redes linux excerto

Download Redes linux excerto

Post on 18-Nov-2014

199 views

Category:

Technology

1 download

Embed Size (px)

DESCRIPTION

 

TRANSCRIPT

  • 1. Centro Atlntico Manual de Segurana em Redes Linux APOIOS:
  • 2. Renato Martini Manual de Segurana em Redes Linux Edies Centro Atlntico Portugal/2000
  • 3. Copyright (C) 2000 Renato Martini & Frdric Couchet. Outorga-se a permisso de copiar, distribuir e/ou modificar este documento sob os termos da Licena de documentao Livre GNU. Verso 1.1 ou qualquer outra verso posterior publicada pela Free Software Foundation; com as Seces Invariantes sendo apenas Prembulo edio brasileira e Prembulo edio francesa, sem Textos da Pgina de Rosto, e sem textos da Contra-capa. Uma cpia da Licena includa na seco intitulada GNU Free Documentation License. Manual de Segurana em Redes Linux Coleco: Tecnologias Autor: Renato Martini Direco grfica: Centro Atlntico Traduo: Antnio Cardoso (POLI) Capa: Paulo Buchinho Centro Atlntico, Lda., 2000 Av. D. Afonso Henriques, 1462 - 4450 Matosinhos Tel. 22 - 938 56 28/9 Fax. 22 - 938 56 30 Rua da Misericrdia, 76 - 1200 Lisboa Tel. 21 - 321 01 95 Fax 21 - 321 01 85 Portugal geral@centroatlantico.pt www.centroatlantico.pt Fotolitos: Centro Atlntico Impresso e acabamento: Inova 1 edio: Novembro de 2000 ISBN:972-8426-30-5 Depsito legal: 157191/00 Marcas registadas: todos os termos mencionados neste livro conhecidos como sendo marcas registadas de produtos e servios, foram apropriadamente capitalizados. A utilizao de um termo neste livro no deve ser encarada como afectando a validade de alguma marca registada de produto ou servio. O Editor e os Autores no se responsabilizam por possveis danos morais ou fsicos causados pelas instrues contidas no livro nem por endereos Internet que no correspondam s Home-Pages pretendidas.
  • 4. Prefcio 5 1. Fundamentos de Segurana 11 1.1 Introduo 11 1.2 Segurana: o conceito 11 1.3 Segurana e as ferramentas de rede 13 1.4 Objectivo deste livro 18 2. 0 Firewall: duas solues no ambiente Linux 19 2.1 Uma palavra inicial sobre os firewalls 19 2.2 Firewalls e acesso remoto: o Secure Shell 21 2.3 Firewalls: soluo Linux 27 2.4 A filtragem de pacotes 29 2.5 IPCHAINS (The Enhanced IP Firewalling Chains Software for Linux) 30 2.6 O Firewall SINUS - um filtro de pacotes TCP/IP para o Linux 47 3. Monitorizao de Rede 75 3.1 Os scanners de rede 75 3.2 Hunt: um sniffer de ligaes diversas para o Linux 96 3.3 SAINT: Security Administrators Integrated Network Tool 104 ANEXOS 113 Anexo A: O ficheiro /etc/protocols 114 Anexo B: O ficheiro /etc/services 115 Anexo C: Um script para IPCHAINS 125 Anexo D: Os cabealhos de pacotes IP, ICMP, TCP, UDP e ARP 133 Anexo E: Como que um pacote viaja atravs da pilha TCP/IP? 136 Bibliografia 137 Anexo F: GNU Free Documentation License 138 ndice
  • 5. 1. Fundamentos de Segurana 1.1 Introduo O objectivo deste documento demonstrar a todos os utilizadores como o sistema operativo GNU/Linux oferece uma soluo completa para o problema da segurana. Deveremos ter em ateno, que quando falamos em soluo, no significa a existncia de um sistema absolutamente seguro. O GNU/ Linux oferece, isso sim, as ferramentas necessrias para a gesto da segurana numa mquina isolada ou numa Intranet, e, ento, tal Intranet ligada Grande Rede. Este documento descreve introdutoriamente essas ferramentas e os problemas de segurana. 1.2 Segurana: o conceito Trataremos o tema segurana como sendo a restrio dos recursos de uma mquina, de uma rede, ou at mesmo de pores dessa rede para outros utilizadores ou computadores. A Segurana no mais do que a gesto de tal restrio, o que constitui portanto uma poltica de segurana, ou como se diz em Ingls: security policy. Genericamente significa que numa rede existem determinados recursos (ficheiros, dispositivos de hardware, etc.) que se encontram disponveis para este computador ou tipo de utilizador, mas que por outro lado ficam restritos a outros computadores, estejam eles dentro ou fora da rede. Mesmo um sistema como o antigo MS-DOS implementava um tipo de segurana, bastante singela se comparada com os Sistemas Operativos
