Pesquisar neste blog

quarta-feira, 5 de maio de 2010

Instalando/Atualizando Samba 3.4 no CentOS 5

Olá pessoal, com a chegada do windows 7, com ele também vieram alguns problemas para quem usa controladores de domínio Samba na versão 3.0. Existe uma incompatibilidade do protocolo de autenticação NTLMv2 do Windows 7, por padrão ele só tem suporte ao NTLMv2, detalhe, o samba ainda não utiliza o NTLMv2, mais um problema criado pela microsoft!

Então para resolver esse problema e facilitar a situação dos administradores de rede aqui vai minha dica:

Vamos seguir a recomendação da wiki do samba, que nos orienta a como ativar o suporte ao controlador de domínio Samba no Windows 7.

Configurações de Registro do Windows 7

Atualmente existem duas configurações necessárias no Registro do Windows 7 antes de ingressar em um domínio Samba. São elas:


 HKLM\System\CCS\Services\LanmanWorkstation\Parameters
            DWORD  DomainCompatibilityMode = 1
            DWORD  DNSNameResolutionRequired = 0
 
essa outra alteração não é da wiki, ela evita dar aquele erro
de relação de confiança ao logar após ter sido inserida no domínio:

HKLM\System\CurrentControlSet\Control\Lsa
            DWORD LmCompatibilityLevel = 1 
 
Pelo gpedit.msc mudar para "Send LM & NTLM – use NTLMv2 if negotiated" 
 
Certifique-se de reiniciar o Windows 7 ou reiniciar o serviço LanmanWorkstation após definir essas entradas.
 
Você receberá um aviso sobre a configuração de DNS do nome de domínio após a inclusão bem sucedida: 
 
"Changing the Primary Domain DNS name of this computer to "" failed.
    The name will remain "MYDOM".  The error was:
    
    The specified domain either does not exist or could not be contacted" 
Este aviso pode ser ignorado ou silenciado com ajuste de outras chaves do Registro.
 
Não edite quaisquer outros parâmetros do registro (NETLOGON). Se você já tiver modificado 
o Registro do Windows 7, certifique-se de repor as chaves e seus valores padrões.
 
Se você tiver alterado os parâmetros do NETLOGON, certifique-se de voltá-los 
para "1" como mostrado abaixo: 
 

HKLM\System\CCS\Services\Netlogon\Parameters
           DWORD  RequireSignOrSeal = 1
           DWORD  RequireStrongKey = 1


Bom, essas são as orientações do samba quanto as alterações do registro do windows 7. Agora vamos para a o servidor, onde vamos realizar a atualização do samba segundo pacotes disponíveis no repositório do site da sernet para o centOS 5.

Bom, antes de começar a atualização é bom lembrar a quem usa o controlador de domínio com passdb backend do tipo "smbpasswd".

Segundo documentação oficial do samba 3.4:
http://www.samba.org/samba/history/samba-3.4.0.html

O passdb backend padrão da nova versão do samba é o tdbsam, para usar o smbpasswd deve ser explicitado no arquivo de configuração "passdb backend = smbpasswd".
Se você quiser manter o backend "smbpasswd" ou converter seus registros smbpasswd use o comando 'pdbedit -i smbpasswd -e tdbsam'

O backend 'tdbsam' é muito mais flexível em relação as configurações por usuário como 'profile path' ou 'home directory' e existem alguns comandos que não trabalham em tudo com o backend 'smbpasswd'.

Ditas as explicações, aconselhamos a fazer um backup do /etc/samba e do /var/cache/samba, isso para quem já tem o samba em uso.

Iremos agora criar o repositório para realizar a atualização do samba 3.4:

# vim /etc/yum.repos.d/samba-testing.repo

Adicionar o conteúdo Abaixo.

# Nome: Repositório de instalação do Samba
[samba-testing]
name = SerNet Samba Team packages (CentOS 5)
type=rpm-md
baseurl = ftp://ftp.sernet.de/pub/samba/3.4/centos/5/
enabled = 1
gpgcheck = 0
# fim




Salve o arquivo e saia. 

Agora vamos atualizar o Sistema e o Samba…

# yum update -y
Para quem usa o Samba como membro de um domínio AD, segue abaixo o comando para baixar e instalar o winbind.

# yum install samba3-winbind

Depois de Atualizado o Samba para versão 3.4 vamos as configurações finais. Edite o arquivo de configuração do samba /etc/smb.conf e acrescente as seguintes linhas:



ntlm auth = YES
lanman auth = YES

client NTLMv2 auth = YES

Nota: Lembrando que para quem usa passdb backend, acrescente no arquivo de configuração do samba a seguinte linha: 

passdb backend = smbpasswd


Depois de terem feito as configurações padrões e as adicionais de acordo com seu uso, no caso as que não listamos aqui, você já pode salvar o arquivo e sair.

