificada no comando acima (eth0) é a interface de rede interna.

5) Para acessar a interface web basta digitar no seu browser o endereço ip da interface eth0 seguido da porta 3000

http://10.10.10.10:3000


Qualquer dúvidas dicas e sugestões, postem ai pessoal.

Abraço.

quinta-feira, 29 de abril de 2010

Criando uma autenticação para a página do MSN-PROXY

Olá pessoal, algumas amigos me perguntaram sobre como colocar uma autenticação na página do msn-proxy, que no caso é um método de segurança a um conteúdo muito restrito e não pode cair em mãos erradas, ainda mais se a empresa não deixa ciente seus funcionários que eles estejam sendo monitorados, isso pode levar a empresa a um grande processo por invasão de privacidade.


Bom, para ativar esse recurso no apache devemos seguir alguns passos como demonstrados abaixo:


Nota: esses passos são para quem usa centOS e apache httpd.


 1)  Editar o arquivo do apache

# vim /etc/httpd/conf/httpd.conf

encontre no arquivo o parametro "AllowOverride none" e altere o parâmetro para: "AllowOverride AuthConfig"

Essa diretiva no apache permite você usar autenticação por meio do arquivo .htaccess.

Nota: Desconsidere o "\" nas diretivas abaixo, coloquei isso proque o blogspot estava identificando como uma tag html e não esta exibindo.

Antes:

<\Directory />
Options FllowSymLinks
AllowOverride none
<\/Directory>



Depois

<\Directory />
Options FllowSymLinks
AllowOverride AuthConfig
<\/Directory>

2) Agora feche o arquivo e saia, vamos ao próximo passo que é criar o arquivo .htaccess, esse arquivo deve ser criado dentro da pasta /var/www/html/msn-proxy, ou no diretório que queira restringir o acesso.

Agora vamos editá-lo:
# vim /var/www/html/msn-proxy/.htaccess

Adicione o seguinte conteúdo neste arquivo:

AuthType Basic
AuthName "Msn-Proxy"
AuthUserFile /var/www/html/msn-proxy/usuarios.txt
Require valid-user

Salve e feche o arquivo.

3) Feito isso agora vamos criar um usuário que poderá se autenticar para acessar a página do msn-proxy usando o seguinte comando abaixo:

# htpasswd -c /var/www/html/msn-proxy/usuarios.txt login_do_usuario

Logo será solicitado uma senha, e repita a mesma e pronto, agora é só reiniciar o apache e testar a autenticação tentando abrir a página do msn-proxy.

Abraço.

quarta-feira, 14 de abril de 2010

Criando volumes VMFS e virtual disk files usando comandos fdisk e vmkfstools

Na ausência da possibilidade do cliente VI para mudar a instalação de partições vmhba VMFS sem modificar todo o disco de instalação e, portanto, corromper a instalação, você pode criar manualmente volumes VMFS e virtual disk files usando os comandos fdisk e vmkfstools.

O vmkfstools lhe permite operar em uma partição. Desta forma, você pode modificar os atributos de uma instalação do ESX em um único disco para aumentar o tamanho do bloco de sua partição VMFS.


Para criar um volume VMFS, você deve antes de tudo usar o fdisk para criar uma partição com a tag do tipo "0xfb"

Nota: Por padrão, o ESX Server criará partições VMFS que estão desalinhadas. Por esse motivo é preferível usar o cliente VI para criar partições VMFS. No entanto, quando isso é necessário ser feito manualmente, execute os seguintes procedimentos para alinhar o VMFS:

vmkfstools pode ser usado para construir o volume VMFS.


Usando o fdisk via Console para Alinhar manualmente filesystem VMFS:

A partir da console, execute "fdisk , onde o argumento do fdisk é a partição onde você quer criar a partição VMFS.


1 - Tecle "n" para criar uma nova partição
2 - Tecle "p" para criar uma partição primária
3 - Tecle "3" para criar a partição #3
4 - Selecione defaults para usar disco completo.

Agora, nós precisamos alinhar em um limite de 64KB:

5 - Tecle "x" para entrar no modo expert
6 - Tecle "b" para especificar o bloco de partições
7 - Tecle "3" para selecionar a partição #3
8 - Tecle "128" para fazer a partição #3 alinhada em um limite de  64KB.
9 - Tecle "r" para retornar ao menu principal.

Agora, nós precisamos mudar o tipo de partição "fb" para VMFS.

10 - Tecle "t" para mudar a partição
11 - Tecle "3" para selecionar a partição 3
12 - Tecle "fb" para setar o tipo para fb (volume VMFS)
13 - Tecle "w" para gravar


Nota: Se você já tiver criado através de uma instalação ou viclient, você não precisa usar o fdisk em uma partição. Você pode simplesmente substituir o vmfs com o comando abaixo. Assim, no caso de modificação do tamanho de bloco você não vai precisar executar os procedimentos acima em uma partição vmfs existente.


Agora você pode criar um volume VMFS com o comando "vmkfstools -C".

Nota: A letra minúscula 'c' cria um vmdk, não um VMFS filesystem.