  • 6. MANUAL DE SEGURANA EM REDES LINUX - CENTRO ATLNTICO multi-utilizadores, como o GNU/Linux ou qualquer outro sistema UNIX. No MS-DOS existem ficheiros ocultos, ficheiros com atributos para que se permita que estes somente sejam lidos, etc. Por conseguinte, existe a restrio de reas do SO. Claro, que tudo isso num sistema MS-DOS, ou mesmo na sua sequncia histrica, os Windows (9x), possuem restries que podem de forma fcil serem burladas. Mas quer o MS-DOS e ou o Windows, no foram idealizados a pensar em redes. O recurso Network- ing no embutido (built-in), intrnseco ao Windows e por isso mesmo todos os embaraos que os seus utilizadores possuem quando navegam na Internet, como por exemplo, no famoso Back Orifice. O GNU/Linux em todas as suas distribuies um sistema multi-utilizador, essencialmente um SO capacitado para as Redes, no sendo por isso um recurso que lhe foi acrescido externamente. E como todo o SO de rede, estabelece privilgios como forma de segurana: existem utilizadores especiais, na nomenclatura correcta Super-Utilizadores ou utilizador Root, que podem alterar os ficheiros especiais do sistema, montar as parties, sejam elas locais ou remotas, desligar a rede, etc. O utilizador comum, sem privilgios, no o poder fazer. No entanto, quando nos colocamos na ptica de um computador pensado isoladamente, isto , uma nica estao de trabalho, usado por, digamos, seis pessoas, veremos que nesta situao, j deveremos atender s questes relativas a uma implementao do tema segurana. Mas quando observamos uma rede local, a segurana ainda um tema mais urgente. Numa Intranet, existem por vezes diversos recursos de vrias mquinas que esto ou devem estar interditados de um determina- do departamento, por exemplo. E, sobretudo, quando esta Intranet se liga Internet, o que quase inevitvel, a segurana torna-se ainda mais urgente e fundamental. Muitas empresas reagiram ao enorme problema de segurana que traz a Internet com a consequente segmentao das suas Intranets. Ou seja, a separao fsica da Intranet da rede mundial. Mas esta, no deve ser a soluo adoptada, na medida em que significa a restrio de recursos de
  • 7. ! uma rede, o que seria desta forma, rumar no caminho inverso ao do nosso tempo: a saber, radicalizar a rede mundial, como conclui Refik Molva: A segmentao resultante o maior impedimento para a realizao do conceito de uma Internet global.2 Poderamos esquematizar assim: 1.3 Segurana e as ferramentas de rede Numa nica mquina ou numa rede local (de pequeno, mdio ou grande porte) e, assim, quando esta rede est ligada Grande Rede, a segurana tem que ser gerida. Assim sendo, veremos que o GNU/Linux possui todas as ferramentas e documentao necessrias para a realizao desta impor- tante tarefa. Deveremos ter sempre presente que tais ferramentas so inteis, se o administrador no tiver uma poltica de segurana. No constitui objectivo deste documento tratar explicitamente do tema. Existem no entanto, leituras introdutrias que so obrigatrias, tais como: o RFC3 2196 intitulado de Site Security Handbook (http://www.rfc-editor.org) escrito por B. Fraser (Setembro de 1997); e o Linux Security HOWTO (ftp://metalab.unc.edu/pub/Linux/docs/ HOWTO) de K. Fenzi e D. Wreski (Maio de 1998); e o livro de Paul Sery Ferramentas Poderosas para Redes em Linux (ed. Cincia Moderna4 ). Em CAPTULO I: FUNDAMENTOS DE SEGURANA
  • 8. MANUAL DE SEGURANA EM REDES LINUX - CENTRO ATLNTICO" todos estes documentos, o leitor certamente poder encontrar todos os ensinamentos iniciais para a construo da poltica de segurana da sua rede, - e que o RFC 2196 propriamente define como uma declarao formal de regras que concedem acesso aos recursos de informao e tecnologia, existindo por isso o dever de serem cumpridas. Devemos lembrar ainda que o leitor poder encontrar um conjunto bastante abrangente de ferramentas, para todos os sabores de sistemas UNIX, no site http://www.securityfocus.com, visita obrigatria para todos aqueles que se ocupam com a segurana. H dois portais no idioma portugus sobre segurana, que no nosso entender so obrigatrios: http://www.securenet.com.br http://www.linuxsecurity.com.br O administrador Renato Murilo Langona, faz a mediao de uma lista de discusso, a security-l, no site Linuxsecurity, onde o leitor pode obter mais informaes. No caso de ser um estudioso do tema e administrar uma rede, deve procurar esta lista. Pesquise as ferramentas de procura disponveis na Internet, para assim se encontrar constantemente actualizado. Como a Internet muito mutvel, no faz sentido citar dezenas e dezenas de sites, que agora esto on-line, mas que muito brevemente podem deixar de estar, ou mudam de nome, etc. Outro ponto que deve ser tido em conta pelo leitor a criptografia. Neste momento, no mais um tema puramente tcnico, que se encontra voltado simplesmente para a Matemtica ou a Lgica. J sabemos que a nova gerao de protocolos TCP/IP que esto a ser desenvolvidos, o IPv6, vai colocar definitivamente protocolos criptogrficos na suite TCP/IP. necessrio que o administrador que l este manual, esteja preparado para a
  • 9. # tarefa da montagem de um criptosistema. O que isso? todo um sistema criptogrfico que se baseia em trs pontos fundamentais: AUTENTICIDADE PRIVACIDADE INTEGRIDADE Resumidamente: um software criptog