Inicie o serviço do samba com o seguinte comando:

# service smb start

Crie uma senha para seu usuário administrador do domínio, no caso o root usando o seguinte comando:
# smbpasswd -a root


Pronto, agora vá até uma estação cliente com Windows 7 e a adicione ao domínio.


terça-feira, 4 de maio de 2010

Uma maneira simples de detectar ataques DDoS o DoS

Mas afinal, o que são ataques de DDoS ou de "negação de serviço"?
 
Os ataques DoS são bastante conhecidos no âmbito da comunidade de segurança de redes. Estes ataques, através do envio indiscriminado de requisições a um computador alvo, visam causar a indisponibilidade dos serviços oferecidos por ele. Fazendo uma analogia simples, é o que ocorre com as companhias de telefone nas noites de natal e ano novo, quando milhares de pessoas decidem, simultaneamente, cumprimentar à meia-noite parentes e amigos no Brasil e no exterior. Nos cinco minutos posteriores à virada do ano, muito provavelmente, você simplesmente não conseguirá completar a sua ligação, pois as linhas telefônicas estarão saturadas.
 
Quem são os personagens do ataque?
 
Atacante: Quem efetivamente coordena o ataque.

Master: Máquina que recebe os parâmetros para o ataque e comanda os agentes (veja a seguir).

Agente: Máquina que efetivamente concretiza o ataque DoS contra uma ou mais vítimas, conforme for especificado pelo atacante.

Vítima: Alvo do ataque. Máquina que é "inundada" por um volume enormede pacotes, ocasionando um extremo congestionamento da rede e resultando na paralização dos serviços oferecidos por ela.

Vale ressaltar que, além destes personagens principais, existem outros dois atuando nos bastidores:

Cliente: Aplicação que reside no master e que efetivamente controla os ataques enviando comandos aos daemons.

Daemon: Processo que roda no agente, responsável por receber e executar os comandos enviados pelo cliente.

 
As principais Fases do ataque 
 
1ª fase: intrusão em massa. nesta fase do ataque o atacante escolhe as vitimas(geralmente conexões de banda larga), e faz um superscan de vulnerabilidades nelas, após encontradas as vulnerabilidades, é criado uma lista com os IP's dessas máquinas que foram invadidas e comprometidas, para serem usadas no ataque.

2ª fase: instalação das ferramentas DDOS, escolha dos masters e agentes. Após invadida as 
máquinas e instalados os programas DDOS é a hora de selecionar a função de cada máquina no ataque. A escolha sobre qual máquina será usada como master e agente dependerá do atacante. O perfil dos masters e agente dependerá do atacante, mas geralmente o perfil dos masters e agente são máquinas poucos manuseadas e pouco monitoradas pelo seu administrador já os agentes são máquinas rápidas, é nos agentes que serão instalados o daemon DDOS que anunciara sua presença aos masters e ficara esperando os comandos, daí começa a ser organizado o ataque, é instalado rootkits para tentar ocultar o comprometimento das máquinas.

3ª fase: iniciando o ataque. O atacante agora só precisa controlar seu ou seus agentes e "mandarem" atacar o(s) IP(s) da(s) vítima(s), por um período de tempo determinado pelo atacante.
 

Ferramentas mais comuns
  • TRIN00
  • TFN2K(trible flood network 2000)
  • TFN(trible flood network)
  • Stalcheldraht      

 Forma simples de detectar um ataque DDoS

Os indícios mais comuns de que seu servidor esta sobre um ataque DDoS é o aumento repentino na atividade do processador e a lentidão que o mesmo irá apresentar em função desse aumento do processamento.

Uma forma prática, rápida e fácil de verificar um possível ataque DDoS é utilizar um conjunto de ferramentas que incluem: netstat, grep, awk e uniq. 
 
A linha abaixo nos retorna uma lista dos IP's que estão conectados ao servidor como também o número de conexões que cada um dos IP's esta abrindo. 

# netstat -an | grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

ou
 
# netstat -alpn | grep :80 | awk ‘{print $5}’ |awk -F: ‘{print $(NF-1)}’ |sort | uniq -c | sort -n

Um grande número de conexões pode significar um ataque ou algo menos nocivos, como um efeito digg, twitter ou slashdot

Fontes:

segunda-feira, 3 de maio de 2010

Monitorando a segurança dos serviços terceirizados

Olá pessoal, segue um artigo abaixo que nos dá uma visão de como podemos monitorar os serviços de segurança realizados por empresas terceiras, se esse for o caso.