# vmkfstools --createfs vmfs3 --blocksize 2m vmhba1:0:0:3
# vmkfstools -C vmfs3 -b 2m vmhba1:3:0:1



Atenção: Tenha muito cuidado aqui. O argumento deve ser a partição,  se você estiver operando em uma partição e não um dispositivo inteiro. Os comandos acima não irão avisá-lo de que há uma partição VMFS antes de criar uma nova.

Se você estiver com dúvidas, use o comando "esxcfg-vmhbadevs -m" para ver o sistema de arquivos existentes é um VMFS. Se não existir, então você deve ser claro sobre o nome da partição. Use "fdisk-l" para ver a partição (fb tipo). O dispositivo vmhba correspondente seria listado como:
/vmfs/devices/disks/vmhbaA:T:L:P.


Algumas dicas mais sobre o  vmkfstools:

Para construir um novo VMFS:

# vmkfstools -C vmfs2 vmhba0:8:0:1

Para definir um label

# vmkfstools -S sanV3 vmhba0:8:0:1

Para criar um novo disco virtual:

# vmkfstools -c 4096 sanV3:websvr.vmdk

Para exportar:

# vmkfstools -e /vmimages/ws.vmdk sanV3:ws.vmdk

Para expandir um disco virtual

# vmkfstools -X 8192M sanV3:windata.vmdk

Para importar:

# vmkfstools -i /vmimages/disk2.vmdk sanV3:other.vmdk 

terça-feira, 6 de abril de 2010

Aumentando o espaço em disco de partições linux com o comando Tune2fs

Nem todas as distribuições Linux permitem aos usuários ajustar os parâmetros do sistema de arquivos durante a instalação do Linux, como file system Reserved Block Count. O Instalador do Debian permite ao usuário mudar a quantidade de blocos reservados pelo sistema de arquivos em fase de instalação.

Outras distribuições Linux, como Red Hat Linux em particular, só permitem  ao usuário ajustar os parâmetros do sistema de arquivos na fase de pós-instalação, via utilitário do sistema tune2fs.


A Reserva do Numero de Blocos pelo sistema de arquivos reduz a desfragmentação do mesmo, permitir o login do usuário root para manutenção no sistema ou permitir ao sistema usar as propriedades de logging facility caso o sistema de arquivos esteja trabalhando com pouco espaço em disco.


Como reduzir a contagem de blocos reservados em partições ext2 /ext3 ?


O comando df mostra o espaço disponível na coluna Avail:
 
# df -h
 Filesystem            Size  Used Avail Use% Mounted on
/dev/sdd1             917G  858G   13G  99% /mnt/disc1TB


O padrão reservado em partições pelo sistema operacional é de 5%. Veja acima que temos apenas 99% de espaço livre na partição, ou 13GB.



Agora vamos alterar para que use apenas 1% e vamos ver como ficou:


# tune2fs -m 1 /dev/sdd1

tune2fs 1.39 (29-May-2006)
Setting reserved blocks percentage to 1% (2441900 blocks)



# df -h

 Filesystem            Size  Used Avail Use% Mounted on
/dev/sdd1             917G  858G   50G  95% /mnt/disc1TB


Bom, agora notamos que após executarmos o utilitário tune2fs aumentamos o espaço livre na partição que antes era de 99% e passou para 95%.



Podemos desabilitar totalmente o ( Reserve Block Count ) se o sistema de arquivos não for utilizado pela conta do usuário root ou armazenamento de logs/programas e arquivos temporários do sistema. (Ex: /var e /tmp). Por exemplo, sistemas de arquivos dedicados para Compartilhamentos Samba, videos ou arquivos de música, etc...



terça-feira, 30 de março de 2010

Criando um siga-me no asterisk 1.6.2 usando a função SayDigits

O primeiro passo é a criação dos contextos ativa e desativa o siga-me. O incremento do recurso siga-me com a função SayDigits pode ser importante, no caso de termos certeza do ramal para o qual estamos ativando o redirecionamento da chamada.


; Ativa Siga-me incondicional

[sigame-on]
exten => _*71*.,1,NoCDR()
exten => _*71*.,2,Set(DB(CF/${CALLERID(num)})=${EXTEN:4})
exten => _*71*.,3,Playback(call-fwd-unconditional&for&extension)
exten => _*71*.,4,SayDigits(${CALLERID(num)})
exten => _*71*.,5,Playback(is-set-to)
exten => _*71*.,6,SayDigits(${EXTEN:4})
exten => _*71*.,7,Playback(vm-saved)
exten => _*71*.,8,Playback(beep)
exten => _*71*.,9,Hangup

; Desativa o siga-me incondicional

[sigame-off]
exten => _*72*,1,NoCDR()
exten => _*72*,2,DBdel(CF/${CALLERID(num)})
exten => _*72*,3,Playback(cancelled)
exten => _*72*,4,Playback(beep)
exten => _*72*,5,Hangup




Bom, agora vamos ao pulo do gato, esse passo é muito importante pois é ele quem verifica se existe ou não o siga-me para o ramal.