[ Monitorando a segurança dos serviços terceirizados ]
 

A terceirização da infraestrutura de TI ou mesmo toda a operação, incluindo sistemas e serviços de TI, é uma realidade cada vez mais próxima para muitas empresas. Muitas delas, durante a negociação dos contratos e indicadores de SLA (Service Level Agreement), preocupam-se com a disponibilidade dos serviços, quantidade e tempo de atendimento dos chamados, armazenamento de dados, entre outros. Porém, para os indicadores relacionados com segurança da informação nem sempre encontramos índices precisos para medir a qualidade dos serviços prestados.


Durante a análise dos contratos, muitas vezes há cláusulas genéricas como: manter o parque computacional atualizado, aplicar regularmente os patches de segurança, revisar as regras do firewall, testar o plano de contingência, realizar os testes de invasão, etc.


Nessas situações, quando revisamos o serviço prestado pelo provedor fica difícil afirmar se a qualidade está adequada ou não, pois não há indicadores claros e específicos sobre: 

- O tempo que uma atualização leva para estar disponível nos servidores;
- Qual deve ser a periodicidade das revisões do firewall. Em quanto tempo as incorreções identificadas devem ser tratadas;
- Quem deve fazer os testes de invasão, a própria empresa ou alguém independente? 
- Quem deve receber o relatório e acompanhar as correções? 
- Quem é responsável por um vazamento de informações?

Além de métricas mais precisas para as disciplinas de segurança da informação, também é necessário que se estabeleçam penalidades para o não cumprimento dos indicadores estabelecidos. As penalidades, normalmente, transformam-se em descontos comerciais nas faturas mensais seguintes.


No entanto, essas melhorias nos contratos e o SLA de nada vão adiantar, se as empresas não estabelecerem um processo interno rígido com uma estruturação de monitoramento próprio, utilizando seus relatórios internos para confrontar os resultados apresentados pelo prestador. É importante lembrar que sempre que terceirizamos uma atividade diminuímos a carga operacional da companhia, porém aumentamos a responsabilidade gerencial sobre o prestador de serviços.



Autor: Frank Meylan
Fonte: http://www.itweb.com.br/blogs/blog.asp?cod=55

sábado, 1 de maio de 2010

!!! Atenção !!! - Demissão por justa causa - Artigo 482


Olá pessoal,
segue abaixo um artigo, para os desavisados de plantão e para a informação de muitos.

Análise da CLT – artigo 482 que configura justa causa para demissão nas situações digitais
Por Patricia Peck



•       Ato de improbidade (deixar a máquina ligada e desbloqueada e sair, sendo uma pessoa em função que permita acesso a dados confidenciais, aproveitar que é da área de TI para ficar vendo o que as pessoas escrevem por email ou navegam na internet, fora do limite de investigação relacionada a monitoramento autorizado com suspeita de conduta inadequada ou ilícita do envolvido);

•       Incontinência de conduta ou mau procedimento (ex: caso comum é acesso à sites pornográficos);

•       Negociação habitual por conta própria ou alheia sem a permissão do empregador, e quando constituir ato de concorrência à empresa para qual trabalha o empregado ou for prejudicial ao serviço (ex: enviar informações para o concorrente por email, ficar enviando curriculum para concorrente por email corporativo);

•       Condenação criminal do empregado (ex: ser condenado por furto de dados, fraude, etc);

•       Desídia no desempenho das respectivas funções (ex: ficar navegando em sites não relacionados ao trabalho durante o expediente, ouvindo música MP3, fazendo download de filmes); (…)

•       Violação de segredo da empresa (postar conteúdo confidencial da empresa em comunidade, blog, forum, chat, Youtube, sem autorização);

•       Ato de indisciplina ou insubordinação (se recusar a assinar ciência em norma interna da empresa para uso de notebook, ou não permitir inspeção física do seu equipamento de trabalho);

•       Abandono de emprego (ex: pedir licença médica e se descobrir em conteúdos postados na Internet que está viajando – fotos colocadas em um fotolog);

•       Ato lesivo da honra ou da boa fama praticado no serviço contra qualquer pessoa, ou ofensas físicas, nas mesmas condições, salvo em caso de legítima defesa, própria ou de outrem (enviar email, criar comunidade ou postar conteúdo para falar mal dos colegas);

•       Ato lesivo da honra ou da boa fama ou ofensas físicas praticadas contra o empregador e superiores hierárquicos, salvo em caso de legítima defesa, própria ou de outrem (enviar email criar comunidade ou postar conteúdo para falar mal de chefes);

•       Prática constante de jogo de azar (ex: acessar cassino online de dentro da empresa).


Fonte: http://www.itweb.com.br/noticias/index.asp?cod=66770