Vamos ao contexto:

[disca]
exten => _3XXX,1,Noop(CF/${EXTEN})
exten => _3XXX,2,Set(siga=${DB(CF/${EXTEN})})
exten => _3XXX,3,Dial(SIP/${siga},30,Ttw)
exten => _3XXX,4,Dial(SIP/${EXTEN}) ; Unconditional forward
exten => _3XXX,5,Hangup

Neste caso, todas as ligações que forem feitas para qualquer o número 3XXX, ele vai verificar na base de dados do asterisk se existe algum registro CF referente ao ramal de destino e se existe um valor para esse registro, caso haja, ele efetua o siga-me, caso não faz a ligação normal.


Para resumir, se você tem um arquivo de configuração extensions.conf zerado, apenas com o contexto default criado, faça as seguintes alterações conforme abaixo:


[default]
include = > sigame-on
include = > sigame-off
include = > disca

Criando um siga-me incondicional no asterisk 1.6.2

O primeiro passo é a criação dos contextos ativa e desativa o siga-me


; Ativa Siga-me incondicional
[sigame-on]
exten => _*71*.,1,NoCDR()
exten => _*71*.,2,Set(DB(CF/${CALLERID(num)})=${EXTEN:4})
exten => _*71*.,3,Playback(beep)
exten => _*71*.,4,Playback(vm-saved)
exten => _*71*.,5,Hangup

; Desativa o siga-me incondicional
[sigame-off]
exten => _*72*,1,NoCDR()
exten => _*72*,2,DBdel(CF/${CALLERID(num)})
exten => _*72*,3,Playback(beep)
exten => _*72*,4,Playback(vm-saved)
exten => _*72*,5,Hangup




Bom, agora vamos ao pulo do gato, esse passo é muito importante pois é ele quem verifica se existe ou não o siga-me para o ramal.

Vamos ao contexto:

[disca]
exten => _3XXX,1,Noop(CF/${EXTEN})
exten => _3XXX,2,Set(siga=${DB(CF/${EXTEN})})
exten => _3XXX,3,Dial(SIP/${siga},30,Ttw)
exten => _3XXX,4,Dial(SIP/${EXTEN}) ; Unconditional forward
exten => _3XXX,5,Hangup

Neste caso, todas as ligações que forem feitas para qualquer o número 3XXX, ele vai verificar na base de dados do asterisk se existe algum registro CF referente ao ramal de destino e se existe um valor para esse registro, caso haja, ele efetua o siga-me, caso não faz a ligação normal.


Para resumir, se você tem um arquivo de configuração extensions.conf zerado, apenas com o contexto default criado, faça as seguintes alterações conforme abaixo:


[default]
include = > sigame-on
include = > sigame-off
include = > disca



============================================
; LOG DO ASTERISK ATIVANDO O SIGA-ME NO RAMAL
  == Using SIP RTP CoS mark 5
  == Using SIP VRTP CoS mark 6
  == Using UDPTL CoS mark 5
    -- Executing [*71*3003@internas:1] NoCDR("SIP/3001-0000000e", "") in new stack
    -- Executing [*71*3003@internas:2] Set("SIP/3001-0000000e", "DB(CF/3001)=3003") in new stack
    -- Executing [*71*3003@internas:3] Playback("SIP/3001-0000000e", "beep") in new stack
    -- Playing 'beep.alaw' (language 'pt_BR')
    -- Executing [*71*3003@internas:4] Playback("SIP/3001-0000000e", "vm-saved") in new stack
    -- Playing 'vm-saved.slin' (language 'pt_BR')
    -- Executing [*71*3003@internas:5] Hangup("SIP/3001-0000000e", "") in new stack
  == Spawn extension (internas, *71*3003, 5) exited non-zero on 'SIP/3001-0000000e'



; LOG ASTERISK RETIRANDO O SIGAME DO RAMAL
  == Using SIP RTP CoS mark 5
  == Using SIP VRTP CoS mark 6
  == Using UDPTL CoS mark 5
    -- Executing [*72*@internas:1] NoCDR("SIP/3001-00000016", "") in new stack
    -- Executing [*72*@internas:2] DBdel("SIP/3001-00000016", "CF/3001") in new stack
    -- DBdel: family=CF, key=3001
    -- Executing [*72*@internas:3] Playback("SIP/3001-00000016", "beep") in new stack
    -- Playing 'beep.alaw' (language 'pt_BR')
    -- Executing [*72*@internas:4] Playback("SIP/3001-00000016", "vm-saved") in new stack
    -- Playing 'vm-saved.slin' (language 'pt_BR')
    -- Executing [*72*@internas:5] Hangup("SIP/3001-00000016", "") in new stack
  == Spawn extension (internas, *72*, 5) exited non-zero on 'SIP/3001-00000016'



Façam bom proveito, eu testei usando S.O. CentOS 5.4 com asterisk 1.6.2 e funcionou perfeitamente.


Quaisquer dicas dúvidas e sugestões favor postarem pra mim que responderei o mais rápido possível.